사물인터넷(IoT)은 다양한 보안 위협에 노출돼 있다. 우선 개발단계에서 3rd party 소프트웨어는 최신 보안패치가 적용된 최신 버전을 사용해 제품을 개발해야 하며, USB, RS232, Ethernet, SD Card 슬롯 등 제품 운영에 불필요한 포트는 제거하거나 비활성화해 비인가 된 외부 접근을 근본적으로 차단해야 한다.
연재순서
(1) 5월17일 센서
(2) 5월20일 커넥티비티
(3) 5월24일 액추에이터
(4) 5월26일 마이크로 컨트롤러
(5) 5월28일 보안
[편집자 주]집안에서 연기가 감지되자 화재 감지기가 울리며, 감지기 근처 소방장비가 작동하고, 집 주인과 소방서에 긴급 연락이 전송된다. 소방이외의 분야에서도 이렇게 사람이 없어도 작동하는 이런 시스템의 구현은 우리 일상생활에서 쉽게 가능해졌고, 보편화됐으며, 향후 우리 일상생활에서 더욱 많은 발전을 거듭할 것으로 보인다. 사람의 개입이 없어도 사물 간 인터넷을 통해 연결되고 작동하는 시스템을
사물인터넷(Internet of Things)이라고 한다. 건강관리, 전원, 가스, 주차장, 가전 등 사물인터넷은 알게 모르게 우리 삶에 많이 적용되고 있다. 이에 본지는 5회에 걸쳐 사물인터넷을 가능하게 하는 첨단 기술에 대해 살펴보는 자리를 마련했다.
IoT 보안기술 적용 難, 상대적 보안 취약 문제점
기획·설계부터 고려, 다양한 시스템 요구 충족 必
■ IoT, 다양한 보안 위협 노출·보안 솔루션 必
사물인터넷(IoT)은 기기들과 센서 등이 이종의 유무선 네트워크 및 프로토콜로 연결돼 있으며, 이를 위한 운영체제 및 소프트웨어들이 혼재돼 있어 다양한 보안 위협에 노출돼 있다.
IoT는 전통적인 방법과 달리 센서에 의한 정보 수집을 통해 혁신적인 서비스를 제공하나 개인정보 처리 흐름을 파악하기 어렵고, 문제발생시 사후적 대응에는 한계를 가지고 있는 문제점이 있다.
이해부족에 따른 불안감이 서비스나 기업에 대한 불신으로 이어져 소송 등 분쟁으로 인해 불필요한 사회적 비용이 발생하며, 특히 대량의 개인정보가 실시간으로 처리되는 환경에서의 개인정보 유출은 돌이킬 수 없는 대규모 피해로 이어질 수 있다.
대표적인 예를 들어보면 2013년에는 미국 라스베이거스에서 스마트TV에 탑재된 카메라를 해킹해 사생활 영상이 유출되는 상황을 가정해 시연을 벌인 바 있으며, 2014년에 미국 CIA는 영국 MI5와 함께 개발한 것으로 보이는 TV 악성코드(Weeping Angel)를 해킹에 활용해 TV전원을 끄더라도 방에서 들리는 소리를 수집한 뒤 인터넷을 통해 CIA서버로 전송하거나, TV에 저장된 WI-FI 비밀번호를 복구하는 방식으로 WI-FI 사용자 이름과 비밀번호를 해킹한 바 있다.
홈·가전제품 등 일상생활로 IoT 서비스가 확산되면서 PC 외에도 가정용 무선공유기를 비롯해 냉난방 공조장비 등 인터넷에 연결된 모든 제품(IoT)에 대한 공격이 현실화되고 있다.
분산서비스거부(DDoS) 공격은 가정에서 주로 많이 쓰는 무선 공유기가 대상이 되는데, 보통 이러한 무선 공유기는 기본적인 보안 솔루션인 안티바이러스도 설치되지 않을 뿐 아니라 관리 주체도 불분명하다.
게다가 대부분의 사용자는 무선 공유기 초기 설정을 변경하지 않은 상태로 사용한다. 최근 무선 공유기 해킹 사고가 빈발하면서 일부 제조사가 보안을 강화하고 있지만 여전히 대부분의 가정이 사이버 위협에 노출된 상태다.
