220420_유명조달기업
보안 패러다임의 변화 이끄는 IoT
상태바
보안 패러다임의 변화 이끄는 IoT
  • 신동윤 기자
  • 승인 2017.05.08 12:37
  • 댓글 0
이 기사를 공유합니다

SoT라는 새로운 보안 이니셔티브의 등장

[CCTV뉴스=신동윤 기자] IT 환경의 변화는 취약점에 대한 공격 방식의 변화를 이끌고, 이런 변화는 새로운 보안 기술의 등장을 예고한다. 특히 IoT(Internet of Things), 그리고 IoE(Internet of Everything)라는 초연결에 기반한 새로운 이니셔티브의 등장은 보안 측면에서 또 다른 문제를 야기하고 있다. 이 새로운 이니셔티브는 수많은 플랫폼과 다양한 연결 기술, 그리고 무수히 많은 센서와 디바이스가 서로 연결됨에 따라 보안 취약점도 무수히 많으며, 기존의 보안 솔루션만으로는 이를 감당할 수 없게 됐다. 이는 SoT(Security of Things)라는 새로운 보안 이니셔티브의 등장을 이끌고 있다.

 

IoT는 시장 범주가 아직 명확하지 않고, 제조에서 헬스케어, 가전, 안전, 사회기반시설, 자동차 등 다양한 산업과의 융합되고 있기 때문에 시장 규모의 예측이 어려워, 각 시장조사기관이나 기업들 마다 서로 다른 예측치를 발표하고 있다.

하지만 대략적으로 이를 살펴보면 시스코는 네트워크에 연결된 사물의 수가 2014년 144억 개에서 2020년에는 501억 개로 3.5배 증가할 것으로 예측했으며, 마키나 리서치(Machina Research)는 지난 2014년 45억 개에서 2024년에는 290억 개로 증가할 것이라는 조금 보수적인 예측치를 발표했다.

국내의 경우도 2015년 3조 8000억 원에서 2022년에는 22조 9000억 원으로 급격한 성장세를 보일 것으로 예측되고 있으며, 주목할 점은 서비스 관련 매출이 52.6%라는 높은 비중을 차지할 것으로 전망되고 있다는 것이다. 하지만 이런 장밋빛 미래는 IoT가 내포하고 있는 위험요소, 현재 직면하고 있는 문제점을 먼저 해결하지 않으면 결코 도달할 수 없는 이상향에 불과하다.

현재 IoT가 직면하고 있는 문제로는 표준화와 호환성 확보, 수익 모델 확보, 제도적 장애요인, 그리고 가장 많이 고민해야 할 부분인 보안 문제가 있다.

IoT의 활성화는 IT 환경과 인터넷이 일상 속으로 더욱 깊숙이 침투하게 되는 계기를 마련하게 되며, 이는 일상 또한 인터넷 보안 위협의 대상이 된다는 말과 동일하게 해석할 수 있다. 예를 들면, 집안의 가전제품이나 자동차, 도어락, 의료기기 들까지도 사이버위협의 대상이 될 수 있기 때문에 보안이라는 선결 과제를 해결하지 않고서는 IoT의 시장 활성화를 바란다는 것은 무리다.

그렇다면 IoT에서의 보안은 어떻게 구현해야 하는 가에 대한 의문이 남는다. 현재까지는 IoT의 보안에 대한 개념이 부족하고, 보안과 무관하다고 생각해온 다양한 산업 분야의 디바이스에도 보안이 적용돼야 한다. 예를 들면 TV나 냉장고와 같은 가전제품, 체중계나 혈압계, 혈당계와 같은 의료기기, 그리고 자동차나 모터사이클, 버스와 전철 등의 교통수단은 물론, 가스나 수도, 전기와 같은 기본 인프라까지도 보안에 관심을 가져야 한다.

말 그대로 모든 사물에 보안을 내제해야 하는 것이며, 이는 바로 SoT(Security of Things)와의 연결점이다. 다시 말해 SoT는 IoT의 전체를 아우르는 모든 부분, 즉 센서에서부터 네트워크와 플랫폼은 물론 이를 운용하고 사용하는 사람에 이르기까지 모든 부분에 보안을 적용해야 한다는 것이며, 물리적인 보안에서부터 네트워크 보안, 정보 보안을 모두 아우르는 차세대 보안의 큰 그림이다.

IoT로 인한 정보보호 패러다임의 변화

IoT 환경에서의 겪을 수 있는 주요 보안 위협은 구현 기술 관점에서 봤을 때, 센서/디바이스, 네트워크, 플랫폼/서비스 등 3가지 영역으로 구분할 수 있다.

센서와 디바이스 영역에서는 이를 구현하기 위한 임베디드 시스템의 경우 초경량, 저전력의 저사양 디바이스나 센서로 구성되기 때문에 기존의 범용 보안 기술을 적용하기 어렵다. 또한 이런 센서와 디바이스가 적게는 수십 개부터 많게는 수만 개 이상까지 확장될 수 있으며, 단일 센서나 디바이스가 아닌, 여러 종류의 서로 다른 센서와 디바이스로 구성되기 때문에 이에 대한 보안 정책을 적용하거나 모니터링하는 것 또한 커다란 문제로 다가온다.

