[CCTV뉴스=신동훈 기자] IoT 시대가 다가옴에 따라, IoT 공격 위협 문제가 점점 대두되고 있다. IoT를 이용한 공격이 무서운 점은 쉽게 메인 컨트롤 시스템을 무력화할 수 있다는 점이다. 즉, 하나의 IoT 기기가 뚫리면, 모든 IoT 기기 통신이 마비될 수 있는 것.
IoT 시대, 강력한 보안 솔루션을 대비해야 하는 상황인 가운데, 글로벌 반도체 기업인 ST마이크로일렉트로닉스(STMicroelectronics, 이하 ST)와 IoT 디바이스 보안 전문 스타트업 시큐리티플랫폼이 손을 잡았다. 양사는 하드웨어 보안 국제표준인 TPM(트러스티드 플랫폼 모듈) 기술을 IoT 보안을 강화하려는 기기 개발자 혹은 솔루션 공급자에게 공급하며 IoT 보안 시장을 선도적으로 공략해 나갈 예정이다. 양사의 협력 의의와 제품 경쟁력, 보안 MCU 개발방향 등을 ST 코리아 곽재현 부장과 황수익 시큐리티플랫폼 대표에게 들어 보았다.
Q. ST와 시큐리티플랫폼이 손을 잡았다. 양사 협력의 의의와 어떤 시너지 효과를 낼 것이라 기대하는가?
ST 코리아 곽재현 부장: ST는 반도체 기업으로 IoT용 보안 소자 제품군인 STSAFE를 출시해 시장에 공급하고 있다. IoT 시스템의 높은 보안성 구현을 위해서 시스템에 적용되는 하드웨어도 높은 보안성을 확보해야 하지만, 소프트웨어 역시 높은 보안성을 확보하기 위한 설계가 함께 진행이 돼야 한다. 이를 위해 시큐리티플랫폼과 같은 하드웨어 보안 소자 기반의 보안 솔루션 전문 업체와의 파트너십으로 고객 맞춤형 제품 및 지원을 제공 할 수 있게 됐다.
시큐리티플랫폼은 ST 공식 파트너 프로그램에 국내 최초로, 그리고 STSAFE-TPM에 대해서 세계적으로 유일하게 등록된 파트너사이다. 다양한 IoT 시장에서 요구사항에 대응하기 위해 폭넓은 에코시스템을 확보한 ST는 이미 세계 IoT 시장에서 많은 고객사를 확보하고 있으며, 시큐리티플랫폼과 함께 준비한 IoT 보안 토탈 솔루션을 통해 높은 수준의 보안성을 쉽고 빠르게 구현할 수 있도록 지원할 계획이다.
시큐리티플랫폼 황수익 대표: IoT 시장이 확산되면서 보안에 대한 우려도 증가하고 있지만, 아직까지 보안 요건들이 충분히 적용되지 못하고 있다. 그 이유는 IoT 기기의 설계 및 제조단계에서 보안이 내재화 돼야 하는데, 제조사가 자체적으로 보안 전문 기술을 확보하기가 어렵기 때문이다.
때문에, ST와 시큐리티플랫폼은 보안솔루션을 실리콘레이어에 통합된 형태로 제공하고 쉬운 인터페이스를 통해 제조사로 하여금 매우 높은 수준의 보안을 아주 간단하게 구현할 수 있도록 하기 위해 협력하게 됐다.
Q. 아직까지 국내 IoT 보안에 대한 준비는 미흡하고 인식 수준도 낮다. 이런 이유는 무엇이라 생각하는가? 또한, IoT 보안 인식 수준을 높이기 위한 방안은 무엇이라 생각하는가?
ST 코리아 곽재현 부장: IoT 기기의 본래 특성상 네트워크에 접속돼 외부 기기와 통신을 계속 주고 받게 되는데, 이것은 기기 간에 연결되어 있는 통신망을 통해 누군가 거꾸로 외부에서 IoT 기기로 접속할 수 있다는 것을 의미한다. 결국, IoT 기기는 외부로부터의 해킹 위협에 항상 노출되어 있다는 뜻이다. 즉, 보안이 고려되지 않은 IoT 기기의 설계는 보안 사고라는 시한 폭탄을 떠안고 있는 상태가 된다.
