[헬로티]

IoT 네트워크의 보안 문제는 보호할 대상, 범위, 특성, 보안 담당 주체, 보호 방법 등에 대해 기존의 사이버 환경과 달리 새로운 시각으로 접근할 필요가 있다. 특히 IoT 네트워크 구축 환경에는 기기의 연결 방식, 네트워킹, 객체의 속성 등 다양한 환경 조건들이 존재하기 때문에 각 액세스 포인트마다 더욱 주의가 필요하다. 

개요

사물인터넷(IoTs : Internet of Things) 관련 전후방 기술개발이 빠르게 진행되면서 웨어러블 디바이스, 헬스 케어(health care) 플랫폼1) 및 스포츠 용품 등 다양한 산업 분야에서 IoT 기술력 기반의 서비스들이 제공되고 있다. 

IoT 기술은 홈 어플라이언스, 건물, 자동차 및 모든 사물들을 P2P(People-to-People), P2M(People-to-Machine), M2M(Machine-to-Machine) 방식으로 인터넷을 통해 연결하고 있다. 이를 통해 RFID/USN 기반의 초연결사회를 구현할 수 있는 기반을 제공하고 있다[1][2][3]. 산업(기술) 분야별 주요 제품 출시 및 서비스 현황을 간단히 요약하면 다음과 같다[4][5][6][7].

- 웨어러블 디바이스 제조사인 미국의 Fitbit은 NIKE+ FuelBand의 기능에 수면 상태 및 음식 섭취 정보까지 트래킹(tracking)할 수 있는 단말기(Fitbit Flex)를 출시했다.

- 헬스 케어 분야에서는 피트니스 이용자, 노약자 및 만성질환자 등 일반 소비자를 대상으로 하는 원격진료, 약물전달 등의 서비스를 제공하고 있다.

- 2012년 스포츠 용품 제조사인 미국의 NIKE는 스마트 미디어 기기와 연동되어 사용자의 운동 상황을 체계적으로 기록하고 관리할 수 있는 단말기(NIKE+ FuelBand)를 출시했다. 

- 홍콩의 HapiLabs는 사용자가 음식물 섭취에 걸리는 시간 및 빈도를 알려주는 지능형 식기 도구(HAPIfork)를 출시했다.

이 연구에서는 공공 및 사설 네트워크의 특화된 보안 강화 전략이 필요한 IoT 프라이버시 보호 방안과 국내외 IoT 보안 기술개발 현황, 국내 각 기업의 IoT 도입에 있어 가장 큰 이슈인 취약한 보안으로 인한 IoT 네트워크 도입 장벽 이슈와 IoT 네트워크의 다양한 보안 위협 요인 및 사례에 대해 설명한다.

IoT 보안 기술개발 동향

(1) 프라이버시 보호 방안

공공 및 사설 네트워크, RFID 기반의 센서 네트워크, 3G/4G-LTE(A) 등 다양한 네트워크, 단순 신호처리 기능을 가진 저전력/저비용의 센서, 상용 OS가 탑재된 시스템 및 단말 등에 따라 특화된 보안 전략이 필요하다. 

IoT 네트워크의 보안 문제는 보호할 대상, 범위, 특성, 보안 담당 주체, 보호 방법 등에 대해 기존의 사이버 환경과 달리 새로운 시각으로 접근할 필요가 있다. 특히 IoT 네트워크 구축 환경에는 기기의 연결 방식, 네트워킹, 객체의 속성 등 다양한 환경 조건들이 존재하기 때문에 각 액세스 포인트마다 더욱 주의가 필요하다. 

IoT 보안 위협에 대응하기 위해서는 센서 및 기기, 통신 및 네트워크, 플랫폼, 응용 서비스로 구분하여 다음과 같이 각각의 보안시스템을 구축할 필요가 있다[8].

▲ 통신 및 네트워크 : 불완전하게 정의된 표준의 난립으로 인해 과도한 SSL(Secure Sockets Layer : 네트워크 데이터 암호화 프로토콜)2)에 의존하게 됨으로써 보안에 취약한 편이다. 이를 해결할 수 있는 보안 시스템을 구축 전략이 필요하다.

▲ IoT 기기 : 가격에 따라 CPU나 메모리 등의 성능이 다양하여 소프트웨어 업데이트 및 관리가 쉽지 않다. 따라서 기존의 보안 기술을 적용하기에 어려움이 있어 보안에 취약한 편이다. 이를 해결할 수 있는 보안 시스템 구축 전략이 필요하다.

따라서 가장 효과적으로 프라이버시를 보호하기 위해서는 정보의 ‘센싱-가공-처리-저장-활용’의 서플라이체인 단계별로 특화된 프라이버시 보호 기능을 제공할 필요가 있다. 또한 IoT 보안을 위한 침해 대응 체계를 다음과 같이 전면 개선할 필요가 있다. 

- IoT 관련 새로운 보안 취약점이나 악성코드 발생 시 이에 대한 신속한 탐지와 분석을 통해 대응 체계를 마련할 필요가 있다.

- 관련 업체 간 경쟁보다는 정보 공유를 통한 협력 체계를 구성하는 것도 매우 중요하다.

