| 2022년까지 146억 대의 IoT 기기가 연결될 것
| 아직 IoT 보안 구성요소 기술표준 및 규격 없어
| 국외 IoT 관련 보안가이드 대부분 초기버전


시스코는 비주얼 네트워킹 인덱스 보고서를 통해 2022년까지 전 세계 커넥티드 기기의 숫자가 약 285억 대에 달할 것으로 예상했다. 그리고 그 절반 이상인 146억 대가 기계와 기계를 연결하는 IoT 기기일 것으로 전망했다.

태생부터 인터넷이 기반인 IoT 기기는 전부 해킹의 대상이 될 수밖에 없다. 종류와 기능이 다양한데다 최소한의 프로세싱 성능과 메모리로 운영해야 하는 IoT 기기의 특성상 보안 솔루션의 탑재는 쉽지 않다. 관심과 수요는 증가하고 있어도 보안 의식이 낮아 기존보다 다양한 보안 위협도 존재하고 있다.

IoT 보안에 대한 국내 기업들의 지출이 늘고는 있다. 그러나 LG유플러스의 최동진 책임은 전략적으로 IoT 보안 정책을 수립하고 이에 따라 보안 아키텍처를 구현하기보다는, 임시방편으로 제품이나 서비스를 선택하는 등 보안에 있어선 여전히 취약하다고 지적한다.

구체적인 규정의 부재는 미흡한 보안 상황을 야기한다. 규제 준수는 IoT 보안에서 가장 중요한 요소다. IoT 보안을 위해서는 기기 관리, 연결 관리, 애플리케이션 관리, 리포팅 및 분석에 이르는 IoT 관리 플랫폼이 필요하다.

그러나 아직 IoT의 보안 구성요소에 대한 기술표준이나 규격이 없으므로 정부나 표준화기관 등이 이를 수행하여 IoT 보안을 제도화해야 한다.


IoT 취약점 방어 실패 사례
자동화된 공격 툴로 디바이스에 접속을 시도하여 전력량, 영상정보의 탈취와 IP 카메라 해킹 등과 같은 IoT 취약점을 공격한 사례들은 다음과 같다.

러시아의 인세캠(Insecam)은 전 세계 약 7만 3,000여 대의 IP 카메라를 해킹하여 생중계하였고, 한국도 약 6,000여개의 IP 카메라가 해킹되었다. 해커는 출고 당시 기본 설정을 바꾸지 않은 IP 카메라를 해킹하고 위도와 경도를 알 수 있는 구글 지도도 이용하여 가정이나 사무실 등 여러 곳의 영상정보를 탈취하였다. IoT 취약점이 발견된 이후 패치가 이루어졌어도 이용자가 해당 패치를 업데이트하지 않아 무방비 상태로 노출되는 경우도 많다.

DNS 호스팅 업체 딘(Dyn)의 공격자는 IoT 기기들의 알려진 취약점과 기본 패스워드 설정을 악용하여 악성코드 ‘미라이(Mirai)’로 IoT 기기를 탈취한 뒤, 딘에 서비스 거부(Denial of Service; DOS) 공격을 가했다. 이로 인해 딘이 관리하던 트위터, 넷플릭스, 페이팔과 주요 언론사 등 유명 웹 사이트들이 마비되었다. 미라이 개발자는 소스코드를 공개하여 변종 악성코드가 계속해서 발생되고 있다.

한국인터넷진흥원(KISA)에서는 IoT 취약점 신고포상제를 시행하고 있는데, 지속적으로 신고 건수가 늘어나고 있다. IoT 보안 위협 시나리오의 다양성 역시 커지고 있다.

CCTV, 로봇청소기에 탑재된 카메라 해킹으로 사생활 영상을 유출하기, 홈 IoT 해킹으로 집안 난장판으로 만들어놓기, 공유기의 공유키를 해킹해 악성코드를 넣어 DDoS 공격 창구로 활용하기 등은 약과다.

공장이나 공공시설의 제어 시스템을 해킹해 인명사고를 유발하는 경우도 있으며, 심지어 인슐린 펌프 같은 의료 기기를 해킹하여 환자에게 치명적인 복용량을 주입시켜 사망에 이르게 하기도 한다.


IoT 보안, 보안 내재화가 필수적
PC나 모바일 디바이스가 고전력, 고성능 환경에서 보안 환경을 제공할 수 있었던 반면, IoT 기기는 저전력, 저성능 자원으로 보안 기능까지 구현해야하므로, 설계 단계부터 보안성을 고려한 보안 내재화가 필수적이다.

2016년 6월, 정부는 ‘IoT 보안 얼라이언스’를 출범하여 IoT 보안 내재화를 위한 보안 가이드를 발표하였고 이를 통해 IoT 보안 위협에 대응하고 있다. 의료부분과 식약처 및 한국인터넷진흥원은 IoT 공통보안 원칙, IoT 공통보안 가이드, 홈 가전 IoT 보안가이드 등을 제시하고 있다. 여기서 수립한 IoT 공통보안 7대 원칙은 다음과 같다.

