[CCTV뉴스=이승윤 기자] 네트워크를 통해 각종 사물을 연결하는 사물인터넷(IoT)이 4차 산업시대의 핵심기반 기술로 주목받으며 빠르게 성장하고 있다. 특히 IoT는 4차 산업시대 주요 사업인 스마트팩토리, 스마트시티, 스마트팜 등 다양한 스마트 산업에 핵심 요소로 활용되기 때문에 향후 더욱 빠른 성장을 할 것으로 예상된다.
그러나, IoT는 다양한 사물과 연결돼 있기 때문에 만약 사이버 공격으로 인해 보안 사고가 발생할 경우 단순히 하나의 플랫폼에 그치지 않고 연결된 모든 플랫폼이 마비되는 심각한 보안 사고가 발생할 수 있으며, 피해 규모도 금전적인 피해와 함께 인명피해까지 발생하는 사회적인 재해가 나타날 수 있다. 이에 많은 보안 전문가들은 IoT의 안전한 활용을 위해 보안이 필수적으로 갖춰져야 하며, 이를 위해 하드웨어를 기반으로 한 IoT 보안시스템이 구축돼야 한다고 말하고 있다. 그렇다면, IoT 보안에 있어 하드웨어에 기반한 보안이 구축돼야 하는 이유는 무엇일까? 하드웨어 기반 IoT 보안 솔루션을 제시하고 있는 ST마이크로일렉트로닉스(이하 ST)의 곽재현 보안 MCU 부문 마케팅 부장을 만나 이에 대한 답을 들어봤다.
Q. IoT 성장과 함께 보안위협도 많이 발생하고 있다. 특히 IoT 하드웨어를 노린 공격이 지속해서 나타나고 있다. IoT 하드웨어를 노린 공격이 나타나는 이유는 무엇이며, IoT 하드웨어 보안위협 사례가 있다면 소개 부탁한다.
IoT 보안 위협은 IoT 기기 자체, IoT 기기 간의 통신, 혹은 클라우드 등의 서버와 IoT 기기 사이의 통신 등 그 종류에 관계없이 다양하게 발생하고 있다. 네트워크를 통해서 기기를 연결하는 것을 기반으로 하고 있는 IoT 생태계는 반대로 생각하면 악의를 갖고 있는 외부의 침입자가 네트워크를 통해서 IoT 기기에 접속할 수 있는 환경을 제공한다는 것을 의미하기 때문이다.
IoT 하드웨어 보안위협은 주로 금전적인 부분을 노린 공격이 발생하고 있다. 지난 2014년 선불식 충전카드인 마이비 교통카드가 보안에 취약한 마이페어 클래식 기반으로 되어있다는 점을 악용해 보안 프로그램 해킹으로 1억 8000만 원을 탈취한 범죄와 잉크젯 프린터의 잉크 카트리지에 적용된 정품인증 보안 솔루션을 해킹해 무한 리필 카트리지가 등장한 것이 IoT 하드웨어 보안위협의 대표적인 사례로 볼 수 있다.
또한, IoT로 연결된 차량을 외부에서 원격으로 마음대로 조종하는 사례도 보고되고 있어 향후 IoT로 모든 것이 연결된 초연결시대가 온다면, 영화 ‘분노의 질주’에서처럼 해킹당한 차량들이 고층 건물 주차장에서 도로로 비처럼 내리는 장면이 현실로 나타날 수도 있다. 이와 같은 IoT 보안 사고를 막기 위해서는 하드웨어 기반의 IoT 보안 솔루션 구축이 필요하다.
Q. ST가 보는 하드웨어 IoT 보안의 중요성은 무엇인가?
IoT 보안에 대한 대비는 소프트웨어만으로 할 수도 있고, 보안성이 있는 하드웨어 기반에 소프트웨어 보안 솔루션을 구축하는 방법으로 진행할 수도 있다. 소프트웨어만으로 보안 솔루션을 만드는 경우 비용을 상대적으로 저렴하게 가져갈 수 있으나, 보안 수준이 낮게 구현되기 때문에 전문 해커가 고도화된 사이버 공격을 할 경우 대응력이 부족할 수 있다.
반면, 보안성이 있는 하드웨어 기반에 소프트웨어 보안 솔루션을 접목 시 보안성을 갖추는데 필수적인 암호화 알고리즘을 통해 여러 보안 과정이 이루어지는 것을 빠르게 진행할 수 있으며, 궁극적으로 보안 과정의 기반이 되는 암호키를 안전한 환경에 보관할 수 있어 외부로부터의 고도화된 IoT 보안 위협에 대한 대비가 가능하다.
