보안 필요한 제품이라면 설계 단계부터 계획해야 가격 낮출 수 있어
데이터 공유 인색해 위기 예측(Thread report) 어려울 것

삼성전자가 개최한 삼성 시큐리티 테크 포럼(SSTF)에서 전문가들이 IoT 보안에 대해 논의했다.

IoT 보안 업계 종사자가 한계점을 토로했다. 하드웨어 보안이 강력하다는 학계의 의견에 따라 하드웨어를 적용하자니 가격이 비싸고, 소프트웨어는 성능이 낮다는 것. 결국, 성능이 낮아도 가격을 맞출 수 있는 소프트웨어를 채택할 수 밖에 없다는 게 업계의 입장이다.

쟁점 보안에 대한 투자는 어떻게 바라봐야 하나

서울대 백윤흥 교수
“하드웨어 가격 결정 요인은 양산화다. 대량 생산하면 가격은 내려간다. 범용적으로 쓸 수 있는 IoT를 개발해 표준화 방안을 찾아야 한다. 성능뿐만 아니라 서비스도 봐야 한다”

카이스트 김용대 교수
“업체들이 보안을 솔루션으로 생각하는 건 오해다. 보안은 설계 단계부터 넣으면 가격이 내려간다. 설계 후 나중에 추가하려고 할 때 비용은 비싸진다. 보안이 필요한 제품이라면, 넣고 설계하는 게 중요하다. 카카오 뱅크를 봐도 그렇지 않나. 보안과 사용성은 함께 올라간다. 지금 보안을 안 하고 있으면 손해다”




쟁점 범위 넓은 IoT 기기, 어떻게 보안 평가하나

삼성전자 소프트웨어 센터 시큐리티 팀장 안길준 전무(좌장)
IoT 기기는 범위가 넓어 기존 요구사항을 충족할 수 없다 보니, 유럽연합(EU)은 표준을, 미국은 컨슈머 리포트에서 레이블을 발표하겠다고 했다.
국내는 어떤 움직임이 있나?

카이스트 김용대 교수
"하드웨어는 소스가 공개되지 않기 때문에 평가가 어렵다. 새로운 장비가 나오면, 연구자들은 보안성을 평가한다. 아직 제품 안전성을 평가하기엔 이른 감이 있다"

성균관대 김형식 교수
“표준 기관들이 각각 테스트 기준을 만들 것이다. 제품 보안을 담보할 수 있을지는 회의적이지만 체크리스트 기반으로 만들 수는 있다. KISA(한국인터넷진흥원)에서 발표한 보안 평가 보고서를 읽었다. 정부가 기술적으로 개입하기보다는 예시를 공유해주고 보안을 안 지킨 업체에 대해 어떤 경고를 할 것인지 연구하는 것이 적합하다고 본다”

쟁점 4차 산업혁명 시대에서 보안은 지능화 되었는가

삼성전자 소프트웨어 센터 시큐리티 팀장 안길준 전무(좌장)
4차 산업혁명에서 빅데이터와 인공지능이 주목받으며 보안의 키워드로는 위기를 예측하고 대응하는 ‘Thread Report’가 언급되고 있다.
이러한 지능화에 대한 준비는 얼마나 되었다고 보나?

카이스트 김용대 교수
"위기를 예측하려면 정보가 많아야 하는데, 해외에 신종 악성코드가 생겨도 한국에 들어오는 데 시간이 오래 걸린다. 개선 방안은 모르겠다. 정보에 대해 돈을 지급하는 문화가 아니어서 그런 것 같다. 미국은 군과 관이 함께 하고 있지만, 우리나라는 민에서 어쩔 수 없이 데이터를 제공하고 있지 않나"

라온시큐리티 양정규 대표
“해킹 그룹의 공유정신을 이야기하지만 그룹 내에서조차 공유가 이뤄지지 않는다. 데이터를 수집 자체가 어려우니 효율적인 공유도 어렵다. 데이터를 수집하려면 해외 서버에 허니팟을 설치하거나 사용자 노드를 분산시켜야 하는데 현실적으로 어렵다. 해결하려면 먼저 공유할 수 있는 조직을 만들어야 하는데 국내에서는 공유가 잘 될 것 같지 않아 전망이 밝지 않다”

이 밖에 인공지능과 빅데이터를 당면한 보안 과제 해결을 위해 전문가 양성의 중요성도 언급됐다.

서울대 백윤흥 교수
"엄청난 데이터 속에서 보안에 필요한 정보를 골라내는 것이 어렵다. 머신러닝에는 룰이 통하지 않는 형태다. 룰을 벗어나는 공격을 인공지능으로 찾아내야 하는데, 인공지능은 중요한 점을 모른다. 전문가 양성이 필요하다”