▲정보보호와 프라이버시 강화를 고려한 IoT 제품·서비스 설계 ▲안전한 소프트웨어 및 하드웨어 개발 기술 적용 및 검증 ▲안전한 초기 보안 설정 방안 제공 ▲보안 프로토콜 준수 및 안전한 파라미터 설정 ▲IoT 제품·서비스의 취약점 보안패치 및 업데이트 지속 이행 ▲안전한 운영·관리를 위한 정보보호 및 프라이버시 관리체계 마련 ▲IoT 침해사고 대응체계 및 책임추적성 확보 방안 마련


IoT 보안 가이드 현황
IoT 제품 및 서비스의 보안문제로 여러 유형의 IoT 보안 가이드들도 제시되고 있다. 기존의 단편적인 이슈 및 대책을 제시하던 것에 비해 일본 정보처리기구 IPA(Information-technology Promotion Agency), 국제 이동통신 사업자 협회인 GSMA(Global System for Mobile communication Association), 국제 웹 보안 표준 단체인 OWASP(The Open Web Application Security Project), 국제 클라우드 보안 협의체인 CSA(Cloud Security Alliance) 등에서 IoT 기기의 보안 설계와 개발 및 안전한 서비스 운영 등을 위한 보안 요구사항과 대책을 포함한 상이한 유형의 보안 가이드를 발표하였다.

2018년 6월 27일, 글로벌 모바일 사업자들이 GSMA IoT 보안 가이드라인을 채택, 실행할 것이라고 발표했다. 이 가이드라인은 IoT 생태계의 IoT 서비스가 보안 리스크에 충분한 보안장치가 되어 있는지를 확인하는 종합적인 보안평가 시스템을 설명한다.

GSMA의 IoT 보안 가이드라인은 IoT 서비스 제공업체, 기기 제조업체, 개발회사, 모바일 사업자 등을 대상으로 하며, 업계 전체에 걸쳐 높은 보안성의 IoT 솔루션 디자인과 개발, 설치 등을 위한 최근 사례를 제공하고 있다.

이 가이드라인에서는 IoT 서비스와 관련된 통상의 사이버 보안과 데이터 프라이버시 문제도 언급하고 있고 IoT 솔루션의 출시를 지원하는 체크리스트를 제공하고 서비스 전역에 걸쳐 높은 보안을 유지해주는 IoT 생태계를 만든다는 목표를 지향하는 IoT 보안 평가 제도(IoT Security Assessment scheme)를 통해서 지원을 받고 있다.

GSMA의 IoT 보안 가이드라인과 IoT 보안 평가는 급속한 성장을 거듭하는 LPWA 및 LTE-M과 NB-IoT를 포함하는 모바일 IoT 기술을 대상으로 하고 있다.

보안가이드를 개발하는 기관 및 단체의 특성에 따라 보안 취약점, IoT 기기의 생명주기, IoT 서비스의 구성요소(단말, 네트워크, 서비스) 등 서로 다른 기준에서 각기 다른 관점으로 보안가이드를 제시하고 있음에도 불구하고 IoT를 구성하는 단말과 네트워크, 서비스 등에 대해서는 일반적인 보안 요구사항을 다수 포함하고 있고 가이드 내용은 대부분 유사하다.
현재까지 공개된 국외 IoT 관련 보안가이드는 대부분 초기버전에 해당되며 IoT 서비스가 산업 분야별로 다양함에 따른 보안 요구사항에 대한 대책으로 특정 기술이나 상세한 보안대책을 제시하지는 못하고 있다. 이로 인해 IoT 관련 국외 보안가이드에서는 현재 상태에서의 IoT 기술 및 현황을 바탕으로 일반적인 보안대책을 제시하고 있으며, 이후 IoT 기술 개발 및 발전방향에 따라 IoT 관련 보안가이드의 내용은 추후 업데이트가 진행될 것으로 보인다.


IoT 보안 수준 높이려면
이미 널리 보급되고 또 보급 중인 IoT에 관한 보안을 개인이 알아서 대처하라는 것은 현실적으로 어려운 부분이 많다.

IoT 제품 및 서비스에 관한 보안 위협은 잘 정의된 아키텍처와 보안관련 사건 전후에 위험을 찾아내는 정보력, 그리고 사건을 처리하는 정책과 절차만 잘 정비되어 있다면 거의 모두 대처할 수 있다.

IoT 서비스 업체에게 어떤 보안 개념이 중요한지를 문의한다면 가장 시급한 취약점 해결에 도움을 받을 수 있을 것이다. 보안상의 의문점과 우려사항이 구현 시점에서 드러나서 조직적 관점에서 이를 공유하고 대처 전략을 세우고 여러 사람의 기술과 지식을 데이터베이스로 구축한다면 IoT 보안에 대비할 수 있다.

LG유플러스의 최동진 책임은 “정부 및 산학연 상호 협업의 플랫폼 허브를 통한 보안 생태계 육성”이 IoT 보안 생태계를 위해 중요하다고 강조했다.