[IoT 보안 ①] SW만으로 부족한 IoT 보안
상태바
[IoT 보안 ①] SW만으로 부족한 IoT 보안
  • 김선애 기자
  • 승인 2015.12.08 09:55
  • 댓글 0
이 기사를 공유합니다

수시로 패치 하는 SW 보안 기술 만으로 IoT 보호 한계…HW 기반 기술로 안전성 높여야

사물인터넷(IoT)은 편리함 만큼 위험한 환경이다. IoT는 관리가 소홀해 질 수 밖에 없는 지점이 많아 공격을 당할 위험이 높다. IoT 공격은 사람의 생명을 위협하고 사회기반시설을 무너뜨리는 테러로 번질 위험도 있다. 소프트웨어 기반 보안 기술만으로는 IoT 보안을 보장할 수 없으며, 하드웨어 보안 기술로 더 강력한 보안환경을 만들어야 한다. 최근 주목도가 높아지고 있는 하드웨어 기반 보안 기술을 소개하면서 안전한 IoT 환경을 제안한다.<편집자>

IoT 전 구간의 단절 없는 보안 필요

IoT가 일상생활에서 사용되기 시작하면서 보안위협도 높아지고 있다. 2019년 IoT 연결기기가 500억개가 넘을 것으로 예상되며, 보안에 취약한 IoT 기기와 네트워크에서 데이터를 탈취하고 위변조시키는 공격이 극성을 부릴 것이다.

헬스케어 기기에서 발생하는 정보를 변조시켜 잘못된 건강정보를 의사에게 알려 잘못된 치료를 하게 만들거나, 기기 오작동을 일으켜 사망에 이르게 할 수 있다. 주요 기반시설의 SCADA 시스템을 교란시켜 시스템을 멈추게 하거나 폭파시키는 테러가 발생할 수 있으며, 항공관제 시스템을 교란시켜 비행기를 납치하는 시나리오도 자주 등장하는 IoT 공격이다.

IoT 보안을 위해서는 IoT 기기에서부터 시스템까지 전 구간에 대한 단절 없는 보안이 필요하다. 기기보안부터 시작해서 모든 종류의 네트워크 보안, 접근제어, 권한관리, 보안 모니터링, 웹 및 웹서비스 보안 등 모든 보안 기술이 다 적용돼야 하며, 각 시스템은 유연하게 연계되고 공격정보를 교환해 서비스 전체에 대한 보안 가시성을 확보해야 한다. 아주 작은 틈 하나라도 보안에 소홀한 지점이 있다면 공격자는 이를 교묘히 파고들 것이며, 이는 심각한 보안사고로 확산될 수 있다.

황수익 시큐리티플랫폼 대표는 “IoT는 인터넷에 연결된 사물이 안전한 곳에 있지 않기 때문에 보안위협이 높아질 수 밖에 없다. 또한 다양한 폼펙터와 기능, 프로토콜을 가진 기기들과 통신해야 하기 때문에 개방형 표준기술을 사용해야 해 보안위협에 훨씬 더 많이 노출된다”고 말했다.

IoT는 폐쇄적인 환경, 프라이빗 공간 등에 위치하기도 하지만, 공공시설, 야외 등에도 설치될 수 있어 물리적으로 도난·훼손 당할 수 있다. 호환성을 확보하기 위해 공개된 표준을 사용해 공격자들이 쉽게 취약점을 찾아내 공격을 진행할 수 있다.

기존 IT 시스템은 취약점이 발견되면 패치 업데이트로 취약점을 제거할 수 있지만, IoT 환경에서는 사용되는 시스템은 패치업데이트 기능이 없거나 리소스 부족으로 업데이트가 불가능한 경우도 있다. 이 경우 기기를 바꾸거나 시스템을 재구축해야 한다.

종단간 암호화·기기 인증 방법 필요

복잡한 보안기술을 적용할 수 없는 IoT 환경을 안전하게 운영할 수 있는 방법은 화이트리스트 기법을 이용해 미리 정해진 행위만 일방향으로 통신하면 된다. 센서는 미리 정해진 범위의 데이터를 수집해 전송하고, CCTV는 영상을 촬영해 전송하는 등의 역할만 하면 된다.

그러나 서버에서는 해당 데이터가 인가된 바로 그 기기에서 보낸 것이며, 데이터의 위변조는 발생하지 않았는지 확인할 수 있어야 한다. 따라서 IoT 기기에서 보낸 데이터에는 해당 기기에 대한 인증서와 데이터의 무결성을 보장할 수 있는 장치가 필요하며, 종단간(End to End) 암호화와 기기에 대한 인증이 요구된다.

<그림> IoT 보안 영역과 필요 기술 (자료: 이니텍)

소프트웨어 기반 인증은 인증서를 암호화해 메모리에 저장하며, 키관리도 함께 탑재되도록 한다. APT 공격 중에서는 많은 사람들이 사용하는 인증서에 악성코드를 설치해 정상적인 인증 프로세스 내에서 암호화 키를 탈취하는 공격이 일어난다. 메모리를 탈취해 인증서와 키를 모두 빼가는 공격도 충분히 가능하다.

암호화 서버와 키관리 서버는 별도로 관리해 암호화 데이터를 탈취당해도 키를 가져가지 못하도록 해야 하지만, IoT 기기 인증을 위해 복잡한 시스템 구성을 적용하는 것은 맞지 않다. 서비스 성능저하와 비용부담, 관리의 복잡성 증가 등의 문제가 있어 오히려 보안취약점이 될 수 있다.

인증 기술로 가장 범용적으로 사용되는 것은 우리나라 공인인증서에서 채택하고 있는 PKI 기술이다. 일반에 공개된 공개키와 인증기관(CA)에 등록된 개인키를 사용해 인증을 수행하는 PKI는 범용성과 안정성이 높은 기술로 평가된다. 그러나 PKI 구성에 요구되는 인프라가 무겁고 관리가 어려우며, CA를 별도로 둬야한다는 점 때문에 수많은 기기가 연결되는 IoT 환경에는 적합하지 않다.

경량 IoT 기기는 복잡한 암호화를 지원하지 못하기 때문에 경량 암호화 알고리즘을 이용해 빠르게 인증을 사용하는 방법도 제안된다. 현재 기술로 경량 암호화는 암호화 수준이 낮아 해킹이 쉬우며, 암호화 수준을 높인 경량 암호화 알고리즘 기술은 국책과제로 연구가 진행되고 있다.

이효승 네오와인 대표이사는 “소프트웨어는 근본적으로 보안에 취약하다. 소프트웨어 보안 취약점은 상시적으로 발견되고 늘 업데이트 해야 한다. 소프트웨어 기반 보안은 공격으로부터 IoT를 보호하지 못한다. 하드웨어 기반 보안 기술이 필요한 이유”라고 설명했다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.