배너
닫기

스포트라이트

배너

[종합] 사물인터넷 활성화…보안이 핵심이다

  • 등록 2015.08.13 10:42:43
URL복사

사물인터넷 등 융합보안 침해사고에 따른 피해 규모는 올해 약 13조 4천억원에서 오는 2030년에 이르면 약 26조 7천억원에 달한다는 게 산업연구원의 분석이다. 체계적인 대책이 마련되지 않으면 안될 시점이다. 정부도 서둘러 관련 정책을 발표했다. 무엇이 문제이고, 어떻게 대응해야 하는지 그 내용을 살핀다.



사물인터넷(IoT)은 홈 가전, 의료, 교통 등 다양한 산업분야에 적용되고 있으며, 본격적인 시장 활성화가 진행 중이다. 이에 따라 시장도 매머드로 커지고 있다. 시장조사기관인 가트너에 따르면, 세계적으로 오는 2020년까지 인터넷에 연결되는 사물의 수는 약 260억개, IoT로 창출되는 부가가치는 약 1조 9천억 달러에 이른다.


그러나 IoT 활용분야는 우리 실생활의 모든 사물에 ‘직접 접목’되기 때문에, 기존 사이버 공간의 위험이 현실세계로 전이·확대되고 있다. 때문에, 사물인터넷 제품과 서비스의 보안 위협에 대한 우려가 최근 들어 급속도로 늘고 있다.


보안 위협에 노출된 IoT

사물인터넷 관련 전문기관이나 업체들은 IoT에서의 보안 위협에 경고하고 있다. HP는 지난해 IoT 디바이스의 70%가 암호화되지 않은 네트워크를 통해 데이터를 전송하는 것으로 조사됐다며 우려를 나타냈으며, 미국의 SANS 연구소도 보안 전문가 391명 대상 설문조사 결과, 3분의 2가 IoT 보안에 대해 우려하고 있다고 지적했다. 가트너 역시 22%의 기업이 IoT로 인해 새로운 위협에 직면할 것이라고 경고한다.


IoT 디바이스는 생산·판매 이후에 유지보수, 보안 업데이트 적용 등 사후 보안조치가 불가능하거나 높은 비용이 수반되고 있으며, 그 규모는 향후 더욱 커질 전망이다. 산업연구원은 IoT 등 융합보안 침해사고에 따른 피해 규모는 올해 약 13조 4천억원에서 오는 2030년에 이르면 약 26조 7천억원에 달할 것으로 전망하고 있다.


때문에 관련 업계는 실질적인 대책을 마련해야 한다고 한 목소리를 내고 있다. 정부는 이에 따라 8개 부문으로 이에 적극 대응한다는 전략이다.


▲7대 분야 IoT 제품 서비스 보안 내재화 ▲IoT 사이버위협 종합 대응체계 구축 ▲안전한 IoT 제품· 서비스를 위한 신뢰성 확보 ▲IoT 보안 9대 핵심 원천기술 개발 ▲IoT R&D 오픈 이노베이션 체계 구축 ▲IoT 보안 우수기업 발굴 육성 ▲IoT 보안 제품 · 서비스 수요 창출 ▲ICT와 보안이 결합된 맞춤형「IoT Security Brain」양성 등이다. 각 부문별로 자세히 살핀다.

IoT 보안 핵심 원천기술 개발


IoT 제품·서비스의 안전성을 강화하기 위해서는 디바이스, 네트워크, 서비스/플랫폼 등  IoT 3계층의 보안 관련 9대 핵심 원천기술 개발이 중요하다. 


정부는 우선 IoT 디바이스의 핵심 원천기술을 개발하기 위해 CPU 성능, 전력상태 등을 고려한 경량 · 저전력 암호기술, 보안 콘트롤러 칩(SoC), 보안 운영체제의 개발을 추진한다. 암호기술을 IoT 서비스에 적용할 수 있도록 경량 ·저전력화하되, 특정 IoT 분야에 국한되지 않도록 개방형으로 개발한다는 전략이다.


올해부터 내년까지 다양한 IoT 서비스 개발을 위한 경량 암호 및 인증 보안 라이브러리를 개발키로 했다. 향후, 신규 개발된 경량 저전력 암호를 탑재하기 위한 SW 모듈을 개발, IoT 디바이스와 네트워크 플랫폼에 적용할 예정이다. 


웨어러블 디바이스, 초소형 센서 등에 대한 위변조, 부채널공격을 방지하는 보안 콘트롤러 칩(SoC) 개발을 올해부터 10억여 원을 투입해 착수한다. 부채널공격은 IoT 디바이스에서 발생한 전자파, 전력소모량 등을 탐지·분석해 암호키를 탈취하는 해킹이다.


