• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사물인터넷 보안, 어디서부터 손대야 하나? 2014.11.06

IoT 보안정책·표준화·대응체계 마련 중요
센서, 디바이스, 통신 등 각 구성요소별 취약점 대응해야

[보안뉴스 김태형] 사물인터넷(Internet of Things, IoT)이 우리에게 주는 편리함과 경제성장의 기회를 놓치지 않기 위해서는 반드시 보안(Security)이 담보되어야 한다. 이제는 안심하고 IoT 제품과 서비스를 이용할 수 있는 보안이 곧 경쟁력이 되는 시대이기 때문이다.

▲ 사람과 사물, 데이터 등 모든 것이 연결되는 사물인터넷 시대에서는 기존 사이버공간의 위협이 현실세계로 확대되어 생명도 위협할 수 있다.


사람과 사물, 데이터 등 모든 것이 연결되는 사물인터넷 환경에서는 기존 사이버공간의 위협이 현실세계로 전이 또는 확대될 것으로 전망된다.

특히 가전·의료기기 및 자동차 등 사물인터넷의 활용 분야가 우리 실생활의 모든 사물에 접목될 수 있기 때문에 사물인터넷 보안위협은 사람의 생명도 위협할 만큼 큰 피해를 가져올 수 있다. 이러한 피해 예상 규모는 2020년까지 17조 7천억원으로 추산된다.


이러한 보안위협에 대응하고 보다 안전한 사물인터넷 환경을 조성하기 위해서는 이와 관련한 법규제와 표준, 그리고 관련기술 개발 및 정책 가이드가 필요하다. 이와 관련 미래창조과학부 정보보호정책과 홍진배 과장은 “사물인터넷 시대에는 차량진단 앱을 악성코드에 감염시켜 자동차를 원격제어 하거나, 홈서버 해킹으로 집안 내의 가스밸브 조작, 심박기를 원격조정을 통해 변조·정지 등이 가능한 상황”이라고 말했다.


이어 그는 “기존 저사양 디바이스 해킹, 무선네트워크 취약점 등의 사이버 보안 위협은 정보 유출이나 금전적 피해를 입히지만 사물인터넷과 관련된 보안위협은 실생활에서 시스템 정지는 물론 생명 위협까지 가능하다”면서 “사물인터넷 도입 이후에는 사후 보안조치가 불가능하고 사후 조치를 위해서는 많은 비용이 든다”고 덧붙였다.


이러한 상황에서 국내외 대형 IT기업들은 사물인터넷 보안시장을 선점하기 위한 인증·암호화 분야의 신규 보안 솔루션을 개발·출시하고 있으며 관련 업체 인수를 통해 사업 영역 확대와 협력체계를 구축하고 있다.


이와 함께 전 세계적으로 IoT 보안정책 수립은 아직 초기 단계이지만 미국, 유럽 등 주요 선진국은 IoT 산업진흥과 이용자 보호를 함께 고려한 균형 잡힌 규제방안을 정부 차원에서 검토 중이다.


특히 IoT 기반의 다양한 서비스에 보안원칙을 적용하도록 하고 있으며 관련한 지침을 개발·보급하는 등 시장 자율규제 중심의 정보보호 정책·제도를 수립하고 있다. 다만, 인간의 생명과 직결되는 의료 등의 분야에서는 의무적으로 보안을 적용하고 있다.

▲ 주요국 IoT 보안 정책 및 표준화 동향


이처럼 주요 선진국들은 IoT 인프라의 CPS(Cyber Physical Systems, 사이버 물리 시스템) 타깃의 사이버공격으로 인한 셧다운, 오동작 등의 침해사고를 선제적으로 예방·대응하기 위한 보안정책을 추진하고 있다. 美 백악관은 주요 기반시설에 대한 사이버 공격으로 사회적·경제적 피해가 우려됨에 따라 지난 2013년 CPS의 사이버보안 강화를 위한 대통령 행정명령을 발동하기도 했다.

홍 과장은 “미국은 사생활 침해 우려가 커짐에 따라 공청회를 개최하고 규제안 마련을 추진했다. 또한 보다 안전하고 신뢰할 수 있는 사물인터넷 환경을 마련하고 있으며 미국 FDA에서는 보안지침을 따르지 않은 제품에 대해서는 미국 내 판매와 유통을 전면 금지하고 있다”면서 “미래부는 최근 사물인터넷 7대 핵심 분야에 대한 보안 내재화 조성, 사물인터넷 보안위협의 선제적 대응 위한 보안협의체 구성 및 종합대책 마련, IoT 보안인증 활성화, IoT 보안 핵심요소 기술 개발, IoT 융합보안 실증사업 등을 추진키로 했다”고 덧붙였다.


이와 관련 부산대학교 김호원 교수는 “사물인터넷 보안위협에 대응하기 위해서는 각 구성요소별 보안 취약성에 대응해야 한다. 즉 센서·디바이스, 통신·네트워크, 플랫폼, 응용 서비스 등 사물인터넷의 구성요소 각각은 물론 통합 관점에서의 보안이 필요하다”고 말했다.


사물인터넷 디바이스는 공격자에게 노출되기 쉬운 센서 디바이스, 소프트웨어 업데이트 및 관리의 어려움, 제한적 연산능력 보유로 기존 보안기술의 적용이 어렵기 때문에 보안에 취약하다. 또 사물인터넷 통신·네트워크는 불완전하게 정의된 표준에서의 보안과 과도한 SSL의 의존성 때문에 보안에 취약할 수밖에 없다는 것.


이에 김 교수는 “사물인터넷 프라이버시 보호를 위해서는 정보 센싱, 가공·처리·저장·활용 단계별 프라이버시 보호 기능을 제공해야 한다. 즉 사물인터넷 서비스 단계별 프라이버시 보호 기능을 제공해야 하며 정보 센싱(수집) 단계에서의 프라이버시 보호가 필요하다”고 설명했다. 이어 그는 정보 가공·처리 단계와 정보 저장·활용 단계 등 각 단계별로 프라이버시 보호대책이 필요하고 덧붙였다.


시만텍코리아 박정수 부장은 “사물인터넷 시대에서는 침해대응체계 개선도 중요하다. 사물인터넷 보안을 위해서는 업체간 경쟁보다는 정보공유를 통한 협력체계를 구성하는 것이 중요하다”면서 “예를 들면 사물인터넷과 관련된 새로운 취약점이나 악성코드가 발견됐을 경우에는 빠르게 정부나 관계기관에 알려 이에 대한 신속한 탐지와 분석을 통해 대응체계를 마련할 수 있도록 변화되어야 한다”고 강조했다.

[김태형 기자(boan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>