현재 정부가 구축·추진하고 있는 u-city 및 u-IT 서비스의 보안 위협에 대한 방안이 많이 부족하다. 이러한 신규 IT 서비스에 대한 보안 요구 기술도 기존의 시스템, 네트워크, 애플리케이션 기술에서 RFID, USN, 무선 통신(WiBro, WCDMA), 웹 서비스 등등 다양한 신규 보안 기술이 필요하고 이 기술을 바탕으로 보안의 문제점을 해결해야 한다.

향후 몇 년 이후  현재 IT 환경은 무선 및 USN 환경으로의 전환점을 맞게 될 것이다. 이에 따라 보안 위협도 무선 및 USN 신규 위협, u-City 신규 보안 위협 들이 새롭게 나타날 것으로 예상된다.

현재 u-Ucity 및 u-IT 서비스가 정부의 주도하에 활발하게 구축이 이루어지고 있지만, 보안 위협에 대한 대응 방안은 많이 부족한 실정이다. 신규 IT 서비스에 대한 보안 요구 기술도 기존의 시스템, 네트워크, 애플리케이션 기술에서 RFID, USN, 무선 통신(WiBro, WCDMA), 웹 서비스 등 다양한 신규 보안 기술이 필요하고 이 기술을 바탕으로 보안적 문제점을 해결해야 하는 실정이다. 이에 따라 u-City의 개념과 신규 보안 위협 및 대응 방안에 대하해 정의하고 u-IT 서비스의 보안 위협 대응 방안으로 KISA의 정보보호 사전진단에 대해 알아본다.

유비쿼터스 도시 u-City의 개념

유비쿼터스(Ubiquitous)는 물이나 공기처럼 시공을 초월해 ‘언제 어디에나 존재한다’는 뜻의 라틴어 ‘ubique’를 어원으로 하는 영어의 형용사로 ‘동시에 어디에나 존재하는, 편재하는’이라는 사전적 의미를 가지고 있다.

1988년 미국의 사무용 복사기 제조회사인 제록스의 마크 와이저(Mark Weiser)가 ‘유비쿼터스 컴퓨팅’이라는 용어를 사용하면서 처음으로 등장했다. 마크 와이저는 유비쿼터스 컴퓨팅이란 컴퓨터 패러다임의 제3의 물결로서 네트워크 기반의 확장형 컴퓨팅 환경을 의미하며 머지않아 수백대의 컴퓨터가 한 명의 사람을 위해서 존재하는 유비쿼터스 시대, 즉 ‘언제 어디서나 컴퓨터에 엑세스할 수 있는 세계’가 도래할 것이라고 말했다. 이러한 컴퓨터 패러다임의 제 3의 물결, 즉 유비쿼터스 컴퓨팅 환경은 언제 어디서나 u-서비스를 이용 할 수 있는 첨단도시 개발 영역으로 발전하고 있으며 u-City기반시설(정보통신인프라+도시기반시설의 융합)과 u-서비스(방재·교통·환경·행정)를 도시공간에 구현함으로써 효율적인 도시 관리에 의한 거주민들의 삶의 질 향상, 안전과 주민복지 증대, 신사업 창출 등 도시 제반 기능을 혁신 시킬 수 있는 첨단도시를 하는 u-City라는 형태로 자리 잡게 되었다.

국내외 u-City 발전 현황

현재 세계 각국은 다양한 서비스를 융·복합한 유비쿼터스 도시 모델을 제시하고 있으며 국내에서도 행정안정부, 한국정보사회진흥원(NIA), 국토해양부, 기획재정부 등 정부기관과 각 지자체 주도로 다양한 u-City 모델이 개발 운영 중에 있다.

국외 u-City의 경우 국내의 u-City의 사업보다 그 기술력이나 서비스 도입 면에 대해서 앞선 경우도 존재하나 진정한 u-City의 개념보다는 Digital-City의 개념으로 추진 중인 곳이 많다. 그로 인해 통신 인프라를 기반으로 갖추어진 산업을 육성하기 위한 목적의 도시가 상당수를 차지하고 있다. 하지만 다양한 인프라를 통한 진정한 u-City 개념으로의 발전을 위해 다양한 기술 연구 및 통합 환경에서 필요한 추가적 요구사항에 대해 분석하고 다양한 유비쿼터스 기술 기반 서비스를 제공하기 위해 연구 중에 있다.

국내 u-City의 추진 상황을 보면 현재 중앙정부와 각 지자체에서 u-City로의 발전을 위한 사업 및 연구가 활발하게 진행되고 있다. 다양한 연구가 진행되면서 단순한 IT 산업 유치와 가타 연계 사업의 효율상승의 차원을 넘어 u-City 서비스를 구현하기 위한 신도시 개발 및 기존 도시의 변화를 추진하고 있다.

