사이버 공간과 피지컬 공간이 고도로 융합된 산업 사회에서는 제품·서비스라는 가치를 창출하는 공정(서플라이 체인)이 기존의 정형적이고 직선적인 것에서 다양한 연결에 의한 비정형적인 것으로 변화하고 있다. 이러한 새로운 가치 창조 과정(밸류 크리에이션 프로세스)의 시큐리티상 과제와 그 대책을 정리함으로써 새로운 산업 사회의 시큐리티를 확보해 가는 개념을 정리한 ‘사이버·피지컬 시큐리티 대책 프레임워크’(CPSF)를 2019년 4월에 공표했다.

 

CPSF에서는 ‘밸류 크리에이션 프로세스의 시큐리티 확보에 있어서는 기존의 서플라이 체인에서 예상되는 매니지먼트의 신뢰할 수 있는 기업 간 연결에 의해 부가가치가 창조되는 영역을 넘어 피지컬 공간의 정보가 IoT에 의해 디지털화되고 데이터로서 사이버 공간에 도입되며 그러한 데이터가 사이버 공간에서 자유롭게 유통됨으로써 다양한 데이터가 새로운 데이터를 만들어 부가가치를 창출하는 것이나, 새롭게 창출된 데이터가 IoT에 의해 피지컬 공간으로 피드백됨으로써 새로운 제품이나 서비스를 창출하는 새로운 부가가치를 창조하기 위한 일련의 새로운 활동을 시야에 넣을 필요가 있다’고 해서, 기업 간의 연결에 신뢰성의 기점을 두는 제1층, 피지컬 공간과 사이버 공간의 연결에 신뢰성의 기점을 두는 제2층, 사이버 공간의 연결에 신뢰성의 기점을 두는 제3층이라는 서로 다른 세 가지 신뢰성의 기점을 설정하고, 이들 기점을 중심으로 경제사회 전체의 시큐리티상 과제를 찾아내어 그 대책을 정리하고 있다.

 

제2층의 위치매김

 

제2층은 사이버 공간과 피지컬 공간의 경계로, 그 경계에서 정보가 정확하게 변환되는 것, 즉 전사 기능의 정확성을 확보하는 것을 신뢰성의 기점으로 하고 있다(그림 1). 일반적으로 사이버 공간과 피지컬 공간의 경계는 예를 들어 앞에서 말한 전사 기능을 담당하는 센서나 액추에이터 등으로 구성되는, 이른바 IoT 시스템에 의해 성립되어 있다. IoT와 같은 피지컬 공간과 사이버 공간을 연결하는 기기·시스템은 이것을 이용하는 사람이나 조직의 기업활동·경제활동에 이익을 가져다주는 한편, 사고가 발생한 경우에는 이것을 이용하는 사람이나 조직이 손실과 책임을 지게 된다. 따라서 IoT 기기·시스템의 시큐리티를 확보하는 것이 제2층 시큐리티 대책의 핵심이다.

 

 

또한 제2층에서 기기뿐만 아니라 시스템도 대상으로 하고 있는 것은 시큐리티 대책을 검토할 때에는 해당 기기·시스템이 이용자에게 제공하는 부가가치에 주목하는 것이 중요한데, 센서나 액추에이터를 탑재한 기기 단독으로 부가가치를 제공하는 경우도 있는 한편, 해당 기기가 시스템에 내장되어 비로소 부가가치를 제공하는 경우가 있기 때문이다.

 

한편, 제2층의 시큐리티상 과제는 다 같지는 않다. CPSF에서도 이하와 같이 복수의 사례가 제시되어 있다.

 

· 센서의 기능에 대한 사이버 공격의 결과, 피지컬 공간의 데이터를 올바르게 전사할 수 없어 잘못된 데이터가 사이버 공간으로 제공됨으로써 데이터를 이활용해 실시되는 오퍼레이션에 대한 신뢰 상실

· 사이버 공간으로부터의 잘못된 지시나 IoT 기기에 대한 공격에 의해 피지컬 공간에서 기기의 제어가 잘못된 형태로 실시되어 작업원 등에 물리적인 위해가 가해지거나 기기의 파손 등에 의해 안전상의 문제 발생

· 사이버 공격 등에 의해 IoT 기기·시스템의 기능 정지

 

또한 사이버 공간과 피지컬 공간을 연결하는 IoT 기기·시스템 관리의 과제에 대해서도 이하와 같이 다루고 있다.

