[IoT 보안②] IoT 시작, 보안 내재화

홈 > 뉴스 > 뉴스 > 보안

[IoT 보안②] IoT 시작, 보안 내재화

IoT 보안에도 ‘제로 트러스트’…하드웨어부터 보안 내재화 시작

관련기사

[IoT 보안①] 초연결 사이버 공격 시대 열렸다

2019년 09월 15일 08:59:12

김선애 기자

iyamm@datanet.co.kr

[데이터넷] IoT 보안의 시작은 ‘보안 내재화(Security by Design)’다. IoT 기기와 애플리케이션, 서비스, 통신·네트워크 전체에 대해 기획부터 설계, 제조, 테스트, 배포, 운영관리 전체 영역에서 보안을 먼저 생각하고 진행해야 한다는 뜻이다. 최근 주목되는 보안 모델인 ‘제로 트러스트(Zero Trust)’가 IoT 보안에도 적용된다.

보안 내재화 설계를 위해 가장 먼저 IoT 기기 보안을 검증해야 한다. IoT 기기는 셀 수 없이 다양한 종류로 구성된다. 아주 작은 센서부터 서버까지 인터넷에 연결되는 모든 엔드포인트가 IoT 기기가 된다. 보안을 위해 사용할 수 있는 컴퓨팅 리소스가 없는 기기는 물론이고, 충분한 리소스를 가진 기기라 할지라도 보안 내재화 설계가 필요하다. 백신 서버에도 공격자가 침투할 수 있다. 기존 보안 기술을 우회하는 것은 어려운 일이 아니다.

기기의 보안 내재화는 하드웨어 단에서 시작한다. 공격자가 IoT 기기를 훔쳐 분석해 공유키와 암호 등을 탈취하고 공격 가능한 취약점을 식별하는데 성공한다면, 동일한 기기에 취약점 공격을 할 수 있다.

예를 들어 특정 모델의 가정용 IP 카메라의 취약점을 알아낸 공격자가 동일한 모델의 다른 제품에 침투해 사생활을 들여다볼 수 있다. 소비자용 IoT 기기는 소비자들이 관리자 계정을 관리하거나 비밀번호를 설정해야 한다는 것을 제대로 알지 못하기 때문에 이러한 피해를 입을 수 있다.

보안을 적용한 마이크로컨트롤러를 이용해 하드웨어 단에서 기기의 안전한 부팅과 위변조 방지, 안전한 펌웨어 업데이트, 안전하고 확실한 기기 인증을 제공하는 것이 필요하다. CPU에 이 기능을 올리면 CPU 부하가 심해 기기 성능을 저하시킬 수 있으므로 별도의 보안칩을 사용하는 것이 좋다.

펌웨어 업데이트, 보안 취약점 패치가 필요할 때 광범위하게 분산된 기기에도 즉시 패치 배포가 가능하도록 OTA 기능이 탑재돼 있어야 하며, 위조된 펌웨어나 보안패치가 배포되지 앟도록 소스코드 인증서 관리를 철저히 해야 하며, 인증서 키는 TPM과 같은 안전한 하드웨어 영역에서 관리해야 한다. 기기 인증을 위한 암호화 기술은 소량의 리소스만을 사용해 암복호화를 수행할 수 있는 타원곡선암호화(ECC) 를 사용하는 것이 제안된다.

토종 기술로 성장 이어가는 보안칩

보안칩 시장은 국내에서도 주목할 만한 성장을 보이고 있다. eWBM, 네오와인 등이 국내 보안칩 기업이며, PUF 기술을 상용화한 ICTK, 양자난수 기술을 이용한 보안칩 전문기업 이와이엘은 미국 연방정보처리 규격인 FIPS 140-2 인증을 획득하고 미국 시장 개척에 청신호를 올렸다.

시큐리티플랫폼은 OS 없는 기기를 위한 보안 플랫폼을 턴키 방식으로 제공해 제조사들이 보안에 대한 지식이 없고 보안 투자를 하지 않아도 쉽게 보안 내재화된 기기를 설계할 수 있도록 도와준다.

시만텍은 초경량 보안 클라이언트 ‘크리티컬 시스템 프로텍션(CSP)’로 IoT 기기를 보호한다. 이 제품은 하드닝 기술을 이용해 기기 위변조를 원천 방지하며, 디바이스 성능을 저해하지 않고 강력한 호스트 기반 보호를 제공한다. 레거시 OS나 단종된 OS에도 적용 가능하며, 취약점 여부에 상관없이 원본 상태를 유지할 수 있도록 한다.


▲KISA IoT 보안인증 신청 절차

한편 KISA는 IoT 보안인증제를 실시하면서 기기 제조사들이 보안을 기반으로 IoT 기기를 제작할 것을 독려하고 있다. 초기에는 제조사들이 기기 설계부터 다시 해야 해 시간과 비용이 많이 든다고 강력하게 반발했지만, 이제는 생각을 전환해 여러 기업이 인증을 받으면서 반대의 목소리는 잦아들고 있다.

KISA는 KT, 서울시, LH, SH 등 여러 기관과 MOU를 체결하면서 제조사들이 보안인증을 획득한 제품을 납품하도록 유도하고 있으며, 통신 3사와 IoT 제조사 등 유관업체를 대상으로 인증에 대해 꾸준히 안내하고 정보공유와 홍보활동을 강화하고 있다.