[테크월드=이나리 기자] IoT(Internet of Things) 용으로 새로운 솔루션들이 속속 등장하며 시장이 활기를 띠고 있다. IoT 제품의 보안과 안전을 위해서는 시장에 출시하기 전에 제품을 시험하고 테스트하는 것만으로는 충분하지 않다. 이를 위해서는 제품의 수명이 이어지는 전체 기간에 현장에서 제품 모니터링과 유지보수, 필요한 업데이트/업그레이드를 지속적으로 해야 한다. 최근 이런 요구를 충족하도록 설치된 장비를 지원하기 위해 많은 원격 서비스들이 제공되고 있다. 

원격 서비스는 다양한 전자 제품에 적합한 센서와 측정 장치를 갖춰야 한다. 이로써 시스템이나 기계를 원격적으로 테스트하고 조절할 수 있으며 예방적 유지보수를 할 수 있다. 또 원격 진단을 하기 위해서는 가상 사설망(VPN)을 통한 보안 액세스를 필요로 한다. 이를 통해 현장을 직접 방문하는 데 따른 시간과 비용을 절약할 수 있다. IoT 애플리케이션은 난방 관리에서부터 로봇 시스템의 소프트웨어 업데이트와 스마트 농장에 이르기까지 다양한 분야의 다양한 형태가 될 수 있다.

그런데 복잡한 유통 사슬이나 IoT의 원격 유지보수에 사용되는 장치들은 공격자들에게 새로운 기회를 제공하곤 한다. 민감한 데이터나 IP(Intellectual Property)의 도용에서부터 전체 시스템 플랫폼의 무단조작에 이르기까지, 보안의 모든 측면에 걸친 과제들을 해결해야 한다. 하지만 대다수의 IoT 회사는 필요한 보안 전문성을 갖추지 못한 것이 현실이다. 

인피니언은 OEM과 관련 업체를 위해 하드웨어 기반 보안 솔루션을 사용한 포괄적인 IoT 에코시스템을 제공하고자 2015년 인피니언 시큐리티 파트너 네트워크(Infineon Security Partner Network, ISPN) 프로그램을 만들었다. ISPN의 파트너 업체는 커넥티드 디바이스와 IoT 서비스 업체를 타깃으로 꼭 필요로 하는 맞춤화된 보안 솔루션을 제공한다. 

이 네트워크는 각각의 애플리케이션 분야에서 어떤 보안 요구가 존재하는지 이해하고, 필요로 하는 보안 솔루션을 구현한다. 이를 위해 파트너 업체는 커넥티드 디바이스의 트러스트 앵커(Trust Anchor)로서 하드웨어 기반 보안을 사용한다. 

그림 1] OPTIGA TPM을 채택한 크리에이터 Ci40 키트는 IoT 보안 솔루션 용의 오픈소스 확장가능 개발 플랫폼이며, IoT 보안을 빠르게 구현할 수 있도록 필요한 모든 하드웨어와 소프트웨어를 제공한다.

일례로, ISPN 회원사인 이매지네이션 테크놀로지스(Imagination Technologies)는 크리에이터(Creator) Ci40과 Ci40 IoT-in-a-box 키트를 개발했다[그림 1]. 개발자는 이 개발 툴을 사용함으로써 IoT 디자인을 개발하는 조기 단계에 보안을 구현할 수 있다. MIPS 기반 크리에이터 Ci40 플랫폼은 키와 인증서 저장을 위해 인피니언의 OPTIGA TPM(Trusted Platform Module) 보안 컨트롤러를 채택하고 있다[그림 2]. 
 

보안은 모든 전문적인 IoT 솔루션에서 마땅히 주의를 기울여야 하는 중요한 문제임에도 불구하고 현실은 그렇지 않다. 여전히 많은 개발자들은 견고한 보안 솔루션을 구현할 수 있는 툴과 자원을 갖추지 못했다. 만약 보안 솔루션을 개발 작업 막판에 가서야 구현한다면, 그 결과가 만족스럽지 못할 것이고, 의도하지 않은 공격 취약점을 초래할 수 있다. 

 

 [그림 2] OPTIGA TPM이 키와 인증서를 안전하게 저장하고 보안 부트 프로세스를 처리한다.

 IoT 보안의 현실

현재 시장에서는 IoT 애플리케이션용으로 다수의 임베디드 개발 보드가 출시됐으나 거의 대부분이 마땅한 보안 기능들을 포함하지 않고 있다. 그런데다가 클라우드와 안전하게 연결할 수 있는 확장성 뛰어난 오픈 소스 IoT 프레임워크를 찾기가 어렵다. 크리에이터 Ci40은 IoT 허브로서 오픈 소스 보드와 소프트웨어를 지원한다. 또 키 저장, 보안 부트 프로세스, 여타 보안 기능을 위해 OPTIGA TPM을 채택하고 있다.