광역지자체 14곳과 기초자치단체 및 신도시 등 14곳에서 u-City 추진을 발표하고 추진 중이며 (구)정보통신부와 건설교통부는 지난 2006년 2월에 u-City 관련 업무 협약을 체결함으로써 u-City에 대한 다양한 법제도 정보와 표준화된 u-City 모델 개발 등을 추진하고 있다.

국내 u-City의 유형을 보면 ‘지자체 주도형’과 ‘도시개발자 주도형’으로 나누어서 볼 수 있다. ‘지자체 주도형’은 기존 도시의 u-City로의 발전을 말하는 것으로 제주, 광주, 충북, 전주 등을 그 예로 들 수 있다. ‘도시개발자 주도형’은 신도시를 건설하면서 처음부터 u-City 기반으로 추진되는 것으로 송도, 용인, 흥덕, 오송 등을 그 예로 들 수 있다.

‘지자체 주도형’의 경우 기본적으로 인프라 투자가 신도시에 비해 불리한 여건을 가지고 있기 때문에 무선, 이동통신 위주의 접근방식을 주로 하고 있다. 또한 USN구축을 위한 유무선 통합 네트워크를 구축하여 관광지 등의 기존 시설물에 활용하거나 텔레매틱스, ITS 등 일부 서비스 위주의 사업을 추진하고 있다.

‘도시개발자 주도형’의 경우는 신도시를 건설하면서 개발자의 선투자 방식으로 투자가 유리하며 도시 기반시설들의 전산관리체계를 도입하기가 유리한 조건을 가진다. 또한 신도시를 건설하며 도시 전체의 건물을 지을 수 있어 u-City로의 발전에 이점을 가진다. 이렇듯 현재 국내의 대부분의 신도시는 다양한 u-IT 인프라 및 서비스를 포함하여 건설하고 있으며 기존의 도시들 역시 USN, Wireless와 같은 유비쿼터스 기반기술 및 서비스를 도입하여 u-City로 발전하고 있는 추세이다.

u-City 기반 기술과 보안 위협

현재 추진하고 있는 u-City의 서비스들은 다양한 유비쿼터스 기반의 기술들의 접목으로 이루어지게 된다. 일반적으로 잘 알려진 RFID나 유비쿼터스 센서 네트워크(USN)과 같은 무선 네트워크 기술을 잘 활용하여 서비스를 이용하게 되는 시민들이 필요한 정보를 손쉽게 활용할 수 있게 제공되며 통합적인 개념의 네트워크인 광대역통합망(BcN)을 활용하여 통신, 방송 및 인터넷 등이 융합된 서비스를 한 번에 제공받을 수도 있게 된다.

이 외에 u-City에서 사용되는 기반 기술에는 Zigbee, WCDMA, WLAN, Wibro 등이 있으며 응용서비스 연계기술에는 GIS, LBS, GPS, 텔레메틱스, ITS, 홈네트워크 등이 있다.

그림 2와 같이 다양한 기반기술과 응용서비스 연계기술을 통해 구성되는 u-City는 다양한 보안 위협에 대해 고려되어야 하며 u-City 구성 시 가장 기본이 되는 RFID와 USN의 보안 위협은 다음과 같다.

RFID 태그와 리더를 통해 물품의 정보나 기타 정보를 무선주파수로전송 처리하는 비접촉식 시스템으로, RFID 이용 시 고려되어야 하는 대표적인 보안위협은 FRID태그에 대한 파괴·복제, RFID 리더에 대한 허가 받지 않은 접속, 태그와 리더간 통신에 대한 도청을 들 수 있다.

USN(Ubiquitous Sensor Network)은 언제 어디서나 정보 시스템을 활용한 서비스를 제공 받을 수 있는 유비쿼터스 사회를 위한 필수 네트워크이다. USN은 무선으로 데이터를 주고 받으며 각 센서 노드의 자원 제약성이 높다는 특성이 있다. USN 구성 시 보안 위협은 도청, 데이터 위변조 등을 들 수 있다.

이 외에 다양한 기반 기술과 응용서비스 기술, 응용서비스 연동 시와 u-City 운영을 수행하는 u-City통합 운영센터에서 발생할 수 있는 다양한 위협이 존재하며 이러한 다양한 위협에 대한 대응 방안으로 관리적, 물리적, 기술적 보안 대책이 수립되고 점검 되어야 한다. 이러한 u-City 정보보안 위협에 대응하기 위해 한국정보사회진흥원(NIA), 한국정보보호진흥원(KISA)에서는 u-City 구축 사업에 정보보호 사전진단 수행을 지원하고 있다.

u-City와 정보보호 사전 진단

u-City기반시설(정보통신인프라+도시기반시설의 융합)과 u-서비스(방재·교통·환경·행정)를 도시공간에 구현하기 위해서는 다양한 유비쿼터스 기반기술과 응용서비스 기술 등 다양한 인프라의 사용이 필요하다.