하지만 ‘설마’라는 안이한 대책으로 보안에 대한 충분한 고려 없이 시스템을 설계하거나, 보안성이 충분하지 않은 소프트웨어 기반의 솔루션에 머무르는 경우, 당장의 비용과 개발 시간 단축의 효과를 볼 수는 있다.
그러나 보안에 투자해야 하는 비용에 비해 향후 보안 사고가 일어났을 때 감당해야 하는 사후 처리 비용, 즉, 개인 정보 유출 및 네트워크 장애 등이 초래할 천문학적인 손실을 감안한다면, IoT 시스템 초기 설계 단계에서 보안에 대한 적절한 투자가 이루어지는 것이 전체 시스템 비용을 효율화하는 최선의 방법이다.
ST는 앞으로 IoT 시장에서의 보안의 중요성과 업계의 인식 전환을 위해 지속적인 노력을 기울일 것이다. 특히, 업계 관계자와 고객들을 만날 수 있는 대외 활동에 적극적으로 참여해 다양한 협업을 기획하고 진행하고자 한다.
시큐리티플랫폼 황수익 대표: 보안에 대한 인식과 투자가 부족하다는 것은 어제 오늘 이슈는 아니지만, 그렇다고 해서 그것이 문제의 본질은 아니라고 생각한다. 특히 저가의 IoT 디바이스에도 적용할 수 있는 초경량·초저가이면서도 효과 있는 강력한 보안솔루션을 제공할 수 있어야 하는 것이 중요하다.
ST와 시큐리티플랫폼은 하드웨어와 소프트웨어가 통합된 합리적인 비용으로 신속한 개발이 가능한 국제공통평가기준(CC : Common Criteria)을 만족하는 높은 수준의 보안솔루션을 제공한다. 특히 최근 IoT 보안 관련 국제적으로 인증 및 법·제도화가 진행되고 있어 시장의 성장에 긍정적으로 작용할 것으로 기대하고 있다.
Q. ST 외에 다양한 반도체 기업에서도 IoT 보안을 준비중인 가운데, ST만의 차별화된 MCU 강점은 무엇인가?
ST 코리아 곽재현 부장: 많은 IoT 보안 솔루션 제공 업체에서 자신들의 제품이 보안적으로 뛰어나고 높은 보안 수준을 갖는다고 강조 하지만, 이것을 객관적으로 증명하는 업체는 많지 않다. ST는 국제적인 보안성 평가 기준인 ISO 15408 Common Criteria(일명 ‘CC’) 인증을 통해 객관적인 기준으로 높은 보안성을 확보한 제품을 공급하고 있다. STSAFE는 각 제품별로 하드웨어 또는 하드웨어 기반 플랫폼에 대해 CC EAL 4+ 또는 EAL 5+ 보안 등급을 기본적으로 받고 있으며, 이를 통해 업계 최고 보안 수준을 자랑하고 있다.
* 전자여권에서 요구되는 보안 등급은 CC EAL 4+ 이상이다.
Q. IoT 시대 SW 보안을 넘어 HW 보안, 즉 보안 MCU(Secure Element) 도입이 중요한 이유는 무엇인가?
ST 코리아 곽재현 부장: IoT 기기는 기기 위변조 및 기기 자체를 망가뜨리거나, 기기 내에서 사용하는 개인정보를 빼가는 등 보안 위협이 발생하고 있으며, 이것은 점점 위협적인 양상으로 확산될 것이다. 하지만, 아직까지 보안 강화를 위한 애플리케이션 개발 인식은 아직 부족하다. 보안 솔루션을 탑재하는 일부 업체도 비용이나 새로운 IC 적용이 야기할 개발 일정 등이 부담이 되어서 소프트웨어 기반 보안에 안주하는 사례가 많다.
소프트웨어 기반 보안은 높은 보안성을 확보하는 데 태생적 한계가 있다. 아무리 열기 힘든 튼튼한 금고를 사용해도 금고키를 아무렇게나 방치했다면 누구나 쉽게 금고를 열 수 있다. 하드웨어 기반의 보안, 즉 Secure element IC 기반의 보안은, 암호화 및 인증을 위한 여러가지 보안 알고리즘에 사용되는 키를 높은 수준의 보안성이 확보된 영역에 저장하는 것을 핵심으로 한다. 이것은 앞에서 언급한 CC EAL 4+ 이상 높은 보안 등급 확보로, 객관적으로 입증됐다 볼 수 있다.
