[4차산업 iot분석55] “IoT 보안”… 이슈와 국내외 보안기술

[디지털비즈온 김맹근 기자] 프라이버시 보호 방안으로는 공공 및 사설 네트워크/RFID 기반의 센서네트워크/3G~4G-LTE(A) 등 다양한 네트워크, 단순 신호처리 기능을 가진 저전력/저비용의 센서, 상용OS가 탑재된 시스템 및 단말 등에 따라 특화된 보안 전략이 필요하다. IoT 네트워크 보안은 보호할 대상, 범위, 특성, 보안담당 주체 및 보호 방법 등에 대해 기존의 사이버 환경과 다른 새로운 시각으로 접근할 필요가 있다.

특히 IoT 네트워크 구축환경에는 기기의 연결방식, 네트워킹, 객체의 속성 등 다양한 환경조건들이 존재한다. 따라서 각 액세스 포인트마다 더욱 주의가 필요하다. IoT 보안위협에 대응하기 위해 서는 센서 및 기기, 통신 및 네트워크, 플랫폼, 응용서비스로 구분하여 다음과 같이 각각의 보안시스템을 구축할 필요가 있다.

통신 및 네트워크는 불완전하게 정의된 표준의 난립으로 인해 과도한 SSL(Secure Sockets Layer : 네트워크 데이터 암호화 프로토콜)에 의존하게 됨으로써 보안에 취약한 편이다. 이를 해결할 수 있는 보안시스템을 구축 전략이 필요하다.

IoT 기기는 가격에 따라 CPU나 메모리 등의 성능이 다양하여 소프트웨어 업데이트 및 관리가 쉽지 않다. 따라서 기존의 보안기술을 적용하기에 어려움이 있어 보안에 취약한 편이다. 이를 해결할 수 있는 보안시스템을 구축 전략이 필요하다.

따라서 가장 효과적으로 프라이버시를 보호하기 위해서는 정보의 “센싱-가공-처리-저장-활용”의 supply chain 단계별로 특화된 프라이버시 보호기능을 제공할 필요가 있다.

IoT 보안위협 요인 및 사례는 IoT 네트워크에 연결 가능한 디지털기기의 70%가 수집된 정보를 클라우드 컴퓨팅 시스템이나 로컬 네트워크에 암호화되지 않은 상태로 전송하고 있는 것으로 나타났다. 아울러 IoT 기기의 60%는 보안에 취약한 웹 인터페이스(web interface)를 적용하고 있는 것으로 나타났다. 소프트웨어를 업데이트 할 때에도 60%가 암호화를 사용하지 않는 등 암호화나 사용자 접근 권한 등에 있어 취약 점을 갖고 있는 것으로 나타났다.

IoT 네트워크를 통한 개인정보의 유통(공유)은 다음과 같은 프라이버시 침해 문제를 발생시킬 수 있다. 헬스캐어의 경우 개인의 의료 진료 기록이 해커에 의해 외부에 유출되는 상황이 발생할 수 있다. 이에 보다 보안이 강화된 의료 정보화 전략이 필요하다.

지능형 교통시스템 (ITS : Intelligent Transportation System)의 교통신호등 제어 권한을 해킹하여 통제기능을 잃고 교통사고를 유발하거나 교통이 마비되는 상황이 발생할 수 있다. 이에 보다 보안이 강화된 ITS(Intelligent Traffic System) 전략이 필요하다. 지능형 전력망 구축을 위한 스마트 그리드(smart grid) 망이 해킹을 당하여 통신과 전력 계통이 완전히 다운되는 상황이 발생할 수 있다. 이에 보다 보안이 강화된 그리드 전략이 필요하다.

미국 및 유럽 등에서는 IoT 산업 활성화와 이용자 보호를 함께 고려하는 제도를 시행하거나 준비하고 있다. 이를 위해 시장의 자율규제를 통해 각 서비스 분야별로 보안지침(원칙)을 적용하도록 유도하고 있다. 특히 인간의 건강과 생명에 직결되는 헬스캐어 분야에서는 보다 강력한 보안지침을 마련하고 이를 의무화하고 있다. 미국정부는 공공 및 민간 전문가 의견수렴을 통해 사이버보안 강화정책을 지속적으로 추진하면서 IoT 보안을 강화시키고 있다.