 

· 조직 등에서 IoT 기기가 담당하는 역할의 중요성에 따라 설치 구역 관리나 모니터링 실시 등 다층적인 대책 검토가 필요

· 개인에 의해 가정 등에 설치되는 IoT 기기에는 조직 등에 의한 관리가 잘되지 않는 것이 존재하므로 도난, 분실 등의 리스크를 고려한 대책의 실시가 필요

 

이와 같이 제2의 시큐리티 대책에는 IoT 기기·시스템에 관련된 과제의 다양성뿐만 아니라, 그 이용되는 환경의 다양성도 고려한 대응이 필요하다. 이러한 다양성에 대해 CPSF에서는 3층 구조 접근법을 통해 리스크 원인과 대책 요건을 정리하고, 대책 요건에 대응한 시큐리티 대책 예를 제시하고 있다. 또한 세이프티 확보를 대전제로 해서 기능 안전의 관점에서 대책이나 사이버 시큐리티 대책을 조합해 대응하는 것이 필요하다고 되어 있다.

 

IoT 시큐리티·세이프티 프레임워크 (IoT-SSF)

 

1. IoT 시큐리티·세이프티 프레임워크의 목적

IoT 시큐리티 가이드라인에서도 다루었듯이 간단한 정보 서비스 분야에 사용되는 IoT 기기와 공장이나 사회 인프라 시스템 등의 안전에 관련된 분야에서 사용되는 IoT 기기에서는 요구되는 시큐리티 수준, 시큐리티 대책의 목적, 우선도가 다르다.

 

앞으로 IoT 활용이 확대됨에 따라 각 분야의 특수성과 다양성을 고려해 사용 분야별로 개별․구체적인 IoT 기기·시스템에 대해 실제 시큐리티 대응이 진행될 것으로 생각된다. 그 과정에서 사이버 공간과 피지컬 공간을 연결하는 기기·시스템의 시큐리티·세이프티에 관해 포괄적으로 과제를 파악하는 통일적인 기법이 결여되어 있기 때문에 각 분야나 업계에서 별도의 검토 프로세스를 거쳐 독자적인 시큐리티·세이프티 대책 등이 설정될 것으로 우려된다. 각각의 대응책에 부정합이 발생하면 사회적으로 새로운 구조를 수용하고 관리하기 위한 비용이 증가할 위험이 있다.

 

따라서 위와 같은 사태를 피하기 위해 사이버 공간과 피지컬 공간을 연결하는 새로운 구조에 의해 초래되는 새로운 리스크에 주목해 리스크 형태 및 그러한 리스크에 대응하는 시큐리티·세이프티 대책의 유형화 기법을 제시하는 ‘IoT 시큐리티·세이프티 프레임워크’(IoT-SSF)를 2020년 11월에 공표했다.

 

즉, 다른 분야나 업계의 플레이어가 사이버 공간과 물리적 공간을 연결하는 기기·시스템, 다시 말하면 IoT 기기·시스템의 시큐리티·세이프티 검토에 기여하는 틀을 공유하기 위한 ‘기본적 공통 기반’을 제공해 IoT라는 새로운 구조를 사회적으로 유효하게 수용할 수 있도록 하는 것을 목적으로 한다. IoT 기기·시스템에 대해 일률적인 강제력을 갖는 규제의 창설을 의도하는 것은 아니라는 점에 유의할 필요가 있다.

 

2. IoT 시큐리티·세이프티 프레임워크의 기본 구성

사이버 공간과 피지컬 공간을 연결하는 새로운 구조에는 다양한 형태 및 그에 따른 시큐리티상의 과제가 있으며, 더구나 실제로 사고가 발생한 경우의 피해 양상도 매우 다양하다. 그러한 구조를 구성하는 기기·시스템에 대해 일률적인 시큐리티 요구를 설정한 경우, 가령 그 요구가 충족되어 있더라도 그것으로는 다양한 시큐리티 상의 과제에 충분히 대응할 수 없다. 즉, 이용자 등이 적절하게 보호받을 수 있는 상황이라고는 할 수 없다. 제2층의 시큐리티 대책을 검토할 때의 핵심은 이러한 다양성에 대해 어떻게 접근하는가 하는 것이다.

