보도자료

보안 없는 사물인터넷… 재앙으로 되돌아 올 수도…

페이지 정보

작성일17-06-12 13:55 조회648회

 

보안 없는 사물인터넷재앙으로 되돌아 올 수도

 세상은 빠르게 발전하고 편리해진다. 사물과 사람, 사물과 사물 모든 것이 네트워크로 연결되는 사물인터넷 세상은 더욱더 그렇다. 집의 조명을 켜고 가스밸브를 잠그지 않고 외출해도 다시 집에 돌아가야 하는 한다는 말은 구 시대적인 말이 되어 버렸다. 각종 가전기기들이 스마트폰 같은 허브 디바이스를 통해 모든 것을 통제할 수 있는 시대가 다가 오고 있다.

 

사물인터넷은 가전뿐 만 아니라 사람의 건강을 체크하는 의료 행위에 활용 되기도 하고 자동차 자율 주행, 무인 공장, 에너지 관리 등 가정과 산업, 의료 등 모든 분야가 적용 대상이 된다. 하지만 사물인터넷은 편리함만을 제공하지는 않는다. 네트워크를 통해 모든 것이 연결되는 초연결시대 이면에는 해킹이라는 보안위협이 공존하고 있다. 보안이 확보되지 않은 사물인터넷 환경은 바로 우리에게 재앙으로 되돌아 올 수 있다.

 

얼마 전 국내에서 개봉한 영화 분노의 질주-더익스트림편을 보게 되면 범죄자가 도시의 자동차들을 해킹해 테러에 이용하고 핵잠수함을 가동하기도 한다. 도시는 온통 자동차로 무법천지가 되고 세상은 핵전쟁 위험에 휘말린다. 이렇듯 사물인터넷 세상은 편리함만을 추구하고 안정성을 준비하지 못한다면 금전적인 범죄에서부터 은밀한 개인정보, 인명을 살상하는 범죄까지 가능해 진다.

 

재앙이 아닌 우리가 원하는 사물인터넷 환경을 구축하기 위해서 보안은 필수 불가결하다. 사물인터넷 기기 및 서비스를 제조하거나 설계할 때부터 보안 사항을 챙겨야 한다. 이미 2016년부터 국내외 사물인터넷 유관 50여개 기관들은 사물인터넷 보안 협의체를 구성하고 7대원칙 15대 요구사항을 정리하여 ‘IoT 공통 보안 가이드를 발표했다. 이는 최소한의 보안 요구 사항으로 안전하고 편리한 사물인터넷 세상을 위한 출발점이 되어야 할 것이다. 


[ IoT 공통 보안 가이드 7대원칙 15대 요구사항]

 

   보안원칙1: 정보보호·프라이버시 강화를 고려한 IoT 제품·서비스 설계

   ① IoT 장치의 특성을 고려하여 보안기능의 경량화 구현

   ② IoT 서비스 운영환경에 적합한 접근권한 관리 및 인증, 종단 간 통신보안, 데이터 암호화 등의 방안 제공

   ③ 소프트웨어 보안기술과 하드웨어 보안기술의 적용 검토 및 안전성이 검증된 보안기술 활용

   ④ IoT 장치 및 서비스에서 수집하는 민감 정보(개인정보 등) 보호를 위해 암호화, 비식별화, 접근관리 등의 방안 제공

   ⑤ IoT 서비스 제공자는 수집하는 민감 정보의 이용목적 및 기간 등을 포함한 운영정책 가시화 및 사용자에 투명성 보장

 

보안원칙2:  안전한 소프트웨어 및 하드웨어 개발기술 적용 및 검증

⑥ 소스코드 구현단계부터 내재될 수 있는 보안 취약점을 예방하기 위해 시큐어 코딩 적용

IoT 제품·서비스 개발에 사용된 다양한 SW에 대해 보안 취약점 점검 수행 및 보안패치 방안 구현

⑧ 펌웨어/코드 암호화, 실행코드 영역제어, 역공학 방지 기법 등 다양한 하드웨어 보안기법 적용

 

보안원칙3: 안전한 초기 보안 설정 방안 제공

IoT 장치 및 서비스 ()설치 시 보안 프로토콜들에 기본으로 설정되는 파라미터 값이 가장 안전한 설정이 되도록 'Secure by Default' 기본원칙 준수

 

보안원칙4: 보안 프로토콜 준수 및 안전한 파라미터 설정

⑩ 안전성을 보장하는 보안 프로토콜 적용 및 보안 서비스 제공 시 안전한 파라미터 설정

 

보안원칙5: IoT 제품·서비스의 취약점 보안패치 및 업데이트 지속 이행

IoT 장치·서비스의 보안 취약점 발견 시, 이에 대한 분석 수행 및 보안패치 배포 등의 사후조치 방안 마련

IoT 장치·서비스에 대한 보안취약점 및 보호조치 사항은 홈페이지, SNS 등을 통해 사용자에게 공개

 

보안원칙6: 안전한 운영·관리를 위한 정보보호·프라이버시 관리체계 마련

⑬ 최소한의 개인정보만 수집·활용될 수 있도록 개인정보보호정책 수립 및 특정 개인 식별정보의 생성·유통을 통제할 수 있는 기술적·관리적 보호조치 포함

 

보안원칙7: 사물인터넷 침해사고 대응체계 및 책임추적성 확보 방안 마련

⑭ 다양한 유형의 IoT장치, 유·무선 네트워크, 플랫폼 등 다양한 계층에서 발생 가능한 보안침해사고 대비 침입탐지 및 모니터링 수행

   ⑮ 침해사고 발생 이후 원인분석 및 책임추적성 확보를 위해 로그기록의 주기적 저장·관리




사물인터넷 보안 어떻게경량∙저전력 암호화부터

 

사물인터넷 환경은 데이터를 감지하는 센서와 디바이스, 데이터를 전송하는 네트워크, 사물인터넷 기기와 통신망을 통해 수집된 데이터를 활용하고 서비스를 제공하는 플랫폼 등으로 이루어진다.

