정부 4차 산업혁명 위원회에서 2018년 1월에 ‘도시혁신 및 미래 성장동력 창출을 위한 스마트시티 추진전략’을 발표했습니다. LG CNS 블로그 구독자분들도 몇 년 전부터 인공지능, 빅데이터, 클라우드, 5G, 드론, 스마트카 등 새로운 기술 용어들을 다양한 매체를 통해 접하고 있고, 조금씩 새로운 기술들을 활용한 서비스들을 이용하면서 삶의 질이 향상되고 있는 것을 느끼실 겁니다.
이제는 가스 불을 외부에 나가서도 끌 수 있고, 집에 들어가기 전에 보일러를 켜고, 회사에서 아이들이 집에서 잘 놀고 있는지 지켜볼 수 있는 세상이 되었습니다. 이런 서비스들이 스마트시티 서비스의 한 모습으로 다양한 신기술을 도시에 적용해 도시문제를 해결하고 시민들에게 편리함을 제공하고자 하는 시도가 계속되고 있습니다. 간단히 정리하면 도시가 똑똑해 지고 있습니다.
이번 글에서는 ‘똑똑한 도시’ 스마트시티가 무엇인지와 스마트시티에서 발생할 수 있는 보안 위협 및 그에 대한 대응 방안을 알아보겠습니다.
스마트시티란 무엇인가?
산업화가 진행되면서 일자리를 찾아 몰려든 사람들이 한정된 장소에 모여 사는 도시화가 진행되고 도시화가 진행됨에 따라 인프라 부족 및 노후화, 교통 혼잡, 에너지 소비 확대, 환경 오염, 범죄, 재난 등의 도시 문제가 발생하게 되었습니다. 이런 도시 문제를 해결하려는 방안이 모색되고 있고 ICT 기술을 도시에 적용해 문제를 해결하려는 ‘스마트시티’가 새로운 도시 모델로 많은 관심을 받고 있습니다.
ITU(International Telecommunication Union)의 2014년 조사 결과에 따르면 세계적으로 스마트시티에 대한 정의가 116개에 달하며 주요 키워드로 ICT, 정보, 통신 등 키워드가(26%), 환경과 지속가능성(17%), 인프라와 서비스(17%) 등의 용어가 스마트시티 정의에 사용되고 있습니다.
우리나라에서는 스마트시티 조성 및 산업진흥에 관한 법률(2017.03.21 개정)에서 ‘도시의 경쟁력과 삶의 질 향상을 위하여 건설, 정보통신기술 등을 융·복합하여 건설된 도시기반시설을 바탕으로 다양한 도시 서비스를 제공하는 지속가능한 도시’로 정의하고 있습니다.
기존 도시 관리에서는 문제 해결을 위해 새로운 인프라를 건설하거나 대규모 인력을 투입했다면 스마트시티에서는 도시 전역의 데이터를 수집하고 분석해 필요한 곳에만 자원을 투입하거나 기존 자원을 재활용하는 형태로 효율적으로 도시 관리를 할 수 있게 되었다고 보면 됩니다.
스마트시티는 어떻게 구성되나?
스마트시티 구성 요소는 크게 인프라, 데이터, 서비스 및 제도 부문으로 구분할 수 있으며 부문별로 7개의 세부 요소가 포함됩니다.
스마트시티에는 ICT 기술이 적용되기 때문에 ICT 기술에서 발생할 수 있는 취약점이 스마트시티 서비스에서도 유사하게 발생 될 수 있습니다. 위 표의 스마트시티 구성 요소를 유사한 취약점이 발생할 수 있는 계층으로 재분류해 보면 4개 계층으로 분류할 수 있습니다.
- Device: CCTV, 센서, IoT GW 등 영상,측정 데이터 등 자료를 생성하는 계층 (IoT)
- Network: 생성된 정보를 유선랜, WIFI, 5G, LTE, ZigBee 등 통신 기술을 활용해 전송되는 계층 (ICT 인프라)
- 플랫폼: Device 단에서 생성된 정보를 수집, 저장, 가공, 분석 제공하는 계층 (데이터 공유, 공간 정보 인프라)
- 서비스: 플랫폼에서 제공하는 데이터를 활용하여 안전과 환경, 교통, 에너지 등 다양한 분야의 서비스를 제공하는 계층 (알고리즘과 서비스)
스마트시티에서 발생될 수 있는 보안 이슈는?
