■ IoT 사례연구 - 보안
▷ IoT 보안 위협 수준
모바일 디바이스와 무선 인터넷이 일반화 되면서 보안 문제는 지속적으로 증가하고 있다. 이런 상황에, 사물에 네트워크를 연결하여 활용하는 IoT의 보급은 보안 문제를 항상 안고 갈 수 밖에 없는 상황이다. 가전제품과 자동차와 같은 사람이 직접 사용하는 것에서부터 공장, 공공 장비 등의 기기들까지 이제 사회 생활 전반에 걸쳐 보안 위협이 노출되어 있는 상황이다(그림1).
그림1에서 보는 것처럼, IoT는 네트워크를 통해 디바이스부터 서비스까지 거의 모든 부분에서 보안 이슈가 발생할 수 있다. 제품이나 부품을 많이 사용하는 디바이스에서는 검증되지 않은 부품 등을 통해 산업에서 사용하는 공급망 자체에 공격을 가할 수 있고 펌웨어를 통한 해킹으로 비인가 접속과 권한을 획득할 수 있다. 그리고, 원격 접속으로 인한 접속 권한 탈취와 네트워크 해킹으로 정보 노출, 위변조가 발생할 수도 있다. 네트워크에서는 정보 패킷 변조, 파밍, 인터페이스 해킹 등의 문제가 발생할 수 있고, 서비스는 이보다 더 심각한 결과를 초래할 수 있는데 서비스 자체에 대한 보안 문제도 있지만 디바이스나 네트워크 보안 문제로 인해 오염된 정보 서비스를 제공할 수도 있기 때문이다.
IoT 보안을 다른 보안보다 더 심각하게 인식하는 이유는 사람을 통한 관리 없이 디바이스 자체적인 활동으로 정보 수집부터 서비스가 이루어지는 경우가 많기 때문이다. 다른 ICT 서비스는 사람이 모니터링 하거나 서비스에 대한 보안, 확인, 문제 발생시 대처를 하지만 IoT의 경우는 보안 문제가 발생해도 방치될 여지가 충분히 있기 때문에 서비스 전에 체계적인 보안 설계와 충분한 보안 점검이 필요하다.
IoT가 보안에 취약한 큰 이유는 무선 네트워크는 구조적인 문제를 안고 있는데 냉장고, TV, 심지어 자동차까지도 무선 네트워크를 사용하기 때문에 거의 모든 전자제품에 보안 문제가 발생한다는 것이고, IoT 관련 디바이스가 대부분 저전력에서 사용되는 것으로 저사양이 대부분이기 때문에 해킹하기가 용이하다는 점, 그리고, IoT 관련 장비들이 너무 많이 나오기 때문에 표준화나 인증 수단이 못 따라간다는 것도 보안에 취약할 수 밖에 없는 구조다. 마지막으로, 각 산업에서는 ICT 지식이 부족하기 때문에 보안과 관련된 규제나 가이드라인을 제시하지 못하고 있는 것이 현실이다(그림2).
▷ IoT 보안 위협 수준
그림1에서 보는 것처럼, IoT 구축은 디바이스, 네트워크, 서비스 등 세 개의 레이어로 구성되어 있다. 각 점검 영역 별로 필요한 보안 확인 사항을 준비해야 하는데, 점검 시점 별로 기준을 마련해서 점검해야 체계적인 보안 점검이 이루어질 수 있다(그림3). IoT는 다양한 정보 수집이 목적인 경우가 많기 때문에 적절한 주기의 모니터링을 통해 상태 변화를 감지하도록 하는 것이 일반적이다.
그림3을 살펴보면, 공급관리부터 폐기가 될 때까지 시점 별로 세 개의 점검 영역에 대한 항목 카테고리가 구성되어 있다. 디바이스는 물리적인 부분과 소프트웨어, 펌웨어를 점검하는데 IoT 디바이스에 맞는 점검 항목을 별도로 준비해서 확인하는 것이 좋다. 네트워크와 서비스 영역에서는 기존의 네트워크, 서비스 관점에서 확인해야 할 사항 위주로 점검 항목을 구성한 후 IoT 항목을 추가하여 준비한다. 이러한 점검은 프로세스를 수립하여 절차대로 수행하도록 하고 이에 대한 준비사항, 실적, 결과를 데이터로 관리하여 이상치를 모니터링 하는 것이 필요하며, IoT 도입을 통한 결과와 성과 분석을 위해 산출물이나 성과를 관리하는 것도 향후 IoT 수준 향상을 위해 도움이 된다.
그림4는 그림3의 개념을 적용한 보안 플랫폼을 나타낸다. IoT 서비스를 위한 구성요소인 서버, 게이트웨이, 디바이스 별로 필요한 보안 요소들을 포함시켜 플랫폼으로 구성되었다. 서버, 게이트웨이, 엣지 디바이스는 기기 간 인증이 필요하고 모바일 디바이스의 경우는 사용자 인증이 필요하다. 인증을 통해 각 레이어 간 데이터 이동이 이루어진다.