(2) 국내외 IoT 보안 기술개발 현황

IoT 네트워킹 및 제어/접속 플랫폼 구축 분야는 매우 빠르게 확산되고 있으나, IoT 보안 시장은 아직 초기 시장 진입 단계로서 아직은 선두주자가 없는 상황이다. 

이에 국내외 관련 기업들은 시장 선점을 위한 경쟁을 본격화하고 있다. 특히 국내 기업의 물리적 복제 방지(PUF)3) 방식의 전자 지문 보안 칩 기술력은 IoT 네트워크의 제어 및 접속 플랫폼의 보안을 강화하는 데 크게 기여한 것으로 평가받고 있다[9]. 국내외 IoT 보안 기술개발 현황을 <표 1>에 나타낸다.

▲ 표 1. 국내외 IoT 보안 기술개발 현황

국내 IoT 산업환경 분석

(1) IoT 네트워크 도입 장벽 이슈

국내 각 기업(공공기관 포함)에서 사물인터넷 기술을 도입하는 데 있어 가장 큰 이슈는 취약한 보안으로 인한 프라이버시 침해 문제, 생명과 안전에 대한 위협 문제 등이 이슈화되고 있다. 

특히 최근 들어 IoT 도입과 관련하여 보안을 위협하는 사례가 빈번하게 노출되고 있어 더욱 장애 요인이 되고 있다. 이를 해소하기 위해서는 현재의 사이버 환경과 달리 그 보호 대상 범위, 대상 특성, 보안 담당 주체, 보호 방법 등 IoT 환경을 고려한 새로운 보안 이슈를 해결할 수 있는 다음과 같은 접근 전략이 필요하다[10].

- IoT 도입 단계에서 가장 이슈화되고 있는 과제인 보안 및 프라이버시 침해 문제를 해결할 수 있는 전략이 필요하다.

- 안전 위협과 프라이버시 침해 문제 해결이 미흡한 상태에서 IoT 도입은 관련 시장의 성장을 지연시키는 큰 장벽으로 대두될 가능성이 있다.

이에 IoT 도입 초기부터 보안 문제 해결 방안, 법·제도적인 측면에서의 선제적인 육성 및 대비책 등 종합적인 해결 방안이 필요하다.

- 효율적인 IoT망을 구축하기 위해서는 대량의 정보를 ‘생성-수집-유통-관리-활용’하는 서플라이체인을 취약한 보안 위협 요인으로부터 보호할 수 있는 인프라 구축이 선행되어야 한다.

(2) IoT 보안 위협 요인 및 사례

1) IoT 보안 위협 요인

IoT 네트워크에 연결 가능한 디지털 기기의 70%가 수집된 정보를 클라우드 컴퓨팅 시스템이나 로컬 네트워크에 암호화되지 않은 상태로 전송하고 있는 것으로 나타났다. 아울러 IoT 기기의 60%는 보안에 취약한 웹 인터페이스(web interface)를 적용하고 있는 것으로 나타났다. 

소프트웨어를 업데이트할 때도 60%가 암호화를 사용하지 않는 등 암호화나 사용자 접근 권한 등에 있어 취약점을 갖고 있는 것으로 나타났다. IoT 네트워크 보안 관련 설문조사 결과, 응답자의 2/3가 보안에 대해 다음과 같이 우려하고 있다고 응답하고 있다[11].

- 응답자 중 가장 많은 70%가 민감한 개인정보의 노출에 대해 ‘매우 우려’ 혹은 ‘다소 우려’라고 응답했다.

- 응답자의 17.2%는 IoT가 보안에 취약하여 거의 재앙 수준이 될 것으로 우려하고 있다.

- 응답자의 48.8%는 기존의 다른 어플리케이션 및 시스템과 같은 정도의 보안문제를 우려하고 있다.

- IoT 보안 리스크가 큰 기기로 스마트폰 41.3%, 태블릿PC 10.7%, 자동차 9.4%, 가전기기/가정자동화시스템 8.8%, 웨어러블 디바이스 8.3%, 의료기기 7.2% 순으로 나타났다(표 2 참조).

▲ 표 2. IoT 기기의 보안 리스크 점유율

2) 보안 위협 사례

IoT 네트워크를 통한 개인정보의 유통(공유)은 다음과 같은 프라이버시 침해문제를 발생시킬 수 있다[3][4][12]. 

- 헬스 케어의 경우 개인의 의료진료 기록이 해커에 의해 외부에 유출되는 상황이 발생할 수 있다. 이에 보다 보안이 강화된 의료 정보화 전략이 필요하다.

 - 지능형 교통시스템(ITS : Intelligent Transportation System)4)의 교통신호등 제어 권한을 해킹하여 통제 기능을 잃고 교통사고를 유발하거나 교통이 마비되는 상황이 발생할 수 있다. 이에 보다 보안이 강화된 ITS(Intelligent Traffic System) 전략이 필요하다.

- 지능형 전력망 구축을 위한 스마트그리드(smart grid)망이 해킹을 당하여 통신과 전력계통이 완전히 다운되는 상황이 발생할 수 있다. 이에 보다 보안이 강화된 그리드 전략이 필요하다.

