닫기
배너

[인터뷰] “IoT 해킹 위협 줄이려면, MCU 디자인 초기부터 보안 설계 중요"

URL복사
[마감임박!! 무료] 생성형AI, 디지털트원, 제조AI, SaaS, 클라우드로 생산성 높이고, 비용절감 방안 제시.. AI자율제조혁신포럼 개최 (3/27~29, 코엑스3층 컨퍼런스룸 317~318호)

[첨단 헬로티]


곽재현 ST마이크로일렉트로닉스 보안 MCU 부문 마케팅 부장 


시장조사기관 IHS에 따르면 사물인터넷(Internet of Things, IoT) 커넥티드 디바이스(Connected Device) 수는 2016년 150억개에서 2019년 260억개로 증가한다고 발표했다. 이처럼 IoT 시장은 최근 몇 년 사이 빠르게 발전하고 있다. 이와 동시에 IoT 해킹 문제의 심각성이 대두되면서 보안 솔루션에 대한 관심도 함께 급증하고 있다. 


ST마이크로일렉트로닉스(이하, ST)는 IoT 보안을 강화하기 위한 방법으로 하드웨어 기반의 보안 소자(Secure element)를 선보이고 있다. 곽재현 ST마이크로일렉트로닉스 보안 MCU 부문 마케팅 부장을 만나 ST의 IoT 보안 전략에 대해 들어봤다. 


곽재현 ST마이크로일렉트로닉스 보안 MCU 부문 마케팅 부장 


Q. IoT 보안에 대한 관심이 높아지고 있다. IoT 보안이 중요한 이유를 설명해 달라. 


시장조사기관 ABI리서치가 실시한 설문조사에 따르면 새로운 기술이 발전하는데 있어서 데이터 보안과 개인정보 보호가 가장 큰 장벽으로 여겨진다고 답했다. 그 이유는 커넥티드카를 포함해 네트워크로 연결되는 기기들이 점차 많아짐에 따라 외부에서의 접촉이 많아져 해킹 위협 가능성 또한 커지고 있기 때문이다. 즉, IoT가 지금까지 연결되는 디바이스의 수의 성장 중심이었다면, 앞으로는 보안이 키워드가 될 것이다. 최근 일어난 랜섬웨어, 미라이 봇넷(Mirai botnet) 등의 이슈만 봐도 해킹에 대한 대비가 반드시 필요하다는 것을 보여준다. 


이에 따라 국내외 대기업들은 이미 IoT 시스템에 보안 구축을 고려하고 있고, 이는 중소기업으로 본격 확대될 전망이다. 또 스마트 드라이빙, 자율주행을 위해서는 V2X 등 통신과 보안 역량이 핵심이기 때문에 오토모티브 시장에서도 안전 기준 준수와 높은 수준의 보안이 무엇보다 중요하다. 더불어 최근 급부상하고 있는 시장인 홈카메라, 홈 AI 스피커에서도 개인정보 노출 가능성이 높아 IoT 보안에 대한 관심이 높다. 


IoT 보안 위협은 크게 3가지로 구분된다. 1)외부에서 내부 접속해서 기기 자체를 망가트리는 것 2) 기기자체의 위변조 3)기기 안에 저장된 데이터를 망가트리거나 중간에 채가는 경우다. 


해킹을 막기 위해서는 기기자체 무결성을 체크하고, 기기 내 데이터를 암호화된 상태로 저장하거나 기기의 상호간 접속될 때 인증할 수 있게 하는 방법 등이 있다. 결과적으로 기기 인증은 기존에 정의돼 있는 시큐리티 메카니즘으로 구축하는데, 이는 ‘암호(Keys)’ 기반의 방식인 것이다. 데이터를 보호하는 암호가 방치돼 있다면, 누구나 쉽게 암호를 찾을 수 있다. 따라서 해킹을 초기에 막고, 만약 사고가 발생했을 때 지불해야하는 막대한 사후 처리 비용을 줄이려면, IoT 시스템 초기 설계 단계에서부터 보안에 대한 디자인을 하는 것이 필요하다. 