주요국의 동향

미국 동향은 미국은 정부보다는 CISCO, IBM, Oracle, Google, Apple 등 민간 차원에서의 사물인터넷에 대한 연구개발이 활발히 진행되고 있다. 그러나 정부 차원에서도 각종 리포트 등을 통해 사물인터넷이 국내 경제에 지대한 영향을 끼칠 것으로 예상하고 주시하고 있는 것으로 보인다.

유럽 동향은 적용분야의 경우도 스마트시티뿐만 아니라, 스마트산업, 사회복지, 농식품 관리 등의 다양한 분야를 포함하고 있다. 특히, EU의 IoT-A 프로젝트를 통해서 분류한 IoT 서비스 도메인은 스마트홈, 교통, 스마트시티, 리테일, 농업, 스마트 공장, 물류, 응급서비스, 라이프 스타일, 사용자 상호작용, 건강관리, 관광, 엔터테인먼트, 문화 및 에너지를 포함한 14개 도메인으로, 이중 스마트홈, 스마트시티, 교통 및 건강관리 도메인이 가장 관심있고 유망한 서비스 도메인으로 분류하였다.

중국 동향은 중국 정부는 국무원과 산업정보기술부를 선두로 하여 IoT 산업을 주도해왔으며, 보안, 산업용 인터넷 등 여러 분야에서 IoT 기술을 도입하는 등의 정책을 마련했다. 2020년부터는 4G에서 벗어나 5G 네트워크 구축망을 마련하여, 5G 시장을 선점하려는 움직임도 보이고 있다.

국내외 IoT 보안 기업 동향

IoT 네트워킹 및 제어/접속 플랫폼 구축 분야는 매우 빠르게 확산되고 있으나, IoT 보안 시장은 아직 초기 시장진입 단계로서 아직은 선두주자가 없는 상황이다. 이에 국내외 관련 기업들은 시장선점을 위한 경쟁을 본격화 하고 있다. 특히 국내 기업의 물리적 복제방지(PUF) 방식의 전자지문보안칩 기술력은 IoT 네트워크의 제어 및 접속 플랫폼의 보안을 강화하는 데 크게 기여한 것으로 평가받고 있다.

결론적으로 IoT 기술은 사용자의 위치측정 기술과 결합되면서 생활공간 자체를 스마트하게 변화시킬 수 있는 첨단서비스를 제공하고 있다. 실내외 위치기반 서비스는 모바일 서비스의 새로운 가능성을 제시하면서 지금까지 활성화되지 못했던 사용자 맞춤형 서비스로 부상하게 될 것으로 예상된다.

아울러 IoT 네트워크를 통한 지능통신(Intellectual communication)이 인간의 삶의 질 향상에 필요한 정보의 가치를 높이고 불확실성을 줄이는 필수 인프라가 될 것으로 기대된다. 사물인터넷 산업을 활성화시키기 위해서는 1) IoT 시스템/플렛폼/네트워크의 사용자 인증 및 인가, 2) 접근제어, 3) 키 및 식별자 관리, 4)신뢰도 및 평판 관리, 5)프라이버시 보호 등과 같은 핵심기술을 조기에 개발하여 미래 인터넷 거버넌스에 대응할 필요가 있다.

따라서 우리나라는 2013년 7월 미래창조과학부에서 ‘사물인터넷표준화협의회’를 발족하여 국내 산학연 등의 의견을 반영한 사물인터넷 국가표준 개발과 글로벌 표준화 선도를 추진하고 있다. 이에 사물인터넷표준화협의회는 삼성전자, LG전자, SK텔레콤, KT, LG유플러스, 삼성SDS, 모다정보통신, 엔텔스, 엑스톤 등 사물인터넷 분야의 13개 기업과 TTA, ETRI, KCA, KETI, 지능형전력망협회 등 관련 공공기관이 참여하고 있다.