보안과 소프트웨어 역량 강화로 IT 업계의 판도 바꿀 것

[테크월드=신동윤 기자] IoT(Internet of Things)에 대한 기대감이 커지면서 작게는 손 목에 차는 시계 형태의 웨어러블 기기에서부터, 가전제품이나 공조시스템, 혹은 스마트카, 심지어 스마트시티와 같은 거대 환경에 이르기까지 IoT의 적용 분야가 확장되고 있다.

IHS 마킷의 IoT&스마트시티 담당 디렉터인 지날리아 하웰(Jenalea Howell)은 IoT는 개념적인 프레임워크일 뿐 시장으로 구분하기는 어렵다고 말한다. 다시 말해 전체 IoT 시장이라고 말하는 것은 의미가 없으며, 서로 다른 여러 종류의 디바이스와 솔루션, 서비스가 결합된 상태이기 때문에 정확한 IoT의 범위와 시장을 구분하기 어렵다. IHS 마킷은 이를 커넥터블 디바이스(Connectable Devices, 연결 가능한 디바이스)라는 명칭으로 관련 시장을 정의하고 있다.

물론 IoT가 커넥터블 디바이스만으로 구성되는 것은 아니다. 커넥터블 디바이스는 IoT의 마지막 에지단의 최종 노드를 의미할 뿐, 이를 연결하기 위한 커넥티비티 기술, 그리고 연결된 커넥터블 디바이스를 관리하기 위한 솔루션이나 서비스, 그리고 수집된 데이터를 저장하고 분석하기 위한 클라우드 서비스 등 다양한 요소들이 서로 복잡하게 연결돼 있다는 것을 명심해야 한다.

IHS는 지난 2017년 95억 개의 연결 가능한 디바이스가 시장에 공급됐으며, 전세계에 약 270억 개의 연결가능한 디바이스가 공급된 상태일 것이라고 추정했다.

IHS는 2030년에 이르면 전세계적으로 약 1200억 개의 IoT 디바이스가 보급될 것으로 예상하고 있다. 일반 상업 및 산업용 디바이스가 가장 큰 비중을 차지할 것이며, 뒤를 이어 커뮤니케이션, 소비자 가전, 오토모티브, 교통/운송, 컴퓨터, 의료 분야가 주요 보급 영역이 될 것으로 예상되고 있다.

IHS의 하웰은 IoT 도입의 가장 큰 관건은 크게 4가지를 꼽을 수 있으며, 첫번째는 혁신과 경쟁력, 비즈니스 모델, 표준화와 보안, 그리고 무선 기술의 혁신이 바로 그것이라고 말하고 있다.
IHS의 보고서에 의하면 2016년 IoT 커뮤니케이션에 약 530만 개의 칩이 출하됐다. 그리고 소비자 가전 분야에 290만 개, 그리고 상업 및 산업용으로 약 230만 개의 칩이 출하됐다. 그리고 컴퓨터에 약 800만 개, 의료장비용으로 600만 개, 오토모티브 분야에 500만 개 정도의 칩이 판매됐다.

IoT용 센서 시장은 수백억 개의 센서가 판매될 것으로 예상되고 있으며, 상업·산업 분야에서 대부분의 센서를 사용하게 될 것으로 예측되고 있다. 가장 대표적인 사용 분야는 바로 스마트 빌딩과 스마트 조명, IIoT와 스마트 제조, 스마트 홈, 음성 제어 등이 될 것으로 예상하고 있다.

IHS 보고서에 의하면 IoT 하드웨어보다는 IoT 서비스에서 더 많은 매출이 일어날 것으로 예측하고 있으며, IBM, 마이크로소프트, SAP 등이 현재 IoT 플랫폼을 이끌고 있다고 지적했다. 이외에 ABB, 제너럴 일렉트릭, 슈나이더, 지멘스 등이 70~100억 달러 규모의 시장을 형성할 것으로 예상되는 IIoT 플랫폼 분야에서 선두그룹을 형성하고 있다.