OS, 개인정보 등 디바이스 핵심자원에 대한 비인가 접근 차단, 위변조 방지 기능 등이 내재된 보안 운영체제인 Secure OS를 올해부터 개발에 들어간다. 스마트 경량 IoT 디바이스용 운영체제 보안 핵심 기술이 대표적인 것으로 내년까지 진행되며 올해만 27억원을 투입한다. 펌웨어 위변조 탐지, 디바이스 고유 식별정보 검증 등 IoT 보안 OS의 핵심인 경량 보안커널 기술을 포함한다.


IoT 네트워크 부문에서는 이종 네트워크 간 안전한 통신을 위한 IoT 보안 게이트웨이, 침입 탐지·대응 기술과 원격 보안 관리·관제 기술을 개발한다. 신뢰/비신뢰 디바이스, 이종 네트워크 간 상호연결성과 보안통신을 제공하는 IoT 보안 게이트웨이 개발을 내년부터 추진한다. IoT 보안 게이트웨이는 IoT 서비스 분야별로 달리 요구되는 디바이스 간 연결 통신 방식인 WAVE, AllJoyn 등과 트래픽 특성 등을 고려한 보안기능을 제공한다.


7대 IoT 분야별로 네트워크 보안 특성을 반영해 순차적으로 개발하되, 홈·가전(디바이스 상호연결 통신보안, 사용자 프라이버시 보호), 의료(침입방지시스템), 자동차(침입방지시스템, 차량 내외부간 통신보안) 등 3대 IoT 분야에 대해 우선적으로 개발을 추진할 방침이다.


IoT 디바이스, 네트워크의 물리적/행위적 이상징후를 탐지해 실시간 대응하는 클라우드 기반 IoT 침입탐지 대응 기술도 내년부터 개발에 들어간다. IoT 디바이스 공격과 오동작 등을 클라우드에서 집중 처리·분석·판단해 실시간 공격 탐지가 가능한 ‘소프트웨어 정의 네트워크’ 기반의 동적 침입방지기술이다. 이와 함께 무선기기의 보안 상태를 모니터링해 보안SW, 규칙, 정책 등을 자동으로 업데이트하는 IoT 원격 보안관리 관제 기술을 2016년 개발에 착수한다.


IoT 서비스 환경과 관련, 각종 IoT 서비스 환경에 적합한 스마트 인증, IoT 프라이버시 보호기술, IoT 보안솔루션 기술을 개발한다. 올해부터 생체정보를 이용해 사용자 인증과 디바이스 접근권한 관리기능을 제공하는 스마트 디바이스용 인증기술을 개발한다. 


전통적인 PKI 인증 기술 등에서 벗어난 IoT 환경에 특화된 경량 PKI 인증 기술개발 등이 필요하며, 스마트 디바이스용 박막 타입 지문센서 모듈과 프라이버시 보호 응용 소프트웨어 기술도 핵심 개발 요소이다. 필름 형태의 초음파식 박막형 센서와 저전력 H/W 모듈 및 IC카드 기반 프라이버시 보호형 모바일 지문인식기술을 활용한다.


IoT 서비스 분야별 기술특성인 프로토콜, 요구표준 등을 고려해 최적화된 IoT 보안 솔루션을 내년부터 개발에 들어갈 예정이다. 개인정보· 프라이버시 보호를 위한 암호화, 차량용 고속 보안통신, 고가용성 ·실시간성이 보장되는 접근제어 등이 포함된다.


비정형 IoT 빅데이터를 실시간으로 분석해 민감정보 노출 위험을 탐지 제거하는 프라이버시 보호기술은 오는 2017년부터 개발에 착수한다. 이용자 위치 및 이용내역 추적을 방지하기 위해 익명화된 ID 기술을 적용하는 이용자 신원 및 위치정보 은닉 기술을 활용한다.

IoT R&D 오픈 이노베이션 구축


빠르게 변화하는 IoT 보안기술 시장에 대한 R&D 적시성을 강화하고 보안 선도국가와의 국제 공동연구를 통해 글로벌 역량을 높인다는 게 정부의 기본 전략이다.

이를 위해 IoT R&D 오디션 프로그램을 도입하고, IoT 보안 R&D 국제협력과 표준화를 추진한다. IoT R&D 오디션 프로그램의 경우, IoT 기술 및 시장 요구사항에 유연한 대응을 위해 동일 기술/주제로 다자간 연구개발 수행 후, 연차별 평가를 거쳐 한 곳을 선정해 집중적인 연구개발 지원한다.


‘다양한 IoT 서비스 개발을 위한 경량 암호/인증 보안 라이브러리 개발 사업’ R&D 과제에 대해 우선 추진한다. 2개 사업자를 선정해 올해에는 사업자별로 2억원씩 지원한 후, 평가를 거쳐 선정된 1개 사업자 대상에게 내년에는 4억원으로 확대 지원한다.

