이 시각 주요 뉴스

여백

IoT 시대의 이면…점점 커지는 보안 위협의 그림자

현실로 다가오는 초연결시대, 지금과는 수준이 다른 보안 필요
가시성 확보할 '눈'과 자동 대응할 '두뇌' 필요한 IoT 보안
신동훈 기자l승인2018.05.02 09:32:04l수정2018.05.02 10:59

크게

작게

메일

인쇄

신고

[CCTV뉴스=신동훈 기자] 사물과 사물이 인터넷으로 대화를 나누는 IoT 시대가 점점 현실화되고 있다. 사물간 통신하고 데이터를 주고 받으며 스스로 판단하고 정보를 알려주거나, 행동한다. IoT가 삶을 편리하고 윤택하게 해주는 기술이지만, IoT 기술 기반 다양한 제품과 서비스에 발생하는 보안위협 역시 점점 커지고 있는 상황이다. IoT의 편리한 이면엔 보안 위협이라는 존재를 잊어선 안 된다.

IoT 시대가 다가오면서 그 이면의 IoT 보안 위협의 그림자가 점점 커지고 있다.

Internet of Things가 현실로 다가오고 있다. IoT는 사람과 사물, 사물과 사물을 연결해 초연결 사회를 구축하고 사용자 중심의 지능형 서비스를 제공하기 위한 기술로, 스마트기기와 센서가 점점 증가하며 산업 전체에 걸쳐 관심이 고조되고 있다.
IoT가 실제 생활영역에 적용되기 시작하면서 다양한 효율성과 편의성 등 우리의 실생활을 바꿔가고 있다. 가트너는 2020년까지 280억 대 이상의 IoT 장치들을 예상하고 있고 이 숫자는 2020년이 가까워질수록 증가하고 있다.

하지만, 빛이 있는 곳엔 그림자가 있는 법. IoT 시대가 다가오면서 IoT 보안이라는 새로운 도전에 직면하고 있다. 누구나 접속할 수 있다는 점이 오히려 악의적인 접근으로 인해 장점이자 단점이 될 수 있기 때문이다.

다양한 위험 요인 내포하고 있는 IoT…지금과 다른 보안 수준 요구

IoT시대가 오면 사용하는 모든 제품이 인터넷에 접속돼 온라인으로 모든 서비스 및 기능을 실행할 수 있는 시대가 도래한다. 스마트홈, 스마트오피스, 스마트팩토리 등 모든 버티컬에서 IoT를 만나 스마트로 변모, 실생활과 업무가 편리해질 수 있지만, 보안 취약점으로 인해 노출되는 정보로 물리적 침입, 정보 탈취 등 다양한 위협에 직면할 수 있다.

IoT 장치들은 PLC, SOC 등 장치의 종류와 제조년도 등 요소들이 매우 다양하다. 바로 이 다양성이 보안 위협이다. IoT 장치들은 원활한 통신과 서비스가 주 목적이지 보안을 염두해 둔 것이 아니기 때문이다.

이미 우리는 IoT 취약성으로 인한 다양한 IoT 해킹 사건을 목도했다. ▲교통 신호등 신호 조작 ▲스마트홈 카메라 제어 ▲CCTV 영상 불특정 다수에 유포 ▲자동차 원격 제어를 통한 핸들, 브레이크 조작 ▲아파트 도어록 출입문 개방 등 다양한 IoT 영역에서 해킹을 통해 기기 및 인프라 조작이 이뤄졌다.

초기 비밀번호 등 비밀번호가 취약한 CCTV 영상을 해킹해 웹에 올렸던 인세캠 사이트.

미라이 봇넷(Mirai Botnet), 랜섬웨어(Ransomware) 등 네트워크에 접속해 컴퓨터 및 라우터를 망가트리거나, IP 카메라를 해킹해 사생활이 그대로 노출되며 AI 스피커 보안 취약점이 보고되는 등 IoT 보안 이슈가 계속해서 발생하고 있다.

포어스카우트(Forescout) 엔지니어 전창우 차장은 “2016년 미라이 봇넷 사건 이후로 변형된 형태의 악성웨어들이 발견됐고 지속적인 하드웨어, 소프트웨어, 네트워크 부담 및 보안 위협이 되고 있다”며 “이는 내부정보유출, 업무효율성 방해, 서비스 장애 및 국가기반 시스템에도 위협이 될 수 있다”고 경고했다.