 

IoT-SSF에서는 사이버 공간과 피지컬 공간을 연결하는 새로운 구조·서비스의 ‘다양성’이라는 논점에 접근하기 위한 수단으로서 이 구조를 구성하는 기기·시스템(이하, ‘피지컬·사이버 간을 연결하는 기기·시스템’)에 대해 리스크를 파악하는 법과 그 대응에 관한 기본적인 개념을 집약한 세 가지 축을 활용해 카테고리화하는 동시에, 적절한 대책의 내용을 정리해 비교·검토할 수 있도록 하는 것을 제안하고 있다.

 

3. 피지컬·사이버 간을 연결하는 기기·시스템에 잠재된 리스크의 정리

피지컬·사이버 간을 연결하는 기기·시스템의 시큐리티상 과제가 실제로 사고 발생으로 이어진 경우에 영향이 나타나는 사상은 인명에 관련된 경우가 있는가 하면 프라이버시에 관련된 경우, 자산 훼손에 관련된 경우, 생활환경에 관련된 경우 등 매우 다양하다. 즉, 피지컬·사이버 간을 연결하는 기기·시스템에 잠재된 리스크는 다양하다.

 

그러나 사고 발생에 의해 영향을 받는 사상마다 정리를 하는 것은 피지컬·사이버 간을 연결하는 기기·시스템의 시큐리티 대책을 검토하는 데 있어 그 개념을 반대로 복잡한 것으로 만들어 버린다. 따라서 영향을 받는 사상에서 어떤 공통항을 추출함으로써 추상화된 소수의 기준으로 좁혀 피지컬·사이버 간을 연결하는 기기·시스템에 잠재된 리스크를 단순한 형태로 정리할 수 있게 할 필요가 있다.

 

이를 위해 IoT-SSF에서는 여러 가지 인명이나 신체, 프라이버시, 명예, 자산, 생활환경, 경제활동에 미치는 영향, 풍평 등의 영향을 받는 다양한 사상을 이하에 설명하는 두 가지 기준으로 추상화해 정리하고, 피지컬·사이버 간을 연결하는 기기·시스템을 해당 기기·시스템에 잠재된 리스크에 근거해 카테고리화하고 매핑하는 두 가지 축으로 설정하기로 했다.

 

제1축 : 발생한 사고의 영향 회복 곤란성의 정도

 

제1축은 사고의 영향력 회복 곤란성으로부터 리스크를 파악하는 것이다. 회복의 곤란성에 대해서는 우선 무엇보다도 인명, 신체에 관한 영향부터 생각할 필요가 있다. 말할 필요도 없지만, 인명을 잃으면 그것은 회복되지 않는다.

 

또한 사고 발생의 결과, 중도의 신체장애가 발생하면 완전히 회복될 수 있다고 말할 수 없는 경우가 적지 않다. 회복이 가능하다고 해도 조기에 회복할 수 있는 경우도 있고, 회복에 시간이 걸리는 경우도 있다.

 

이와 같은 사고로 인한 영향을 회복할 수 있는지, 또한 회복할 수 있는 것에 대해서는 조기 회복이 가능한지 여부의 판단축을 제1축으로 설정했다(그림 2). 이 제1축은 제품 안전, 노동 안전 등의 분야에서 법 체계에 의해 강제적으로 요구되는 안전 대책이나 금지 행위를 설정하는 규제 구조의 기본적인 개념과 동일한 입장에 서있으며, 기존 제도 체계와도 정합성을 확보한 것이다.

 

 

제1축에서는 위와 같이 우선 인명, 신체의 회복 불가능한 상황을 회피한다는 논점에서 개념 정리를 진행했는데, 개인의 프라이버시, 명예에 관련된 정보 중에는 한 번 밝혀지면 본인에게 회복할 수 없는 피해를 주는 민감한 정보도 포함되어 있어 이러한 본인에게 회복 불가능한 피해를 주는 정보 보호에 관련된 사상도 제1축에서 파악할 수 있는 과제로 정리될 수 있다.