IoT 시대에는 인터넷에 연결되는 제품이 기하급수적으로 늘어나므로 인터넷에 연결되는 냉장고, 청소로봇 등 모든 홈·가전 IoT 제품이 해킹 대상이 될 수 있다.
또한 IoT 제품은 일반 ICT 시스템과 달리 보안기술을 적용하기 어려워 상대적으로 보안에 취약하다는 문제점이 있다.
이에 IoT 기획 및 설계 단계부터 보안을 고려해야 하며, 다양한 시스템 요구를 충족하는
보안 솔루션이 필요하다.
■ 최신 보안패치·비인가 접속 원천 차단
한국인터넷진흥원의 홈·가전 IoT 보안 가이드에 따르면 홈·가전 IoT 제품을 구성하는 소프트웨어가 기존에 알려진 보안취약점을 갖는 프로토콜, 라이브러리, API, 패키지, 오픈소스 등을 사용해 개발됐을 경우 제반 펌웨어, 운영체제도 보안에 취약할 수 있기 때문에 제품을 점검해 보안취약점을 제거해야 한다.
▲공통보안 항목 및 대응방황(자료 : IoT 보안얼라이언스, 홈·가전 IoT 보안가이드)
우선 개발단계에서 3rd party 소프트웨어는 최신 보안패치가 적용된 최신 버전을 사용해 제품을 개발해야 한다. 또한 제품 출시 후에는 제품에 적용된 3rd party 소프트웨어와 관련해 심각한 보안취약점 발생해 긴급하게 보안패치가 필요한 경우, 최신 버전의 3rd party 소프트웨어를 기반으로 보안패치를 개발해 신속하게 배포해야 한다.
외부에 노출된 포트는 종류와 기능 식별이 쉽고, 별도의 접속 도구를 사용하지 않고도 쉽게 접근이 가능하기 때문에 공격 대상이 되기 쉽다. USB, RS232, Ethernet, SD Card 슬롯 등 제품 운영에 불필요한 포트는 제거하거나 비활성화해 비인가 된 외부 접근을 근본적으로 차단해야 한다. 또한 개발 버전 PCB와 양산 버전 PCB 변경으로 입출력 포트를 완전히 제거하거나 비활성화해 제품을 출시해야 한다.
양산 제품은 내부 입출력 포트 또는 디버깅 포트를 완전히 제거하고, 업데이트나 고장수리를 위해 내부 포트를 유지할 경우, JTAG 포트 비활성화 또는 패스워드를 사용해 접근을 통제하도록 해야 한다.
▲웹캠 제품의 하드웨어 보드 예시(자료 : IoT 보안얼라이언스, 홈·가전 IoT 보안가이드)
일반적으로 하드웨어에 대한 보안 취약점은 하드웨어의 데이터 버스와 제어신호 등에 대한 직접적인 접근 가능성에 의해 발생 가능하다. 이에 물리적 탐침을 방지하고 비인가 조작을 탐지해 대응하는 기능을 구현해야 한다.
■ 인피니언, 디지털 신뢰 구축 앞장
한편
인피니언은 보안을 통해 디지털 세계의 신뢰 구축에 적극 나서고 있다.
임베디드 시스템에 보안을 구축하고 프라이버시를 보호함으로써 IoT에 대한 신뢰를 높이며, 다양한 설계 과제와 시스템 요구를 충족하는 보안 솔루션을 제공하고 있다.
통합이 쉬운
인피니언 OPTIGA™ 제품군은 임베디드 보안 솔루션과 보안 셀룰러 커넥티비티를 위한 다양한 제품을 제공한다.
SECORA™는 운영체제(OS)를 통합한 원스톱 보안 솔루션으로, 비용 효율적이며 빠르고 유연한 구현을 가능하게 한다.
PSoC™ 64 AWS 표준 보안 MCU는 하드웨어 기반의 RoT(root of trust)를 포함하고 Trusted Firmware-M 보안 펌웨어를 실행해, 다른 보안 서비스와 함께 시큐어 부트와 시큐어 펌웨어 업데이트를 할 수 있다.
.PNG)
.jpg)