Q. IoT에서 소프트웨어 뿐 아니라 물리적인 보안 기술이 필요한 이유는 무엇인가? 


보안 메커니즘은 소프트웨어만으로 처리할 수 있기는 하다. 그러나 소프트웨어 만으로는 보안이 약하기 때문에 물리적인 보안으로 강화돼야 한다. 지금까지 많은 업체들이 소프트웨어 부분만 보안처리 하는 경우가 많았는데, 이는 IoT에 있어서 굉장히 약한 수준의 보안이라고 생각한다. ‘암호’가 제대로 보호되지 않았기 때문이다. 


하드웨어 기반의 보안 기술인 ‘보안(Secure) MCU’는 스마트 카드에 첫 적용됐다. 1970년대 유럽에서 보급되기 시작한 공중전화 카드에 보안 칩이 적용됐는데, 당시 주요 보안 칩 공급업체 3곳 중 하나가 ST마이크로일렉트로닉스다. 이후로 보안 MCU는 신용카드, 체크카드, 교통카드, 심카드 등 스마트 카드 중심으로 확대됐고, 최근에는 가상화폐 붐으로 등장한 ‘가상화폐 하드웨어 지갑’에도 하드웨어 보안 칩이 탑재되고 있다. ST는 세계 최초 출시된 가상화폐 지갑 ‘나노레져S’에 보안 칩을 제공하고 있으며, 국내에서는 현대페이가 올해 2월 출시한 가상화페 지갑인 ‘KASSE HK-1000’에 보안 MCU를 공급하고 있다. 최근 보안 MCU는 기기(디바이스)에도 적용되는 형태로 진화하고 있다.


Q. 일반 MCU와 보안 MCU의 차이는 무엇인가? ST의 IoT용 보안 소자(Secure element) 브랜드 ‘STSAFE’의 특징을 설명해 달라. 


일반 MCU에도 메모리를 보호하고, 쓰기를 막는 등 여러 가지 보안 기능이 들어가는 추세다. 그러나 이것 만으로 높은 수준 보안 달성하기에 부족하기 때문에 ST는 IoT용 보안 소자인 ‘STSAFE’를 2016년 6월에 출시했다. STSAFE는 처음부터 보안에 기반을 두고 설계했기 때문에 기존의 범용 MCU나 비공인 암호화 컴패니온 IC에서 구동되는 소프트웨어 기반 보안 기능에 비해 확실한 장점을 제공한다. 


간혹 칩의 회로 구성까지 파악해서 내부에 접촉해 해킹하는 경우가 있는데, 이를 방지하기 위한 쉴드(Shield)를 칩의 내부에 접목시킨다. 이는 칩의 내부에 침입한 침입자가 쉴드를 벗기려는 순간 내부가 파괴되도록 함으로써 해킹으로 인한 더 큰 피해를 막아낼 수 있다. 


현재 전세계적으로 많이 사용되는 보안 알고리즘인 SHA-3(Keccak)의 개발에 ST의 보안 MCU 개발팀에 속해 있는 3명(G. Bertoni, J. Daemen, G. van Assche)이 참여했다는 점도, ST가 전세계 보안 기술과 관련하여 탁월한 역량을 갖추고 있다는 것을 반증한다고 볼 수 있다. 


STSAFE-A100


Q. IoT용 보안 소자 브랜드인 STSAFE는 STSAFE-A, STSAFE-J, STSAFE-TPM 총 3가지 제품이 있다. 각각의 특징과 타겟 시장은 무엇인가? 


STSAFE 시리즈 중 STSAFE-A는 기존에 ST가 뱅킹, 전자상거래, 개인정보보호와 같은 전자 보안 분야에서 입증해온 전문성을 컨슈머와 산업용 사물인터넷의 분야로 집약시킨 제품이다. 특히 국제 보안표준 인증인 공통평가기준(Common Criteria)에서 EAL5+ 등급으로 인증 받아 해커 침입으로 발생하는 위조, 복조, 정보 도용과 같은 문제나 제품의 오용과 같은 문제를 방지할 수 있게 한다. 예로, 전자여권에서 요구되는 보안 수준이 CC EAL4+ 이상을 충족시켜야 한다는 것을 보면, CC EAL5+가 얼마나 높은 수준의 보안 등급인지 알 수 있다. 


