“기기 위주 IoT 보안은 한계, 종단간 보안 내재화 필요”

[인터뷰] 7년간 IoT 보안만 한우물…이주화 이니텍 융합보안연구소장

“기기(Device)부터 네트워크, 서버, 사용자까지 사물인터넷(IoT) 전체 도메인에 걸쳐 보안을 구현하고, 제품과 서비스 전주기에 걸쳐 보안 내재화를 적용해야 한다.”

이주화 이니텍 보안솔루션부문 융합보안연구소장은 4차 산업혁명의 핵심 요소인 IoT 보안 방안을 이같이 제시했다.

구로디지털단지 이니텍(대표 장홍식) 본사에서 만난 이 소장은 “원(one)M2M, IoT-A, 올조인(AllJoyn), 로라(LoRa)를 포함해 국내외에서 제시되고 있는 IoT 표준 보안 기술을 보면 대부분 기기단 보호 대책 위주”라고 지적하면서 “기기 자체에 기본 보안기능을 제공하는 것을 넘어 네트워크, 서버, 사용자 도메인까지 전 구간에 걸쳐 보안이 내재화돼야 한다”고 강조했다.

국제 표준화 기구 등 IoT 단체를 포함해 국내에서 제시되고 있는 IoT 보안 가이드 역시 현재는 기기 위주의 보안 방안이 제시돼 있다는 것이 이 소장의 견해다.

국내에서는 과학기술정보통신부(옛 미래창조과학부)와 한국인터넷진흥원(KISA)이 2015년 IoT 공통 보안 원칙을 시작으로 지난해 IoT 공통 보안 가이드를, 올해에는 홈·가전 IoT 보안 가이드를 내놨다.

편리성과 성능, 보안성 다 잡아야…정보보호 3요소에 보증 3요소까지 필요

이 소장은 IoT 환경에 맞는 보안 원칙으로 기밀성(Confidential), 무결성(Integrity), 가용성(Availability)과 개인정보보호(Privacy), 안전성(Safety), 신뢰성(Reliability)을 꼽았다.

‘CIA’로 통하는 정보보호 3요소는 저장(Storage)·전송(Transfer)·처리(Processing)로 구성되는 정보처리 3요소 관점에서 정보보호를 구현해야 하는데, CIA 가운데 가용성·무결성·기밀성 순으로 중요성이 높다는 것이 그의 의견이다. 더욱이 정보보호 3요소만으로는 부족하고 ‘PSR’로 요약되는 보증(Assurance)의 3요소가 추가돼야 한다고 설명했다.

이 소장은 “IoT 보안 요소를 모두 충족하기 위해서는 보안성만 내세울 수는 없다. 기기와 서비스 성능과 사용 편리성도 매우 중요하기 때문”이라며 “IoT 보안성을 강구하기 위해서는 IoT 서비스의 편리성을 해치지 않고 빠른 성능을 보장하면서도 가용성을 확보할 수 있도록 부하분산이 구현돼야 한다”고 덧붙였다.

결국 IoT 보안성을 확보하기 위해서는 패러다임 변화가 필요하다는 얘기다.

간편인증, 경량암호, SW+HW 융합보안 등 필요

성능과 편리성, 보안성을 모두 충족할 수 있는 보안기술로 그는 간편인증과 간편시동, 경량 보안기술, 소프트웨어와 하드웨어 융합보안, 맞춤형 전 도메인에 걸친 종단간(end to end) 보안, 서비스수준별 맞춤형 보안, 맞춤형 유·무선 네트워크 보안이 필요하다고 제시했다.

이니텍이 지난 2015년 첫 선보인 IoT 보안 플랫폼인 ‘아이소트(ISoT)’는 이같은 IoT 맞춤형 보안기술 요소에 부합하도록 설계, 개발했다.

인증·암호 기술은 현재 가장 많이 적용되고 있는 공개키기반구조(PKI) 기반 TLS(Transport Layer Security)/DTLS(Datagram Transport Layer Security)가 아닌, 비밀키 경량암호 알고리즘(LEA, HIGHT, AES, ECDSA, ECDSA)을 사용한다. PKI 기반 TLS/DTLS는 저사양 IoT 단말에 적용하기 어렵고 성능도 저하시킬 수 있는데다 취약성도 발견돼 있다는게 이 소장의 얘기다.