이성재 KISA IoT 융합보안혁신센터장은 “IoT 기기는 앞으로 사이버 범죄의 새로운 수익원이 될 것이다. 자율주행차를 해킹해 인질극을 벌이거나, 기업 내부망 침투를 위해 외부에 노출되어 있는 IoT 기기를 공격할 수도 있고, IoT 기기들을 좀비화해 DDoS 공격, 개인정보 유출 등 기업과 사회의 혼란을 가중시킬 수 있다”며 “때문에, IoT 제조사 및 서비스 제공 기업은 IoT 보안내재화 및 보안수준 제고를 위한 활동을 필수적으로 추진해야 한다”고 제언했다.

▲ JTBC NEWS 화면 갈무리.

IoT 보안 사건 단골손님 ‘IP 카메라’

앞서 예시를 통해 봤듯이 IP 카메라 해킹이 IoT 보안 사건 단골로 계속 등장한다. 몇 년 전, 러시아 인세캠 사건은 물론 미라이 봇넷과 DDoS 공격을 통한 CCTV의 좀비화, 최근 중국산 스마트홈 카메라 해킹 등 IoT 보안 사건에는 IP 카메라가 빠지지 않았다.

KISA가 2017년 10월, 국내 판매 실적이 높은 CCTV 제품 33개사 261종 보안수준을 점검해 보니, 29.9%가 아이디/패스워드 설정이 취약한 것으로 파악됐다. 보안의 기초 중에 기초인 아이디/패스워드 설정 부분도 취약한 상태인 것.

과거 영상감시 산업은 ‘폐쇄적’ 이고 ‘아날로그’ 기반이었다. 아날로그에서 네트워크를 만난 IP 카메라는 이후 차세대 CCTV로 각광받았다. 하지만, 폐쇄망에서 네트워크망으로 변환하면서 보안 문제를 제대로 해결하지 못했고, 결국 카메라 보안 문제는 현재까지 미완성으로 남아 있다. 몇몇 글로벌 카메라 제조사와 관련 업체가 IoT 보안을 서두르고 있지만, 국내 제조기업에서는 IoT 보안에 대한 준비가 이제 막 걸음마 단계이다.

특히 IoT 보안을 위해 별도 보안모듈을 달게 되면 카메라 단가가 올라가게 돼 지금처럼 저가 경쟁이판을 치는 시장에서는 더욱 하기가 힘든 구조다. 하지만, IoT 보안은모든 업체가 협력해야만 예방이 가능하다. 카메라 제조부터 카메라 설치, 운영까지 진행되는 전체 생산과 공급 과정(Supply Chain)이 공격 목표가 되기 때문에, 사용자, SI 업체, 운영자, 시스템 설계자 및 서비스 제공 업체까지 모든 참여자들이 IoT 보안에 직면하게 되며 모든 관련 업체가 협력해 예방해야 IoT 보안을 해결할 수 있기 때문이다.

국내에서는 IP 카메라 해킹에 대한 보안 문제 해결과 IP카메라 종합대책 후속조치로, TTA가 ‘공공기관용 IP카메라/NVR 보안 성능품질 TTA Verified 인증’ 사업을 시작했다. 국정원이 공공기관 보안 업무를 수행함에 있어 안정성이 확인된 CCTV 제품 도입/운용을 유도하기 위해 국가 공공기관에서 요구되는 보안 사항을 인증기준에 반영했다. 이를 통해 보안성이 높은 제품 생산 및 이용 선순환 구조를 만들기 위함이 목적이다.

작년 8월부터 시험규격개발위원회를 통해 규격 정리를 마치고, 국정원이 지자체에 공문을 배포, 2018년 1월부터 본 사업을 진행중이다. 국정원은 각급 기관에 시행 사실을 공지해 보안성이 강화된 CCTV 인증제품 도입을 권고했다. 본 인증에서는 최초 비밀번호 변경, 인증 실패 대응 기능, 암호 알고리즘 보안 강도 만족 여부, 원격 접속시 암호통신 수행 가능 등 40개의 필수 항목과 23개 선택 항목에 대한 테스트를 진행한다. 현재 약 30개가 넘는 제품이 보안 인증 테스트를 받고 있다. 첫 보안인증제품은 5월 혹은 6월로 예상된다.

공공기관용 IP카메라/NVR 보안 성능품질 TTA Verified 인증 마크

본 인증 사업은 CCTV 보안을 위해 필요한 인증이라는 것은 이견이 없다. 하지만, 업계가 준비가 안된 상황에 보안인증 사업이 시작됐고 보안인증제품이 현재 한개도 없는 상황에서 국정원이 공문을 내리면서 권고→필수가 됐다. 결국, 공공기관은 인증제품 도입을 원하지만, 인증 제품이 없어 공공조달시장이 얼어붙은 상황이다.

