2016년 10월 글로벌 DNS 서비스 업체인 다인(Dyn) 사에 대한 공격으로 트위터, 넷플릭스, 레딧, 스포티파이, 박스, 핀터레스트, 페이팔 등 미국의 유명 인터넷 서비스와 정부 기관의 웹사이트가 접속 장애를 일으켰습니다. 사용자 밀착형 SNS와 Global 서비스의 마비를 초래한 이 공격은 IoT 기기의 보안 취약성을 이용해 대규모 좀비를 만들어 인터넷 주소를 제공해주는 DNS 서비스를 마비시킨 사상 초유의 공격이었습니다.

사실 이러한 공격에 사용된 기기는 가정에서 흔히 사용하는 무선 공유기였으며, 초기의 기본 암호를 그대로 사용하고 있는 취약점을 통해, 다양한 H/W, OS에서 동작하는 IoT DDoS Agent의 원격 조정을 통해 공격이 이루어진 사례입니다.

이러한 다인(Dyn) 사의 서비스를 마비시킨 미라이 공격은, 그간 걱정해온 IoT 보안의 취약점에 대한 우려가 그대로 현실화된 사고라고 할 수 있습니다.

실제로 작년 AI 기반의 알파고 바둑 대전, 다양한 기기와 결합한 Big Data 서비스 실용화, 스마트 홈 가전의 연이은 출시, 그리고 현실로 다가온 자율주행 자동차 등 우리의 주변의 다양한 기기와 인터넷 연결을 기반으로 한 스마트 제품, 서비스가 출현하고 있습니다.

증가하고 있는 IoT 보안 사고와 중요 시사점

다양한 IoT 기기의 출시와 서비스의 확산에 따라 다수의 보안 사고가 증가하고 있고, 규모와 피해 정도도 점점 커지고 있습니다. 최근에는 개인 Privacy 침해와 같은 사회적 역기능 및 심각한 우려를 초래하여 새로운 기술•제품 및 IoT 산업의 확대에 걸림돌이 되고 있는 상황입니다.

IoT 보안은 기존의 IT 보안과는 아래와 같은 추가적인 차이점과 특성이 존재합니다.

위의 표에서와 같은 특징 외 IoT 보안은 기존의 기기-사람-서비스 간의 통신 및 보안에서 더 나아가 기기와 기기 간, 기기와 서비스 간 등 사람의 개입 없이 연결되어 데이터 처리와 제어, 서비스 제공 등이 이루어지고 있습니다. 사용자의 인지와 무관하게 보안에 대한 침해 및 공격이 발생할 수 있는 특성이 있죠.

그렇기 때문에, 대상 기기의 특성과 보안 주체 측면에서 초경량의 저전력과 고신뢰성을 요구하는 다양한 기기를 통해 서비스가 제공되는데요. 상당 부분 상시 인터넷 접속을 유지해야 하고, 서비스로부터 원격지에 있기 때문에, 근본적인 보호 방법인 기기와 서비스의 설계 단계에서부터 제조사와 서비스 제공자를 통해 보안이 필수적으로 내재화되어야 합니다.

전 세계적으로도 IoT 산업의 시장 확대에 따라 보안에 대한 관심과 투자가 이루어지고 있으며, 2016년 4월 시장 조사기관인 가트너에 따르면, 전 세계 사물인터넷(IoT) 보안 지출 규모가 전년 대비 23.7% 증가한 3억 4,800만 달러에 이를 것으로 전망하고 있습니다.

가트너에서는 사물인터넷 보안과 관련하여 해당 산업의 기술 향상, 확장 가능한 서비스의 증가로 인해 2020년 이후에는 좀 더 가파른 속도로 증가할 것으로 예측하고 있습니다.

기존의 전통적 보안은 IT 인프라 및 환경 하의 서비스에 대한 보안이었습니다. 그러나, 사물인터넷의 확산에 따라 기존의 사용자 인프라, 서비스 대상의 보안에서 제조사를 포함하는 다양한 생활 밀접형 기기 및 사용 환경에 대한 보호로 그 대상이 확대되어야 합니다. 실생활과 밀접한 서비스의 경우 금전적 손실뿐만 아니라, 사용자의 생명을 위협할 수 있으며, 전 산업의 핵심 인프라의 마비까지도 이를 수 있을 정도로 파급력과 사회적 역기능이 예상되는 상황입니다.

이러한 이유로 사물인터넷의 확산에는 보안이 매우 중요하며, 다양한 사물인터넷 업체 및 표준화 기구 그리고 국가적 차원에서의 기술 개발 및 정책적 지원 및 제도가 준비되고 있습니다. 사물인터넷 IoT는 전 산업을 아우르고 있는바, 각 산업 영역 및 표준화 기구 정부 등에서, 보다 더 효율적인 산업 확산 및 서비스의 활성화를 위해 표준화를 추진하고 있는데요. 보안도 이러한 관점에서 표준 기반의 효율적인 IoT 보안 대응을 준비해야만 합니다.

