글로벌 반도체 기업들 보안 솔루션 잇따라 출시 중
2017년 한 해동안 첨단 전자기술이 끊임없이 쏟아져나왔다. 최근 주목받고 있는 전자 기술들의 핵심은 디바이스와 클라우드, 사람을 연결한다는 것. 그렇기 때문에 이 기술들의 끝에는 결국 ‘보안’이라는 꼭 풀어야 하는 과제가 남아있다. 전자기술 12월호에서는 이러한 보안의 중요성에 대해 짚어보고자 “한 해동안 쏟아졌던 첨단 기술들, 결국 핵심은 보안”이라는 특집을 준비했다. 본 기사에서 보안 기술 동향과 마켓 트렌드에 대해 짚어보고자 한다.
약 1년 전, 다인(Dyn)에 가해진 디도스 공격으로 인해 아마존, CNN, 넷플릭스, 옥타, 핀터레스트, 레딧, 트위터 등 대형 인기 웹사이트의 운영이 방해된 적이 있다. 이 사건은 보안이 취약한 IoT 장치가 어떤 혼란을 불어일으키는지 잘 보여주는 예가 됐다.
글로벌 방위 기업인 탈레스(Thales)가 지난 10월, 2017 PKI 글로벌 트렌드 리포트(2017 PKI Global Trend Report)를 발표했다. PKI(Public key infrastructure)란 공개 키 암호 방식을 바탕으로 한 디지털 인증서를 활용하는 소프트웨어, 하드웨어, 사용자, 정책 및 제도 등을 총칭하는 용어이다. 2017 PKI 글로벌 트렌드 리포트에 따르면, 향후 2년 내에 IoT 장치 43%가 보안을 위해 디지털 인증서를 사용할 것이라고 한다. 그만큼 보안에 대한 중요도가 점차 커져가고 있다는 것이다.
커넥티드 디바이스 유저들이 소프트웨어 보안은 충분히 실행하고 있긴 하지만 소프트웨어로만 디바이스를 안전하게 보호하는 것은 사실 쉽지 않다. 그렇기 때문에 글로벌 반도체 기업들은 보다 안전하게 디바이스를 보호할 수 있는 보안 하드웨어들을 잇따라 발표하고 있다.
영국의 반도체 설계자산 기업인 Arm은 지난 달 IoT용 프레임워크인 Platform Security Architecture(이하 PSA)를 발표하며 보안 비전을 확장했다. Arm과 소프트뱅크 손정의 회장은 지난 해 개최된 ‘Arm TechCon’ 행사에서 2035년까지 커넥티드 디바이스의 수가 1조 개에 이를 것이라고 전망한 바 있다. Arm은 이러한 전망에 대해 1조 개의 디바이스를 보호할 수 있는 방안을 발표하게 된 것.
Arm의 수석 시스템 설계자인 앤디 로즈(Andy Rose)와 그의 팀원들은 이를 PSA 개발의 최우선 과제로 여기고, 디바이스와 성공 보안 사례에 대한 분석을 진행했다. PSA는 대표적인 IoT 위협 모델과 보안을 분석하며 엔드 포인트 기기 설계를 위한 최선의 방안을 정의하고 주요 보안 원칙에 기반한 하드웨어와 펌웨어 아키텍처 사양을 지니고 있다. PSA는 IoT 보안의 경제적인 측면에 근본적인 변화를 일으킬 것으로 보이며, 생태계가 오늘날 IoT 보안에 관한 비용, 시간, 위험 감소라는 공통적인 기본 원칙을 기반으로 구출될 수 있도록 하고 있다.
PSA와 함께 파트너들이 안전한 IoT 솔루션을 구축할 수 있도록 IP 포트폴리오에 ‘Arm TrustZone CryptoIsland’과 ‘Arm CoreSight SDC-600 안전 디버그 채널’을 추가했다. ‘Arm TrustZone CryptoIsland’은 고도로 통합된 보안 서브시스템(subsystem) 제품군으로, 온다이(On-die) 스마트카드 수준의 보안을 제공하고자 하는 제품이다. ‘Arm CoreSight SDC-600 안전 디버그 채널’은 디버그 액세스 전용 인증 메커니즘을 탑재해 시스템 보안을 손상시키지 않고도 완전한 디버그 기능을 제공할 수 있도록 한다.
