IoT IAM, IoT 보안의 기본
사우디아라비아 국영석유회사 아람코가 2019년 드론 공격으로 석유생산이 중단되는 사고를 당했다. 이로 인해 국제유가가 폭등하면서 전 세계에 영향을 미쳤다. 드론이 실제로 군사용으로 사용될 수 있다는 사실을 보여준 중요한 사고다.
드론 보안에서 중요한 이슈 중 하나가 ‘제어장치와 드론의 안전한 통신’이다. 신호를 탈취해 조작된 명령을 내리거나 드론 신호를 분석해 이동 목적과 경로를 미리 알게 된다면 심각한 문제를 일으킬 수 있다. 공중의 수많은 통신신호가 혼선되지 않고 드론과 제어장치가 정확하게 통신하도록 하는 것도 중요한 사항이다.
“IoT IAM, 2025년까지 연평균 60.2% 성장”
이는 드론만의 문제는 아니며, 모든 사물인터넷(IoT)이 갖고 있는 어려움이다. 방대한 양의 다양한 IoT 장치가 사용되는 초연결 사회에서, 공중의 수많은 통신 신호 중에서 정확한 신호를 받아 명령을 수행하도록 하는 기술이 필요하다. IoT 통신을 보호해 기밀정보나 개인정보가 유출되지 않도록 해야 하는데, 특히 우리나라 개인정보보호법, EU GDPR 등 강력한 규제가 등장하면서 IoT 보안이 더욱 중요하게 됐다.
IoT IAM(IoT Identity & Access Management)이 이 문제의 솔루션으로 주목받고 있다. IoT IAM은 관리되지 않은 장치를 검색해 조치하고, 연결된 장치를 세분화해 통제하며, 기기의 ID 관리 및 액세스 제어 기능을 제공한다. IoT IAM은 COVID-19로 더욱 중요성이 높아지고 있다. 물리적 이동이 제한되면서 사람의 개입 없이 사물간 통신하는 환경이 늘어나게 됐다. 또 5G 확산으로 유·무선 고대역 통신이 가능해져 수십억개의 기기가 통신하는 대규모 트래픽 환경도 원활하게 지원할 수 있게 되면서 IoT 활용도가 더 넓어지고 있다.
수많은 기기가 연결되면서 기기 식별과 접근관리가 더 시급한 문제로 부상했다. 시장조사기관 쿼드런트 날리지 솔루션(Quadrant Knowledge Solutions)은 ‘2020년 SPARK Matrix: IoT IAM’ 보고서에서 “IoT IAM 시장이 4~5년 내에 가장 중요한 기술이 될 것”이라고 예측했다. 이 보고서에서는 IoT IAM 시장이 2020년부터 2025년까지 연평균 60.2%의 고속성장을 이룰 것이며, 2019년 1억3790만달러에서 2025년 23억4000만달러 규모를 형성할 것으로 예상했다. IoT IAM을 채택할 산업분야는 산업 제조, 의료·의료기기, 에너지·유틸리티, 자동차·운동, 스마트시티, 통신 등 사실상 거의 전 산업군이라고 분석했다.
광범위한 확장성·IoT 프로토콜 지원해야
IoT IAM은 기업이 사용하는 IAM과 다르다. 기업이 사용하는 IAM은 사용자 혹은 IP 주소를 기반으로 통제했지만, IoT는 유동IP를 사용해 IP 기반 통제가 안되며, 일부 기기는 다단계 인증(MFA)은커녕 ID/PW조차 적용하지 못하며, MQTT, CoAP, XMPP 등 IoT에 특화된 프로토콜을 사용하는 경우 기존 IAM과 연동하지 못한다.
IoT IAM은 수백만개의 기기를 관리할 수 있는 확장성을 보장하며, 다양한 IoT 프로토콜을 지원한다. IoT 기기의 수명주기 동안 ID와 무결성을 검증하고, 종단간 암호화로 데이터를 보호한다. 수십억 개의 IoT 장치와 네트워크 및 다른 장치, 사람, 애플리케이션 등 다른 엔티티와 통신을 처리한다.
IoT IAM의 가장 기본적이며 필수적인 기능은 기기의 보안키와 인증서를 배포하고 관리하는 것이다. 하드웨어 제조 단계에서 인증키를 내장하거나 OS나 펌웨어에 소프트웨어로 보안키를 삽입한 경우에도 실제 그 기기가 맞는지 확인하고 적법한 명령을 내리며 그 명령을 제대로 전달받아 확실하게 수행했는지 확인할 수 있어야 한다.
암호키는 다른 기기와 절대 중복되어서는 안되며, 탈취됐을 때 복호화 될 가능성을 제거해야 한다. 그래서 시간이 지날수록 더 길고 강력한 암호화 알고리즘을 요구하게 되며, 이를 처리할 수 있는 리소스를 더 많이 요구하게 된다. IoT 기기 중 암호화 인증에 충분한 리소스를 제공할 수 없는 경우, 대량의 IoT가 사용되는 환경에서 기기를 식별하고 통제하지 못하며, IoT 보안사고에 직면할 수밖에 없다.
중복되지 않는 일회용 ID로 IoT 식별·통제
센스톤의 ‘OTAC(One-Time Authentication Code)’는 중복되지 않는 일회용 ID를 생성시켜 IoT IAM의 핵심 문제를 해결한다. OTAC는 초소형 알고리즘 코드를 적용하기 때문에 가용 리소스가 극히 적은 IoT 기기에도 충분히 적용할 수 있다.
네트워크 연결 없이, 서버에 단말을 등록하는 번거로움 없이 즉시 생성되는 일회용 인증코드로 기기를 식별하고 통제할 수 있다. ID/PW, 인증코드 생성, RSA HW·SW, 토큰화 등 인증 시스템의 장점을 제공한다. API·SDK를 통해 IT 관리자에게 간단하고 원활한 통합 서비스를 제공할 수 있다.
센스톤은 170개 이상 글로벌 특허 출원과 50여개 가까이 등록을 마쳤으며, 200개 이상의 글로벌 지적 재산권을 출원 및 등록했다. 2020년 중소벤처기업부 아기유니콘 1위 선정, 세계적인 유니콘 육성 프로그램 ‘플러그앤플레이 핀테크 엑셀러레이터’ 등 국내외 촉망받는 스타트업들만이 얻을 수 있는 주요 육성 프로그램에 선정됐다. Cyber Security Breakthrough Awards 2020 올해의 인증 솔루션 선정 등 다수의 글로벌 시장조사기관으로부터 높은 평가를 받고 있다.
영국의 글로벌 헤드쿼터 스위치(swIDch)를 통해 글로벌 사업을 전개하고 있는 센스톤은 프랑스 방산기업 탈레스의 글로벌 스타트업 육성사업에 선정돼 국방 관련 기술 개발을 진행하고 있으며, 국내에서도 국방분야 인증 시스템 고도화를 위한 연구를 진행하고 있다.