[사물인터넷 보안 1] 보안 위협에 노출된 IoT
[사물인터넷 보안 2] 7대 부문 IoT 제품 및 서비스 보안 강화
IoT 보안 우수기업 발굴·육성
IoT 보안 스타트업 기업 지원, IoT 시큐리티 센터 구축, IoT·융합보안 시범사업도 동시 추진한다. 이미 추진 중인 스타트업 프로그램 안에 IoT 보안분야를 추가해 기획·개발·테스트·투자유치·해외진출 등을 원스톱으로 지원한다.
또한 보안 스타트업 육성, IoT 보안 실증사업에 대한 컨설팅, 기술지원 등 IoT 보안 관련 기업 지원업무를 위한 IoT 시큐리티 센터를 IoT 혁신센터와 연계 구축하고 내년에는 판교 소재의 산학연 R&D센터로 이전할 예정이다.
전문가들은 관련 기업들이 많은 IoT 디바이스들에 어떤 보안기능을 탑재해야 하는지 몰라 보안을 고려하지 않고 출시하고 있으며, 보안기능을 탑재하더라도 적합성 여부를 판단할 수 있는 인프라가 부족하다고 지적해왔다.
실제 HP가 지난해 실시한 IoT 제품 보안수준 점검 결과, 70%의 IoT 디바이스는 통신과정에서 암호화를 수행하지 않고 있으며, 80%의 디바이스 및 이와 연동된 애플리케이션에서 취약한 패스워드 인증방식을 사용하는 것으로 나타났다. 또한 90%의 IoT 디바이스, 클라우드 및 모바일 앱에서 최소 1가지 이상 개인정보를 수집하는 것으로 조사됐다.
7대 분야 IoT 제품·서비스 보안 강화
IoT 제품 생산, 서비스 제공 시 활용 가능한 보안 고려 사항 개발과 민간 자율 적용 유도를 통해 IoT 제품 · 서비스의 보안 내재화를 촉진한다는 전략이다. 즉, IoT 제품과 서비스 개발 초기에 안전성을 확보, 피해를 예방하거나 최소화시킨다는 것이다. 특히, 홈·가전, 의료, 교통(스마트카· ITS), 환경·재난, 제조, 건설, 에너지 등 7대 IoT 분야의 공통 보안 원칙과 분야별 보안 고려사항을 개발한다는 방침이다.
우선, IoT 관련 사업자가 제품 생산, 서비스 제공 시 보안성 확보를 위해 기본적으로 고려할 사항인 ‘공통 보안원칙’을 개발해 이를 보급한다. 설계→개발→운영 등 IoT 제품 서비스 생산과정을 고려해 올해 내 원칙을 마련한다. 그리고 이를 산학연 전문가 자문단에서 심층 검토 후 확정·공표할 예정이다. 또한 스마트챌린지 사업에 시범 적용해 실효성을 검증하고 이를 개선한다는 일정으로 추진한다.
설계단계에서는 정보보호와 프라이버시 강화를 고려한 IoT 제품 서비스을 설계하고, 안전한 소프트웨어 및 하드웨어 개발기술을 적용하며 이를 검증한다. 운영단계에선 사용자 편의 중심의 보안 설정/구성 기술을 제공하며, 표준화된 보안 프로토콜 준수 및 안전한 파라미터를 설정한다.
관리단계의 경우, IoT 제품의 취약점 보안패치 및 업데이트를 지속하고, 안전한 운영 관리를 위한 정보보호 및 프라이버시 관리체계를 마련한다는 것이다. 또한 IoT 침해사고 대응체계를 마련한다는 계획이다.
이와 함께, 7대 IoT 분야별 ‘보안 가이드’ 개발 기술을 내년부터 지원할 예정이다. 보안가이드 개발을 위한 사전 작업으로 연내 IoT 보안 관련 산업에 대한 실태 파악과 ‘공통 보안 요구사항’을 도출한다.