Arm의 IoT 디바이스 IP 사업부 부사장 겸 총괄 매니저인 폴 윌리암슨(Paul Williamson)은 “Arm의 빠른 대처로, 주요 파트너들은 2018 1분기에 예정된 사양 및 소프트웨어 발표에 앞서 PSA 구조를 충분히 테스트하고 개선할 수 있게 됐다”며, “Arm과 Arm 생태계, 그리고 관련 업계는 더욱 신속하게 대응해야 할 것”이라고 말했다. 또한, “가치 사슬 전반에 ‘보안은 선택이 아닌 필수’라는 기본 원칙이 반영되어야 한다”며, “PSA와 Trusted Firmware-M에 대한 투자는 Arm의 노력을 증명하며, IoT 보안의 공통 기반을 향한 명확하고 빠른 길을 마련했다. 그 어떤 기기도 예외가 될 수 없다”고 강조한 바 있다.
Arm의 PSA는 ST마이크로일렉트로닉스(이하 ST)의 STM32H7 시리즈 MCU에도 활용됐다. ST는 전자기술 11월호에서 소개했던 STSATE 외에도 보안이 강화된 MCU와 안전한 차량용 커넥티비티를 위한 오픈 개발 플랫폼 등을 발표하며 지속적으로 보안에 중점을 두는 모습을 보이고 있다.
PSA가 활용된 ST의 STM32H7 시리즈 MCU는 TRNG(True Random-Number Generator) 및 최첨단 전용 암호화 프로세서를 비롯해 하드웨어 기반 보안 기능을 통합하고 있으며, 이를 통해 도청이나 위조(Spoofing), MITM(Man-in-the-Middle) 침입과 같은 공격으로부터 임베디드 애플리케이션 및 글로벌 IoT 시스템의 보호를 간소화할 수 있다. 전자기술 11월호에서도 STSAFE 시리즈가 소개된 바 있다.
커넥티드 카 분야도 놓치지 않았다. ST는 지난 10월 커넥티드 카를 사이버 위협으로부터 보호하고자 전용 보안 모듈을 내장한 자동차용 최신 프로세서를 출시했다. 전 세계 금융 및 정부 분야 애플리케이션에서 입증된 보안 칩과 업계의 주요 안전 및 품질 표준을 충족시키는 자동차 반도체 기술을 결합해 출시된 ST의 텔레마코3P(Telemaco3P) 텔레매틱스 및 커넥티비티 프로세서(STA1385)는 독립적으로 동작하는 HSM(Hardware Security Module)을 통합한 자동차용 마이크로프로세서이다. 데이터 교환을 감시하고 메시지 암호화 및 인증을 처리하는 독립 경비 업체처럼 동작하며 수신된 메시지 연결을 시도하는 모든 외부 기기에 대해 인증 여부를 안전하게 검사하고 감청 등을 방지하는 기능을 갖고 있다.
지난 11월에는 텔레매코3P를 가속화할 수 있는 새로운 모듈형 텔레매틱스 플랫폼(Modular Telematics Platform)을 발표하기도 했다. 이 플랫폼은 ST의 자동차 등급 다중배열(Multi-Constellation) GNSS 테세오(Teseo) IC와 추측항법(Dead-Reckoning) 센서를 통합하고 있으며, 텔레매코3P의 최첨단 자동차 보안 모듈은 옵션으로 제공되는 온보드 형식의 ST33 보안 칩(Secure Element)을 통해 보안 기능을 더욱 강화할 수 있다.
IoT 보안만큼이나 주목받고 있는 보안 시장이 바로 자동차 보안 시장이다. 자동차 반도체 분야에서 선두를 달리고 있는 NXP도 자동차 보안과 관련해 다양한 솔루션을 내놓았다. NXP는 지난 9월 차세대 RoadLINK 솔루션을 출시하며 보안 V2X(vehicle-to-everything communication: 차량 사물 통신) 분야의 리더십을 강화했다. NXP의 SAF5400은 자동차급, 고성능 싱글 칩 DSRC 모뎀으로, 오늘날 커넥티드 자동차 및 트럭에 사용되는 자율 주행 센서 스위트의 핵심 부분의 안전을 위해 작동한다.
