모든 사물에 보안이 내재되는 SoT의 시대를 대비하라

[CCTV뉴스=신동윤 기자] 이제 보안은 포인트 솔루션만으로 해결할 수 없는 시대가 됐다. 사회 전반이 IT를 기반으로 서로 연결되고 움직이게 됨에 따라, 전체의 일부분에 대한 보안 침해 사고라고 하더라도 미치는 범위와 영향이 이전과는 비교할 수 없는 수준이 됐기 때문이다. 특히 IoT와 같은 초연결 사회가 시작되고 있는 현 상황에서 보안은 단순히 별도의 솔루션이 아닌 모든 사물에 내재돼야 하는 기본적인 요소가 되고 있다. 이것이 바로 SoT(Security of Things)에 주목해야 하는 이유다.

IoT의 등장은 인터넷의 등장만큼이나 사회 전반에 큰 영향을 미치고 있다. 전통적인 산업들은 인터넷의 보급으로 국경이나 거리 등의 물리적인 장벽을 넘어 비즈니스를 수행할 수 있게 됐다. 유선 기반의 인터넷이 모바일 환경으로 넘어가면서 변화의 조짐이 보이기 시작했고, 스마트폰과 태블릿의 등장은 이런 움직임에 불을 붙였다.
이제 인터넷은 수도나 전기와 같은 인프라의 위치에 있으며, 단순한 정보 서비스의 범위를 넘어 각종 사회 기반 서비스, 상거래와 결합돼, 이제는 인터넷 없이 정상적인 생활이나 비즈니스를 영위하는 것 자체가 어려운 시점이 되고 있다.
이런 상황에서 등장한 IoT는 각 요소간의 연결을 더욱 확대하면서 인터넷과 네트워킹에 대한 삶과 비즈니스의 의존도를 더욱 높이고 있다. 수도나 가스 검침은 물론이고, 도어락이나 조명, 시계, 지갑, TV, 심지어 버스나 지하철, 택시 등 대중교통까지, 그리고 주차장이나 고속도로 등 인터넷이 연결될 필요가 있을까 싶었던 사물들까지 인터넷 연결이 이뤄지고 있다.
심지어 식품이나 식물, 동물들까지도 RFID 등을 통해 연결되고 있다는 점을 고려하면, 이제 주변의 거의 모든 사물을 인터넷에 연결할 수 있다고 해도 과언이 아니다.
이런 초연결은 현대 사회가 요구하는 속도와 간편성, 편의성 등의 이점을 제공하지만, 반대급부로 늘어나는 연결의 수만큼 많은 보안 위협이 증가한다는 것을 명심해야 한다.
따라서 이런 초연결 사회를 대비하기 위해서는 SoT(Security of Things)와 같은 새로운 패러다임을 추구해야 한다. SoT는 단순히 IoT의 보안만을 얘기하는 것은 아니다. 출입 통제와 같은 물리적인 보안에서부터 네트워크를 통한 침입이나 공격을 방어하는 네트워크 보안, 저장된 데이터의 훼손이나 유출을 막기 위한 데이터 보안, 그리고 클라우드나 IoT와 같은 새로운 이니셔티브에 맞춰 전체 보안 환경을 아우르는 커다란 환경을 얘기하는 것이다. 단순히 별도의 솔루션으로 보안을 강화하는 것이 아닌, 전체 시스템을 이루는 각 요소, 즉 프로세서나 디자인에서부터 사람과 단말, 센서, 그리고 네트워킹과 비즈니스와 라이프스타일 환경 전체에 대한 보안을 다시 한번 생각해야 하고, 이를 위해 등장한 이니셔티브가 바로 사물보안, 즉 ‘Security of Things’다.

