[첨단 헬로티]
IoT 관련 시장은 연결되는 기기(Connected Devides) 숫자로 보면 2016년 150억 개에서 2019년 260억 개로 약 2배 가까이 증가할 것으로 전망된다. 특히, IoT는 스마트 Things 외에 스마트 홈&시티, 스마트 인더스트리 분야에서 더 많이 확산될 것으로 예상된다. 이렇게 IoT라는 새로운 기술을 적용함에 있어, 최근 가장 문제되고 있는 것이 데이터 보안과 프라이버시에 대한 이슈이다. TI 시대, 보안 위협과 대응 전략은 무엇인지 IoT DevCon 2018 컨퍼런스’에서 ST마이크로일렉트로닉스 곽재현 부장이 발표한 강연 내용을 정리했다. [편집자 주]

▲ ST마이크로일렉트로닉스 곽재현 부장

IoT가 적용될 수 있는 분야로는 크게 스마트 Things, 스마트 홈&시티, 스마트 인더스트리 3가지가 있다. 스마트 Things는 각 개개인이 가지고 있는 기계를 말하고, 이것을 기반으로 해서 스마트 홈&시티가 구성될 수 있으며, 산업계에서는 스마트 인더스트리라는 이름으로 적용되고 있다.

최근 시장조사기관의 발표에 따르면, IoT 관련 시장을 연결되는 기기(Connected Devides) 숫자를 보면 2016년 150억 개에서 2019년 260억 개로, 약 2배 가까이 증가할 것으로 전망된다. 특히, 디지털 기기 구성을 보면 스마트 Things는 비율이 줄어드는 반면, 스마트 홈&시티와 스마트 인더스트리 비율은 늘어날 것으로 보인다.
향후 IoT 커넥티드 디바이스는 전체적인 숫자가 늘어나겠지만, 스마트 홈&시티, 스마트 인더스트리 분야에서 더 많이 확산될 것으로 예상된다.

IoT 시대, 가장 큰 위협은 데이터 보안

IoT 유스케이스를 살펴보면, 스마트 Things의 컨슈머 경우 각각 사용하는 기기들이 와이파이를 통해 클라우드에 연결되고 다시 클라우드 서비스에서 와이파이나 4D 네트워크를 통해 접속되는 형태로 연동된다. 인더스트리 경우 각각의 기기들은 LoRa, Sigfox를 통해서 게이트웨이에 연결되고 게이트웨이는 윗단의 네트워크 서버에 이더넷이나 3D, 4D 네트워크를 통해서 연동된다.

IoT 각각을 구성하는 소자를 반도체업체 입장에서 구분하면, 신호처리를 할 수 있는 프로세싱, 보안, 데이터를 가져오는 센싱, 커넥티비티, 신호처리, 모터컨트롤, 파워&에너지 매니지먼트 같은 칩들로 구성된다.

반도체를 생산하는 ST마이크로일렉트로닉스는 IoT와 스마트 드라이빙 정책을 축으로 해서 움직이고 있는데, IoT 관련 준비했던 것은 STM32와 같은 일반 MCU를 기반으로 해서 애플리케이션 프로세싱, 커넥티비, 시큐리티를 추가하고 다양한 기종의 칩을 연결해서 IoT를 구성할 수 있도록 했다.

IoT라는 새로운 기술을 적용함에 있어 문제는 없을까. 최근 발표 자료에 따르면 가장 큰 비율을 차지한 게 데이터 보안과 프라이버시에 대한 이슈였다.

최근의 사례를 보면, 2017년에 미라이 봇넷(Mirai botnet)이 집에 있는 라우터와 기업의 컴퓨터들을 공격했고, 랜섬웨어 공격으로 컴퓨터에 암호를 걸어서 암호를 풀지 못하면 내용을 볼 수 없도록 하여 암호를 푸는 대가로 돈을 요구하는 일도 있었다. 또한, 아마존 에코나 구글홈 디바이스 같은 집에 설치할 수 있는 IoT 기기의 보안 취약점이 보고가 되기도 했다.

이러한 사례들을 볼 때, IoT 기기에 보안에 대해 고려가 아직은 돼 있지 않다는 사실을 알 수 있다. 따라서 리스크 관리가 중요하다. 리스크 관리를 위해서는 흔히 리스크 매니지먼트라고 얘기하는데, 어떤 리스크 발생으로 드는 사후 처리 비용과 사전에 보안을 고려해 디자인 했을 때의 비용을 따져보면 보안을 고려해서 디자인을 했을 때가 리스크 비용을 훨씬 줄일 수 있다는 것이다.

IoT 보안 위협 3가지 형태

그러면 IoT 보안 위협은 어떤 형태로 나타나는가. 크게 3가지이다.

