사물인터넷(IoT)은 편리함 만큼 위험한 환경이다. IoT는 관리가 소홀해 질 수 밖에 없는 지점이 많아 공격을 당할 위험이 높다. IoT 공격은 사람의 생명을 위협하고 사회기반시설을 무너뜨리는 테러로 번질 위험도 있다. 소프트웨어 기반 보안 기술만으로는 IoT 보안을 보장할 수 없으며, 하드웨어 보안 기술로 더 강력한 보안환경을 만들어야 한다. 최근 주목도가 높아지고 있는 하드웨어 기반 보안 기술을 소개하면서 안전한 IoT 환경을 제안한다.<편집자>
반도체 ‘지문’ 이용한 난수발생 기술 주목
고성능 컴퓨팅 기술이 발전하면서 RSA에서 패턴을 도출해 첫번째 키를 알게되면 다음 키를 유추해낼 수 있다는 지적이 나오면서 암호화 키 생성 기술이 고도화가 요구되고 있다. 특히 강력한 보안이 요구되는 보안칩의 난수 발생 기술을 높이기 위한 다양한 방법이 제안된다.
스마트카드 테스트 전문기업 ICTK는 반도체마다 다르게 생성된 노이즈를 이용해 인증키를 생성하는 ‘PUF(Physical Unclonable Function)’ 기술을 상용화했다. 이 노이즈는 사람 손의 ‘지문’과 같은 것으로, 생산공정에서 자연스럽게 발생하는 미세한 차이를 이용하거나 인위적으로 노이즈를 주입시킬 수 있다.
김동현 ICTK 대표는 “ICTK는 스마트카드 테스트 전문기업으로, 스마트카드의 보안성을 높일 수 있는 방법으로 PUF에 주목하게 됐다”며 “ICTK의 제품은 글로벌 경쟁사 제품 중 가장 항상성이 높은 제품으로 평가받고 있으며, 보정기술 없이 구현이 가능해 활용하기에 편하다”고 말했다.
PUF는 필립스, IBM, 퀄컴, 인피니온 등에서 공급하고 있지만, 진입장벽이 높고 고가이기 때문에 범용적으로 사용되고 있지 않다. 그러나 최근 IoT 보안우려가 제기되면서 보다 강력한 보안을 제공하는 보안칩에 대한 관심이 높아지면서 범용화 가능성이 높아지고 있다.
ICTK는 PUF 기술 기반 SoC를 설계하고 있으며, 이를 적용한 사용자 보안모듈 AiOS를 제작해 빠르고 안전한 유무선 통합인증 서비스를 B2B, B2C 시장에 공급할 계획이다. 현재 복수의 고객사에서 파일럿 프로젝트를 진행하고 있으며, 내년에는 웨어러블 디바이스, 드론 등 다양한 IoT 기기 제조사와 협업을 진행할 예정이다. 장기적으로 스마트 금융, 스마트카 등 다양한 환경에서 PUF 기반의 암호인증을 제공한다는 계획을 밝힌다.
방사성 동위원소 이용한 난수 생성기술 등장
방사성동위원소를 사용한 암호화 난수 생성기 기술도 등장했다. EYL이 일본 Q사와 협력해 개발한 ‘APG(Atomic Pulse Generator)’는 방사성 동위원소의 반감기를 이용한 양자난수 생성기 ‘QRNG(Quantum Random Number Generator)’ 기술을 기반으로 하고 있으며, 생산단가가 낮고 크기가 작아 IoT 환경에 최적화 돼 있다.
백정현 EYL 상무는 “지난 수십년동안 사용해온 소프트웨어 기반 난수 생성기술은 리소스를 많이 사용할 뿐 아니라 고도화된 해킹 기술을 이용하면 난수발생 패턴을 파악할 수 있게 됐다. 최초 입력값을 알면 난수 패턴이 노출돼 해킹이 가능하다”며 “자연에서 발생하는 난수는 패턴이 없어 예측이 불가능한 난수발생 기술로 사용할 수 있다”고 말했다.
핵분열을 이용한 난수발생 기술은 스위스의 ID퀀티크(id Quantique)에서 개발했지만, 크기가 크고 위험성이 있기 때문에 범용적으로 사용되지 않고 있다.
EYL의 APG는 칩 내부에 극미량의 방사체를 삽입하고, 여기에서 방출되는 알파입자를 감지해 전기흐름(Pulse)를 발생시키고, 그 간격을 측정해 난수를 생산한다. 이 기술은 미국 NIST의 난수 검증 기준 NIST SP 800-22 전 항목 통과해 기술의 안전성을 입증 받았으며, 사용된 방사체는 밀봉시켜, 칩 외부로 방사능 유출을 막았다. 만일 파손돼 노출되더라도 생활방사선 이하 수준으로, 일반 건물의 화재감지기에서 발생하는 정도이다.
APG는 5mm×5mm 크기로 제공되며, 사용환경에 따라 최소 3mm×3mm 크기에 0.15mm 두께까지 줄일 수 있어 신분증, 신용카드, 기프트카드 등에도 적용될 수 있다.
백 상무는 “현재 대기업·통신사 등이 방사성동위원소를 이용한 난자생성 기술 개발에 투자를 진행하고 있으며, EYL이 가장 먼저 안전하게 상용화된 형태로 판매하게 됐다. APG는 보안 USB, OTP, 본인·기기인증, 신분증, SSL 암호화 통신, 위변조 방지 등 다양한 분야에서 활용 가능하다”며 “EYL은 난수생성기와 CPU, 암호화 알고리즘을 집약시킨 SoC를 개발하고 있으며, IoT, 핀테크 환경에 맞춤형으로 사용할 수 있도록 하겠다”고 밝혔다.
