[테크월드=배유미 기자]
데이터 파괴와 정보 도용, 프라이버시와 저작권 침해 등 사이버 공격의 위험성에 대해서는 이미 익히 들어 알고 있을 것이다. 이와 같은 공격은 사용자들에게 물리적인 피해를 주지는 않는다 하더라도, 금전적 피해 등 무형의 피해를 주고 있다.
사이버 공격에 대응하기 위한 보안 기술은 네트워크를 이용하는 사람들에게 신뢰감을 주는 핵심적인 요소다. 아무리 다른 특별한 기술과 서비스를 제공할 수 있다고 해도, 기본적인 보안 요소를 갖추지 못했다면 시스템에 대한 신뢰도는 낮아질 수밖에 없다.
모든 인터넷 통신 기술이 그렇듯, 사물인터넷(IoT)에서도 보안과 신뢰성은 매우 중요하다. 특히, IoT 네트워크에 존재하는 중요 정보와 네트워크의 보안적 취약성을 노리고 있는 해커들도 존재하며, 데이터 소유자들은 더 높은 네트워크 보안성을 구축하기 위한 투자도 진행하고 있다.
지피지기면 백전불패, 공격 경로 파악과 보안 방안 구축
IoT 시스템 보안을 위해, 엔지니어들은 위협과 대응 방안에 많은 주의를 기울여야 한다. 해커들은 여러 정교한 방법으로 IoT 시스템을 공격하려 하고, 시스템 내 가장 취약한 곳에서 이에 따른 피해가 시작된다. ▲하드웨어 또는 소프트웨어의 손상 ▲스푸핑(spoofing) ▲도청 ▲암호 해독 ▲물리적 IoT 노드 공격 ▲시스템 손상 등 공격 경로는 매우 다양한데, 사이버 위협에 효과적으로 대응하기 위해서는 먼저 각 공격 경로를 이해해야 한다.
또한, 분석한 공격 경로를 토대로 철저한 IoT 시스템 보안 방안을 마련하고, 검증 과정을 거쳐야 한다. IoT 시스템 보안에는 ▲보안 위협과 위험 요소 식별 ▲위협으로부터 시스템과 데이터 보호 ▲해킹 시도∙침입 탐지 ▲침입 공격 완화 ▲공격 이후 복구 5가지 주요 단계가 필요하며, 이와 관련된 테스트도 진행돼야 한다.
보안 중심의 구성품, 효과적인 IoT 보안 이끈다
좋은 IoT 보안은 안전한 하드웨어∙소프트웨어를 기반으로 한다. 먼저 프로세서 칩은 안정적인 컴퓨터 인프라를 신뢰의 뿌리로 두고 있어야 한다. 보안 부팅은 소프트웨어가 안정적으로 운영될 수 있도록 만드는데, ‘TPM(Trusted Platform Module)’은 하드웨어가 소프트웨어 플랫폼을 신뢰할 수 있도록 확장하고, 어플리케이션도 해당 소프트웨어를 신뢰할 수 있도록 하는 연쇄작용을 만든다.
이와 같은 이유로 ▲칩 ▲모듈 ▲소프트웨어 인프라 ▲통신 규약 스택 ▲보안 정책 ▲관련 툴 개발 등 모든 IoT 시스템을 구성하는 요소들은, 보안성을 염두에 두고 디자인돼야 한다. 이는 네트워크, 서비스 구성, 운영 시스템, 네트워크 제공센터 등과 같은 다른 서비스보다도 우선시돼야 한다.
철저한 단계별 데이터 보호
IoT 네트워크 상 존재하는 데이터는 데이터 생성 순간부터 시스템에 접근할 때까지, 모든 라이프 사이클 단계마다 보호돼야 한다. 이를 위해서는 암호화 기법을 적용하고 암호 키 관리 시스템을 강화해야 하며, 무엇보다 데이터와 가까울수록 강력한 암호화 기술을 적용해야 한다.
디바이스에서 다음 사이클로 이동하고 있는 데이터는 도청이나 정보 갈취, 훼손 등으로부터 보호받아야 한다. 또한, 활동하지 않고 있는 데이터는 해당 디바이스 내에서 적절한 암호화 과정을 거쳐야 하며, 불필요한 데이터 또한 보호 시스템을 갖추고 파기돼야 한다.
이와 같은 시스템에 적절한 기술이 블록체인 분산원장 기술이다. 이는 IoT 시스템에서 안전하고 투명하게 데이터에 접근할 수 있으며, 진위 여부를 가리는 데 도움이 된다.
데이터 흐름의 최전선, 엣지 보안
대부분의 저렴한 단말기∙센서는 강한 암호화를 제공할 수 있는 조건을 갖추고 있지 않다. 이를 보완하기 위해 엣지 컴퓨팅 기술이 주목받고 있다.
클라우드에 데이터를 송신하기 전, 정교한 암호화를 거친 데이터를 수신하는 첫 번째 단계가 바로 단말기다. 이에는 ▲엣지 노드 ▲게이트웨이 ▲포그 컴퓨팅 프로세서 등이 포함되는데, 특히 엣지 컴퓨팅 노드는 사이버 공격을 효과적으로 방어하고 소프트웨어 차원에서 적절하게 대응할 수 있다. 이는 IoT와 네트워크 시스템에 대한 보안 위협 대응을 크게 증가시킨다.
물론 이를 위해 충분한 테스트 과정을 거쳐야 한다. 단, 새롭고 정교한 보안 위협에 대해서는 취약한 경우가 많기 때문에 안정적인 구조를 갖추고 있는 시스템 환경에서 테스트를 진행해야 한다.
이외에도 IoT 보안 기술과 이에 대한 중요성을 강조하는 연구 자료는 어렵지 않게 찾아볼 수 있다. 먼저 IIC(Industrial Internet Consortium, 산업 인터넷 컨소시엄)는 폭넓은 보안 프레임워크를 다룬 보고서를 발행했다. 또한, OWASP(The Open Web Application Security Project)의 IoT 공격 벡터 분석 보고서와 마이크로소프트의 STRIDE 차트도 참고할 만하다. 해당 자료들은 IoT 엔지니어들에게 보안의 중요성을 이해하도록 돕고, 제품과 시스템을 디자인하는 과정에서 고려해야 할 보안 요소에 대해 책임을 가질 수 있도록 한다. 수많은 기업과 단체가 강조하듯, 보안은 안전하고 신뢰도 높은 IoT를 만들기 위해 필수적이다.
글: 찰스 바이어(Charles C. Byers)
자료제공: 마우저 일렉트로닉스
그래도 삭제하시겠습니까?