[그림 1] 엔터프라이즈 측면에서 바라본 IoT

IoT 보안 공격의 5가지 유형

하지만 IoT의 무한한 확장성을 가로막는 장벽 또한 분명히 존재하며, 사용자 데이터에 대한 사생활 보호의 부족함이나 사용자의 요구를 충족시킬 수 있는 킬러 앱의 부재, 표준화의 결여, 니치 시장을 겨냥한 제품의 급격한 증가로 인한 시장의 단편화와 기술적 한계로 인한 IoT 기능의 제한 등이 한계로 지적되고 있다.

특히 IoT 보안은 수많은 구성요소와 서로 다른 통신 기술, 그리고 단락적으로 이뤄지는 연결로 인해 많은 문제를 안고 있으며, 아직 확실한 해결책도 없으며, 이미 IoT를 대상으로 하는 해킹 공격은 여러 방면으로 이뤄지고 있다. 특이한 점은 IoT에 대한 공격은 일반적으로 디바이스의 사용자를 대상으로 이뤄지는 일반적인 사이버 공격에 비해, IoT 기기에 대한 제어권을 확보해 다른 용도의 공격을하기 위한 수단으로 사용하기도 한다는 점에서 차이를 보인다. 예를 들면 2016년 발생한 미라이(Mirai) 공격의 경우 해킹된 IoT 디바이스를 이용해 인터넷 인프라스트럭처에 대한 공격을 시도했으며, 이로 인해 유럽과 북미의 인터넷 회선에 장애가 발생해 약 1억 1000만 달러의 경제적 손실을 유발했었다.

IoT에 대한 공격은 일반적으로 5가지 유형으로 구분할 수 있다. 먼저 하드웨어적인 파괴에서부터, 데이터 오류 등을 일으키는 방해 작업, 그리고 데이터나 코드를 변경해 정상적인 동작을 방해하는 리프로그램, 그리고 보안을 염두에 두지 않았던 버그나 인터페이스를 악용해 이뤄지는 DoS 공격, 그리고 IoT 디바이스가 전송하는 민감한 정보를 가로채는 감청 등이 공격 방식이 주로 사용된다.

[표 1] IoT에 대한 주요 공격 방식

IoT 보안 시장, 연간 44% 성장세 기록할 것

IoT 디바이스는 2020년까지 매년 15~20%씩 증가할 것으로 예상되는 상황에서, IoT의 각 구성요소별 보안은 중요하지 않은 부분이 없지만, 가장 먼저 해결해야 할 부분은 바로 디바이스에 대한 보안이다. 이에 반도체 업체들은 IoT 관련 디바이스, 그리고 디바이스에 내장될 센서와 MCU 등의 보안을 강화하기 위해 나서고 있다.

IoT 어낼리틱스 리서치(IoT Analytics Research)의 자료에 의하면 전세계 IoT 분야를 대상으로 한 써드파티 보안 솔루션은 2017년 약 7억 300만 달러 수준으로 추정되고 있으며, 연간 44%의 성장세를 지속해 2022년에는 44억 달러 규모로 확대될 것으로 예상된다.

[그림 2] IoT 보안 시장 전망

특히 여기에서 주목해야 할 부분은, IoT 보안 시장은 그동안 정보보안 시장을 주도해 온 인프라스트럭처 제공업체뿐 아니라 글로벌 반도체 제조업체들 또한 매우 공격적으로 나서고 있다는 점이다. IoT 어낼리틱스 리서치에 의하면 전체 산업군에 걸쳐 약 150개의 개별적인 IoT 보안 업체들이 경쟁하고 있으며, 이들의 주요 타깃은 산업/제조 시장을 위한 IoT 보안이라고 전하고 있다.