STSAFE-A100 제품은 에코시스템 지원을 통해 장비 설계에서의 집적화 부담을 간소화했으며, STM32 계열의 모든 MCU에도 간단하게 연결할 수 있다. 또 STSAFE-100은 NIST 또는 브레인풀 256과 384비트의 타원 곡선 암호화(ECC, Elliptic Curve Cryptography)를 포함하는 비대칭형 암호 기법과 AES-128/AES-256을 이용한 대칭형 암호 기법을 지원한다. 또 반도체 다이(Die)마다 별도의 시리얼 번호가 정해져 있고 OS에는 인증과 데이터 관리를 위한 커널도 있어서 논리적 오류, 사이드 채널 및 물리적 공격에 맞서 제품을 확실하게 보호할 수 있다. ST는 이런 기술력을 인정받아 마이크로소프트의 클라우드서비스인 애저(Azure) 접속용 IoT devkit에 STSAFE-A100을 공급하고 있다. 


STSAFE-J는 개발자가 자가 설정으로 개발할 수 있도록 유연한(Flexible) Javacard OS 기반의 보안 MCU다. 앞서 설명한 현대페이 가상화페 지갑인 ‘KASSE HK-1000’에 STSAFE-J 제품이 탑재됐고, 유럽에서 가스, 전기, 수도 등의 미터링을 위한 스마트그리드에 보안 소자로 탑재되고 있다. STSAFE-J 또한 하드웨어 및 플랫폼에서 CC EAL5+ 등급의 보안 인증을 획득했기 때문에 향후 인더스트리 4.0 등에서 활용도가 높을 것으로 기대된다. 


STSAFE-TPM은 기존에 출시된 ST의 TPM을 IoT에 최적화시켜 새롭게 출시한 제품이며, 소형 IoT 기기에서 산업용 및 컨슈머 제품, 데스크톱 컴퓨터에 이르는 다양한 종류의 커넥티드 디바이스에 플랫폼 무결성, 인증, 보안 스토리지, 기타 암호화 서비스를 지원한다.


STSAFE-TPM은 특수 설계된 ST의 보안 IC와 시큐리티플랫폼의 소프트웨어를 결합해 트러스트 컴퓨팅(Trusted Computing) 원리를 이용한 IoT 보안 기술을 제공하고 있다. 시큐리티플랫폼의 임베디드 보안 소프트웨어 기술은 리소스가 제한적인 경량 IoT 디바이스에 가벼우면서도 강력한 보호 기능을 제조단계에서 쉽게 내장할 수 있어 장점이다. 이를 통해 STSAFE-TPM은 조작방지(Anti-Tamper), 메모리 보호, 데이터-감시 방지 등의 검증된 기법을 사용해 시스템 인증에 필요한 암호화 키와 같은 데이터를 위해 보안 스토리지를 제공한다.


STSAFE는 IoT용 보안 제품에 이어서, 향후 차량용 보안제품 (Automotive TPM)까지 확대할 계획을 갖고 있다. 또 올해 안으로 로라(LoRa)나 시그폭스(Sigfox) 전용 보안칩 출시할 계획이다. 


Q. 업계에 IoT 보안에 대해 전하고 싶은 말이 있다면? 


보안에 대한 중요성은 아무리 강조해도 지나치지 않는다. 따라서 향후 보안 시장 전망에 대한 키워드로 ‘임심리박(臨深履薄) - 깊은 곳에 임하듯 하며 얇은 얼음을 밟듯이 세심 주의하여야 한다’을 강조하고 싶다. 

한국은 IoT가 빠르게 발전하고 있고 이미 상용화된 제품도 많다. 그러나 이에 비해 보안에 대한 구축은 늦은 편이라고 생각된다. 우리가 일상생활에서 사용하는 네트워크와 연결된 기기는 모두 해킹 위협에 노출돼 있다. 하루빨리 빨리 하드웨어 기반 보안을 통해 높은 수준 보안을 만들어 개인 정보를 안전하게 만들어야 한다. 












배너









주요파트너/추천기업