Q. 하드웨어 IoT 보안위협에 대응하기 위해 어떤 보안 솔루션과 정책이 갖춰져야 하는가?
보안성이 있는 하드웨어 기반의 IoT 보안 솔루션은 현재 업계에서 크게 2가지로 제안하고 있다. 솔루션을 제공하는 업체가 자체적으로 판단해서 보안성이 있는 하드웨어 IC 기반으로 준비된 솔루션이 있으며, 제3 기관의 평가를 통해서 국제적인 공통 평가 기준(Common Criteria) 기반으로 보안 수준이 EAL 4+, 혹은 EAL 5+ 정도로 평가되는 높은 보안성을 가진 하드웨어 IC 기반으로 준비된 솔루션이 있다.
후자의 경우 전자에 비해 사실상 상대적으로 훨씬 더 높은 보안 수준을 갖고 있다고 볼 수 있으며, 앞서 언급된 보안 수준을 통과한 IoT 보안 솔루션을 적용해야 진화된 사이버 공격을 대응할 수 있을 것으로 보인다.
정책적인 측면으로는, 지난해부터 IoT 보안인증 서비스를 제공하고 있는 한국인터넷진흥원의 정책은 우리나라 IoT 산업을 보호하기 위해서 시기 적절한 정책이라고 본다. 그러나, IoT 보안인증이 현재까지 자율적으로 진행되고 의무사항이 아닌 선택사항인 점, 높은 수준의 보안성을 요구하기 보다 기본적인 보안 수준만 만족하면 통과되는 인증이라는 점은 아쉬운 대목이다. 향후, 국내 IoT 보안 수준향상과 산업 활성화를 위해서는 한국인터넷진흥원이 제공하고 있는 IoT 보안인증 서비스가 선택이 아닌 의무적으로 받아야 하는 방향으로 제도 개선이 필요하다.
Q. ST는 하드웨어 IoT 보안을 위해 어떤 보안 솔루션을 제시하고 있는가?
ST에서는 2016년에 IoT용 보안 솔루션인 STSAFE 브랜드 런칭 행사를 열고 IoT 기기 제조사를 중심으로 STSAFE의 다양한 솔루션을 제시하고 있다. 먼저 IoT 기기 각각에 적용할 수 있는 솔루션인 STSAFE-A 솔루션, JAVA card OS 기반으로 구성돼 고객사가 원하는 대로 애플릿(applet)을 개발ㆍ탑재해 유연하게 사용할 수 있는 STSAFE-J, 보안플랫폼 모듈(TPM) 1.2과 TPM 2.0 spec을 만족하며 내부 시스템의 무결성을 확보하기 위한 목적으로 기업용 노트북과 프린터에 적용돼 왔던 STSAFE-TPM 제품군까지 다양한 IoT 보안 솔루션을 제공하고 있다.
이 중에서 최근 선보인 STSAFE-A1SX는 IoT 통신 분야의 글로벌 기업인 시그폭스(Sigfox)에서 요구하는 보안 사항을 만족하는 시그폭스 전용 보안 솔루션으로, I2C 인터페이스를 통해 호스트 IC와 연결돼 시그폭스용 IoT 모듈에서 보안성을 확보하는 역할을 한다.
Q. ST 보안칩은 다른 기업의 보안칩과 비교해 어떤 특장점을 가지고 있는가?
ST의 STSAFE 제품군은 모두 국제적인 공통 평가 기준 기반으로 보안 수준이 EAL 4+ 혹은 EAL 5+ 정도로 충분히 높은 수준의 보안성을 확보하고 있다. 또한 IoT 기기의 호스트 IC로 가장 많이 활용되는 STM32와 연결해서 사용할 수 있도록 다양한 예제 코드들이 준비돼 있어 고객사에서 편리하게 활용할 수 있으며, 보안에 대해 전문적인 지식이 부족한 고객사를 위해서 ST마이크로닉스의 파트너사를 통해 STSAFE 제품 기반의 보안 솔루션 구현에 대한 기술 적인 지원을 하고 있다.
국내 고객 지원을 위해 국내 보안기업인 시큐리티 플랫폼과 파트너십을 맺은 바 있으며, 향후 국내 고객 지원 확대를 위해 다양한 보안 기업들을 물색하고 있다.
Q. 향후 ST는 하드웨어 IoT 보안을 위해 어떤 계획을 가지고 있는가?
ST는 IoT 산업이 당면하고 있는 보안 위협과 그것을 미리 대비하기 위한 보안 솔루션 적용에 대한 필요성을 각종 전시회와 컨퍼런스를 통해서 꾸준히 제기하고 있으며, IoT용 보안 솔루션인 STSAFE 제품군도 더욱 다양하게 확대하고 있다. 또한, 2~3년 마다 매번 갱신되는 공통 평가 기준을 통과하기 위해 새로운 해킹 기술을 연구하며 이를 대응할 수 있는 보안 기술을 개발하고 있다.
ST마이크로일렉트로닉스 주요 IoT 보안 솔루션 세부 내용