Q. ST는 언제부터 IoT 보안 관련 제품을 준비하기 시작했는지, IoT 초연결 시대 어떠한 비전을 가지고 있는가?
ST 코리아 곽재현 부장: 보안 IC의 대표 주자인 Secure MCU는 1980년대 유럽에서 사용된 공중전화카드에서 상업적으로 처음 적용됐으며, ST는 당시 스마트카드 IC(Secure MCU) 사업을 처음 시작한 3개 업체 중 하나로 Secure MCU 시장을 처음부터 주도해 왔다.
현재 세계적으로 가장 많이 사용되는 보안 알고리즘 중 하나인 AES 공동 발명자 중 한명인 Joan Daemen이 ST의 Secure MCU 개발자이며, 최신 보안 알고리즘인 SHA-3(Keccak) 역시 ST의 Secure MCU 개발팀에 속해 있는 3명(G. Bertoni, J. Daemen, G. Van Assche)가 발명했다. 이런 사실은 ST 보안 IC(Secure MCU) 개발 뒤에 세계 최고 기술력과 노하우가 뒷받침 하고 있다는 반증이 될 것이다.
ST는 IoT 보안 시장을 겨냥해 2016년 9월 IoT 보안 소자(Secure Element) 제품군인 STSAFE 브랜드를 론칭했고, 가장 간소화된 제품인 STSAFE-A, JAVA card applet 기반으로 원하는 형태의 여러가지 기능을 구현해 사용할 수 있는 STSAFE-J, TCG(Trusted Computing Group) 표준에 맞춰 시스템 무결성을 보증하는 STSAFE-TPM에 이르기까지, 다양한 제품을 출시하고 있다.
Q. 보안 MCU 제품에 대한 로드맵은 어떻게 되는가?
ST 코리아 곽재현 부장: STSAFE 제품군은 현재 다양한 영역으로 그 적용 범위를 확대하고 있다. 최근 마이크로소프트 애저 접속용 IoT 개발키트에 STSAFE-A100이 적용됐고, 국내 가상화폐 하드웨어지갑의 대표주자인 현대페이의 KASSE HK-1000에 STSAFE-J100이 적용됐다.
올해는 STSAFE 론칭 당시보다 확대된 제품군으로 LoRa 및 Sigfox 전용 STSAFE-A 제품을 출시할 예정인데, 이는 각 LPWAN(Low-Power Wide-Area Network) 보안 및 키관리 요구사항에 맞게 설계된 제품으로, 고객사는 더 쉽고 빠르게 보안성을 강화할 수 있다. 요즘 화두가 되고 있는 자율주행 및 스마트 드라이빙 핵심인 보안 이슈에 대응할 수 있도록, 차량용 보안 IC(Automotive TPM)까지 제품을 확대하고 있다.
시큐리티플랫폼과 파트너십은 STSAFE-TPM 제품을 기반으로 한국에서 시작됐으나, 위에서 언급한 IoT 보안 사업 영역 확장에 발맞춰 STSAFE-A 및 STSAFE-J 제품으로도 확장된 파트너십으로 대만, 싱가포르, 일본에서 진행중에 있으며 미국 및 유럽에서도 진행할 예정이다.
Q. ST 코리아에서는 시큐리티플랫폼과 같은 기술 파트너는 물론 다양한 파트너들과 상생을 위해 어떤 활동을 하고 있는가?
ST 코리아 곽재현 부장: ST에서는 ST 파트너 프로그램을 통해 다양한 협력사의 인지도 향상 및 고객의 쉽고 빠른 개발을 지원하고 있으며, 국제 전시회/컨퍼런스 및 저희 ST의 각 지사에서 주최하는 워크샵 행사 진행시 파트너사의 제품 소개 및 프레젠테이션 세션 제공을 통해 성공적인 비즈니스 확대를 돕고 있다.
현재까지 입증된 시큐리티플랫폼과의 성공적인 파트너십을 바탕으로, 다양한 영역에서 특화된 맞춤형 보안 솔루션을 제공할 수 있도록 앞으로 여러 회사들과 다양한 협력 관계로 확장해 나갈 계획이다.