IoT R&D 국제협력 및 표준화를 위해 미국, 유럽 지역의 IoT 보안 선도기술 및 실용화 기술 보유기관 등과 국제협력을 통해 R&D IoT 보안분야 글로벌 역량을 강화할 방침이다. IoT 디바이스의 시스템 SW와 무선 프로토콜의 보안 취약점 자동 분석기술 및 통합 플랫폼 개발을 위한 한·미·EU 공동연구를 추진한다. 


우리나라의 고려대· 한국인터넷진흥원, 미국 카네기멜론대, 영국의 옥스퍼드대, 스위스 ETH 등이다. ETRI와 미국 UC 버클리, 조지 메이슨대학 등과 함께 IoT 디바이스를 외부 서비스 거부 공격으로부터 방어하기 위한 시큐어 하드웨어 컨테이너 기술 개발을 위한 한·미 공동연구도 추진한다.


홈·가전, 교통, 의료 등 IoT 분야별 시장수요와 기술 경쟁력을 고려 IoT 보안기술의 국제 표준화도 내년부터 적극 나서기로 했다. 특히, IoT 디바이스간 인증, 경량·저전력, 보안통신 기술 등 원천기술 개발을 통한 국제표준 확보(ISO, ITU-T, ETSI 등) 및 표준화 연구과제에 주력한다는 전략이다.


IoT 보안 우수기업 발굴·육성


IoT 보안 스타트업 기업 지원, IoT 시큐리티 센터 구축, IoT·융합보안 시범사업도 동시 추진한다. 이미 추진 중인 스타트업 프로그램 안에 IoT 보안분야를 추가해 기획·개발·테스트·투자유치·해외진출 등을 원스톱으로 지원한다.


또한 보안 스타트업 육성, IoT 보안 실증사업에 대한 컨설팅, 기술지원 등 IoT 보안 관련 기업 지원업무를 위한 IoT 시큐리티 센터를 IoT 혁신센터와 연계 구축하고 내년에는 판교 소재의 산학연 R&D센터로 이전할 예정이다.


전문가들은 관련 기업들이 많은 IoT 디바이스들에 어떤 보안기능을 탑재해야 하는지 몰라 보안을 고려하지 않고 출시하고 있으며, 보안기능을 탑재하더라도 적합성 여부를 판단할 수 있는 인프라가 부족하다고 지적해왔다.


실제 HP가 지난해 실시한 IoT 제품 보안수준 점검 결과, 70%의 IoT 디바이스는 통신과정에서 암호화를 수행하지 않고 있으며, 80%의 디바이스 및 이와 연동된 애플리케이션에서 취약한 패스워드 인증방식을 사용하는 것으로 나타났다. 또한 90%의 IoT 디바이스, 클라우드 및 모바일 앱에서 최소 1가지 이상 개인정보를 수집하는 것으로 조사됐다.


7대 분야 IoT 제품·서비스 보안 강화


IoT 제품 생산, 서비스 제공 시 활용 가능한 보안 고려 사항 개발과 민간 자율 적용 유도를 통해 IoT 제품 · 서비스의 보안 내재화를 촉진한다는 전략이다. 즉, IoT 제품과 서비스 개발 초기에 안전성을 확보, 피해를 예방하거나 최소화시킨다는 것이다. 특히, 홈·가전, 의료, 교통(스마트카· ITS), 환경·재난, 제조, 건설, 에너지 등 7대 IoT 분야의 공통 보안 원칙과 분야별 보안 고려사항을 개발한다는 방침이다.


우선, IoT 관련 사업자가 제품 생산, 서비스 제공 시 보안성 확보를 위해 기본적으로 고려할 사항인 ‘공통 보안원칙’을 개발해 이를 보급한다. 설계→개발→운영 등 IoT 제품 서비스 생산과정을 고려해 올해 내 원칙을 마련한다. 그리고 이를 산학연 전문가 자문단에서 심층 검토 후 확정·공표할 예정이다. 또한 스마트챌린지 사업에 시범 적용해 실효성을 검증하고 이를 개선한다는 일정으로 추진한다.


설계단계에서는 정보보호와 프라이버시 강화를 고려한 IoT 제품 서비스을 설계하고, 안전한 소프트웨어 및 하드웨어 개발기술을 적용하며 이를 검증한다.


운영단계에선 사용자 편의 중심의 보안 설정/구성 기술을 제공하며, 표준화된 보안 프로토콜 준수 및 안전한 파라미터를 설정한다.


관리단계의 경우, IoT 제품의 취약점 보안패치 및 업데이트를 지속하고, 안전한 운영 관리를 위한 정보보호 및 프라이버시 관리체계를 마련한다는 것이다. 또한 IoT 침해사고 대응체계를 마련한다는 계획이다.