다양한 인프라 및 기술을 통해 이용자의 서비스 접근 편이성을 제공하나, 무선네트워크, 복합단말기 사용 등 정보시스템의 복잡도는 증가한다. 정보보안의 측면에서 다양한 인프라의 사용 및 구조의 복잡성은 다양한 위협과 그로 인한 정보 유출 및 보안사고 등의 발생 가능성의 증대를 의미하며 이러한 보안사고의 발생 가능성을 제거 혹은 감소시키기 위한 활동이 요구되고 있다.

이를 위해 한국정보사회진흥원(NIA)과 한국정보보호진흥원(KISA)는 u-IT 확산 사업에 대한 정보보호 사전진단 제도의 도입을 통해 이러한 활동을 수행하고 있다.

u-IT 확산 사업 정보보호 사전진단 제도는 신규 IT서비스 개시 이전에 위협 및 취약점 분석 등 정보보호진단을 수행하여 보호대책 적용하는 정보보호 활동을 의미하며 2006년 모바일 RFID 시범사업 정보보호사전진단, 2007년 u-City 서비스 안전성 확보를 위한 u-City 테스트베드 구축사업 정보보호 사전진단, 2008년 ‘RFID/USN 확산 종합대책’에 따라 추진되는 RFID/USN 확산사업에 대한 정보보호 사전진단이 수행되었으며 올해에는 u-City 구축 활성화 기본계획에 의해 구축 중에 있는 9개 사업에 대한 사전진단이 수행되고 있다.

정보보호사전진단은 한국정보보호진흥원의 정보보호 사전진단 방법론을 통해 수행되며 이는 IT서비스를 구성하는 정보시스템 중 보호대상을 선정하고 보호대상의 중요도, 위협 및 취약성을 고려하여 위험 평가, 보호대책 구현 여부 확인 및 미 구현 보호대책에 대한 보호대책 구현계획을 수립하도록 절차로 진행된다.

이를 통해 u-IT 서비스의 기술적, 물리적, 관리적 위협요소와 취약점을 서비스 운영 이전에 식별, 적절한 보호대책을 수립함으로써 u-City 구축 후 발생 할 수 있는 위협에 대한 감소와 위협으로 인해 발생되는 피해를 제거함으로써 정보보호 투자의 실효성과 서비스의 안전·신뢰성 제고를 가능하게 한다.

물론 다양한 환경 및 정보기술의 결합을 통해 구축되고 운영되는 u-City환경의 정보보호를 위해 정보보호사전진단 수행을 통해 u-City 보안에 대한 모든 해결 방안을 수립할 수 있지는 않다. 다만 ‘서비스 제공을 위한 정보시스템의 취약점 발견 및 수정에 소요되는 비용은 운영단계에서는 설계 단계에 비해 60~100배 증가할 수 있다’는 IBM시스템기술연구소의 발표처럼 u-City 구축 단계부터 정보보안 위협과 이에 대한 대응 방안을 수립하는 u-IT 정보보안사전진단을 통해 u-City 정보보안의 수준을 증대 시킬 수 있을 것이다.

이 외에도 u-City를 구성하는 기반 기술과 응용서비스에 대한 표준 및 보안가이드 수립, u-City 서비스 관리를 위한 u-City 통합운영센터에 대한 표준 및 보안 가이드 등이 수립되어야 언제 어디서나 u-서비스를 이용한 u-City 구현이 가능할 것이다.

인젠시큐리티서비스는 한국정보사회진흥원(NIA), 한국정보보호진흥원(KISA)가 주도한 2008년 u-IT확장 사업 정보보호 사전진단 수행 과제인 ‘제주자치도 ‘FCG 양돈 관리’, ‘국토해양부 물류거점정보시스템 구축’ 등에 대한 정보보호 사전 진단을 성공적으로 수행했으며 2008년 u-City서비스 9개 모델에 대한 정보보호 사전진단을 수행 중에 있다.

그 외에도 ‘u-City 통합운영센터 보안위협 및 대응 방안 연구’ 등 다양한 u-City 정보보안을 위한 활동을 수행했으며 향후 u-City 정보보안을 위한 전담팀 구성 및 u-서비스에 대한 진단 및 보안대책 등에 대한 지속적인 투자와 연구를 통해 u-City 정보보안 분야의 국내 최고를 목표로 정진할 것이다.

<글 : 정찬석 인젠시큐리티서비스 컨설팅본부 이사(csjung@inzenss.com)>

[월간 정보보호21c 통권 제103호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무전재-재배포금지>