IoT 설계부터 보안 내재화 필수

해킹땐 대량 살상 등 치명적 위협
공급망 전 단계 새 패러다임 필요
보안 솔루션 개발· 출시 봇물 예상

■ 2015 스마트경제 꽃 피울 신산업ㆍ신기술-IoT 보안

2015년에는 본격적인 IoT 보안 기술 개발 및 표준 정립이 추진될 것으로 전망된다. 가장 우선적으로 추진되는 것은 보안이 내재화된 기반 조성이다. 홈·가전, 의료(식품)·교통(자동차, 항공, 철도)·환경(재난)·제조(공장)·건설·에너지 등 생활에 밀접하고 위협이 큰 분야를 중심으로 IoT 제품·서비스 설계 단계부터 유통·공급 및 유지보수까지 전주기에 걸쳐 보안 내재화가 폭넓게 추진되고 있다.

전문업체들은 먼저 IoT 서비스의 지속적인 보안수준 제고 및 침해사고 위험의 도미노적 전이·확산방지를 위한 보안 아키텍처 확립이 요구된다고 입을 모은다. 보호자산 및 위협을 실시간으로 식별하고 보안 정책을 수립해 침해사고에 대응할 수 있는 자동화된 플랫폼이 마련돼야 한다는 것이다.

기존 시스템, PC, 모바일 기기 중심의 사이버 환경과 달리 IoT 환경은 보호대상, 주체, 방법 등 모든 면에서 새로운 보안 패러다임이 필요하다. 모든 사물이 인터넷을 통해 상호연결이 공고해 질 수록 이에 따른 보안 위협 역시 크게 증가하기 때문이다. 인터넷 연결이 되는 TV나 냉장고, 자동차를 제조하는 회사라면 제품의 기획·설계단계부터 보안 요소를 반드시 고려해야 한다. IoT 서비스나 사회 기반 시설 역시 마찬가지다.

보안을 간과한 채 함부로 IoT 산업을 확산시킬 경우 이로 인한 피해는 기존 사이버 피해와는 비교가 되질 않기 때문이다. 지난 여름 열린 국제 해킹대회 블랙햇2014에서는 IoT 기기(자동차, 항공기, 가전, 의료 등)에 대한 해킹시연 및 취약점을 제시하고, IoT 보안문제가 해결되지 않고는 이용 확산이 불가능함을 강조하기도 했다. 실제로 미래창조과학부가 지난 11월 공개한 IoT 보안 위협 시나리오에 따르면 △악성코드가 감염된 차량진단 앱을 통한 자동차 원격제어 △심박기 신호정보 위변조를 통한 전류량 과잉 공급 △홈서버 해킹을 통한 댁내 가스밸브 원격 개방 △교통정보 수집 센서 해킹을 통한 신호 제어 △기내 와이파이를 통한 악성코드 감염 및 항공기 제어 시스템 오작동 유발 등이 있다.

이제껏 사이버 공격은 PC나 서버 등 시스템 저장장치를 파괴하거나 부하를 일으켜 동작하지 못하도록 해 서비스를 중단시키는 것이 목적이었지만 IoT 보안 위협의 경우 생명에 직접적이고 치명적인 위협을 가하거나 충격적인 사회적 혼란을 초래할 수 있는 것이다. 만약 이를 정치적으로 이용하려는 세력이 있다면 과거 비행기 폭탄테러로 수백명의 인명을 살상하거나 자살 테러 등으로 폭탄을 안고 버스나 가정집에 돌진할 필요없이 해커의 손 끝으로 대량 살상을 할 수 있게 된다는 의미다.

업계 역시 이같은 방향을 중심으로 기술 개발을 진행하고 있다. 각 IoT 제품별로는 설계단계부터 보안 취약점을 검증해나가는 시큐어코딩을 적용하는 한편 경량인증/암호기술 적용, 소프트웨어 및 하드웨어 품질안전 보증 적용 등 과거 PC나 서버 등에 요구됐던 사이버 안전장치가 IoT 제품과 서비스 전반에 요구되고 있다. 따라서 2015년에는 이같은 분야의 전문 IoT 보안 솔루션 개발과 출시가 봇물을 이룰 것으로 예상된다. 또 한가지는 개발 뿐만 아니라 IoT 제품, 서비스의 유통·공급 및 유지보수 등 공급망 (Supply Chain) 전단계의 위험관리를 위한 보안 관리체계를 확립하는 것이다. 유통이력을 식별하고 추적 관리하는 한편 공급·유지보수업체 보안통제 등을 정밀하게 통제할 수 있어야 IoT 보안이 비로소 가능하기 때문이다.

IoT 보안 위협은 산업 전반과 국가 설비까지 아우르기 때문에 민간과 정부의 협력이 필수다. 세계 각국 역시 민관 사이버위협 종합 대응체계를 구축하고 있다. 민간 기업은 IoT 제품·서비스별 취약점 정보를 정부와 공유하고 분석체계를 마련해 침해사고가 발생할 경우 정부와 함께 신속히 대응해야 한다.

강은성기자 esther@