스마트시티는 빅데이터, 인공지능, IoT 등 ICT 기술이 종합적으로 적용되어 만들어지므로 개별기술에서 발생할 수 있는 보안 위협 및 취약점이 동일하게 발생할 수 있습니다. 보안 사고 발생 시 도시 내 시민 전체에게 그 피해가 발생할 수 있으므로 보안 영역이 스마트시티에 대한 신뢰도를 높이는데 가장 중요한 요소입니다.
아래 사고 사례들은 스마트시티 환경에서도 유사하게 발생할 수 있는 사례들로 무선공유기, 스마트 가전, CCTV, 빌딩 제어 시스템 등이 해킹된 사례입니다.
스마트시티에서는 Device에서 관리 시스템까지 전체 구간이 해킹의 대상이 될 수 있기 때문에 전체 구간에서의 보안을 고려하는 End-to-End 개념의 보안 체계 수립이 필요합니다.
스마트시티 서비스에서는 아래와 같이 서비스 계층별로 다양한 취약점이 발생할 수 있으며, 개별 서비스에서도 Privacy 침해, 애플리케이션 해킹 등 다양한 위협 요인이 존재하기 때문에 발생 가능한 위협들에 대한 체계적인 분석 및 대응 방안 수립이 필요합니다.
※ 아래 예시는 스마트시티 서비스 중 방범 영역의 서비스에 대한 제한적 사례로 서비스 모델에 따라 상이한 보안 위협이 발생할 수 있습니다.
스마트시티의 보안을 어떻게 해야 하는가?
스마트시티의 보안은 제공되는 서비스 형태에 따라 구성되는 Device도 달라지고, 애플리케이션도 달라지기 때문에 개별 서비스 모델에 따른 보안 위협 분석 및 보호 대책의 수립이 고려되어야 합니다. 또한, 개인정보 보호법, 위치정보 보호법, 정보통신기반 보호법 등 법적 요구사항을 충족하기 위해서는 사업발주 단계부터 서비스 설계 내용에 정보 보호 요건이 고려되어 서비스 개발이 이루어져야 하기 때문에 서비스와 인프라, IT와 물리 영역 전반을 고려한 종합적인 보호 대책이 수립되어야 합니다.
효과적인 스마트시티 정보 보호 대책 수립을 위해서는 아래 3가지 사항을 고려해야 합니다.
첫째, 플랫폼 및 서비스 개발 단계부터 개인정보 보호 및 정보 보호를 고려한 개발이 이루어져야 합니다.
서비스 설계 시 개인정보 보호 관련 법적 요건 및 Privacy가 보장될 수 있도록 Privacy by Design 개념을 적용해 개인정보 보호를 위해 필요한 권한변경 이력, 개인정보접근 이력, 개인정보 비식별화 등 기능 요건을 개발 요구사항으로 반영해야 합니다.
둘째, Device>네트워크>플랫폼>서비스 및 데이터 생성•저장•가공•제공 전 단계에 인증 및 암호화 등 End-to-End 보호 대책이 고려되어야 합니다.
아래와 같이 스마트시티 정보 보호 프레임워크를 수립하고, 정보 보호 참조 모델을 만들어 스마트시티 구성요소 전체에 보안 요소가 누락되지 않고 적용될 수 있도록 보안 기술을 표준화하고 최소한의 보안시스템 구축 요건이 제시되어야 합니다.
셋째, 스마트도시 정보 보호 관리의 지속성을 확보하기 위하여 스마트시티 사이버안전센터가 설립되어야 하고, 관련 인력 및 예산이 확보되어야 합니다.
스마트시티 사이버안전센터에서는 스마트시티 서비스를 위한 인프라 및 서비스기반 전체에 대한 24*365 보안관제를 실시해야 하며, 특히 스마트시티 곳곳에 분산된 IoT 기기들에서 발생하는 다양한 보안 이벤트를 분석해 기기 악성코드 감염, 비정상 트래픽 발생, 기기 오동작 등을 모니터링 할 수 있는 체계를 만들어야 합니다.
이상으로 간략하게 스마트시티 개요 및 보안 위협, 보안 대책 등을 살펴보았습니다. 서비스 모델별 보안 위협은 지면 관계상 살펴보지 못했지만, 스마트시티 사업이 향후 국가경쟁력 향상을 위한 핵심 사업인 만큼 스마트시티 밑그림을 그리고 있는 현 단계에 안전한 스마트시티 구축 및 운영을 위한 다양한 보안 기술에 대한 연구 및 스마트시티 보안에 대한 가이드 등이 제시되어야 할 시점으로 보입니다.
글 l LG CNS 보안컨설팅팀