Q. 시큐리티플랫폼은 SoT 프론티어라고 자사를 소개하고 있다. 다가올 SoT 시대 어떤 기업이 되고자 하는 목표로 탄생하게 됐는가?
시큐리티플랫폼 황수익 대표: SoT(Security of Things)는 기존의 보안시장과는 다른 새로운 시장이며, 세계적으로도 초기단계에 있는 성장성과 잠재력이 매우 높은 시장이다. 그런데 기술적으로 소프트웨어 형태의 기존 보안과는 많은 차이가 있으며 세계적으로도 하드웨어와 보안을 함께 다룰 수 있는 엔지니어층이 매우 엷기 때문에 아직 선도하는 기업이 없고 기술장벽이 매우 높은 산업이라고 볼 수 있다.
시큐리티플랫폼의 창업 멤버들은 약 5년전 삼성전자 스마트 TV 보안 프로젝트를 이후로, 꾸준히 기술을 확보할 수 있었으며, 그 결과 국내는 물론 세계시장에서도 상용화된 SoT 솔루션을 먼저 선보이고 있다. 그 결과 국내 기업으로는 처음으로 ST와 공식적인 파트너로서 세계시장 선도를 위해 함께 노력하고 있으며, Arm의 파트너로서 8세대 아키텍처인 ARMv8-M 기반의 보안 솔루션도 개발하고 있다.
향후, 시큐리티플랫폼의 SoT 솔루션은 수 많은 IoT 기기의 부트영역에서 하드웨어와 통합된 형태로 제공될 예정이며 신뢰할 수 있는 연결(Connecting Trusted)을 만드는 데 앞장 설 것이다.
Q. IoT 시대, IoT 디바이스용 경량 보안 기술이 주목받고 있다. 시큐리티플랫폼이 이 부분에 강점을 가지고 있는데, 시큐리티플랫폼의 경량 보안 기술에 대해 소개한다면?
시큐리티플랫폼 황수익 대표: 시큐리티플랫폼의 경량 보안기술은 보안 하드웨어 활용을 극대화하고 최적화함으로써, 종전에 적용이 어려웠던 애플리케이션 2가지를 출시했다.
첫째는, 가상사설망(VPN) on Chip 솔루션으로써 TCP/IP 기반 가장 보안성이 높은 통신수단인 가상사설망(VPN) 소프트웨어 솔루션을 ST의 STM32 MCU 및 STSAFE-TPM에 임베디드함으로써, 동일 성능 기존 가상사설망 제품의 하드웨어 원가를 최대 1/100로 줄일 수 있도록 했다.
둘째는, 초저전력의 사물인터넷 통신망인 LoRa에 보안을 적용한 Secure LoRa Module을 출시해 SK텔레콤 및 LoRa 얼라이언스 인증을 마치고 판매 중에 있다. 이 제품은 Cortex-M0 급의 초경량 시스템온칩(SoC) 내부에 펌웨어 변조·복제 방지와 데이터 보호를 모두 구현했다.
이들 제품은 2017년 12월 4일 런던에서 열린 IoT Security Foundation 2017에서 발표됐고 사실상 최초 구현된 사례로 인정받았으며, 이를 계기로 Arm을 포함한 보안 솔루션 벤더들과 함께 글로벌 비즈니스를 전개하게 됐다.
Q. ST와 협력관계를 맺은 뒤 ST 코리아에서는 어떤 지원을 해주고 있는가? 또한, ST와 협력한 뒤 무엇이 달라졌는가?
시큐리티플랫폼 황수익 대표: ST와 사업협약을 맺은 후 2017년 6월 29일 보안 MCU 마케팅 매니저인 모하메드 타벳과 공동으로 솔루션을 발표했으며 이를 전세계 언론에 배포했다. 이후 ST 제품에 보다 집중적으로 보안솔루션을 개발할 수 있는 환경이 마련됐으며 최근 ST의 STM32 MCU 및 STSAFE 제품에 최적화된 솔루션을 제공할 수 있게 됐다. 이에 따라 싱가폴, 대만 전시회 및 워크샵을 진행했고, ST와 지속적인 글로벌 마케팅을 함께 추진하고 있다.
향후, ST 제품의 보안설계를 지원함은 물론 보안이 내재된 하드웨어 및 소프트웨어개발 툴킷을 고객에 제공해 아직 초기단계인 IoT 보안시장을 함께 선점하고 개척해 나갈 계획이다.