 

제2축 : 발생한 사고의 경제적 영향의 정도

 

제2축은 사고에 의한 영향 회복 가능성·곤란성이라는 관점을 제외하고, 사고에 의한 영향의 크기를 금전적 가치로 환산했을 경우의 크기․·정도를 기준으로 한 것이다(그림 3). 이 기준은 앞에서 말한 인명, 신체나 심각한 프라이버시, 명예에 관련된 경우의 사고에 의한 영향 회복 곤란성을 고려한 것이 아니라, 그 영향 회복에 대해서는 금전적 가치로 환산해 파악하는 것이 가능하다고 가정하고 자산의 훼손, 경제활동이나 사회에 대한 영향 등의 사상을 제2축에 매핑해 파악하기로 했다.

 

 

제2축은 제1축과는 독립해서 생각해야 하는 기준이며, 제1축의 정리에서 회복 곤란성의 정도가 낮은 것으로 파악된 피지컬·사이버 간을 연결하는 기기·시스템이라도 제2축에서는 경제적 영향의 정도가 매우 높은 것으로 정리되는 경우는 충분히 있다.

 

한편, 제1축의 정리에서 회복 곤란성의 정도가 높은 것으로 파악된 피지컬·사이버 간을 연결하는 기기·시스템은 실제로는 배상금 등의 형태로 금전적 가치로 환산되는 가운데 상응하는 수준에 해당하게 될 가능성이 높다.

 

피지컬·사이버 간을 연결하는 기기·시스템의 카테고리화

 

제1축, 제2축의 두 가지 축에 근거해 피지컬·사이버 간을 연결하는 기기·․시스템을 해당 기기·시스템에 잠재된 리스크에 기초해 매핑할 수 있다. 예를 들어 제1축에서는 회복 곤란성의 관점에서 한정적인 피해(회복이 쉽다), 중대한 피해(회복이 쉽지 않다), 치명적인 피해(회복이 곤란) 등의 형태로 정리하고, 제2축에서는 경제적 영향의 관점에서 한정적인 경제적 영향, 중대한 경제적 영향, 괴멸적인 경제적 영향 등의 형태로 정리를 함으로써 리스크에 따라 9개의 상한(카테고리)으로 카테고리화할 수 있게 된다(그림 4). 각각의 기기·시스템에 대해 적절한 대책을 검토할 때에 이 카테고리를 이용할 수 있다.

 

 

앞에서 말한 바와 같이 피지컬·사이버 간을 연결하는 기기·시스템의 시큐리티상 과제는 다양하기 때문에 각 기기·시스템의 적절한 대책도 다 같지 않다. 그러나 이 카테고리에 근거해 검토를 함으로써 일반적으로 오른쪽 위에 분류되는 것일수록 사고로 인한 영향이 큰 경향이 있기 때문에 보다 신중한 대책이 필요하다고 생각되는 한편, 왼쪽 아래에 분류되는 것일수록 경미한 대책으로 충분한 가능성이 있다고 정리할 수 있다.

 

또한 여기서는 예로서 기기·시스템의 매핑을 했는데, 서비스를 구성하는 기기·시스템이 제공하는 기능에 주목해 매핑을 하는 것도 생각할 수 있다. 기기·시스템의 단위에 대해서도 매핑을 할 때에 임의로 설정할 수 있다. 또한 같은 기기·시스템이라 하더라도 어떤 환경에서 사용되는지, 해당 환경에서 어떤 역할을 하는지, 어떤 스킬을 가진 사람이 사용하는지 등 그 용도에 따라 그 중요성이나 과제, 사고에 의한 영향 등은 크게 다르다. 따라서 같은 기기·시스템이라도 사용 형태 등에 따라 매핑처가 다를 수 있다는 점에 유의할 필요가 있다.

 

요구되는 시큐리티·세이프티 요구의 정리

 

제1축과 제2축을 활용해 피지컬·사이버 간을 연결하는 기기·시스템에 대해 그 리스크를 감안해 카테고리화하는 것이 가능하지만, 이것만으로는 새로운 구조·서비스를 사회로서 수용하기 위한 구체적인 방책을 검토하기 어렵다. 그 때문에 IoT-SSF에서는 피지컬·사이버 간을 연결하는 기기·시스템의 시큐리티 대책을 포괄적으로 정리하기 위해 요구되는 시큐리티·세이프티 요구의 관점이라는 제3축을 설정한다(그림 5).