Global IoT 표준화 동향 및 보안

국내에서도 미래창조과학부 2014년 5월에 ‘사물인터넷 기본계획’을 확정•발표했고, Global IoT 표준화 동향 및 보안을 살펴보기 전에 IoT 사물인터넷 기술에 대한 개념 및 IoT 보안의 Coverage를 먼저 살펴보도록 하겠습니다.

사물인터넷에 대한 정의는 여러 표준화 기구마다 다양한 해석을 하고 있지만, ITU-T 같은 국제표준화 기구와 국내에서는 사물인터넷을 “인터넷을 기반으로 다양한 물리적(physical) 및 가상(virtual)의 사물들을 연결하여 언제 어디서나 상황에 맞는 최적의 서비스를 제공하기 위한 글로벌 서비스 인프라”로 정의하고 있습니다.

여기서, IoT 서비스는 물리•가상의 사물과 연계, 협업하여 지능형 서비스를 제공하는 IoT 플랫폼, 모든 사물을 인터넷을 통해 상호 연결하여 소통하는 IoT 네트워크, 사물을 지능화시켜 스마트 인터렉션을 제공하는 IoT 디바이스, 프라이버시 보호와 안전한 시스템 운영을 보장하는 IoT 보안 등을 이야기합니다. 한편, IoT 기술은 타 산업과 서비스도 메인 융합 및 ICT 기반기술과 융합을 동반하는 복잡한 기술생태계를 형성하므로 ‘크로스-도메인’, ‘크로스-계층‘ 기술 개발 접근이 필요합니다. 1

• (서비스 도메인) 헬스, 제조, 에너지, 환경, 농업, 교통, 건설 등
• (플랫폼 SW) 빅데이터, 클라우드, 운영체제(OS)
• (네트워크 인프라) 미래인터넷, 5G, Giga 네트워크, IPv6
• (디바이스 제품) 차세대•웨어러블 디바이스, 반도체•부품•소재

위 그림처럼, IoT 보안은 ‘Device – N/W – 플랫폼 – 서비스’에 이르는 전 영역을 커버리지(Coverage)로 하고 있습니다.

이러한 커버리지 특성 중 IoT 보안과 관련해, 앞서 이야기한 보안의 준비 및 내재화된 탑재가 제조•서비스 단계에서부터 준비된다고 한 점과 맥락을 같이합니다. 보안 커버리지 중 Device 보안 특이 인증 및 서비스의 전체 End-to-End 보안의 제공이 가장 중요하다고 할 수 있습니다. 그림에서 IoT 기술 개념도에서 보면 표준화는 각 서비스-플랫폼-네트워크-디바이스별 표준화가 준비 중이고, 각 표준화 단체 및 기업 등이 중심이 된 협의체(연합체) 등을 통해 각 표준에 부합하는 표준 보안 기술을 준비하고 있는 실정입니다.

사실 너무나도 다양한 표준화 기구 및 표준 그리고 업체 중심의 협의체를 통한 다양한 기술과 표준의 제시는 IoT 시장에서의 피할 수 없는 선점 및 경쟁 때문이며, 시간이 흐름에 따라 주도적 표준 및 협의체 간 합병 등을 통해 점차 하나둘 정리가 되어가고 있는 상황입니다.

영역별 주도적인 표준화 그룹에 대해 간략하게 정리해 보면 아래와 같습니다.

전통적인 플랫폼 강자인 구글과 글로벌 표준화 기관 중심의 oneM2M이 표준화 경쟁을 하고 있으며, 협의체(연합체) 중심의 AllSeen(국내 LGE 참여 중)과 OCF(국내 삼성 참여 중)가 작년 10월 통합된 표준화 협의체로 출범되어 표준화에 대한 합종연합에서 통합으로의 흐름이 더욱 가속화되고 있습니다.

보안의 경우, 두 진영에서는 각기 요소 보안 기술을 기반으로 한 진영 간 표준이 존재했으나, 현시점 통합으로 인해 대부분의 제조사를 통해 출시되는 IoT 홈 가전은 표준화된 보안 기술이 적용되어 제공될 것으로 예상됩니다. 특이사항으로는 AP 및 반도체와 모듈 관련 삼성의 경우 Device Level의 기술과 보안 등에도 적극 주도적이어서 LG전자, 삼성전자 등 국내 글로벌 Leading 가전 제조사로 시장에서 IoT 기반의 제품과 기기를 기반으로 한 주도권 선점에 한 발 더 앞서 나가리라 예상됩니다.

