이 시각 주요 뉴스

여백

스마트시티 필수 IoT, 플랫폼 전체 고려한 토탈 보안 필수

IoT 해킹으로 스마트시티 전체에 치명적인 피해 끼칠 수 있어 이승윤 기자l승인2019.04.01 09:10:50l수정2019.04.01 09:24

크게

작게

메일

인쇄

신고

[CCTV뉴스=신동훈, 이승윤 기자] IoT(Internet of Things)를 넘어 IoE(Internet of Everything) 시대가 다가오고 있다. 이것은 아날로그 시대에서 디지털 시대로 그리고 네트워크 시대를 걸쳐 스마트 시대로 들어서고 있음을 의미한다. 기술의 발전은 인간 사회 발전으로 이어지지만, 새로운 도전과제가 주어지기도 한다. 인터넷 기술의 발달은 인간 삶의 질을 크게 향상시켰지만, IoT 보안에 대한 새로운 도전 과제를 낳고 있다. 모든 것이 IoT로 연결되는 초연결이 기반이 될 스마트시티. 스마트시티 시대 IoT 보안이 선결돼야 하는 이유에 대해 알아보자.

스마트시티, IoT 보안이 중요한 이유

4차 산업혁명의 핵심인 IoT는 우리에게 더욱 혁신적인 변화를 가져오고 있으며, 문명의 새로운 발전을 촉진하고 있다. IoT는 서로 독립적이고 격리돼 있던 기기들을 상호 연결하는 네트워크 개방성과 공유를 통해 모든 것이 연결된 초연결 사회를 만들 수 있다는 것이 가장 큰 특징이다.

IoT는 4차 산업시대의 핵심 요소로 주목받으면서, 시장 규모가 빠르게 성장하고 있다. 시장조사업체 IDC가 올해 1월 발표한 보고서에 따르면 올해 전세계 IoT 시장규모는 7450달러(한화 약 835조원)로 전년대비 15.4%가 성장하고, 2022년에는 두 자릿수 연간성장률로 1조 달러(한화 약 1120조원)를 넘어설 것으로 예상했다. 국내의 경우도 글로벌 추세에 맞춰 시장 규모가 빠르게 성장할 것으로 전망되고 있다.

KISA 융합보안지원팀 지승구 팀장은 “글로벌 시장조사 업체는 한국의 IoT 시장규모를 258억달러(한화 약 28조원)로 미국, 중국, 일본, 독일에 이어 5 번째 국가로 전망하고 있다”며, “향후 해외 시장과 함께 국내시장도 크게 성장할 것으로 판단하고 있다”고 말했다. IoT 성장은 앞으로 스마트 산업 성장과 함께 우리 내 삶의 편의성 제공 등 긍정적인 영향을 끼칠 것이다.

그러나, 누구나 접속할 수 있다는 개방성과 공유 특성으로 인해 공격자의 새로운 타겟이 될 수 있다. 그렇기 때문에 보안 시스템을 새롭게 구축해야 한다. 현재 보안 시스템들은 심리스(Semless) 스위칭을 기반으로 하기 때문에 네트워크 환경에 놓여있는 경우 보안 결함에 대한 가능성을 가지고 있기 때문이다.

IoT 해킹 시도는 매년 늘어나고 있다. 2014년 미국 교통제어시스템에 해킹취약점이 발견돼 교통 혼란 가능성이 제기된 뒤, 2016년 IoT 해킹의 대표적인 사건이라 할 수 있는 봇넷 디도스 공격 이후로, 스마트 장난감, 노트북 웹캠, CCTV, 무선 공유기, 스마트 가전, 빌딩 제어 시스템 등 스마트시티 내 모든 요소가 IoT 보안 위협에 노출된다.

KISA 침해사고분석단 이동근 단장은 “구체적인 통계자료는 없지만, IoT 기기 보급 확대에 따라 관련 사고들이 지속적으로 발생하고 있다”며, “향후 AI 스피커, IP 카메라, 드론 뿐만 아니라 5G가 확산되면서 커넥티드 카, 스마트 의료기기 등으로 확산될 가능성이 있다”고 말했다.

특히 이러한 IoT 특징 기반으로, 만들어지는 스마트시티는 종합적인 보안 대책이 절실한 상황이다. 스마트시티는 IoT, 빅데이터, 클라우드 등 4차 산업혁명 모든 기술 서비스를 구현하는 플랫폼으로, 스마트홈, 스마트카, 스마트 헬스케어 등 모든 스마트 서비스가 스마트시티 안에서 구현될 것이다. 특히 이러한 스마트 서비스들은 IoT 기기들이 서로간 상호연결을 위한 추가 기능 모듈을 제공하는데, 여기서 문제가 발생한다. 바로, 보안이 취약한 부분을 통한 기기 해킹이 가능해 이로 인해 개인은 물론 사회 안전에 치명적인 영향을 미칠 수 있다.