업계 전문가들은 실제 IoT 디바이스의 경우 응용 서비스 종류에 따라 다양한 수준의 보안 강도를 필요로 한다고 입을 모은다. IoT 디바이스는 공격자에게 쉽게 노출될 수 있는 환경에 주로 설치되기 때문에 부채널 공격이나 펌웨어 코드 추출, 키 값 추출 등 다양한 하드웨어 보안 취약성을 갖는다는 것이다.
이들 전문가는 때문에 하드웨어 보안성을 강화하기 위해, TPM(Trusted Platform Module)이나 HSM(Hardware Security Module), Trust Zone, JTAG 보안, 펌웨어/코드 암호화, 실행코드 영역제어, 역공학 방지 기법 등 다양한 하드웨어 보안 기법이 존재하며 이를 디바이스 서비스 응용 환경에 따라 적절히 적용할 필요가 있다고 지적한다.
정부는 이에 따라 홈가전 부문 보안 가이드의 경우, 스마트홈·가전 디바이스는 출시전 보안취약점 점검을 의무적으로 실시하고, 출시 후에도 제조사는 지속적으로 보안패치를 적용하고 배포하도록 할 방침이다. 또한 개인정보의 저장·관리, 음성·영상 저장기능이 장착된 디바이스의 경우, 프라이버시 보호를 위한 사용자 인증 및 접근제어 기능을 적용하고 원격제어 기능이 탑재된 스마트 홈·가전 디바이스는 외부 비인가 접근을 방지하기 위해 사용자 인증 및 암호화 통신기능을 적용해야 한다.
의료 부문에선 개인·질병정보를 저장·처리하는 의료장비 및 이와 연동되는 데이터 처리장치는 프라이버시 보호를 위한 인증 및 암호화 기능을 적용해야 한다. 의료 디바이스에 대해 정기적인 취약점 검증을 수행하고, 국제표준을 고려한 보안 관리체계를 적용토록 하며, 스마트의료 서비스로 수집·관리·공유되는 개인정보에 대해서도 보호방안을 마련한다는 게 정부의 계획이다.
교통 분야에서도 ABS, TPMS 등 자동차 주행, 구동장치의 중단/오작동을 방지하기 위해 데이터 암호화·복구, 비인가 접근통제 등 보안기능을 적용하는 한편, 전자제어시스템(ECU)과 연동된 각종 전자시스템은 정기적으로 취약점을 점검하고 보안패치를 적용할 예정이다. 이와 함께 디지털 운행기록계를 통해 수집되는 정보의 안전한 저장·관리를 위해 ITS는 DB 보안기술을 적용하며, ITS의 차량검지센서, 노변장치에서 전달되는 모든 교통 데이터는 암호화 처리토록 할 방침이다.
IoT 보안 위협 종합 대응체계 구축
IoT 보안 위협에 대비하기 위한 공동 대응체계를 확립하고, IoT 핵심 인프라의 보안 강화를 통해 피해를 예방하거나 최소화한다는 전략이다.
정부는 이에 따라 IoT 제조·보안업체 등이 참여하는 보안 협의체를 구성하고, IoT 인프라의 보호를 강화하며, IoT 보안 위협 대응체계를 구축한다는 계획이다.
IoT 보안 협의체의 경우, IoT 보안정책 수립 등을 위한 이슈 논의와 기술 ·정책 자문을 위해 올해부터 정부 및 산하기관, IoT 제조업체, 보안업체, 학계 등 총 50여개 기관으로 구성된 IoT 보안 얼라이언스를 운영키로 했다. 실제 IoT 분야에서는 얼라이언스를 중심으로 표준 및 시장 주도권 확보를 위한 활동을 강화하고 있다.
IoT 인프라 보안을 강화하기 위해 에너지, 제조, 의료분야의 정보통신 기반시설 중 중요성, 침해 시 피해규모나 범위 등을 고려, 전자적 침해 행위로부터의 보호가 필요하다고 지정되는 시설을 대상으로 IoT 보안 관련 모의해킹 훈련 등 대응 역량을 강화시킬 계획이다.
김유활 기자 (yhkim@hellot.net)