▷ 개방형 IoT 플랫폼
IoT 플랫폼은 범위가 넓고 다양한 컴포넌트들이 존재하기 때문에 고민해야 할 사항들이 매우 많다. 통합된 단일 플랫폼이 제공된다면 IoT 플랫폼 구성을 단순화 시킬 수 있기 때문에 보안 문제 해결에 상당히 도움이 될 것으로 보인다. 개방형 IoT 플랫폼으로 오픈소스가 주목을 받고 있는데 오픈소스는 상호 운용성을 기반으로 사실상 표준화가 자동으로 이루어진다는 장점이 있기 때문이다. 수많은 사물이 쏟아지는 IoT에서 상호 호환성을 확보하기 위해서는 오픈소스가 상당히 효과적이라 할 수 있다(그림5).
그림5를 살펴보면, “As is”에서 나타나는 다양한 기능들을 “To be”에서는 개방형 IoT 플랫폼으로 구성한 후, “IoT 제품”을 등록하고 “응용 소프트웨어”만 개발하도록 가이드 하고 있다. 기존에는 “As is”에 나타난 것을 모두 고민하고 개발해야 했지만 개방형 IoT 플랫폼에서는 “To be”와 같이 필요한 부분만 개발하면 되는 것이다.
■ 사례연구 - 보안
▷ LG에서 제시하는 IoT
보안 제품이 출시되기 전에 보안 취약점이 해결되지 않는다면 제품은 물론 서비스 자체에 큰 손실을 가져다 줄 수 있기 때문에 출시 전부터 보안에 대한 진단과 점검이 필요하다. LG에서는 디바이스, 앱, 게이트웨이, 네트워크, 서비스 등 IoT에서 발생할 수 있는 모든 영역에서 보안 취약점 분석이 이루어진다(그림6).
LG는 각 영역 별로 상세한 보안 체크리스트가 제공되는데 IoT 보안, 스마트폰 앱 보안, 클라이언트/서버 보안, 클라우드 서버 보안으로 분류하고 있다. 클라이언트/서버 보안과 클라우드 서버 보안, 스마트폰 앱 보안의 경우는 기존 ICT에서 제시되는 보안 진단과 유사하게 구성되어 있고, IoT 보안 진단의 경우는 앞에서 얘기한 IoT 영역에 대해 전반적으로 진단되도록 구성되어 있다(그림7).
LG에서는 다양한 IoT 서비스가 출시되고 있어 이러한 출시 전 진단 점검이 반드시 필요한 상황이고, 출시 후에도 디바이스에 탑재된 소프트웨어에 취약점이 발견될 때는 펌웨어 업데이트를 통해 제거될 수 있어야 한다. 보안 취약점 해소를 위해 디바이스 자체의 보안성은 당연한 것이고 인증, 네트워크 구간 보호, 저장 데이터 보호 등이 확보되어야 하기 때문에 암호화, 접근제어, 키 관리 등이 중요한 요소로 볼 수 있으며, 이 요소를 기반으로 점검 기준이 마련되도록 하는 것이 좋다(그림8).
▷ Intech의 아이소트(ISoT) - http://www.initech.com/ 참고
Intech의 아이소트는 4개 도메인 환경에서 보안 서비스를 제공하기 위한 IoT 보안 플랫폼이다(그림9). 경량화된 암호모듈화, 구간암호화, 키 관리 등을 통해 보안성과 성능을 향상 시킨 것이 특징이다. IoT 뿐만 아니고 대부분의 ICT 관련 기술들은 가급적 표준화된 플랫폼을 만들고 사용자의 최소한 참여로 동작하도록 하는 것이 관리나 보안에 상당히 도움이 된다.
그림9를 살펴보면, 아이소트는 국제표준 인증을 통해 연동서비스 구조를 반영하여 보안 플랫폼을 구축했고, 고객이 API 콜을 통해 보안 모듈을 활용할 수 있도록 구성하였다(그림9). 이 것은 서비스를 제공하는 고객이 직접 보안을 구성할 필요가 없고 연동을 통해 쉽게 보안 이슈를 해결할 수 있는 장점이 있다. 이렇게 표준화된 보안 플랫폼을 도입하거나 구축하게 되면, 추가되는 다른 서비스에 쉽게 적용하여 연동할 수 있고, 여러 서비스에 대한 보안 이슈를 통합 관리 할 수도 있다.
■ 기대 효과와 결론
완벽한 보안은 없지만, 보안 사고가 있는 경우를 살펴보면, 복잡한 보안 구성, 비표준화 보안 적용으로 인한 오동작과 해킹, 체계적인 보안 모니터링을 할 수 없는 관리 구조로 인한 경우가 많다. 즉, 보안에서 반드시 살펴봐야 할 기밀성, 무결성, 가용성을 등한시한 경우가 많다는 것이다. 더구나 짧은 시간에도 기하급수적으로 늘어나는 IoT 관련 장비와 서비스를 대처하기 위해서는 하루라도 빨리 체계적인 표준화 가이드가 필요하다. 이미, 관련 기관과 전문가들에 의해 연구되고 있지만 업계나 사용자들도 보안에 대한 중요성 인식이 필요한 시점이다.
※ 인용 URL 원문
클라우드 SW 사례 연구 - 아키텍처 (0) | 2017.04.05 |
---|---|
IoT 사례 연구 - 빅데이터와 연계 (0) | 2017.03.24 |
IoT 사례 연구 - 아키텍처 (0) | 2017.03.16 |
사물인터넷(IoT) 개념 정의 (0) | 2017.03.03 |
댓글 영역