첫째, 디바이스 자체를 망가뜨린다. 이때의 대책으로는 기기 자체를 인증한다든가 무결성 체크를 통해서 기기가 제대로 작동한다는 것을 보증한 후 그 다음 프로세스를 진행한다면 막을 수 있다.

둘째, 기기 자체를 위조하거나 복제하는 경우이다. 이것 역시 인증을 통해서 막을 수 있다.

셋째, 데이터를 망가뜨리거나 데이터를 중간에 채가는 경우의 보안 공격도 있겠는데, 이것 역시 인증 또는 암호화를 통해서 막을 수 있다. 여기서 중요한 것은 보안 작업을 하기 위해 보안 알고리즘을 통해서 여러 가지 작업들이 수행되는데, 인증과 암호와의 강도, 보안을 어떤 수준으로 유지해서 진행할지에 대해서는 키(Keys)를 얼마나 잘 보관하느냐가 중요하다.

한 마디로 보안의 수준을 결정하는 것은 키를 얼마나 제대로 보관하느냐 하는 문제이다. 금고의 형태로 설명하면, 아무리 비싸고 튼튼한 금고를 갖다 놓는다고 하더라도 금고를 열 수 있는 키가 보안 수준이 낮은 곳에 방치되어 있다면 금고는 무용지물이 될 것이다. 키를 안전하게 보관하는 것이 보안의 핵심이다.

또한, 지금까지 IoT 트렌드는 보안이 중요하게 부각되지 않았지만, 앞으로는 각각의 노드가 게이트웨이에 연결되고, 그 게이트웨이가 클라우드에 연결되는 사이사이에 보안을 고려한 것들이 있어야 한다. 즉, 클라우드와 게이트웨이가 연결될 때, 게이트웨이와 노드가 연결될 때, 그리고 노드 자체에 보안에 대한 고려가 있어야 한다.

각각 IoT 기기에 접속되는 공격들이 어느 정도 이루어지는지를 분석해봤다. 가장 흔히 보는 예로, 네트워크를 통해 IoT 기기에 침투해서 소프트웨어적인 공격을 할 때이다. 네트워크로 침투해서 소프트웨어적인 디자인의 결함을 발견한 다음에 그 결함 사이를 파고들어서 기기에 오동작을 일으키거나 원하는 정보를 빼낸다.

두 번째는 IoT 기기를 물리적으로 연결해서 보드 자체를 공격하는 형태이다. 이때는 테스트 및 디버그 포트를 통해서 접근하거나 디바이스 버스나 IO 프로빙을 통해서 내부 시스템에 접속하고 리셋이나 클락 어텍, 파워 애널리시스를 통해서 내부의 동작이 어떻게 구현되고 있는지 분석한 다음에 그것에 맞게 적절한 공격 방법을 선택해서 내부 시스템에 침투해서 해커가 그 시스템을 마음대로 할 수 있는 식으로 진행된다.

마지막으로 실리콘 레벨, 즉 칩 자체와 칩 내부의 시스템을 공격하는 형태이다. 이때는 칩의 회로를 분석하거나 프로빙을 통해서 칩의 신호의 흐름을 파악하고 레이저빔을 쏘아서 예기치 않은 칩의 동작을 일으킴으로써 칩의 취약점이 외부로 노출이 되도록 함으로써 칩의 내부에 침투하는 공격 방법을 취하고 있다.

ST마이크로일렉트로닉스는 일반 MCU에 보안 대책을 마련했다. 일반 MCU에 여러 가지 보안 기능을 통해서 메모리 보호, Write 보호, 그리고 소프트웨어에 침투하는 것을 막는 식으로 구현했다. 그런데 이것만으로는 충분치 않다. 그래서 제안한 것이 높은 수준의 국제 보안 인증을 받은 보안 MCU 기반의 시크릿 적용이다. ST마이크로일렉트로닉스가 IoT용 시크릿으로 출시한 제품 브랜드명이 ‘STSAFE’이다.

IoT 기기에 적용될 수 있는 형태를 보면, 가장 기초적이며 쉽게 볼 수 있는 컨슈머&웨어러블 단계로 각 개인이 몸에 지니고 다니면서 실제 사용하기 때문에 해킹의 위협이 약하다.

따라서 컨슈머&웨어러블 단계에서는 보안을 적용할 필요는 없고 일반 MCU만으로도 충분하다. 그러나 스마트홈에 적용되는 기기라든지 또는 집이나 산업계에 적용된 여러 가지 IoT 기기들에 대해서는 일반 MCU만으로는 충분치 않고 보안 기능이 적용된 별도의 하드웨어 기반 시큐리티가 필요하다.