이와 함께, 7대 IoT 분야별 ‘보안 가이드’ 개발 기술을 내년부터 지원할 예정이다. 보안가이드 개발을 위한 사전 작업으로 연내 IoT 보안 관련 산업에 대한 실태 파악과 ‘공통 보안 요구사항’을 도출한다.


업계 전문가들은 실제 IoT 디바이스의 경우 응용 서비스 종류에 따라 다양한 수준의 보안 강도를 필요로 한다고 입을 모은다. IoT 디바이스는 공격자에게 쉽게 노출될 수 있는 환경에 주로 설치되기 때문에 부채널 공격이나 펌웨어 코드 추출, 키 값 추출 등 다양한 하드웨어 보안 취약성을 갖는다는 것이다. 


이들 전문가는 때문에 하드웨어 보안성을 강화하기 위해, TPM(Trusted Platform Module)이나 HSM(Hardware Security Module), Trust Zone, JTAG 보안, 펌웨어/코드 암호화, 실행코드 영역제어, 역공학 방지 기법 등 다양한 하드웨어 보안 기법이 존재하며 이를 디바이스 서비스 응용 환경에 따라 적절히 적용할 필요가 있다고 지적한다.


정부는 이에 따라 홈가전 부문 보안 가이드의 경우, 스마트홈·가전 디바이스는 출시전 보안취약점 점검을 의무적으로 실시하고, 출시 후에도 제조사는 지속적으로 보안패치를 적용하고 배포하도록 할 방침이다. 


또한 개인정보의 저장·관리, 음성·영상 저장기능이 장착된 디바이스의 경우, 프라이버시 보호를 위한 사용자 인증 및 접근제어 기능을 적용하고 원격제어 기능이 탑재된 스마트 홈·가전 디바이스는 외부 비인가 접근을 방지하기 위해 사용자 인증 및 암호화 통신기능을 적용해야 한다.


의료 부문에선 개인·질병정보를 저장·처리하는 의료장비 및 이와 연동되는 데이터 처리장치는 프라이버시 보호를 위한 인증 및 암호화 기능을 적용해야 한다. 의료 디바이스에 대해 정기적인 취약점 검증을 수행하고, 국제표준을 고려한 보안 관리체계를 적용토록 하며, 스마트의료 서비스로 수집·관리·공유되는 개인정보에 대해서도 보호방안을 마련한다는 게 정부의 계획이다.


교통 분야에서도 ABS, TPMS 등 자동차 주행, 구동장치의 중단/오작동을 방지하기 위해 데이터 암호화·복구, 비인가 접근통제 등 보안기능을 적용하는 한편, 전자제어시스템(ECU)과 연동된 각종 전자시스템은 정기적으로 취약점을 점검하고 보안패치를 적용할 예정이다. 


이와 함께 디지털 운행기록계를 통해 수집되는 정보의 안전한 저장·관리를 위해 ITS는 DB 보안기술을 적용하며, ITS의 차량검지센서, 노변장치에서 전달되는 모든 교통 데이터는 암호화 처리토록 할 방침이다.


IoT 보안 위협 종합 대응체계 구축




IoT 보안 위협에 대비하기 위한 공동 대응체계를 확립하고, IoT 핵심 인프라의 보안 강화를 통해 피해를 예방하거나 최소화한다는 전략이다. 


정부는 이에 따라 IoT 제조·보안업체 등이 참여하는 보안 협의체를 구성하고, IoT 인프라의 보호를 강화하며, IoT 보안 위협 대응체계를 구축한다는 계획이다.


IoT 보안 협의체의 경우, IoT 보안정책 수립 등을 위한 이슈 논의와 기술 ·정책 자문을 위해 올해부터 정부 및 산하기관, IoT 제조업체, 보안업체, 학계 등 총 50여개 기관으로 구성된 IoT 보안 얼라이언스를 운영키로 했다. 실제 IoT 분야에서는 얼라이언스를 중심으로 표준 및 시장 주도권 확보를 위한 활동을 강화하고 있다.


IoT 인프라 보안을 강화하기 위해 에너지, 제조, 의료분야의 정보통신 기반시설 중 중요성, 침해 시 피해규모나 범위 등을 고려, 전자적 침해 행위로부터의 보호가 필요하다고 지정되는 시설을 대상으로 IoT 보안 관련 모의해킹 훈련 등 대응 역량을 강화시킬 계획이다.



김유활 기자 (yhkim@hellot.net)

의 전체기사 보기

Copyright ⓒ 첨단 & Hellot.net

추천콘텐츠

배너

랭킹뉴스

배너
배너
배너

라이브러리

더보기

주요파트너/추천기업