 

 센서와 디바이스로 분류되는 사물인터넷 기기는 2025년 전 세계적으로 100억 개에 다다를 것으로 보인다. 이러한 수많은 기기는 홈, 교통, 의료, 에너지 등 모든 실생활 분야에 적용이 예상된다. 하지만 사물인터넷 기기 대부분은 대량의 소형 기기들로 관리가 취약하고 해킹 위협에 노출되어 있다. 이와 같은 사물인터넷 기기의 보안은 경량, 저전력 암호모듈 적용부터 운영체제 위∙변조 방지 및 디바이스 정지∙오작동 방지, 불법∙복제 방지를 위한 하드웨어 보안 기술 등이 요구된다.



(출처: 미래창조과학부 2014‘IoT 정보보호 로드맵’)

 

 사물인터넷 네트워크는 블루투스, Wi-Fi, 사물인터넷 전용 통신망(LPWAN) 등 주로 무선으로 이루어진다. 무선 네트워크는 유선과 달리 물리적으로 혼재되어 있으며 무선 주파수의 특성으로 인해 보안이 취약하다. 또한 유선은 네트워크 보안 시스템으로 트래픽의 수집과 분석이 가능하지만 무선 네트워크 환경은 분석이 쉽지 않다. 결국 사물인터넷 환경의 네트워크는 보안이 취약하고 트래픽 급증을 통한 공격에 노출되게 된다. 이러한 사물인터넷 네트워크 환경에서는 유무선 통합 네트워킹에 요구되는 단말 상호간 신뢰하는 인증 보안이 필요하며 해킹공격을 대비한 탐지 및 대응 기술 등이 요구된다.

 

 사람과 사물, 사물과 사물 무한이 연결되는 사물인터넷 플랫폼에서는 상호간 신뢰할 수 있는 인증 체계, 안전한 데이터 통신을 위한 구간 암호화 그리고 다양한 암호기술에 따른 키 관리 시스템이 사물인터넷 환경의 주요 보안 기술들이다.

  

 현재 많은 정보보안 기업들이 사물인터넷 보안 기술들을 경쟁적으로 출시하고 있다. 그 중 대표적인 기업으로 드림시큐리티는 H/W 칩 형태의 경량 암호모듈, 기기인증, 구간 암호, 키 관리 시스템 등 통합 IoT 보안 기술을 선보이고 있다.




사물인터넷 통합보안 플랫폼… Magic IoT

 Magic IoT는 사물인터넷 통합보안 플랫폼 제공을 통해 4차산업 혁명을 선도하고 있는 드림시큐리티(대표: 범진규)IoT 통합보안 솔루션이다.

 

 이 제품은 소형 기기에 적합한 경량화 암호모듈 및 기기인증, 통신암호, 키 관리 시스템 등 안전한 사물인터넷 환경 구현을 위한 통합 보안기술을 제공한다. 제품 사용자 입장에서는 한 곳에서 컨설팅 과 사물인터넷 보안 기술을 함께 제공 받을 수 있어 수고를 아낄 수 있다.

 

 2016년부터 드림시큐리티는 전자정부 IoT인증체계 구축, 한국전력공사 원격검침 시스템 암호모듈, 국내 자동차 및 휴대폰 제조 회사의 기기인증 등 사물인터넷 보안 제품을 공급하고 있다. 또한 지난 4월에는 H/W기반의 암호칩, S/W방식의 임베디드 암호기술 등 다양한 IoT환경을 고려한 보안기술 확보를 위해 암호기술연구센터를 개소하기도 했다.




(드림시큐리티 사물인터넷 보안 제품 구성도)

 

 특히 드림시큐리티의 사물인터넷 보안 핵심기술은 암호키 관리 시스템에 있다. 암호키는 건물 출입을 위한 열쇠에 비유할 수 있다. 출입문마다 열쇠가 다르듯 암호를 이용하는 시스템별로 다양한 암호알고리즘과 다양한 암호키가 활용된다. 사물과 사물, 사물과 사람이 무한대로 연결되는 환경에서는 암호 이용 시스템이 수없이 증가하며 그만큼 관리해야 할 암호키도 증가한다. 이는 곧 관리 비용의 증가로 연결될 수 있어 고객 입장에서는 보안 시스템 도입을 주저하게 된다. 이 문제를 해결할 수 있는 제품이 바로 ‘Magic KMS for IoT’ 이다. 이 제품은 드림시큐리티의 기존 공개키(PKI) 기반의 인증서 키관리 시스템을 응용하여 IoT환경에 적합하도록 단일화되고 표준화된 키관리 시스템을 제공하고 있다.

 

 향후 4차 산업혁명 시대의 주축인 사물인터넷 기술의 확산과 더불어 정보보안 산업도 중흥기를 맞이할 것으로 예상된다. 기존 환경에서는 비용으로 인식되던 보안 소프트웨어가 생명과 직결되는 사물인터넷 환경에서는 투자로 인식될 가능성이 커지기 때문이다. 이에 사물인터넷 통합보안 플랫폼 ‘Magic IoT’ 출시와 함께 사물인터넷 보안 기술을 선도하는 드림시큐리티의 행보는 업계의 관심을 더욱더 많이 받게 될 것이다. 

  


 

 

 

관련뉴스 바로가기

2017.6.8 (목) 전자신문 – 보안 없는 사물인터넷… 재앙으로 되돌아 올 수도…

맨 위로 가기/
맨 위로 가기/