현 상황에 대한 해법과 더불어 인증을 받고 있는 기업 대부분이 조달시장 진출을 위함이지 진짜 목적인 CCTV 보안을 위한 것이 아니기에 CCTV 업계 보안성 강화 인식 제고를 위한 노력이 필요해 보인다.

가시성 확보와 자동 대응, 유기적 연동 등 중요한 IoT 보안…기업들 준비는?

IoT 기기들은 이기종 장치가 네트워크를 통해 연결되고, 기능이 통합돼 서비스를 실행한다. 이는 IoT 제품 자체의 보안 및 이와 연결되는 컨트롤 시스템을 포함한 접속 가능한 모든 장치에서 네트워크 보안통제가 정밀하고 정확하게 이뤄져야 함을 의미한다.

하지만, 아직까지 기업에서는 기존 네트워크에 IoT를 연결할 때 네트워크를 볼 수 있는 눈이 없어 분석하고 평가할 수 있는 방법을 찾지 못하고 있고, 기기 위험 수준을 몰라 보호하지 못한 채로 방치하고 있다. 또한 IoT 정책 자체가 없어 악의적 공격에 취약한 상태이다. 아직까지 IoT 보안은 시작 단계인 것.

IBM 기업가치연구소(IBM Institute for Business Value)에서 2018년 발표한 ‘Cyber attackers don’t wait’ 자료에 따르면, ▲IoT 기기의 82%가 보안 위험성이 내재된 기기가 배포되고 있고 ▲알려진 74% 의 IoT 취약성이 보안 통제되고 있지 않으며 ▲IoT 보안 사고를 식별, 대응, 복구하는데 평균 31일이 소요된다고 조사됐다.

이런 위험 요소를 배제하기 위해 IoT 보안 기업에서는 가시성 확보 와 함께 위협 탐지시 자동 대응, 기존 보안제품과 유기적 연동 등을 중요시하고 제품을 내고 있다. 포어스카우트는 카운터액트(CounterACT)를 통해 기존 IT 제품 뿐만 아니라 IoT 제품의 정보를 기존 인프라에서 탐지 및 통제를 지원하고 있다.

▲포어스카우트 카운트액트는 네트워크 장치에 관한 상위 수준 정보와 세부정보를 모두 제공한다.

포어스카우트 전창우 차장은 “해커가 스마트 TV의 인증된 IP와 MAC 주소를 탈취해 네트워크를 접속시도 할 때, 기존 보안제품들은 보통 IP & MAC 주소만 가지고 인증정책을 설정하기 때문에 접속이 되지만, 카운트액트는 IP 및 MAC 주소 외에 해당 스위치 및 SSID 정보, OS 정보, 사용자 정보 등을 추가 확인해 이를 즉시 탐지 및 네트워크 차단을 통해 해킹 시도를 원천 차단한다”고 전했다.

HPE아루바는 IoT 기기 가시성 확보를 위해 아루바 클리어패스 유니버설 프로파일러를 개발했다. 디바이스 유형, 운영체제, 상태 및 위치에 대한 포괄적인 정보가 읽기 쉽게 유저 인터페이스에 그래픽으로 표시된다. 이 정보는 인프라 구성 요소 전반에 걸친 성능 및 보안튜닝에 사용된 다음 클리어패스 익스체인지 파트너와 공유돼 사용자 행동분석, 공격자 기만기술 및 방화벽 보안을 제공한다.

마이크로소프트는 RSA 2018에서 MCU 기반의 IoT 보안 플랫폼 Azure Sphere를 선보였다. 윈도우를 대신해 자체적으로 커스텀한 리눅스를 개발해 IoT 보안을 위한 MCU, OS, 클라우드까지 일관된 시스템을 구축했다. 보안이 강력한 MCU칩을 개발, 이 칩들 위에 구동될 리눅스 기반 Azure Sphere OS를 개발했고, 이것이 클라우드 보안 서비스와 연계돼 10년 또는 그 이상 최신 상태로 유지할 수 있도록 한다. 올 하반기, Azure Sphere가 탑재될 하드웨어가 시장에 나오도록 마이크로소프트는 준비중이다.

IoT 단말 보안을 위한 마이크로소프트 플랫폼 Azure Sphere

성장세인 IoT 보안…하지만, 이니셔티브 구현 계획이 없어 불안한 시장

현재 IoT 수용이 이뤄지고 있는 기기들은 대다수가 대체로 컴퓨팅 기능이 단순하고 보안성이 취약해 외부 공격에 취약한 상태이다. 이에 IoT를 타겟으로 한 사이버공격이 현실화되고 있고 IoT 보안 시장도 덩달아 성장하고 있는 추세이다.