엔드투엔드 IoT 보안이 필요하다

IoT는 디바이스 계층부터 커뮤니케이션, 클라우드 계층, 그리고 이를 아우르는 라이프사이클 관리 등 4개의 계층으로 이뤄진 엔드투엔드 환경에서 개별적으로 분리되면서도 심리스하게 연결되는 보안 전략을 추진해야 한다.

우선 디바이스 계층은 하드웨어 레벨의 IoT 솔루션이다. 이 계층에서는 하드웨어와 소프트웨어 측면에서 점점 더 많은 보안 기능을 추가하면서 보안을 강화해 나가고 있다. 물리적 보안에서부터 칩 보안, 시큐어 부트, 디바이스 인증과 디바이스 아이덴티티 등이 바로 그것이다.

커뮤니케이션 계층은 IoT 솔루션의 구성 요소를 서로 연결하기 위한 구성요소다. 여기에는 물리계층부터 네트워킹 계층, 애플리케이션 계층 등에 대한 보안이 주요 타깃이 된다. 만약 이 부분에 대한 보안이 취약할 경우 맨인더미들 공격과 같은 커뮤니케이션 과정에 대한 공격으로 이어질 수 있다. 이 부분에 대한 보안 강화는 주로 액세스 제어, 파이어월, IDS, IPS, 엔드투엔드 암호화 등으로 이뤄진다.

클라우드 계층은 각각의 디바이스로부터 수집된 데이터를 분석하고 인사이트를 도출해 내기 위한 IoT 인프라스트럭처의 소프트웨어 백엔드라고 말할 수 있다. IoT 클라우드는 안전하고 효율적인 클라우드 서비스를 제공해야 하며, 기본적으로 데이터 침해나 서비스 중단에 대한 대비책을 마련해야 한다. 이외에도 애플리케이션 정합성에 대한 보장이 필요하다.

라이프사이클 관리 계층에서는 IoT 인프라스트럭처가 폐기될 때까지의 과정에서 보안을 지속적으로 유지해야 한다. 이 계층에서는 위협 분석, 정책 실행과 감사, 액티비티 모니터링, 업데이트와 패치, 벤더 관리, 사용자 인지, 안전한 폐기 등의 보안 기능을 제공해야 한다.

아직 이런 다양한 보안 기능을 모두 제공할 수 있는 IoT 보안 업체는 없다고 단언할 수 있다. 따라서 많은 관련 업체들은 인수합병이나 파트너 에코시스템을 통해 전체적인 엔드투엔드 IoT 보안 인프라스트럭처를 구현해 나가기 위해 노력하고 있다.

[그림 3] 엔드투엔드 IoT 보안의 구성

IoT 보안, 반도체 업계에 위기이자 기획

IoT 보안의 특징 중 하나는 반도체 업체들의 역할이 매우 커지고 있다는 것이다. 지금까지 보안은 반도체보다는 디바이스나 그 위의 운영체제와 애플리케이션, 그리고 서비스 측면에 초점을 맞춰왔다. 하지만 IoT는 최종단의 디바이스는 가장 최소한의 요소만 갖춘 센서와 MCU만으로 이뤄지는 경우가 많기 때문에 이 부분에 대한 보안을 강화하기 위해서는 반도체 업체에서도 보안에 대한 관심을 더욱 높일 필요가 있다. 또한 이는 반도체 업체에게 또 다른 기회이기도 하다. 전통적인 반도체 업체의 경우 칩의 설계와 제조 부분에 매출의 대부분이 집중되면서 특정 시장의 성장과 몰락에 매우 크게 영향을 받아왔다. 반도체 업체가 IoT 보안 분야에 진출하게 될 경우, 소프트웨어와 보안, 시스템 통합이나 애플리케이션, 서비스 부분까지 진출할 수 있는 기회를 만들 수 있어, 특정 영역에 치중된 매출을 다변화하고 더욱 높은 부가가치를 만들어 낼 수 있기 때문에 많은 기대를 걸고 있는 것이다.

