모바일, 사물인터넷(IoT, Internet of Things, 여러 사물에 정보통신기술이 융합되어 실시간으로 데이터를 인터넷으로 주고받는 기술)의 보편화로 언제 어디서든 네트워크에 연결된 세상에 살고 있습니다. ‘글로벌 인더스트리 비전 2025(GIV 2025)’ 보고서에 따르면 2025년까지 IoT로 연결된 기기가 총 1000억 개에 달할 것이며, 영국의 반도체 기업 ARM은 2035년에는 1조 개까지 증가할 것이라고 전망했습니다.
하지만 loT 기기와 네트워크에 흐르는 데이터 양이 증가할수록 IoT 해킹 사례 또한 증가하고 있는데요. 아파트 네트워크 시스템을 해킹해 월패드 카메라로 찍은 개인의 사생활 영상을 유출한 사건이 대표적입니다. 특히 자율주행, 스마트 팩토리, 스마트 그리드 등 대규모 산업시설은 해킹으로 인한 피해 규모가 크기 때문에 더욱 안전한 보안 대책이 필요합니다.
S/W기반 보안 방식의 한계
일반적으로 IoT 디바이스의 주요 정보는 암호화 과정을 거쳐 송수신되므로 데이터가 유출되더라도 그 내용을 확인할 수 없습니다. 암호화된 데이터를 복호화 하기 위해서는 Key가 필요하며, 이 Key를 안전하게 관리하는 것이 보안에 있어 매우 중요합니다. Key는 대부분 소프트웨어를 통해 만들어지며, 생성된 Key는 기기의 메모리에 저장됩니다. 이때 저장된 Key는 별도의 관리가 필요한데요. 관리 소홀이나 물리적 보안 공격으로 Key가 유출될 수 있기 때문입니다. 이러한 S/W 기반 보안의 취약점을 보완하기 위해서는 H/W 기반 보안 방식이 필요합니다.
H/W 기반 보안 방식은 Key와 중요 데이터를 하드웨어 칩에 보관하기 때문에 해킹이나 도난으로부터 비교적 안전합니다. H/W 기반 보안 방식의 예로는 IC 칩이 부착된 스마트카드, HSM(Hardware Security Module, 하드웨어 보안 모듈), TPM(Trusted Platform Module, 보안 플랫폼 모듈) 등이 있습니다.
물리적으로 복제 불가능한 기술, PUF
H/W 기반 보안 방식이 비교적 안전하다고는 하나, 칩의 고유 ID와 Key는 외부에서 생성해 메모리에 저장하는 방식이므로 여전히 해킹에 의한 복제가 가능합니다. 이를 보완할 기술로 ‘물리적 복제 방지 기능’이라 불리는 PUF(Physical Unclonable Function)가 등장했습니다.
PUF는 반도체 제조 공정에서 발생하는 미세공정 편차를 이용해, 칩 내부에 예측하기 어려운 랜덤 디지털 Key 값을 생성하는 시스템입니다. 사람의 홍채, 지문과 같은 고유의 Key 값을 반도체 내에서 스스로 생성하기 때문에 하드웨어적으로 예측이 불가능하고, 외부로 유출되지 않으며, 복제가 불가능합니다.
PUF를 적용한 IoT 보안서비스 사례
IoT 보안에서 PUF를 이용하면 디바이스 인증, 서버 인증, 펌웨어 무결성 검증 등이 가능합니다.
1. 디바이스 인증
디바이스 인증은 디바이스가 서비스 플랫폼과 통신 세션을 맺을 때 사용됩니다. 이 과정에서 디바이스는 PUF에 저장된 Device Private Key를 사용해 서명한 서명 값과 디바이스 인증서(Device Public Key 포함)를 서버로 전송하고, 서버는 Device Public Key를 사용해 Private Key의 서명 값을 검증합니다. PUF는 디바이스 인증서/Private Key/Public Key의 보호, 서명 생성을 위한 연산을 수행합니다.
2. 서버 인증
서버 인증도 디바이스가 서비스 플랫폼과 통신 세션을 맺을 때 사용됩니다. 디바이스는 서버 인증서를 수신 받고 PUF에 저장된 Public Key를 이용해 서버 인증서를 검증합니다.
3. 펌웨어 무결성 검증
펌웨어 무결성 검증은 해커에 의한 악의적 펌웨어 변조 및 정보 유출을 방지하기 위해 펌웨어 파일 서명을 검증해 안전한 펌웨어 업데이트를 수행합니다. PUF는 펌웨어 파일 복호화, 서명 검증 연산 수행, 검증 Key 보호 등을 수행합니다.
4. Secure Update
Secure Update는 디바이스 부팅 시, PUF 보안 칩에 저장된 서명 값과 실행 파일들의 서명 값을 비교해 무결성을 확인합니다.
5. 주요 정보 암호화
주요 정보 암호화는 디바이스에서 사용되는 중요 데이터(User Key, Password, 외부 인증서, 서명 값 등)를 PUF 보안칩에 암호화해 저장하고 데이터가 사용되는 시점에 복호화 해 사용함으로써 해킹에 의한 정보 노출을 방지합니다.
PUF를 적용한 IoT 보안서비스 전망
IoT는 우리에게 편리함을 주지만 위험한 환경에 쉽게 노출될 수 있으므로 보안이 매우 중요합니다. IoT 보안의 핵심은 기기 간 또는 기기와 서버 간의 안전한 인증입니다. 이를 위해 Key를 보호하는 H/W 보안 중심으로 기술이 발전되고 있으며, 물리적 복제와 해킹이 불가능한 PUF가 IoT 보안의 차세대 핵심기술로 떠오르고 있습니다.
국제표준 기구(ISO)에서 발표한 표준규격(ISO/IEC 20897-1)에서 기존 보안 모듈은 역공학(Reverse Engineering, 이미 만들어진 시스템을 역으로 추적해 처음의 문서나 설계기법 등의 자료를 얻어 내는 일) 해킹에 치명적이라며, 그 대안으로 PUF를 공식 제안했습니다. 최근 GSA(Global Semiconductor Alliance, 국제 반도체 협회)는 하드웨어 기반의 새로운 보안 솔루션으로 PUF를 소개했습니다. 이처럼 PUF를 활용한 보안 기술은 전 세계적으로 주목받고 있으며 물리보안의 핵심으로 발전할 것으로 기대됩니다.
글 ㅣ LG CNS 보안/솔루션 사업부 보안사업담당 융합보안팀 이명호