STSAFE가 좋은 예이다. 일반 MCU와 센서를 통해서 IoT 기기가 LoRa나 Sigfox와 같은 망에 접속하는 형태가 될 때, STSAFE-A는 전체 IoT 기기 보안성에 보안을 확보하는 역할을 하는 식으로 구현하고 있다.

IoT 애플리케이션의 보안 요구사항

그렇다면 높은 보안성은 어느 정도 수준을 말하는가. 우리가 보는 대부분 제품은 보안성이 없고 약간의 보안성을 가진다고 하는 제품들은 바코드, RFID, 홀로그램 정도이다. 그보다 보안성이 높은 제품은 일반 MCU에 크립토(crypto) 라이브러리가 적용되어서 버스 프로텍션까지되는 형태를 보안 수준이 높다고 보고 있다. 그보다 더 높은 형태가 Secure memory나 Secure MCU 정도인데, 이것은 국제 인증을 받지 않은 제품이다.

가장 높은 수준의 보안성을 가진 국제 보안 인증 기준에 입각한 STSAFE-A는 EAL5+수준의 보안 수준을 가지고 있다. 이 정도의 보안 수준을 가져야만 충분한 보안성을 확보했다라고 말할 수 있다.

실제로 EAL5+가 어느 정도 수준인가 하면, 우리나라 정부기관에서 전자여권을 발급해주는데 전자여권 입찰을 띄울 때 전자여권에서 요구하는 인증기준이 EAL4+ 이상이다. STSAFE-A는 그보다 한 단계 높은 수준이기 때문에 보안 수준이 충분히 높다고 할 수 있다. 여기서 한걸음 더 들어가, IoT 애플리케이션의 보안 요구사항은 어떤 것이고, 어떻게 만족시킬 수 있는지에 대해서 알아보겠다.

첫 번째, LoRa에 관한 설명이다. LoRaWAN 네트워크에서의 아키텍처는 이렇다.

애플리케이션 서버에 네트워크 서버가 접속이 되고 거기에 Concentrator/Gateway가 접속하고 End Nodes가 마지막으로 연결되는 형태의 구조이다. 가깝게 통신할 때 AES 기반 암호화되어 있는 상태로 데이터가 오가도록 요구하고 있다.

여기서 요구하는 보안에 대한 적용을 설명하기 위해 LoRa v1.0 기반으로 키노트를 분석해봤다. IoT 디바이스가 DevEUI라고 얘기했는데, 실제 필드에서 각각 디바이스가 될 때 DevAddr 형태가 되고, 이것은 2가지 세션키를 가지고 동작하게 된다.

이 세션 키의 역할은 인증을 하거나 사인, 암호화, 프레임 해독한다. 네트워크 세션키는 트래픽 데이터를 위해서 사용되고 애플리케이션 세션 키는 애플리케이션 데이터를 위해서 사용된다. 여러 가지 기능들에 대해서 기기 자체에 소프트웨어적으로 구현할 수 있고 STSAFE-A 중에서 LoRa 디바이스를 위한 보안 소자를 적용함으로써 보안 기능을 구현할 수 있다. 현재 단계에서는 로라 디바이스에서 대부분의 경우 소프트웨어적인 보안 구현을 통해서 LoRa에서 요구하는 보안 기능을 구현하고 있다.

사실 기능상으로는 소프트웨어적으로 구현하든 하드웨어 칩으로 구현하든 큰 차이는 없다. 단지 차이가 있다면 키를 얼마나 보안성 있게 관리하느냐에 따라서 보안 기능을 구현하더라도 쉽게 뚫릴 수도 있고 그렇지 않을 수도 있다.

LoRa용 STSAFE-A는 ST마이크로일렉트로닉스가 일반 MCU용 모듈과 LoRa용 모듈, 그리고 LoRa를 지원하는 STSAFE를 가지고 테스트를 할 수 있는 단계까지 구현했다.

두 번째, Sigfox에 관한 설명이다. Sigfox에 대한 보안사항도 간단히 보면 이와 같다. 호환적인 측면에서 보면 대부분의 내용은 LoRa와 비슷하고 Sigfox의 보안 소자 역시 기능을 소프트웨어적으로 충분히 구현할 수 있고 Sigfox용 STSAFE를 stsafe-A1SX라고 이름을 지었다. 이와 같은 Sigfox용 보안 소자를 적용함으로써 보안 기능을 구현할 수 있다. 마찬가지로 차이는 보안 수준의 높낮이가 되겠다.

Sigfox 역시 ST마이크로일렉트로닉스가 Sigfox용 RF칩과 MCU를 결합해서 Evalution Kit를 구현했고 여기에 Sigfox용 STSAFE 모듈을 함께 적용함으로써 Sigfox 기기 자체를 시뮬레이션 테스트할 수 있는 환경까지 구현했다.