최근, 가트너 조사에 따르면, 전 세계 약 20% 기업이 지난 3년 이내 최소 한 차례 이상 IoT 기반 공격을 경험한 것으로 드러났고, 가트너는 2018년 기업 IoT 보안 지출 규모가 2017년 12억 달러에서 28% 증가한 15억 달러에 이를 것으로 전망했다.

IoT 보안 지출은 전 세계적으로 꾸준한 성장세를 보이고 있다. 하지만, 가트너는 보안이 우선 순위에서 밀리는 현상과 치밀하지 못한 IoT 이니셔티브 구현 계획이 2020년까지 IoT 보안 시장 성장의 가장 큰 장애물로 작용할 것으로 전망했다. 이로 인해 잠재적 IoT 보안 지출이 80%까지 저해될 것으로 예측했다.

다양한 프로젝트에서 기초적 수준의 IoT 보안 패턴이 확인됐지만, 지속적으로 사용가능한 정책으로 정립되지 못했다. 결과적으로, 특정 IoT 보안 구성요소에 대한 기술 표준은 IT 보안 표준 기관과 컨소시엄, 기업 얼라이언스 등에 이제 막 수립되기 시작한 실정으로 가트너는 보고 있다.

국내 시장의 경우, 현재 IT 시장이 너무 활성화된 것이 오히려 IoT 보안 시장 성장을 저해하고 있다는 의견도 있다. 다양한 IoT 기기를 경쟁적으로 내놓으면서 IT 서비스 단가가 점점 출혈 경쟁으로 치닫고 있는데, 여기에 IoT 보안까지 신경쓴다면 손해보는 구조일 수 밖에 없다. IoT 기기에는 LTE모듈, 블루투스모듈, 와이파이모듈, 내장배터리, 보드 등 다양한 부품들이 들어가는데 여기에 보안칩까지 탑재한다면 시장에서 원하는 가격을 맞추기 힘들기 때문.

무한비트 관계자는 “IoT 디바이스에 들어가는 LTE모듈, 블루투스모듈, 와이파이모듈 등을 합쳐도 만원이 넘는데, 여기에 보안적용을 위해 지문센서가 들어간다고 했을 때 1만원이 더 올라간다”며 “IP 카메라의 경우 단가가 3만원이라면 IoT 보안모듈을 달면 3만 5000원에 팔아야 한다. 국내는 워낙 저가로 IT 서비스를 이용하고 있어 지금의 모듈 단가는 비쌀 것”이라고 전했다.

덧붙여 “국내 반도체 기업에서도 IoT 모듈 개발은 완료했지만, 시장이 1만 개가 필요하다면 최소 10만 개는 생산해야 되는데 그 만큼 시장이 받쳐주지 않는 상황”이라며 “미국과 중국 등은 비싼 모듈 가격에도 시장이 원하거나 정책이 활성화되어 있어 IoT 보안 시장이 성장하고 있다. 국내도 신용카드 수준으로 시장규모가 커져야IoT 보안시장이 활성화 될 것”이라고 전했다.

여기에 더해 KISA에 따르면, 국내 IoT 사업체 중 80% 이상이 종사자 50인 미만의 중소사업체이고 대부분 사업체가 IoT 디바이스 분야에 집중되어 있지 서비스 분야는 미미한 실정이다. 사용자들이 디바이스에 대한 보안 필요성을 많이 느끼지 못해 보안시장 활성화가 더딘 상황인 것.

IoT 보안 전문가 부족, 스마트 시티 등 IoT 프로젝트가 실증사업이 대부분이라 실제 적용되지 못했던 점 등도 한몫하고 있다는 업계 의견도 있다.

이처럼 국내 IoT 보안 시장이 아직 활짝 열리지 않고 있는 가운데, 유럽과 미국, 중국 그리고 한국보다 늦었던 동남아도 빠르게 IoT 시대를 준비중이다. 단순 연결을 넘어 인사이트 도출까지 집중하고 있는 가운데, 국내 IoT 기업들도 글로벌 경쟁력을 갖추기 위한 노력이 필요하다. 4차 산업혁명시대, 글로벌 시장의 움직임에 주목할 필요가 있다.

시장을 보호할 것인지 뛰쳐나갈 것인지 결정해야 하는 기로에 있는 가운데, 파트2 에서는 미국, 유럽, 일본 등 선진국의 IoT 보안 준비상황 정책과 IoT 보안인증제 등 국내 IoT 보안 준비상황도 알아본다.