IoT의 등장은 보안 분야의 터닝포인트

PC나 특정한 정보 단말만 연결하던 인터넷이 가전제품이나 주변의 사물과 연결되는 IoT의 시대에 접어들고, 이런 사물들이 이전의 컴퓨팅 관련 이니셔티브인 클라우드 컴퓨팅, 딥러닝, 빅데이터 등과 연결되면서 이전의 보안 패러다임으로는 감당할 수 없는 수준에 이르고 있다.
과거 보안은 침입 통제와 같은 물리 보안의 영역에서 출발해, IT의 대중화와 함께 정보 보안이라는 새로운 보안 트렌드가 등장했다. 그리고 이 두 보안 영역이 결합되는 통합 보안의 영역으로 확장돼 나갔으며, 이는 다시 가정이나 빌딩 등에 적용되면서 치안과 방범, 안전까지도 포괄하는 포괄적인 개념으로 발전해 나갔다. 여기에 IoT의 등장은 또 다른 이슈를 만들어 내고 있다.
IoT는 일반적으로 센서와 모바일 네트워크, 클라우드, 앱, 모바일 단말 등 수많은 요소로 이뤄져 있으며, 이 사이에는 딥러닝이나 빅데이터 등의 기술이 적용되기도 한다. 문제는 이렇게 많은 요소로 이뤄지는 IoT는 그만큼 많은 보안 취약점을 갖고 있으며, 초연결로 인해 한 부분의 보안 침해사고의 여파는 전체 영역으로 빠르게 전파될 수 있다는 것이다. 더구나 IoT는 직접적으로 실생활과 연결돼 있기 때문에 금융거래, 건강 정보, 동선과 현재 위치, 취향과 평소 생활 패턴 등 이전에는 본인조차 인지하지 못했던 개인정보가 그대로 노출되거나 유출될 수 있다. 더 위험한 것은 가전제품이나 보일러, 자동차 등 안전에 직접적으로 연관된 요소들까지 보안 위협에 처하게 된다는 것이다. 이미 지난 2014년에는 캐논 IoT 프린터에 대한 해킹이 가능하다는 보안전문가의 발표가 있었으며, 2015년에는 지프의 체로키 SUV의 브레이크를 원격지에서 잠가버리는 것이 가능하다는 것이 밝혀졌었다. 또한, V테크의 유아 모니터링 카메라가 해킹당해 640만 명의 어린이가 노출되는 사고가 발생했었다. 지난 2016년에는 초기 설정된 비밀번호를 변경하지 않은 CCTV 수천 대에 봇넷을 설치하고 이를 이용해 DDoS 공격을 시도한 사례가 등장하기도 했다.
국내에서도 귀뚜라미보일러의 IoT 제어기가 정보를 암호화하지 않은 평문으로 전송하고 있는 것이 밝혀져 업체측이 사과와 함께 재발 방지를 약속하는 등의 일이 발생하기도 했다.
이처럼 아직 IoT는 구현에 급급해 이로 인한 침해 사고에 대비하지 못하는 경우가 대부분이며, 이를 반증하듯이 지난 2014년부터 2015년까지 2년 동안 IoT 관련 침해 사고는 알려진 것만 무려 340%가 증가한 모습을 보이고 있다.

SoT는 포괄적인 보안에 대한 개념
SoT는 IoT로 인해 등장한 개념이지만, IoT 환경과 구성요소에 대한 보안으로 한정지을 수는 없다. 앞에서도 말했듯이 IoT라는 초연결 개념에서는 한 부분의 보안 취약점이 갖는 무게감이 기존의 보안과는 다르기 때문이다.
따라서 SoT에서는 침입통제, 개인인증, 권한부여, 영상 모니터링 등 사람에 대한 보안까지도 포함한다. 따라서 생체보안이나 영상 분석, 심지어 통합관제에 이르는 다양한 부분까지 포괄적으로 접근해야 한다.
그리고 여기에 더해 문서보안이나 DB보안, 데이터 보안, 네트워크 보안 등 기존 IT 보안이 주요 영역이 당연히 포함돼야 한다. 특히 급증하고 있는 멀웨어나 랜섬웨어는 물론이고 내부 사용자의 이상 행동을 파악하기 위한 행동패턴 분석, FDS 등의 보안 대책이 마련돼야 SoT로 나갈 수 있게 된다.
따라서 SSL 가시성 솔루션이나 개인정보 유출방지 솔루션, DDoS 보안 솔루션 등 다양한 기존 보안 솔루션들도 SoT 이니셔티브에 맞춰 발전해 나가야 할 것이다.
이제 보안은 별도의 보안 솔루션을 도입하는 것만으로 완성되는 것이 아니라 프로세서, 운영체제, 앱, 그리고 센서, 네트워크, 데이터베이스, 클라우드 등 IT 환경 전반과 실제 이를 운용하고 사용하는 사람에 이르는 말 그대로 모든 부분에서 보안을 고려해야 한다. SoT는 바로 이런 새로운 시대를 맞이하는 우리들이 염두에 두고 나아가야 할 이니셔티브가 될 것이다.
또한 SoT로 인한 수많은 보안 기술과 방법론의 도입은 기존의 보안 기술만으로는 해결하기 어려운 부분이 많을 수밖에 없어, 딥러닝이나 머신러닝과 같은 AI, 그리고 빅데이터 분석과 같은 선진적인 기술의 도입을 통해 개별 보안 요소를 지능화하고 완성도를 높여 나가야 할 것이다.
이미 해외에서는 ‘시큐리티 오브 띵스 월드 포럼(Security of Things World Forum)’ 등 SoT 관련 단체가 활동을 시작한 상태이며, 우리도 IoT 분야를 선도해 나가기 위해 가장 시급한 문제인 SoT에 대한 더 많은 관심과 노력이 필요할 것이다.