제품 수명 전반에 걸친 보안

앞서 언급했듯이 보안 IoT 솔루션은 홀로 작동되는 하나의 디바이스나 제품으로만 이뤄진 것이 아니다. 그러므로 모든 IoT 개발 플랫폼은 제품 수명 전반에 걸쳐서 사용할 수 있도록 유연하고, 확장 가능하고, 보안적으로 견고한 프레임워크를 필요로 한다.
크리에이터 LWM2M & IPSO IoT 프레임워크[그림 3]는 오픈 소스이므로 개발자들이 언제든 자신의 디자인을 제어하고 유지보수, 관리할 수 있다. 이 제품은 전문적인 IoT 솔루션에 대한 다음과 같은 요구를 충족한다:

- 비용효율적으로 확장 가능
- 견고하고 보안적인 플랫폼
- 다중 업체의 구형과 신형 장치들을 사용해서 작동할 수 있는 프레임워크
- 공개 표준에 기반한 오픈소스 프레임워크. 특정 업체나 기술에 구속되지 않고 미래의 변화에 대처 가능
  

[그림 3] Ci40 개발 플랫폼은 포괄적인 오픈소스 프레임워크를 지원한다.


개발 지원

크리에이터 팀은 보안성 높은 IoT 디자인을 효율적으로 구현할 수 있도록 다수의 디자인 사례를 개발하고 GitHub에서 사용할 수 있게끔 했다. 또 크리에이터 Ci40 플랫폼 용으로 검증된 부트 구현, 유용한 TPM 툴 패키지, TrouSerS 패키지를 제공한다. 

요약

크리에이터 Ci40 IoT 개발 플랫폼은 IoT 허브로서 동작하며, 로컬이나 클라우드를 통해서 다중의 센서와 프로세스로부터 데이터를 수집한다. 리눅스와 호환돼는 이 플랫폼은 다중의 무선 인터페이스 뿐 아니라 OPTIGA TPM을 사용해서 표준 기반의 인증 받은 하드웨어 보안을 제공한다. 또 보안 솔루션을 쉽고 빠르게 구현할 수 있고, OPTIGA TPM을 채택함으로써 보안 부트 프로세스를 보호할 수 있다. 더불어 TPM을 사용해서 펌웨어 롤백(Roll-Back) 공격을 방어한다. 이것은 공격자들이 새로운 버전의 소프트웨어를 이전 버전이나 악의적인 소프트웨어로 교체하는 것을 막아 낸다. 

 [그림 4] 크리에이터 Ci40 IoT 박스 

Ci40 플랫폼, IoT 보안 토탈 솔루션 

Ci40 플랫폼은 보안 IoT 솔루션을 빠르게 개발할 수 있도록 필요한 모든 것을 제공한다. 에지 보드의 센서, 엑추에이터, IoT 허브를 사용함으로써 해당 디바이스를 보안적으로 연결하고 관리할 수 있다. 더불어 확장할 수 있는 오브젝트 디바이스 관리 플랫폼을 제공하고, 오픈소스 프레임워크인 LWM2M + IPSO는 오픈 모바일 얼라이언스(Open Mobile Alliance)를 기반으로 한다.

이 키트는 리눅스 호환 듀얼 코어 MIPS CPU(Multi-Threaded)를 기반으로 한 IoT 허브를 제공하며, Ci40 메인보드로 3개의 무선 인터페이스(802.15.4 6LoWPAN, 802.11.AC 와이파이, 블루투스)를 포함하고, (USB 등을 통해서) 확장할 수 있다. 또한 3개 (MikroElektronika) 클릭 보드와 2개의 추가적인 배터리 구동 6LoWPAN 클릭커 보드를 사용할 수 있어, 다양한 센서와 엑추에이터를 연결할 수 있다. 

TinyDTLS(Datagram Transport Layer Security)는 에지 디바이스로부터 센서 데이터를 암호화하는 일을 맡는다. 반면 OPTIGA TPM은 IoT 허브의 키를 저장하며, 센서 측에서 클라우드로의 보안적인 연결과 보안 부트 프로세스를 처리한다.

IoT 보안에 OPTIGA TPM 사용

OPTIGA TPM(Trusted Platform Module)은 TCG(Trusted Computing Group)의 국제적인 공개 표준을 기반으로 한다. 이들 TPM 칩은 컴퓨터 분야에서 다년 간에 걸쳐서 성공적으로 검증을 마쳤으며, 본격적으로 IoT와 인더스트리4.0 등 커넥티드 산업용 시스템으로까지 영역을 확대해 나가고 있다. TPM은 데이터 금고로서 동작하며 인증과 암호화를 처리한다. TPM에 저장된 키와 인증서는 보안 칩을 떠나지 않으므로 허가되지 않은 접근을 효과적으로 방어할 수 있다.

TPM 칩은 다음과 같은 기능들을 수행한다.

- TPM 칩은 전자 신원 증명서라고 할 수 있다. 개별 시스템 장치를 보안적으로 신원을 확인함으로써 사용자나 장치가 스스로를 정당하게 인증했을 때만 네트워크를 액세스할 수 있는 권한을 얻는다. 
- 디바이스 차원에서 무단조작이나 공격을 감지할 수 있다. 논리적, 물리적 공격을 감지하고 그에 따라 사전에 정의된 조치를 시행할 수 있다.
- 데이터 금고로서 기밀 정보를 안전하게 보호한다. 이것은 암호화를 위한 보안 통신 채널 구축에 필요하다.

글: 폴 에반스(Paul Evans) 이매지네이션 테크놀로지스 비지니스 디벨롭먼트 책임자,
인카 팝펙(Inka Poppeck) 인피니언 테크놀로지스 ISPN 매니저
자료제공: 인피니언 테크놀로지

 

이 기사를 공유합니다
저작권자 © 테크월드뉴스 무단전재 및 재배포 금지