Mini Interview

쿠도커뮤니케이션은 2017년 8월 IoT 보안 글로벌 업체인 포어스카우트와 총판을 맺고 국내에서 IoT 보안 사업을 진행중이다. 쿠도의 정보보안사업부 보안컨설팅 총괄을 맡고 있는 조인 이사에게 포어스카우트와 총판을 맺은 이유, 국내 IoT 보안 시장 등에 대해 들어봤다.

Q. 쿠도는 IoT 보안을 대비하기 위해 포어스카우트와 총판을 맺게 됐다. 포어스카우트를 선택한 이유는?

쿠도가 포어스카우트를 선택한 첫 번째 이유는, IoT 보안 및 자산관리는 물론 고객사의 보안성 극대화 모델을 제시하고 있고 현재 보안 상황을 반영한 최적화된 솔루션으로 인지했기 때문이다.

현재 보안 상황은 과거 데이터 보호 중심에서 인프라 제어, IoT 보안이 화두로 등장하고 있으며, 인프라 제어, IoT 보안이 화두로 등장하고 있으며 물리보안과 정보보안이 합쳐져 융합보안으로 진화하고 있다. 이러한 가운데, 포어스카우트는 침입방지시스템(IPS)를 기반으로 네트워크 엑세스 제어는 물론 IoT 기기, 생산라인 제어시스템 등 보안에 최적화되어 있는 것이 강점이다.

Q. 국내 시장은 IoT 보안에 대한 준비가 미비한 걸로 알고 있다.

국내 IoT 시장은 빠른 속도로 확장되고 있지만, 보안이 취약한 것이 현실이다. 실제로 많은 IoT 기기들이 운영되고 있지만, 어떤 취약성을 가지고 있는지 담당자들은 인지하지 못하고 있으며 얼마나 많은 IoT 기기들이 존재하는지, 회사 자산이 아닌 비인가 IoT 기기가 내부에서 사용되고 있는지 인지하지 못하고 있는 상황이다.

이런 관점에서 봤을 때, 최근 IoT 단말 수가 증가됨에 따라 이에 맞는 자산 통제, 비인가 단말 통제는 필수적으로 이뤄져야 하며, 이를 통제하기 위한 솔루션 도입이 시급하다.

Q. 그렇다면 쿠도는 IoT 보안이 취약한 기업을 상대로 어떻게 접근하는가?

쿠도는 각각의 솔루션 유통사가 아닌 고객의 ‘보안성 극대화’라는 모토를 가지고 사업을 진행한다. 최근 지능화되고 치밀해지며 목적을 가진 현재 공격은 이기종 보안 솔루션들이 연동되고 서로의 보완재로서 역할을 하지 않으면 침해사고 방어가 어렵다.

쿠도는 포어스카우트 외에 팔로알토 네트웍스, 파이어몬, 백박스, 엑스게이트 등 다양한 보안 솔루션들을 지원하는 연동 모듈로, 기업이 운영중인 다양한 장비와 연동해 보다 더 효과적인 보안정책 적용과 네트워크 및 엔드포인트 보안 강화를 기대할 수 있다. 현재 기업의 보안현실을진단해주고 운영 방법을 조언, 보안이 취약한 부분의 방어할 수 있는 기법을 전달하고 있다. 쿠도는 최적의 맞춤형 보안 솔루션 공급과 함께 파트너들의 다양한 보안 솔루션 포트폴리오를 제공하고 있다.

#IoT#사물인터넷#IoT 보안#보안#IP 카메라#해킹#쿠도커뮤니케이션#포어스카우트#IBM#마이크로소프트#가트너#TTA#국정원

신동훈 기자  sharksin@cctvnews.co.kr
<저작권자 © CCTV뉴스, 무단 전재 및 재배포 금지>

신동훈 기자의 다른기사 보기
여백
여백
여백
여백
여백
여백
여백
여백
여백
매체소개공지사항보안자료실기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부    [기사ㆍ기고 문의 : desk@cctvnews.co.kr]
(주)테크월드 08507 서울특별시 금천구 가산디지털1로 168, 1012-1호 (가산동, 우림라이온스밸리 C동)  |  제호: 씨씨티브이뉴스  |  발행일: 2009년 2월 19일
대표전화 : 02)2026-5700  |  팩스 : 02)2026-5701  |  이메일 : webmaster@techworld.co.kr  |  청소년보호책임자 : 박지성
통신판매업신고번호 : 제 2008-서울금천-0415 호  |  발행·편집인 : 박한식  |  인터넷신문등록번호 : 서울, 아 00607  |  등록일 : 2008.06.27
Copyright © 2018 CCTV뉴스. All rights reserved .