디바이스·네트워크·플랫폼 보안 취약성 및 프라이버시 보호 이슈
22~23일 개최되는 ISEC 2014에서 사물인터넷 보안위협 실제 시연   

[보안뉴스 김경애] 사물인터넷 도입과 함께 상용화 범위 확대에 대한 관심이 높아지면서 보안위협 우려도 갈수록 커지고 있다.

최근 러시아가 중국에서 수입한 일부 다리미에서 무선 네트워크에 접속하는 통신 부품과 소형 마이크가 발견됐고, 냉장고, TV 등이 해킹돼 1년간 75만 건의 스팸 메일을 발송하는 등 가전제품을 해킹해 악성코드를 전파하는 사례가 실제로도 심심치 않게 발생하고 있다. 

특히, 스마트TV가 악성코드에 감염돼 내부 카메라의 원격조종을 통해 개인정보가 유출되거나 심장박동기 전류공급 조작에 따른 위·변조 정보를 통한 인명사고까지 유발할 수 있어 사물인터넷 보안위협은 사람의 생명을 위협하는 단계까지 확대되고 있다.

이러한 사물인터넷의 보안위협 사례는 대부분 기기의 취약한 모듈을 통해 침입한 후, 중요 모듈로 접근하는 방식을 취한다. 이 때문에 기기 운영 환경의 보안과 기기 내 각 기능별 위협 확산 방지가 무엇보다 중요하다.

이와 관련 한국정보보호학회(회장 오희국) IoT보안연구회(위원장 박창섭)에서 한국인터넷진흥원 이용필 팀장은 “사물인터넷 등장으로 정보보호 패러다임이 변화하고 있다”며 “기존 PC, 모바일기기 중심의 사이버환경과 달리 사물인터넷 환경은 보호대상 범위, 대상 특성, 보안담당 주체, 보호방법 등에 있어 새로운 정보보호 패러다임으로 접근해야 한다”고 말했다.

사물인터넷 보안취약성에 대해 부산대 김호원 교수는 “사물인터넷 서비스는 센싱, 정보를 토대로 사람, 사물, 서비스의 통합 및 데이터 공유를 지향하므로 프라이버시 침해 발생은 필연적”이라며 “서비스 제공자 측면에서의 프라이버시 보호가 중요하고, 개인정보를 활용하는 인터넷 서비스에서 프라이버시 침해 문제를 해결해야 한다”고 강조했다.

그러면서 사물인터넷 서비스 실현을 위한 주요 요소기술로 김 교수는 “많은 요소기술의 통합으로 인해 보안취약성 발생 가능성이 높다”며 “여러 관리주체로 인해 보안·프라이버시보호 책임이 부재하거나 소홀해질 수 있어 오픈 플랫폼, API, 서비스 API 기술, 신뢰할 수 있는 보안·프라이버시 기술 연구가 더욱 요구된다”고 설명했다.

이어 한국전자통신연구원(ETRI) 김정녀 부장은 사물인터넷의 보안위협을 디바이스, 네트워크, 플랫폼·서비스로 구분해 제시했다.

첫째, 디바이스의 경우 △기기 장치 및 오작동 유발에 의한 인프라 마비, 생명위협 등 물리적 위협 △기기분실·도난, 기기 위변조 등에 의한 정보 위변조 및 유출 △디바이스간 악성코드 전이·공격위협 △경량·저전력 요구 기기에 IP 보안기술 적용 어려움 등을 지목했다.

이에 따라 디바이스 영역의 보안 요구사항으로 김 부장은 “디바이스 생명주기 전 단계에서 보호방안이 마련돼야 하며, 다양한 기기에 대한 맞춤형 저전력 보안 HW모듈 및 운영체제가 구축되어야 한다”고 설명했다. 또한 디바이스 간 상호인증과 접속제어가 가능해야 한다고 덧붙였다.

두 번째로 네트워크의 경우 △이기종 사물 네트워크 간 연동 통신과정에서 정보변조·유출 △T2T 기기, 네트워크 및 게이트웨이 해킹 공격 및 크로스 네트워크 기기로 피해 확산 △대단위 사물봇에 의한 Iot 서비스 거부 공격 위협 등이 있다.

따라서 네트워크 보안 요구사항으로 △초연결 T2T 단대단 신뢰통신 보안 △초연결 사물 네트워크 해킹 감시·대응 및 보안관리 △사물인터넷 악성 트래픽 탐지·대응이 이뤄져야 한다는 게 김 부장의 설명이다.

세 번째로 플랫폼·서비스의 경우 △악성 기기·사용자의 플랫폼 불법 접속 및 공격 △불법 포획 후 암호키 해킹에 따른 플랫폼 붕괴 위협 △클라우드, 빅데이터에서 개인정보 유출 및 프라이버시 공격 위험 등이 있다.

플랫폼·서비스 단에서의 보안 요구사항으로 김 부장은 △개방형 플랫폼에서의 기기 및 사용자 인증 방안 마련 △키 은닉 암호 등 실제적인 안전 암호 기반 플랫폼 구축 △클라우드 빅데이터 환경에서의 익명화 기술 등이 적용돼야 한다고 제시했다.

이와 관련 김 부장은 “사물인터넷의 보안기술은 경량·저전력 암호, 인증, 악성 기기·트래픽 인식·감시, 프라이버시 보호 등 보안 서비스를 통해 사물인터넷 침해사고를 예방·대응할 수 있어야 한다”며 “보안이 뒷받침된 사물인터넷 생태계가 구축되어야 한다”고 강조했다.

이렇듯 사물인터넷의 보안위협이 높아지는 상황에서 오는 22~23일 양일간 코엑스 그랜드볼룸에서 개최되는 ISEC 2014에서 사물인터넷 보안이슈에 대해 집중적으로 다룰 예정이라 관심이 모아지고 있다.

우선 22일 오전 [이슈분석]에서는 블랙펄시큐리티 심준보 연구원(BoB 멘토)이 ‘More Secure Than Security’를 주제로 최근 이슈가 되고 있는 사물인터넷 보안위협에 대한 해킹시연과 대응방안을 설명할 예정이다. 이 자리에서 심준보 연구원은 우리 주변에서 흔히 일어날 수 있는 사물인터넷의 어두운 뒷면을 실제 해커의 입장에서 살펴보고, 최근 사물인터넷이 어떤 방식으로 공격받을 수 있는지 로봇청소기 해킹시연 등을 통해 직접 알아볼 예정이어서 참관객들의 관심이 집중되고 있다.

또한, 둘째날인 23일 오전에는 김지현 카이스트(KAIST) 교수가 ‘사물인터넷 혁명과 데이터, 그리고 보안’이라는 주제로 한 [명사초청 토크콘서트]를 통해 사물인터넷 보안이슈의 큰 흐름에 대해 짚어볼 예정이다.  

이번 행사는 ISEC 2014 홈페이지(http://www.isecconference.org/)를 통해 사전등록 신청을 하면 무료로 참관이 가능하며, 자세한 강연 프로그램과 강연자 정보도 확인할 수 있다. 

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>