 

 

제3축은 제1축과 제2축으로 형성되는 평면에 직교하는 형태로, 말하자면 3차원을 구성하고 제1축과 제2축에 의해 정리된 각각의 카테고리에 요구되는 시큐리티·세이프티 요구의 관점을 나타내는 역할을 하는 것이다. 제3축은 시큐리티·세이프티를 확보하기 위한 기법을 이하의 네 가지 관점에서 정리하고 있다.

 

1. 제1의 관점 : 운용 전(설계․제조 단계 등)의 피지컬·사이버 간을 연결하는 기기·시스템의 확인 요구

피지컬·사이버 간을 연결하는 기기·시스템이 제조되고 실제로 이용되기 전의 단계에서 기기·시스템 자체가 필요한 시큐리티·세이프티 대책을 강구하고 있는지, 또는 해당 기기·시스템 등의 생산자나 공급자, 검사자, 경우에 따라서는 생산 설비·공장 등이 필요한 능력 조건 등을 충족하고 있는지 등을 확인하도록 요구하는 것이다.

 

시큐리티․세이프티 대책에 대해서는 그 내용을 공급자가 스스로 설정하는 경우와 법령 등에 의해 강제적으로 설정되어 있는 경우가 있다. 또한 그 내용이 충족되었는지를 확인하는 방법에 대해서도 자기 적합 선언이나 제3자에 의한 인증 등 다양한 형태가 있으며, 요구되는 확인 수준의 전문성이나 객관성 등을 감안해 실제 확인 방법이 설정된다.

 

2. 제2의 관점 : 운용 중의 피지컬·사이버 간을 연결하는 기기·시스템의 확인 요구

기기·시스템 운용 전에 시큐리티·세이프티 대책의 실시 상황을 확인해도 운용 중에 발생하는 고장, 실시되는 소프트웨어의 업데이트나 메인티넌스 등으로 인해 예상치 못한 문제가 발생할 가능성이 있다. 그러한 문제가 발생하고 있지 않은지를 확인하기 위해 운용 개시 후에 라이프사이클이나 서비스 기간도 고려하면서 기기·시스템을 확인하도록 요구하는 것이다.

 

운용 중의 시큐리티·세이프티 대책이 되기 때문에 보다 높은 수준의 시큐리티·세이프티를 확보하는 것이 가능해진다. 한편 기기·시스템의 소유자·운용자가 관여하거나, 기기·시스템의 소유권·관리권이 공급자 측에 남아 있는 등의 조건이 충족될 필요가 있어 확실한 실시를 요구해 가기 위해서는 각 이해관계자 간에 역할이나 책임 분계점을 명확화하는 등 보다 사회적인 구조를 마련할 필요가 있다. 또한 검사에 대해서도 자체 검사나 제3자에 의한 검사 등 다양한 형태를 취할 수 있다.

 

3. 제3의 관점 : 기기·시스템을 운용·관리하는 사람의 능력에 관한 확인 요구

기기·시스템의 오사용·오조작 등에 의해 발생하는 사고의 영향이 시큐리티·세이프티 대책만으로는 허용할 수 있는 수준이 아닌 경우에는 기기·시스템의 운용·관리를 하는 사람이 해당 기기·시스템을 적절히 운용·관리하기 위해 필요한 능력을 가지고 있는지를 확인하도록 요구하게 된다. 예를 들어 자동차의 경우, 운전을 하는 사람에게는 일정한 기술 및 지식을 가지고 있다는 것을 증명하는 운전면허의 취득을 요구하고 있으며, 사고가 발생한 경우의 영향이 크지만 사회적으로 큰 편익을 가져오는 기술을 사회로서 수용하는 사회적인 구조를 구축하고 있다. 또한 여기서 말하는 운용자의 경우는 서비스 제공자와 같은 시스템을 직접 조작하지 않는 사람도 포함할 수 있다.