NXP는 최고 수준의 보안을 구현하기 위해서 전자 여권, 은행 카드, 스마트폰 그리고 자동차와 같은 세계에서 가장 민감한 보안 환경에서 현재 널리 사용되는 기술을 기반으로 한 전용 하드웨어 SE(secure element), SXF1800을 제공한다. 서드파티 보안 평가 및 인증을 통해 검증된 SXF1800은 물리적 탐침(probing) 및 부당 변경(tampering)에 강력한 저항성을 띤다. V2X 보안 요건은 NXP의 i.MX 프로세서의 소프트웨어 기능으로도 충족될 수 있어, 고객들은 성능과 비용 간의 절충을 위한 선택을 할 수 있다. 보안 싱글 칩 V2X 솔루션에는 단일 하드웨어 솔루션으로 다양한 지역 표준을 지원하는, NXP의 소프트웨어 정의 라디오 기술이 통합되어 있다. 이 기술의 통합으로 개발, 자격 인증, 유지보수를 위한 노력이 상당히 절감되고, 글로벌 V2X 출시에 따르는 어려움을 완화할 수 있다. 아날로그 RF와 디지털 기저대역 프로세싱을 매우 압축하여 단일칩으로 통합한 것은 NXP의 소형 하드웨어 풋프린트와 관련된 RFCMOS 기술을 활용한 것이다.
NXP는 자동차 보안 외에도 여권 및 신분증의 설계방식을 혁신할 초박형 비접촉식 침 보듈인 NOB10도 지난 10월 발표한 바 있다. 인간의 머리카락보다 무려 네 배나 얇은 두께를 가진 이 칩 모듈은 데이터 페이지나 신분증 등 초박형 인레이(ultra—thin inlays)에 이상적인 제품이다. 새로운 보안 및 내구성 기능을 갖췄을뿐만 아니라 기존 생산 라인과 호환이 가능해 제조사들이 비용 부담이나 생산에 차질 없이 이용할 수 있다는 점이 장점이다.
맥심 인터그레이티드(maxim integrated, 이하 맥심)는 최근 물리적 침투형 공격에 영향을 받지 않는 ‘DS28E38’ 보안 딥커버(Deep Cover) 인증장치를 출시했다. 시스템 엔지니어들은 맥심의 솔루션을 통해 지적재산과 제품을 비용 효율적으로 보호할 수 있을 것으로 보인다.
DS28E38은 맥심 ‘칩DNA(ChipDNA)’ 기반의 물리적 복제 방지(PUF) 기술을 탑재해 침투형 공격에 영향을 받지 않는다. 이는 칩DNA 기반의 루트 암호 키가 메모리나 다른 안정 상태(static state)에 위치하지 않기 때문이다. 맥심 PUF 회로는 기본적인 금속 산화막 반도체 전계 효과 트랜지스터(MOSFET) 반도체 디바이스에서 자연스럽게 발생하는 랜덤 아날로그 특성을 기반으로 암호 키를 생성한다. 이 회로는 필요할 때 디바이스 고유 키를 생성하고, 사용되지 않을 경우 고유 키는 바로 사라진다. DS28E38은 물리적 침투형 공격을 받으면 회로의 민감한 전기적 특성이 변해 추가적인 보안 침해를 막아준다. 이 밖에도 보안 IC 키가 암호 연산에 직접 사용돼 키 관리가 단순해지거나 또는 관리할 필요조차 없어진다.
이 기사를 쓰고 있는 순간에도 지속적으로 커넥티드 디바이스의 수는 증가하고 있다. 그만큼 커넥티드 디바이스를 향한 위협도 증가하고 또 이에 대응하는 솔루션 또한 잇따라 개발이 진행되고 있다. 보안에 대한 인식 또한 고취되고 있기 때문에 업체들의 보안 솔루션 개발 및 출시는 앞으로도 과제로 남게될 것이다.