KISA 융합보안지원팀 지 팀장은 “스마트시티는 모든 IoT 서비스 분야에서 공격위협이 발생 가능하다. 예를 들어 스마트홈 내의 카메라 내장 제품 해킹을 통해 가정 내 모니터링 및 사생활 침해가 가능하고, 스마트교통 서비스 중 C-ITS 시스템 해킹을 통해 교통 혼잡과 마비를 유발할 수 있다”며, “스마트의료의 경우 약물주입기나 심장박동기 등의 의료기기 해킹을 통해 인명 피해까지 발생할 수 있다”고 말했다.

하지만, 정부가 추진하는 스마트시티 전략에는 보안이 취약하다. 아니 보안에 대한 세부 과제 및 전략조차 정의돼 있지 않다. 스마트시티는 단순 사물과 빌딩을 위한 것이 아닌 시민들을 위한 스마트 서비스를 제공하는 것이므로, 보안이 결여돼 있다면 보안 시스템이 오히려 시민의 안전을 위협할 수 있다.

김학용 순천향대학교 IoT보안연구센터 교수는 “스마트시티를 추진함에 있어, 보안은 반드시 처음부터 고려돼야 한다. 특히 시스템의 안전(Security) 관점이 아닌 시민의 안전(Safety) 관점에서 추진돼야 한다”며 “이를 위해서는 기존 사이버 보안과 사물인터넷 보안 차이를 이해해야 하며 기존과 다른 보안 이슈 반영을 위한 기능 및 구조 설계가 필요하다”고 강조했다.

전체 구간에 보안 고려한 보안 체계 수립 필요

스마트시티에서는 기기에서 관리 시스템까지 전체 구간이 해킹 대상이 될 수 있기 때문에 전체 구간에서 보안을 고려하는 엔드-투-엔드 개념 보안 체계 수립이 필요하다. 즉, 그렇기에 서비스와 인프라, IT와 OT, 물리와 정보 모두를 고려한 종합적인 보호 대책이 필요하다.

“세이프시티 없는 스마트시티는 없다.(There is no smart city without a safe city)”

2016년 10월 나이로비에서 개최된 세이프시티 행사에서 케냐 정부 관리가 전한 말이다. 스마트시티 개발을 위해 도시안전은 핵심 구성 요소임을 뜻한다. 스마트시티 계획을 세움에 있어 보안은 처음부터 고려돼야 한다. 즉 세이프시티가 먼저 지어지고 그 기반 위에 스마트시티를 쌓아야 하는 것. 도시가 스마트한 효율성과 안전성을 동시에 구축하기 위해서는 보안 위협을 완화할 수 있는 모니터링 시스템과 대응 시스템이 구축돼야 한다.

지금도 전 세계 도시에서 테러 위협으로 인해 도시 위험 수준이 높아지고 있는 가운데, 스마트시티 시대 IoT 보안 종합 대책은 선택이 아닌 필수이다. 김태형 SK인포섹 EQST 랩장은 “IoT 기기 제조사들의 보안 투자와 사용자의 보안 의식이 개선되지 않으면 사생활 침해는 앞으로 계속 늘어날 것”이라며, “개인정보 보호를 위해 정부와 기업, 국민 모두가 해왔던 범국가적 노력의 연장선에서 IoT 기기 해킹 문제에 관심을 가져야 할 것”이라고 말했다.

글로벌 보안 기업 시만텍은 이런 스마트시티 종합적인 IoT 보안을 위해 ▲통신 보호 ▲디바이스 보안 ▲디바이스 관리 ▲분석을 위한 시스템에 대한 이해가 필요하다고 제시했다.

시만텍이 제시한 스마트시티 IoT 보안 세부 내용 출처 시만텍

보안기업과 국가기관, 스마트시티 필수 요소 IoT 보안 방안 제시

스마트시티 내 IoT 보안은 필요가 필수적인 요소로 주목받고 있다. 이에 다양한 보안기업은 스마트시티에 적용 가능한 보안 솔루션을 선보이고 있다.

블랙베리는 신뢰할 수 있는 메커니즘을 제공해 디지털 인증서로 차량과 신호등 같은 교통 인프라 시스템이 개별적으로 정보를 교환하는 ‛CMS’ 서비스를 스마트시티 및 커넥티드 카 시범 사업에 참여하고 있는 자동차 제조업체와 관공서에 제공한다.

블랙베리의 서티컴(Certicom) 기술을 바탕으로 한 SCMS 서비스는 기관이나 전체 생태계를 대신해 인증서를 관리할 수 있는 안전하고 믿을 수 있는 호스트형 공개 키 기반구조(PKI: Public Key Infrastructure)를 제공한다. 이 서비스는 지역 내 서비스 적용은 물론 국가간 인프라 구성을 지원할 수 있는 가능성을 염두에 두고 설계돼 OEM 제조사와 공무원이 클라우드 기반의 일괄(Turnkey) 서비스로 V2X(차량 대 인프라) 인증서를 발급하고 서비스 수명(lifecycle)을 관리할 수 있다.