그동안 반도체 업체들은 기술적인 측면에서 시장을 선도해 왔음에도 불구하고, 대부분의 영광과 열매는 디바이스 제조업체, 소프트웨어 업체, 그리고 서비스 업체 등이 대부분을 가져갔다. 현재는 IoT 분야에서도 비슷한 상황이 벌어지고 있다. 앞서 IHS 마킷의 보고서에서도 언급했듯이 IoT 시장에서의 매출에서 많은 부분이 하드웨어보다는 플랫폼 분야에서 이뤄질 것이라는 점에서, 반도체 업체는 또 한번 위기이자 기회를 맞이하고 있다.

반도체 업체가 IoT 시장의 경쟁에서 살아남기 위해서는 지금까지 놓쳐왔던 분야, 즉, 소프트웨어와 보안, 시스템 통합과 같은 영역에 대한 적극적인 투자와 진출이 필요하다. 이미 일부 반도체 업체들은 각각의 기술 영역에 대한 인수합병이나 파트너 에코시스템 구축 등의 투자를 통해 엔드투엔드 솔루션을 제공해 나가려 시도하고 있다. 이를 통해 기존의 고객 외에도 스타트업이나 기술 관련 기업이 아닌 폭넓은 기업들을 고객으로 끌어들일 수 있을 것으로 기대하고 있다.

우선 가장 손쉽게 진출할 수 있는 분야는 소프트웨어 분야다. 반도체 업체들은 이미 오래 전부터 MCU나 센서를 지원하기 위한 소프트웨어를 고객들에게 제공해 왔다. 그러나 이런 경향은 IoT 시대에 접어들면서 더욱 강화되고 있으며, 중요도가 높아지고 있다. 많은 반도체 업체들이 인수합병이나 파트너십을 통해 소프트웨어 역량을 강화해 나가고 있으며, 이외에도 자체적인 소프트웨어 기술력 확보를 위해 많은 노력을 기울이고 있는 상황이다.

보안은 반도체 업체들에게 새로운 기회의 땅이다. 앞서 설명했듯이 IoT는 전체 인프라스트럭처에 걸쳐 모든 부분에 대해 엔드투엔드 보안을 제공해야 한다. 지금까지 반도체 업체들은 칩에 대한 보안 솔루션을 제공해 오는데 그치고 있지만, 향후 다른 영역에 대한 보안을 제공할 수 있는 여지가 남아있다. 특히 프로세서에 많은 부하를 주는 암호화를 오프로드할 수 있는 기능 등을 통해 반도체뿐 아니라 커뮤니케이션 부분에 대한 보안을 강화할 수 있는 것에 대표적인 예다. 

[그림 4] 반도체 업체의 IoT 분야 비즈니스 모델

시스템 통합은 반도체 업체들이 향후 지향해 나가야 할 비즈니스 모델 중 하나로 꼽고 있는 분야다. 물론 반도체 업체가 단독으로 이 분야에 진출하는 것은 쉽지 않은 일이지만, 앞서 언급했듯이 인수합병이나 파트너십을 통한 소프트웨어 역량의 강화를 통해 기존의 플랫폼 업체들이 갖고 있던 헤게모니를 반도체 업체들이 가져올 수도 있을 것이다.

이처럼 반도체 업체들에게 IoT는 핵심 영역인 반도체 설계와 생산 부분에 있어서도 성장의 기폭제 역할을 할 수 있지만, 이보다 더 큰 그림을 그릴 수 있다면, IT 업계의 판을 완전히 새로 짜는 수준의 변혁을 일으킬 수 있는 유리한 위치에 서 있다. 그리고 그 중심에는 바로 보안과 소프트웨어 역량이라는 양대 축이 자리잡고 있다.

이 기사를 공유합니다
저작권자 © 테크월드뉴스 무단전재 및 재배포 금지