구글과 oneM2M은 표준화 관점에서 경쟁은 하지만, 실제적으로는 협력이 이루어지고 있습니다. 글로벌 7개국의 표준화 기관이 진행하는 oneM2M은 사실 국가별 보안에 대한 규정•규제•법제화 측면에서 준비와 대응이 필요한 표준화 영역입니다. LG에서는 U+와 당사인 LG CNS가 oneM2M 플랫폼 기술과 IoT 보안기술을 개발하여 다가오는 IoT 시장확대에 대한 착실한 준비를 진행하고 있습니다.

각 표준화에서 준비하는 보안 코어기술은 전통적 IT 보안에서 검증되고 확인된 기술을 각자의 표준 규격에 맞추어 준비하고 있는데요. 본 블로그에서는 중요한 IoT 사물인터넷 환경에서의 표준화되거나, 표준으로 고려 중인 보안 기술을 살펴보겠습니다.

IoT 보안 기술 및 국내 가이드 및 준비 현황

Trusted Computing Group에서는 아래와 같이 IoT 보안 플랫폼에서의 핵심 보안 기술을 정의하였습니다. 다양한 IoT Device에서 장소적 구애 없이 모든 곳에서 사용되는 특징을 반영한 Device Level의 보안 기술인 TPM과 펌웨어 상에서의 Secure Boot 기술 등을 정의하고 있습니다.

사실 예견되는 위협에 대한 개발 및 검증된 다양한 기술이 적용되고 있으며, 특징으로는 제조 단계에서부터 그리고 기기에 탑재된 형식으로 사용자 및 기기의 서비스 단에 이르는 ‘End – To – End 보안’을 제공하고 있습니다.

우리나라의 경우, 이미 2015년 IoT 공통보안 7대 원칙을 통해 사물인터넷의 설계부터 폐기까지의 보안 위협을 식별하고, 대응할 수 있는 원칙을 수립하여 고려되어야 하는 공통 보안 요구사항에 대응할 수 있도록 준비 중입니다.

IoT 공통 보안 7대원칙( ’15.6)

1. 정보보호와 프라이버시 강화를 고려한 사물인터넷 제품•서비스 설계
2. 안전한 소프트웨어 및 하드웨어 개발기술 적용 및 검증
3. 안정한 초기 보안 설정 방안 제공
4. 보안 프로토콜 준수 및 안전한 파라미터(매개변수) 설정
5. 사물인터넷 제품•서비스의 취약점 보안패치 및 업데이트 지속 이행
6. 안전한 운영•관리를 위한 정보보호 및 프라이버시 관리체계 마련
7. 사물인터넷 침해사고 대응체계 및 책임추적성 확보 방안 마련

공통보안 7대 원칙에 따른 15개 주요 내용은 아래와 같으며, 2016년에는 IoT 보안 전문가, 서비스 제공자, 정부, 보안전문가 등의 협의체인 IoT보안얼라이언스2를 통해 미래부와 함께 IoT 공통보안 가이드, 스마트홈 보안 가이드 제정하여 국내 출시되는 IoT 기기 및 서비스의 보안을 준비하고 있습니다.

LG에서는 사물인터넷 제조업체로서 LG전자가 Global 표준화 Alliance OCF에서 표준화와 보안을 준비하고 있습니다. LG CNS와 LG U+는 oneM2M 표준기반 플랫폼 기술의 개발 및 국내 IoT 보안 협의체 참여 등을 통해 국내 IoT 보안 가이드의 제•개정 및 IoT 요소 기술 측면에서의 보안을 검토하고 준비하고 있습니다. 아래는 IoT 제품 서비스를 준비할 때 고려 및 준수사항을 기반으로 한 IoT 보안대응 기술 입니다.

위의 보안 대응 기술 항목은 국내외 표준화에서 요구되는 공통 보안 기술과 함께 IoT 관련 특화된 보안 요구에 대응하는 기술로 세부적으로 아래와 같은 대응 기술 요소를 포함하고 있습니다.

LG CNS에서는 IoT 표준에서 요구하는 Core 기술, 솔루션 플랫폼을 연구 개발함과 동시에 위의 대응 요구 기술제공 및 고객의 IoT 기기, 서비스의 초기 단계에서부터 IoT 보안 설계 및 컨설팅, 보안 취약점 점검 등을 수행하고 있습니다.

사물인터넷이 발전함에 따라 발생하는 위협이 사물인터넷 기기를 통해 더욱 빠르게 확산되고, 다양한 형태로 공격이 변이될 것으로 판단되고 있습니다. 따라서, IoT 관련 서비스 또는 제품을 준비 중인 기업 또는 기관에서는 국내외 표준에 따라 필요한 기술적 대책의 적용을 검토해야 하며, 이러한 과정을 통해 IoT 보안사고를 예방함으로써 IoT 산업 기반의 확대에 기여하리라 생각됩니다.

글 ㅣ LG CNS 보안컨설팅팀