 

4. 제4의 관점 : 기타 사회적인 서포트 등의 구조 요구

사고가 발생한 경우의 영향이 매우 크고, 해당 구조 등의 소유자가 개별적으로 배상 등의 대처를 실시하는 것이 쉽지 않은 경우에는 사전에 보험 가입을 의무화하는 등 사회적인 안전망을 강구하도록 요구하는 것이다. 예를 들어 자동차의 경우, 자동차를 소유하고 운전을 하는 사람에 대해 운전면허 취득을 요구하고 또한 강제 보험인 자동차 손해배상 책임보험에 가입하도록 의무화하고 있다. 이로 인해 사고를 낸 운전자의 자본력이 충분하지 않은 경우라도 피해를 입은 사람에게 최저한의 배상이 이루어지도록 사회적인 안전망을 구축하고 있다.

 

IoT-SSF의 사용 사례 정리

 

지금까지 IoT-SSF에 대해 해설해 왔는데, ‘IoT-SSF에는 추상도가 높은 부분도 포함되어 있어 독자에게 이해하기 어려운 부분이 있다’, ‘IoT-SSF에서 제시된 리스크 매핑 기법이나 카테고리화 기법에 관한 지침이나 가이드라인 정비가 필요하지 않을까’ 등의 의견을 받았다. 이러한 목소리를 바탕으로 기존의 리스크 관리 프로세스도 고려하면서 일련의 IoT-SSF 적용 흐름을 예시한 복수의 사용 사례(표 1)을 2022년 4월에 공표했다.

 

 

사용 사례집 내에서는 리스크 평가를 실시하기 위한 준비로서 대상 솔루션을 특정하고, 이해관계자, 시스템을 구성하는 기기, 데이터 플로 등을 정리한다. 그 다음에 예상되는 시큐리티 사고 등과 그 결과를 특정하고, 제1축 ‘회복 곤란성의 정도’ 및 제2축 ‘경제적 영향의 정도’의 판단 기준을 고려해 IoT 기기 시스템을 매핑해 평가를 실시한다. 리스크 평가 결과에 따라 리스크 대응을 하는 이해관계자가 실제로 강구하는 대책을 시스템을 구성하는 기기별 위협, 그에 따른 대책을 정리한다. 이러한 일련의 흐름이 구체적 사례에 따라 기재되어 있는 것이 이 사용 사례집의 특색이다.

 

또한 사용 사례집에는 시큐리티, 세이프티 확보에 기여하는 대책 요건, 대책 요건별로 실제로 강구하는 대책의 예가 정리되어 첨부되어 있으므로 구체적인 대책을 검토할 때에는 적절히 참조하기 바란다.

 

IoT-SSF의 활용

 

사이버 공간과 피지컬 공간을 연결함으로써 창출되는 새로운 구조·서비스는 앞으로 다양한 형태로 창출될 것으로 예상된다. 서비스를 실현하려는 주체가 IoT-SSF를 활용함으로써 피지컬·사이버 간을 연결하는 기기·시스템에 잠재된 리스크를 감안해 기기·시스템의 카테고리화를 실시하고 카테고리별로 요구되는 시큐리티·세이프티 요구의 관점을 파악해 카테고리 간에서 비교할 수 있게 된다. 이를 통해 각각의 프로세스로 검토한 경우라도 새로운 구조·서비스에 대응한 각각의 기기·시스템에 요구하는 시큐리티·세이프티 대책의 관점·내용의 정합성을 일정 정도 확보해 갈 수 있게 된다.

 

IoT-SSF를 활용할 때에 주의해야 하는 것은 IoT 기기·시스템의 용도에 따라 사고가 발생한 경우의 영향 내용이나 크기가 다르다는 것이다. 사용 사례집에는 IoT 기기·시스템·서비스를 제공 또는 이용할 때에 시큐리티 확보를 목표로 한 대응에 도움이 되도록 전체적으로 망라성을 의식하면서 6가지 사례가 선정되어 있다.

 

스스로가 검토하는 IoT 기기에 맞춰 유사성 높은 사례를 참고하면서 실현되는 구조·서비스에 관련된 각 이해관계자로부터 보아 사고가 발생한 경우의 영향을 적절히 분석하고, 제1축과 제2축에 따라 카테고리화를 실시해 그 카테고리에 따라 제3축을 활용하고 시큐리티․세이프티 요구의 관점·내용을 적절하게 검토해 가는 것이 필요하다.