[2015 글로벌모바일비전] IoT에서의 융합보안1_ IoT 융합보안의 필요성 및 시장 분석
[2015 글로벌모바일비전] IoT에서의 융합보안2_ IoT 보안 솔루션 개발 현황
1. IoT 융합보안의 필요성 및 시장 분석
IoT 비즈니스 유형을 보면 보안 서비스의 필요성을 알 수 있다. IoT 서비스의 유형은 초기에는 기업 간(B2B) 서비스였으나 최근 들어 일반 소비자형(B2C) 서비스로 변화하고 있다. IoT 비즈니스 유형은 각각의 분리된 개별시장(Vertical Market)을 형성하고 있는 현재의 일반적인 유형은 내비게이션, 원격검침, 물류, 유통, 보안/관제, 의료, 자산관리 등을 들 수 있다.
이러한 마켓의 유형 중에서도 보안 관련 비즈니스 모델은 주로 지역, 빌딩 등의 관제에 포커싱되어 있는 것을 알 수 있다. 사실 지역이나 빌딩의 관제라고 하나 실제로 가장 많은 부분은 CCTV라고 해도 과언이 아닐 것이며 글로벌 시장을 위해 개척해야 할 성장 과제이기도 하다.
그림 1. IoT 기술 로드맵
그림 1의 IoT 기술 로드맵을 한번 살펴보자. 비록 CCTV 기반의 보안시장이 주도적이기는 하지만 모바일과의 연계, 다양한 센서와의 융합 등으로 IoT의 확산으로 이어지고 있음을 유추할 수 있다.
사물인터넷의 주요 분야별 전망을 보더라도 보안과 관련한 주목할 만한 항목이 있다. 바로 자동차(Automotive) 분야에서 향후 도난 방지를 위한 보안 및 추적(Security, Tracking)의 전망이 활성화되고 자동차 플랫폼으로의 적용이 크게 늘어날 전망이다.
자동차에 통신의 기능이 부가된 커넥티드카(Connected Car)가 몇 년 사이 최첨단의 기술로 급부상하고 있다. 바로 자동차 내부 장치 간, 자동차 간, 자동차와 주변 환경과의 통신을 수행하는 기술이다.
미국의 유명한 시장조사기관인 가트너에서 ‘The Top Connected Application in 2020’ 리스트에 커넥티드카를 1위의 자리에 올렸으니 그 가치는 매우 클 것으로 기대가 된다.
그렇다면 연결은 통신을 의미하고 통신에 장애가 생기거나 악의적인 개입이 발생한다면 그로 인한 결과는 독자의 상상에 맡기겠다. 실제로 약 3년 전 국내의 유명 정보보호 전문교육기관에서 스마트폰 앱을 통해 차량의 통신에 개입하여 차량의 브레이크 작동을 불능화시키고 엔진 스로틀을 최고로 올리도록 하는 해킹을 선보였다. 물론 실제 차량에 이러한 기술을 적용해 시범을 보였으니 그 장면을 보는 사람은 섬뜩함마저 느낄 만하다.
2. IoT 서비스 확산에 따른 각국의 보안 기술 정책 흐름
그림 2. IoT 융합보안 실증사업 추진 방향
2009년 7월 EU(유럽연합)에서는 사물인터넷에 구체적인 추진 계획인 14개의 사물인터넷 액션 플랜(Internet of Things-An Action plan for Europe)을 발표했다.
간단히 요약하면 다음과 같다.
연구개발, 서비스, 인프라 구축, 개인 정보보안 대책, 법·제도 그리고 평가 체계 마련 등의 행동 지침을 제시한 것이다. 특히 사생활 및 개인정보 침해에 대한 대응을 필수적으로 요구했으며 정보보호 조치로 민감 정보 인프라의 보호와 모니터링을 제안했다.
그동안 스마트글라스와 같은 첨단 제품들이 나올 때마다 제기됐던 프라이버시 보호를 정책적으로 통제한다는 미래지향적인 틀을 제공했다 할 만하다.
저자도 민감 정보의 범위를 분류하고 취득된 민감 정보에 대해 저항 요인을 최소화하는 표현 방법의 연구를 제안한 바가 있어 공감하는 바가 매우 컸던 기억이 있다.
산업 발전에 있어 후발 주자이지만 초식 공룡과 같은 덩치를 가진 이웃나라 중국의 예를 보자. 중국 공업정보화부는 2011년 12차 5개년(2011~2015) 계획에 사물인터넷을 추가한 ‘사물망 12-5 발전 규획’을 수록했다.
12-5 발전 규획은 8대 추진 방향을 가지고 있는데 그 중 보안을 포함하며 정보 안전 보장을 정책적으로 명시했다. 정보 안전 보장 추진 방향에는 1. 안전기술 R&D강화, 2. 안전보장 시스템 구축 보완, 3. 네트워크 인프라 보호 강화 천명하였다. 단순한 글로벌 시장의 잠식 이후에 대한 대비를 국가가 주도하고 있다고 보인다.
