많은 기업이 IoT 기술 활용을 디지털 전환의 출발점으로 보고 있다. 하지만 IoT 디바이스는 네트워크로 연결되어 있어 익명의 공격자가 제어 권한을 탈취하여 기업의 자산을 악용할 가능성이 있다. IoT 보안은 이제 관련 애플리케이션 개발 시 꼭 고려해야 하는 사항이 됐다.
IoT 기술 활용 높아지고 있으나 보안 미비
HW 보안 기술 적용 솔루션 채택이 개발 가속
인피니언, 보안 칩 생산 단계서 프로비저닝 수행
2019년 국내 IoT 매출액은 2018년 9조4,149억 원 대비 16.2% 증가한 10조9,379억 원을 기록하며 처음으로 10조 원을 넘어섰다.
가트너는 2021년까지 전 세계에 설치된 연결된 사물의 수가 250억 개에 이를 것으로 예측했다.
IDC는 연간 데이터 발생량이 2025년에는 163 ZB(제타바이트; 10억 테라바이트)로 폭증할 것이라 전망했다. 그리고 사물에서 발생하는 데이터의 비중이 전체의 80%를 차지할 것으로 덧붙였다.
많은 기업이 IoT 기술 활용을 디지털 트랜스포메이션의 출발점으로 보고 있다. 하지만 기업의 자산이 인터넷과 연결되며 보안 문제가 불거지고 있다.
네트워크로 연결된 IoT 디바이스는 언제나 세션 하이재킹 당할 가능성이 있다. 공격자가 제어 권한을 갖고서 사이버 범죄를 도모할 수도 있다는 것이다. 뿐만 아니라 IoT 인프라가 손상을 입을 수도 있다.
▲ 인피니언 코리아 디지털 보안 솔루션 사업부
김규현 부장 [사진=이수민 기자]
그렇다면 어떻게 해야 IoT 보안을 달성할 수 있을까? 인피니언 코리아 디지털 보안 솔루션 사업부의 김규현 부장을 만나 현재 업계에서는 IoT 보안을 어떻게 달성하고 있는지, 또 IoT 보안 보완책을 마련한 제품을 어떻게 빨리 개발하고 출시할 수 있을지에 대해서 물었다.
김규현 부장은 “IoT라는 개념이 등장한 지는 꽤 오래되었으나 현실적으로 IoT 보안을 적용한 사례는 많지 않다”라고 말했다. 하지만 “갈수록 IoT 제품들이 다양해지고 있고 또 수요도 늘고 있어 조만간 IoT 보안 시장이 폭발적으로 늘어날 것”이라고 보았다.
김규현 부장은 IoT 보안에 특별히 신경 쓰는 기업으로 출시하는 거의 모든 제품에 인터넷 연결 기능을 추가하는 국내 대형 가전업체를 지목했다. “그들은 현재 나름의 IoT 보안 솔루션을 준비하고 있으며, 인피니언도 참여하여 관련 제품을 개발 중”이라고 밝혔다.
IoT 디바이스는 인터넷과 연결된다는 특성상 하드웨어 보안과 소프트웨어 보안 모두가 중요하다. 하지만 촉박한 시장 출시 일정으로 인해 개발 기간은 한정적이다. 김 부장은 “IoT 디바이스 개발자는 소프트웨어 기반 IoT 보안에 더욱 신경 써야 한다”라고 말했다. 인피니언이 이미 하드웨어 기반 보안 기술을 적용한 보안 칩들을 고객에게 납품하기 때문이라고 설명한 그는 “고객은 실제 제품이 동작 가능한 환경만 준비하면 된다”라고 말했다.
동작 가능한 환경이 구체적으로 어떤 환경이냐고 묻자 김 부장은 “인피니언이 제공하는 보안 칩들은 독립적으로 동작하지 않고 MCU나 AP와 연동해서 동작하는 패리패럴 디바이스”라며, “이 보안 칩들을 동작시키기 위해서는 실제 MCU나 AP에서 제품을 구동시킬 수 있는 소프트웨어적인 작업이 필요한데, 이 작업을 개발자가 해야 한다”라고 말했다.
모든 작업을 개발자가 해야 하는 것이 아니다. “인피니언은 자체 웹사이트에 자사 보안 칩들을 동작시킬 수 있는 코드를 공개했다”라며, “개발자는 IoT 애플리케이션에서 사용할 MCU나 AP에 인피니언 보안 칩을 구동시킬 수 있는 코드를 통합하기만 하면 된다”라고 그는 설명했다.
IoT 보안은 디바이스와 디바이스 사이의 인증, 디바이스와 클라우드 서버 사이의 인증 등 다른 레벨의 보안과 인증이 필요하다. 인피니언의 임베디드 보안 솔루션인 ‘옵티가 트러스트(OPTIGA™ Trust)’가 X, B, E, M 제품으로 나뉘는 이유다.
김규현 부장은 “옵티가 트러스트 B(이하 B)는 디바이스와 디바이스 사이의 인증에 사용되는 엔트리급 제품, 옵티가 트러스트 M(이하 M)은 디바이스와 클라우드 서버 사이의 인증에 사용되는 플래그십 제품”이라며, “인피니언은 고객과 논의하여 가장 적합한 임베디드 보안 제품을 공급한다”라고 밝혔다.
옵티가 트러스트는 어떤 방식으로 인증을 수행하는 걸까? 김 부장은 “디바이스와 MCU 사이의 키값 등의 데이터를 특정 포맷에 따라 갖춘 것을 인증서라 표현하는 데 이 인증서가 B에 들어있다”라며, “MCU가 인증서를 받을 수 있게끔, 그러니까 호스트 라이브러리가 동작할 수 있게끔 구성되어 있으면 B는 랜덤 번호를 생성하여 MCU에 제시하고, MCU는 수학적인 계산을 통해 디바이스가 맞는지 아닌지를 판단하게끔 되어있다”라고 설명했다.
김규현 부장은 현재 중국 등지에서 생산되는 드론, 랩톱, 전기 스쿠터 등의 제품에 B가 탑재되어 배터리의 정품 여부 판단 기능을 구현하고 있다고 밝혔다. 특히 “배터리의 정품 여부는 보안뿐만 아니라 안전과도 연관된 문제라 많은 고객이 주저하지 않고 B를 적용하고 있다”라고 부연했다.
그러면서 “고객들은 보통 각자 사용하고 싶은 수학적인 암호 알고리즘의 특정 키값이 있는데, 그 키값을 옵티가 트러스트에 올리는 공정이 필요하다”라며, “인피니언은 납품 전에 국제 인증을 받은 특정 공장에서 고객이 원하는 키값을 제품에 올린다”라고 밝혔다. 고객 대신 프로비저닝 프로세스를 수행한다는 것이다. 또한, 인피니언은 호스트 라이브러리를 고객사의 MCU나 AP에 통합하는 것을 현장 지원하는 서포트팀도 운영하고 있다.
인피니언은 지난 4월, 싸이프러스 반도체 인수 작업을 완료했다. 김 부장은 “인피니언은 이제 싸이프러스의 커넥티비티, MCU 관련 기술을 옵티가 트러스트에 통합할 수 있게 되었다”라며, “고객이 필요로 하는 IoT 보안 기술을 턴키 솔루션으로 제공할 수 있게 됐다”라고 이번 인수의 가치를 평가했다.
마지막으로 “IoT 시장이 지금보다 더 커지고, 더 많은 사람이 IoT 디바이스에 접근할 수 있는 환경이 조성된다면 IoT 보안 시장에서 옵티가 트러스트와 같은 솔루션의 필요성은 더욱 커질 것이다”라고 전망했다.