네트워크 영역에서는 IoT가 단일 네트워크 기술로 연결되는 것이 아닌 Wi-Fi나 지그비, BLE, 4G/5G 등의 이동통신, RFID, NFC 등 다양한 기술로 구성되기 때문에, 이런 서로 다른 무선 네트워크 기술을 서로 연동할 때, 보안 패치나 정책을 일관되게 적용하기 어렵다. 또한 수많은 IoT 디바이스를 통해 멀웨어가 전파되거나 DDoS 공격 등이 발생할 경우, 이전과는 비교할 수 없을 정도의 대규모 공격이 발생하게 될 것이다.

플랫폼과 서비스 영역에서는 클라우드 등의 연동을 위해 사용하는 오픈API가 공격 경로가 될 수 있으며, 이를 통해 데이터의 변조나 탈취 등이 발생할 수 있다. 더구나 IoT 디바이스를 통해 생성되는 수많은 데이터는 개인정보 유출로 인한 피해 수준과 규모를 더욱 위협적이게 만든다.

한국인터넷진흥원(KISA)는 IoT 환경에서의 정보보호 패러다임 변화에 대해 [표 1]과 같이 정리하고 있다.

IoT 구성 기술만큼이나 많은 보안 취약점

IoT를 구현하기 위해서는 정보의 습득과 수집, 그리고 이에 대한 가공과 처리, 저장, 활용뿐 아니라 사람과 사물, 서비스 간의 커뮤니케이션을 위한 여러가지 기술이 복합적으로 사용된다. 따라서 IoT는 센서 기술과 통신, 네트워크 기술, 칩 기술과 운영체제, 임베디드 시스템 기술, 대량의 데이터를 처리하기 위한 빅데이터 기술과 클라우드 기술, 여기에 인공지능과 머신러닝 기술은 물론이고 웹 서비스, 응용 서비스 기술, 서비스 사이의 연결을 위한 오픈API 기술까지 수많은 기술의 복합체라고 할 수 있다.

따라서 이런 많은 기술이 갖고 있는 고유의 보안 취약점이 전체 IoT 환경의 보안 취약점이 될 수밖에 없는 구조일 뿐 아니라, IoT로 인해 새로 등장하게 될 취약점까지도 대비해야 한다. 현재 IoT는 디바이스, 네트워크, 서비스와 시스템, 데이터와 프라이버시 측면에서 보안 기술이 활용되고 있으며, 이외에도 사람에 대한 물리적 보안, 즉 출입 통제나 통합 관제와 같은 분야까지도 관심의 영역에 둬야 한다.

우선 디바이스 측면에서는 인증/식별, 접근제어, 운영체제 보안, 암호화 프로토콜 기술들이 활용되고 있으며, 시스템 자원이 한정된 디바이스의 특성을 고려해 경량화된 보안 기술이 적용되고 있다.

네트워크 측면에서는 Wi-Fi를 비롯해 지그비, UWB, 4G/5G, RFID, BLE 등의 다양한 무선 기술에 대해, 스니핑, 비인가 접근, 도청 등에 대한 보안 기술이 적용되고 있으나, 각각의 네트워크 기술에 개별적인 보안 표준이 적용되고 있기에 대책 마련이 시급한 상황이다.

서비스와 시스템 측면에서는 인증과 접근/권한 부여, ID 관리, 키 관리, 신뢰 제어 등의 다양한 보안 기법이 활용되고 있으며, IoT-A 프로젝트와 같은 새로운 서비스 보안 기술 표준 모델이 등장하고 있다.

IoT에서 가장 중요하게 생각해야 할 것 중 하나가 데이터와 프라이버시 보안으로, 현재는 데이터 위변조나 인증에 대한 보안을 보호형 마이닝 기법(Privacy Preserving Data Mining) 등을 통해 강화하려는 시도가 진행되고 있다.

특정 업계가 아닌 모든 관련 업계의 협력 필요

그렇다면 이렇게 다변화된 보안 기술을 어떻게 관리할 것인가에 대한 문제가 남게 된다. 현재 가장 유력한 방안은 SDN(Software-Defined Networking)이다. SDN은 제어 도메인과 포워딩 도메인을 각각 분리해 추상화하고 두 도메인 사이의 커뮤니케이션을 API를 통해 진행하기 때문에 각 도메인에 어떤 기술이 어떻게 활용되고 있는지에 대해 신경쓰지 않아도 된다.

물론 이를 위해서는 SDN 기술도 더 많은 발전이 이뤄져야 하는 것은 물론이고, 각각의 기술을 SDN 환경에 적용할 수 있도록 양쪽 모두가 더욱 성숙해져야 한다.
이처럼 IoT를 위한 보안 이니셔티브, 즉 SoT가 힘을 받기 위해서는 지금까지처럼 일부 전문 보안업체만의 노력이 아닌, 칩과 센서 업계에서부터 임베디드 업계, 네트워크 업계, 클라우드, 빅데이터, AI와 머신러닝 업계는 물론, 물리보안 업계와 가전업계, 자동차업계, 통신업계 등 전 산업군이 서로 힘을 합치고 노력해 나가야만 한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.