IoT

모든 것을 연결하는 IoT ... 제로 트러스트로 보호한다

데이터넷 김선애 기자
데이터넷 김선애 기자

운전을 하다 보면 내비게이션이 처음 설정한 경로가 아니라 실시간 교통상황을 반영한 대안 경로로 안내하는 경우가 있다. 대중교통을 이용할 때도 실시간 교통상황을 반영해 목적지까지 갈 수 있는 최적의 경로를 안내하며, 지하철, 버스 도착시간까지 상세하게 알려준다. IoT가 일상의 안전과 편의를 돕는 대표적인 사례라고 할 수 있다.

정부가 적극 추진하는 5G 특화망(이음 5G)은 IoT를 더 다양하게 만들 것으로 기대된다. 이음 5G는 5G 융합서비스를 필요로 하는 기업이 별도 주파수에 내부 전용망을 만들 수 있게 한 것이다. 특정 지역이나 건물에 맞춤형으로 통신 서비스를 이용할 수 있으며, IoT 도입 제약을 크게 낮출 수 있다, 이음 5G로 실현 가능한 서비스를 예로 들면, 제조시설의 생산과 물류를 연결해 생산부터 유통, 재고관리까지 효율화 할 수 있다.

IoT를 활용한 서비스가 다양해지면서 시장 성장률도 높아지고 있다. IDC의 '국내 스마트 커넥티드 디바이스 시장 보고서'에 따르면, 2021년 국내 시장은 전년 대비 5.6% 성장했다. 통계청 조사에서 2021년 전 세계 IoT 매출은 전년 대비 27% 급증한 173억 달러를 기록했다. 전 세계 극심한 경기 침체와 공급망 장애에도 2022년 13.3% 증가한 23억 달러를 기록할 것으로 예상되며, 2025년까지 45% 더 증가한 283억 달러가 될 것으로 전망된다.

 

IoT 성장 속 보안 우려 높아져

그러나 IoT에 긍정적인 면만 있는 것은 아니다. 보안 문제가 가장 심각한데, 가정용 CCTV, 아파트 월패드 해킹으로 사생활이 유출된 사고는 IoT 보안사고의 대표 사례라고 할 수 있다. 제조 설비를 해킹해 생산을 중단시키거나 기밀정보를 유출하고, 의료기기를 해킹해 환자의 목숨을 위험하게 만들 수 있다. 원전시설의 원격 유지보스를 해킹해 방사능이 유출되도록 하거나 국가 재난관리시스템을 중단시켜 대규모 재난·재해 시 대응하지 못하게 하거나 잘못된 알림으로 혼란을 유도할 수 있다.

IoT는 펌웨어조차 없는 단순한 센서부터 개인용 스마트 디바이스, 여러 형태의 로봇, 자동차, 의료기기, 건물의 각종 공조시설과 CCTV 등 다양한 기기를 아우른다.

연결되는 수많은 기기를 모두 다 파악하는 것이 쉽지 않으며, 다양한 펌웨어 및 OS·소프트웨어와 하드웨어 폼팩터를 사용하기 때문에 취약점을 관리하는 것도 어려운 일이다. 보안에 취약한 네트워크에 연결돼 해킹당하거나 중요정보를 탈취당하는 사고도 발생할 수 있다. IoT 환경에서 가장 흔하게 발생하는 보안위협은 허가되지 않은 기기가 무단으로 접속하는 것과 취약점이 있는 기기로 인해 해킹당하는 경우, 그리고 취약한 패치와 펌웨어가 업데이트 되는 것이다. 이러한 사고는 IoT 기기와 패치·펌웨어의 무결성을 검증한 후 연결하고 적용하는 과정을 추가하면 해결할 수 있을 것으로 기대된다.

IoT 기기의 인증을 위해 소프트웨어 플랫폼으로 신뢰할 수 있는 실행환경(TEE)’을 이용하는데, 기기 내에 별도의 독립된 보안 영역을 마련해 기기와 응용 프로그램의 무결성, 정보의 기밀성을 검증할 수 있게 한다.

TEE를 지원하지 않는 기기는 TPM, SE 등 보안칩을 이용해 보호할 수 있다. TPM은 암호화 연산과 키관리를 위한 하드웨어 칩이며, SE는 기기 내에서 인증서와 사용자 데이터를 보호하는 하드웨어 기반 암호화 저장소다.

 

지속적으로 검증·모니터링하는 제로 트러스트로 IoT 보호

TEE, TPM, SE는 사용이 어렵지 않지만, 이미 사용하고 있는 기기를 교체해야 한다는 문제가 있다. 기기를 제조할 때부터 이 기술을 적용해야 하는데, 그만한 전문성을 갖지 못한 제조사들이 많으며, IoT 기기의 제조 단가가 상승한다는 점 때문에 쉽게 도입하지 못한다는 문제도 있다. 또 이미 구축된 기기를 교체해야 한다는 점도 한계다.

이미 구축된 IoT 환경의 변화를 최소화하면서 IoT를 보호하는 여러 방법이 제안되고 있는데, 그 중 하나가 제로 트러스트다. 제로 트러스트는 모든 접근을 검증하고 모니터링하는 것을 원칙으로 하는 보안 전략이다.

기존의 보안은 사전에 인가된 기기는 까다로운 인증 없이 연결하고 권한 내 행위는 정상으로 간주했다. 그래서 해커들은 기기의 인증서를 탈취해 정상 기기로 위장했으며, 설정된 권한을 무단으로 변경하거나 잘못 설정된 권한을 이용해 데이터를 유출하고 시스템을 파괴했다. 또한 관제 서버에서 IoT 기기로 전송되는 명령을 해킹해 IoT 기기가 잘못된 행위를 하게 했다.

제로 트러스트 원칙을 따르면, 정상기기가 정상환경에서 접속한다해도 매번 검증하고, 기기의 행위를 계속 모니터링하기 때문에 교묘하고 지능적인 해킹을 막을 수 있다.

센스톤의 IoT Auth Platform OTAC의 경우, 매번 변경되는 일회용 인증코드로 기기의 접속을 인증할 뿐 아니라, 접속한 후에도 지속적으로 인증을 수행해 기기의 정상 작동 여부를 검증한다. 4KB밖에 안되는 경량 애플릿으로 설치될 수 있어 IoT 기기의 종류와 환경에 제한없이 적용 가능해 IoT에서 발생하는 다양한 보안 문제를 해결할 수 있다.

IoT는 일상생활과 사회 전반을 개선하고 효율화 할 수 있다. 사람들의 일상을 편리하게 하고, 건강을 관리할 수 있도록 지원하며, 에너지 절감으로 환경문제 해결에 도움을 주고, 사회 인프라를 안전하게 하고 기업의 생산성을 높이게 한다.

그러나 취약한 IoT는 사람들의 생명을 위협하고 사회를 혼란하게 만들며, 기업의 생존을 위태롭게 만들기도 한다. 제로 트러스트 보안으로 안전이 보장된 IoT를 구현해 IoT의 가치를 극대화할 때이다.

 

 

 

Leave a Comment