글로벌 보안 기업 시만텍도 스마트시티 IoT 보안에 적용가능한 솔루션인 ‘시만텍 크리티컬 시스템 프로텍(CSP)’, ‘시만텍 어노멀리 디텍션 포 오토모티브’, ‘시만텍 ICSP 뉴럴’을 선보이고 있다. 이 중 시만텍 ICSP 뉴럴은 산업제어시스템의 운영 기술(OT) 겨냥한 사이버 공격을 방어하는 솔루션으로 AI을 이용해 USB 기기에서 악성코드를 탐지·대응하고 IoT 및 OT 환경을 겨냥한 알려진 공격을 방어와 함께 취약할 수 있는 알려지지 않은 공격을 차단한다.

다양한 보안기업들의 IoT 보안 솔루션과 함께 많은 국가들도 IoT 보안을 위해 노력하고 있다. 일본은 IoT 보안을 위한 종합대책을 발표하고 2020년까지 IoT 기기에 대한 공적 인증제도를 도입할 예정이다. 미국은 2017년 IoT 기기 성능 인증을 위한 보안배지·라벨링 프로그램 도입이 중심내용인 ‘사이버쉴드’법안을 발의했다. 국내의 경우 IoT 보안법안과 IoT보안 가이드를 발표하고 있으며, KISA에서는 국가기관 중 처음으로 ‘IoT 보안 인증제’를 시행하고 있다.

2017년 12월부터 시행중인 ‘IoT 보안 인증제’는 ▲인증 ▲암호 ▲데이터보호 ▲플랫폼보호 ▲물리적보호 5개 영역에서 일정 보안 기준을 충족한 제품에 대해 인증서를 발급해주는 제도이다. 현재 라이트(Lite) 등급과 스탠다드(Standard) 등급 총 2개 등급으로 구분해서 인증을 수여하고 있으며, 2019년 3월 기준으로 11개의 기업이 IoT 보안인증을 신청해 이 중 5개의 제품이 보안인증을 통과했다. KISA는 향후 보안 인증제 강화를 위해 다양한 계획을 진행할 예정이다.

KISA 융합보안지원팀 지승구 팀장은 “IoT 보안인증제 강화를 위해 인증등급을 세분화해 단계적으로 보안 강화를 유도하고 있으며, IoT 제품 수요처와 협력을 확대하고 인증제품 정보를 소비자에게 제공해 보안수준이 높은 제품 구매를 촉진할 수 있도록 환경을 조성할 계획이다”고 말했다.

스마트시티는 공장, 도시 주거 등 모든 생활공간이 네트워크를 연결돼 운영되는 도시 플랫폼인 만큼 이를 지원하는 IoT는 필수적인 요소이다. 그렇기 때문에 스마트시티 내 IoT에 대한 보안 사고가 발생하면 단순히 네트워크 장애가 아닌 도시 기능 마비와 같은 사회적 재해가 발생할 수 있어 이런 보안위협에서 안전한 스마트시티를 운영하기 위해서는 IoT 보안에 대한 전체적인 보안대책의 수립과 보안 내재화는 필요하다.

후 양중(Hu Yangzhing) 하이크비전(Hikvision) CEO는 “IoT 보안은 사용자, SI업체, 운영자, 시스템 설계자 및 기타 서비스 제공사 등 산업전반에 걸친 모든 참여자들이 위협에 대응해 모범 사례를 이용할 의무가 있다. IoT 보안은 우리의 책임과 사명이다”라고 말했다.

#IoT#해킹#스마트시티#치명적#전체적인#보안#KISA

이승윤 기자  hljysy@cctvnews.co.kr
<저작권자 © CCTV뉴스, 무단 전재 및 재배포 금지>

이승윤 기자의 다른기사 보기
여백
여백
여백
여백
여백
여백
여백
여백
여백
매체소개공지사항보안자료실기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부    [기사ㆍ기고 문의 : desk@cctvnews.co.kr]
(주)테크월드 08507 서울특별시 금천구 가산디지털1로 168, 1012-1호 (가산동, 우림라이온스밸리 C동)  |  제호: 씨씨티브이뉴스  |  발행일: 2009년 2월 19일
대표전화 : 02)2026-5700  |  팩스 : 02)2026-5701  |  이메일 : webmaster@techworld.co.kr  |  청소년보호책임자 : 박지성
통신판매업신고번호 : 제 2008-서울금천-0415 호  |  발행·편집인 : 박한식  |  인터넷신문등록번호 : 서울, 아 00607  |  등록일 : 2008.06.27
Copyright © 2019 CCTV뉴스. All rights reserved .