IoT 네트워크는 해커가 인터넷에 연결된 디바이스들을 아주 쉽게 찾아낼 수 있기 때문에 해킹 위협이 더욱 가중되고 있다. 

2013년 10월 쇼단(shodan) 검색 엔진5)의 등장은 가장 심각한 IoT 네트워크의 보안 위협 사례로 꼽히고 있다. 사물인터넷망을 통한 다양한 분야의 보안위협 사례를 요약하면 <표 3>과 같다.

▲ 표 3. IoT 네트워크의 보안 위협 사례

맺음말

사물인터넷(IoT) 기술은 사용자의 위치 측정 기술과 결합되면서 생활공간 자체를 스마트하게 변화시킬 수 있는 첨단 서비스를 제공하고 있다. 

실내외 위치 기반 서비스는 모바일 서비스의 새로운 가능성을 제시하면서 지금까지 활성화되지 못했던 사용자 맞춤형 서비스로 부상하게 될 것으로 예상된다. 

아울러 IoT 네트워크를 통한 지능통신(Intellectual communication)이 인간의 삶의 질 향상에 필요한 정보의 가치를 높이고 불확실성을 줄이는 필수 인프라가 될 것으로 기대된다. 

사물인터넷 산업을 활성화시키기 위해서는 1) IoT 시스템/플랫폼/네트워크의 사용자 인증 및 인가 2) 접근제어 3) 키 및 식별자 관리 4) 신뢰도 및 평판 관리 5) 프라이버시 보호 등과 같은 핵심 기술을 조기에 개발하여 미래 인터넷 거버넌스에 대응할 필요가 있다. 

아울러 IoT 환경에서의 빅데이터 처리 및 분석 기법 등에 대한 연구와 접목돼야 한다. 사물인터넷 기술이 스마트 홈 산업의 새로운 성장 동력으로 주목받고 있다. 이에 글로벌 경쟁력을 향상시키기 위해 IoT 기술 관련 전후방 핵심 지재권을 확보가 절실하다. 

IoT 네트워크를 통한 정보통신 패러다임의 변화는 영화에서나 이루어지던 일들이 현실 세계에서도 가능하게 하는 티핑 포인트(tipping point)를 제시하고 있다. 나아가 ICT 인프라와 접목되어 기후변화, 재난/재해, 여성/어린이/노약자 보호, 에너지 절감 등 다양한 전지구적인 문제점들을 해결할 수 있을 것이다. 이를 안전하고 편리하게 이용할 수 있는 산학연관민의 공동 노력이 필요하다. 

-------------------------------------------------------------------------------

1) ‌IoT 시스템에서 헬스 케어 플랫폼은 Integrator platform과 Two-sided platform으로 분류할 수 있다. 그러나 이들 분류기준이 명확하지 않아 어떤 IoT 기기가 어떤 플랫폼에 적용될 수 있는지가 분명하지 않은 점이 있다.

2) ‌SSL 프로토콜은 Web Sphere Application Server를 사용하는 클라이언트와 서버 간 보안 연결을 위해 확실성, 데이터 서명 및 데이터 암호화를 포함한 전송 레이어 보안을 제공한다. SSL의 기본 기술은 공용 키 암호화로서 엔티티가 공용 키를 사용하여 데이터를 암호화할 때 해당 개인용 키가 있는 엔티티만이 이 데이터를 암호 해독할 수 있도록 한다.

3) ‌인간의 지문과 같은 전자 지문의 일종으로 IoT 칩 제작 시 발생하는 공정편차를 이용하여 무작위 난수를 발생시키고 구현하는 원천기술이다. 국내 기업에 의해 칩 제작 단계에서 자연적으로 전자지문이 생기도록 구현하는 데 성공한 바 있다. 인간의 지문 복제가 힘든 것처럼 물리적으로 복제가 불가능하여 키 안정성을 높이는 차세대 보안 기술이다.

4) ‌지능형 교통시스템(ITS)은 기존의 교통 체계에 정보, 통신, 제어, 전자 등의 지능형 기술을 접목시킨 차세대 교통시스템을 말한다. 교통수단 및 교통시설에 전자·제어 및 통신 등 첨단 기술을 접목하여 교통 정보 및 서비스를 제공하고 이를 활용함으로써 교통 체계의 운영 및 관리를 과학화·자동화하고, 교통의 효율성과 안정성을 향상시키는 교통 체계이다.

5) ‌쇼단(shodan)은 IoT 네트워크를 효율적으로 운용하기 위한 도구로 개발되었으며, 특히 기업의 IoT 시스템을 잠글 때 유용하게 이용할 수 있는 도구이다. 그러나 점차 이를 악용하여 해커와 테러리스트의 표적이 되고 있다. 쇼단 검색 엔진을 이용하면 백 도어(back door)가 노출된 라우터, 안전하지 못한 웹캠, 기본값 비밀번호를 사용하는 제어시스템 등을 손쉽게 찾을 수 있다.

박세환 _ 한국과학기술정보연구원 전문연구위원