특히, 일본은 2009년에 수립한 ‘i-Japan 전략 2015’에서 센서 네트워크 기반의 사물통신(M2M) 기술 및 서비스를 개발하는 계획이 포함됐다. 5대 전략으로는 ‘액티브하고 쾌적한 생활’, ‘빅데이터의 활용에 의한 사회·경제 성장’, ‘리치(rich) 콘텐츠 향유’, ‘견고하고 유연한 ICT 인프라 구축’, ‘세계 최고 수준의 보안 환경 구축’을 들 수 있다.
5대 전략치고는 너무 추상적이라고 생각되지는 않는가. 하지만 언제인가 세계에서 가장 안전한 도시로 도쿄가 선정됐다는 기사를 본 저자로서는 이와 같은 대전제가 가지는 정책 의지를 깊이 느끼고 얄밉게도 철저한 일본의 정책 방향 제시와 실제적인 수행에 다시금 찬사를 보냈다.
현재까지의 사물인터넷 기술은 수직 시장 위주로 성장했으므로 프라이버시나 보안의 위협성에 대한 필요성을 크게 인지하지 못했다. 개별의 시장들이 폐쇄성을 가지고 있다고 해도 과언이 아닌 것이다. USN이 자신들만의 프로토콜을 사용한 덕분에 시장에서 크게 부흥하지 못한 것도 비슷한 이유일 것이다.
특히, 국내의 사물인터넷 서비스 시장은 이동통신사를 중심으로 소규모 센서 네트워크 서비스(예를 들어, 물류 추적, 원격 검침 서비스, 공공 서비스)가 주를 이루고 있어 소비자 시장으로는 크게 확산되지 못했다. 소비자 영역에서는 하이패스 정도만이 활성화되고 있으며 이동통신사 중심의 단순 결제, 보안 서비스 외에 텔레매틱스, 헬스케어, 스마트 팜 등 최근 기술이 적용된 서비스도 상용화되기 시작했다.
이렇듯, 사물인터넷 시장의 확대에 따라 보안 위협에 대한 노출도 증가하게 될 것이다.
2012년의 통계를 보면 국내 사물인터넷 디바이스는 자동차 분야가 상대적으로 보급 비중이 높았고 다음으로 지능형 빌딩, 가정 등의 순위를 기록했다. 자동차에서는 하이패스(773만대)와 지능형 빌딩에서는 CCTV 등 보안(274만대) 분야가 상대적인 비중이 높았으며 AV 디바이스, 모바일 POS(Point of Sale), 스마트미터가 활성화가되고 있다.
향후 국내 사물인터넷 서비스 시장은 헬스케어, 생활 편의 등 ‘소비자 영역’으로도 크게 확대될 것으로 전망되며 자동차 분야와 스마트미터는 더욱 더 기술 고도화가 이루어질 전망이다.
결국 시스템, 네트워크, 플랫폼에 대한 총체적인 보안 위협이 증가한다고 단언할 수 있다. 국내에서의 IoT 정보보호 로드맵의 주요 현안은 다음과 같다.
- 보안이 내재화된 기반 조성
- 글로벌 융합보안 시장을 선도하는 9대 보안 핵심 기술 개발
- IoT 보안 산업 경쟁력 강화
정부에서 시행하고 있는 IoT 융합보안 실증사업의 7대 분야(스마트카 서비스 모델, 공급 기관 연계형 헬스케어, 스마트그리드 에너지 관리 시스템, 스마트 홈 관리 시스템, 지능형 스마트 공장, 개방형 스마트 시티 플랫폼, 스마트 클린-워터 정수장)에서 IoT 제품 또는 서비스의 설계 단계부터 유통 공급 및 유지보수 전 주기에 걸친 보안 내재화 추진을 목표로 하고 있으며 공급자의 3대 보안 원칙으로 ‘안전한 구조 설계’, 핵심 요소의 안전한 개발, 공급망 안전 확보‘를 제시했다.
국내 IoT 정보보호 로드맵을 통해 보안과 안전을 고려한 민간 주도의 IoT 보안 인증 도입을 적극 지원하고 IoT 제품 및 서비스를 안전하게 보호하기 위해 디바이스, 네트워크, 서비스·플랫폼 등 3계층별 특성을 고려한 9대 보안 핵심 기술을 개발하는 ‘시큐어돔’ 프로젝트도 추진한다. 이는 IoT 침해 사고에 대한 종합적인 대응 체계를 단계적으로 마련하겠다는 정책적 의지로 비쳐진다. <계속>
최용수 조교수 _ 성결대학교 파이데이아대학