경량암호 알고리즘은 전력 소비와 구현 면적을 최소화하고 고속의 암·복호화를 구현할 수 있다.

또한 기기부터 네트워크, 서버, 사용자 도메인별로 발생할 수 있는 해킹 가능성을 차단하고 도메인간 연계성도 고려해 소프트웨어와 하드웨어(칩)를 융합해 종단간 경량 인증과 경량 구간 암호화를 제공한다.

경량암호모듈과 국제공통평가기준(CC) 최고등급인 평가보증등급(EAL)5+ 인증을 받은 다양한 보안카드(칩)을 사용하고 있다.

현재 IoT 기기 보안성을 높이기 위한 하드웨어 보안장치(SE, Secure Element)인 보안 마이크로SD, 심(SIM), TPM(Trusted Protected Module)을 비롯해 SE 내에 탑재되는 초소형 보안칩인 보안 난수발생기(PUF), 양자난수발생기(QRNG) 등을 제공한다. 마이크로SD는 한국조폐공사, QRNG는 EYLE과 각각 협력하고 있다.

IoT 서버 보안을 위한 방안으로 이니텍은 키 관리와 암호가속기 기능을 지원하는 하드웨어 보안모듈(HSM)도 제공, 소프트웨어 개발키트(SDK)와 결합해 융합보안을 지원한다.

네트워크 침입방지를 위해 머신러닝, 딥러닝 기술을 적용해 IoT 게이트웨이용 경량침입방지(IDS/IPS) 기술도 연구하고 있다.

사용자 인증을 간편하게 지원하기 위한 방안으로는 생체(FIDO)인식 기술을 활용한 간편인증 등을 제공하고 있다. 앞으로도 다양한 첨단기술을 활용한 초경량 인증방식을 계속 연구할 계획이다.

간편시동 기술은 현재 연구 중이다.

서비스 수준별 피해 강도 고려해 보안 적용해야

이 소장은 “IoT 보안 기술은 서비스 수준별로 위험과 피해 강도를 고려해 적용해야 한다”라면서 “‘아이소트’는 1등급부터 4등급까지 보안등급을 나눠 종단간 보안을 구현할 수 있는 제품군을 구성하고 있다. 작년에 3등급 제품을 출시한데 이어 올해 1등급을 선보였고 오는 10월 경량버전도 출시할 예정이다. 내년에는 4등급에 해당되는 제품군을 발표할 것”이라고 밝혔다.

1등급은 원격 홈가전 기기 제어, 3등급은 CCTV 영상 정보보안이나 홈 도어락 제어·원격 자동차 시동 제어 등이 해당된다. 4등급은 자동차 운전제어 정보보안, 군 무기관리·지휘체계 보안, 심박동기 제어 보안 등 가장 높은 보안등급에 해당된다.

이 소장은 IoT 보안이 제대로 구현되지 않을 경우 개인 프라이버시 침해나 개인정보 유출, 금전적 손실뿐 아니라 사람의 생명과 국가 안보 위협까지 큰 피해가 발생할 수 있다고 경고하기도 했다.

그는 “차량 해킹이나 가정에 설치된 온도조절기 조작, Z-WAVE 보안취약점 공격 등 다양한 IoT 해킹 시연이 이뤄졌고 최근 ‘홈캠’으로 불리는 가정용 CCTV 해킹이 사회적 이슈화되기도 했다. 원격검침(AMI) 서비스 취약성도 해결되지 않은채 시범사업이 추진되고 있다”고 IoT 취약성을 지적하면서 “홈·가전 분야를 주축으로 IoT 서비스가 점차 열리고 있는 상황에서 제조업체, 보안업체, 서비스사업자, 사용자까지 모든 주체가 보안을 강구해야 한다”고 강조했다.

한편, 이 소장은 IoT 시장이 본격 태동하기 전인 지난 2011년부터 지난 7년간 IoT 보안연구에 매진해 왔다. 당시는 국내에서 한창 스마트폰 열풍이 불면서 가까운 미래에 수백억개의 기기가 네트워크에 연결되는 시대가 도래할 것이라는 예측이 나오던 시기다.

현재 이 소장은 IoT 보안 얼라이언스, 민·관 합동 IoT 확산협의회 등 다양한 정부와 민간 IoT와 융합보안 관련포럼과 협회에서도 활동하고 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network