[인증 보안④] “이 빅데이터가 네 데이터냐?”
상태바
[인증 보안④] “이 빅데이터가 네 데이터냐?”
  • 최진영 기자
  • 승인 2017.08.07 14:16
  • 댓글 0
이 기사를 공유합니다

‘IoT 시대’ 쏟아지는 정보 진위 식별은 필수

[CCTV뉴스=최진영 기자] 지하철에서 승객들이 쏟아져 나오는 상황. ‘무임승차객’은 존재한다. 시스템만으로 제재하는 것은 역부족이라 역무원이 나가는 곳을 지키기도 한다.

IoT(Internet of Things) 환경에 빗대어 보자. 네트워크를 오고가는 데이터의 진위를 판단할 사람의 손길이 필요할까. 얼마나 많은 정보가 오고갈지 어림짐작도 안 되는 상황에서 대규모 데이터에 진위여부를 가리는 것은 쉽지 않다.

그렇다고 보안에 큰 위협이 되는 데이터가 오갈 수 있는 상황에서 가감 없이 데이터를 처리하는 것도 무모하다. 사이버 공격으로 발생하는 사회적 피해는 무임승차 비용에 그치지 않을 것이기 때문이다.

□ 늘어나는 ‘IoT’ 데이터 검수가 절실하다

2014년 미래창조과학부가 발표한 ‘IoT 정보보호 로드맵’에 따르면 IoT 환경에서 네트워크와 플랫폼에 접속하는 기기에 대한 인증 기술은 매우 중요하다.

특히 무선네트워크가 가장 취약하다. IoT 기기들이 언제 DDoS를 위한 도구로 전락할 지 모르는 상황이지만 인증과 보안이 결여돼 있다. 꼭 DDoS가 아니더라도 급증하는 트래픽을 감당하려면 모든 IoT 기기를 네트워크에 포함시킬 수는 없는 노릇이다.

많은 정보가 오가는 공개 플랫폼도 취약하다. 사용자 정보가 유출 혹은 추적될 가능성이 매우 높다. 공개 플랫폼도 최소한의 기기간 인증, 키 관리와 접근제어 기능을 갖춘 인증 수단이 필요하다는 지적이다.

대부분의 IoT 기기는 PC나 스마트폰처럼 고사양의 디바이스가 아니라는 점은 보안에 있어서 양면성을 가진다. 저사양 기기에 대한 해킹 노력은 적을 수 있어도 보안을 하는 입장에서 관리가 어렵다는 점이다.

예를 들어 해커들이 굳이 IoT 정수기를 해킹하고 오작동을 일으킬 동기는 크게 없다. 정수기 오작동은 협박 수단으로 보기에는 너무 볼품없다. 그렇다고 보안을 위해 정수기에 백신이나 방화벽을 세울 수는 없는 노릇이다. 네트워크와 IoT 기기 간의 간단하고 단단한 인증 수단에 눈길이 쏠리는 이유다.

□ ‘빅데이터’ 착한 편식이 필요한 때

밥을 먹다 돌을 씹던 시절이 있었다. 헤아리기에는 너무나 많은 쌀알 속에 돌이 숨어있어서 입안에 담아서야 발견되는 경우가 적지 않았다. 밥상머리에 뱉어내면 그만인 돌 조각과 달리 빅데이터 틈바구니에 껴 있는 악성코드는 집안을 풍비박산 낼 수 있다.

만능키 같이 들리는 빅데이터도 IoT 환경에서는 착한 편식이 필요한 시점이다. 하지만 빅데이터에 대한 진위 식별은 쌀알을 헤아리는 것보다 쉽지 않다.

이와 관련 마크애니의 경우 키 없는 기반구조 전자서명 기술 ‘KIDS(Keyless Infrastructure for Digital Signature)’ 공개한 바 있다. 전세계 IoT 상에서 유통되는 대규모 데이터에 대한 실시간 전자서명과 검증을 목표로 잡았다.

KIDS는 전통적 방식의 전자서명 기술과 달리 서명 검증에 대한 유효기간의 제한이 없고 검증을 위한 별도의 키 관리를 필요로 하지 않는다.

우선 KIDS는 전자서명 기술은 전자적 형태의 정보에 대한 출처와 위변조 여부를 검증하기 위한 기술로 현재 RSA-PSS, ECDSA, KCDSA 등 비대칭키 전자서명 알고리즘이 널리 보급됐으나, 전자서명에 사용하는 키의 관리와 대규모 전자서명에 따른 효율저하 등의 문제로 인해 향후 IoT 환경에서의 대규모 데이터 보안 검증에 적합한 기술 개발이 필요한 실정임을 고려했다.

기존 전자서명 기술이 자격증명이나 일부 소규모 데이터 검증에만 적용할 수 있었던 반면 KIDS는 서버 한대만으로도 초당 50만건 이상의 서명을 생성하고 검증 할 수 있기 때문에 적은 수의 서버로 온라인 상의 거대규모 데이터에 대한 실시간 전자 서명 서비스가 가능하다.

기존 공개키 기반구조(PKI) 방식의 단점을 보완해 전자서명 자체로 생성 시간에 대한 증명도 동시에 수행할 수 있다.

▲ 출처: 마크애니.

일례로 스웨덴 은행(SEB BANK)의 경우 금융거래 로그의 진위 여부를 가리기 위해 KIDS를 도입했다. 목표는 ▲전자 뱅킹 로그 ▲모바일 결제 로그 ▲ATM 거래 로그에 대한 인증과 무결성 검증 시스템을 구축하는 것이다.

또한 차이나 텔레콤(China Telecom)은 CCTV 네크워크에서 오가는 모든 영상 데이터에 대한 인증과 시계열 무결성 검증 시스템의 구축을 목표로 KIDS를 도입했다.

마크애니는 이외에도 클라우드, 무인항공기, 커넥티드카 등이 네트워크와 주고 받는 데이터에 대한 인증도 추진해 나갈 계획이다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.