[인터뷰] 한국오라클 퓨전미들웨어 사업부 정광연 상무

보안 플랫폼의 혁신과 기존 보안 솔루션과의 연계 중요       

[보안뉴스 김태형] 사물인터넷(Internet of Things: 이하 IoT) 분야는 IT 기술과 긴밀히 접목되면서 빠른 속도로 발전을 거듭하고 있다. IoT를 통해 사물들 간의 상호 통신이 가능해지면서 편의성, 예측 가능성, 조작 가능성 등 기존의 성질을 뛰어넘는 획기적인 특성들을 제공하며, 우리의 일상생활 깊숙한 곳까지 그 영향력을 넓혀가고 있다.

하지만 IoT 확산을 통한 보안 위협 우려도 갈수록 커지고 있다. 물론 IoT 시대 이전에도 수많은 해킹 공격과 보안위협이 있었다. 하지만 IoT 확산은 해킹을 더욱 용이하고, 위협적으로 만들고 있다. 네트워크 연결이 가능한 반도체는 점점 더 작아지고 저렴해지고 있으며, 네트워크 인프라도 점점 더 넓어지고 촘촘해지고 있기 때문이다.

이러한 IoT 보안 이슈를 해결하기 위한 새로운 요구사항과 대응방법은 무엇인지, 한국오라클 퓨전미들웨어 사업부 정광연 상무에게 들어봤다.

정광연 상무는 “이제 인간의 개입 없이도 사물끼리의 통신이 가능해지면서 악성코드를 통해 감염되고 좀비화 될 수 있는 대상 또한 늘어날 것으로 예상된다. 즉, 그 동안 방화벽 내의 단편화된 보안만 책임지던 많은 정책들과 솔루션들은 이러한 새로운 패러다임에 대응하기에 어려움이 있을 수 밖에 없다”고 말했다.

디바이스가 인터넷에 연결되고 다른 객체들과 통신을 하기 위해서는 자신이 누구인지를 확인할 수 있는 방법이 필요하다. 일단 신원이 확인된 디바이스는 다른 객체들에 접근할 수 있는 권한 여부를 다시 한번 확인 받는다.

이에 대해 정광연 상무는 “IoT 환경에서 이러한 디바이스 인증 및 접근제어에 주로 사용되는 방법이 ‘OAuth 2.0’이다. OAuth는 Open API(Application Program Interface)로 개발된 표준 인증 방식으로, 각종 애플리케이션에서 인증을 수행할 때 활용될 수 있다. OAuth 2.0의 장치를 등록 및 인증하고 인증에 따라 접근제어 할 수 있는 기능을 활용하면 IoT 환경의 디바이스 등록·관리 및 정보교류에 대한 보안을 강화할 수 있다”고 설명했다.

IoT가 비즈니스 프로세스의 한 축으로 자리잡고 있는 현재 상황에서 기업의 정보와 서비스들을 IoT와 안전하게 교류하기 위한 전략이 필요하다. 이 때 고려해야 할 점은 기업 네트워크에서 사용하는 기술표준과 IoT에서 사용하는 기술표준이 서로 다르다는 점이다.

정 상무는 “IoT 디바이스들은 일반적인 기업 내에서 쓰는 기술보다 가볍고 간단한 네트워크 기술들을 사용한다. 따라서 이러한 기술을 신속하게 변환해 기업 내 서비스와 교류하게 할 수 있는 방법이 필요하다”고 말했다.

이어서 그는 “최근에는 이러한 문제를 해결하기 위해 방화벽 형태의 게이트웨이를 설치하고 있다. 게이트웨이는 기업내 웹 서비스와 모바일·IoT에서 주로 사용하는 REST(Representational State Transfer) API 간의 변환을 지원하며, 외부로부터 들어오는 API, 웹서비스 및 SOA(Service-Oriented Architecture) 기반에 대한 공격을 방어한다”면서 “또한, 기업내 접근제어 솔루션과의 연동을 통해 REST API와 웹 서비스에 대한 확장된 접근제어 기능을 제공할 수 있어 보다 정밀한 보안을 유지할 수 있다”고 말했다.

또 인터넷 서비스 제공자가 소셜 미디어와 연계해 SNS의 사용자 정보 및 인증기능을 활용하는 SNS 인증연동 방법을 IoT에서도 적용할 수 있다. 이미 많은 게임, 언론매체 및 기업 마케팅 차원에서 SNS 인증 연동을 적극적으로 이용하며 서비스 규모를 빠르게 확대하고 있다.

이에 대해 정 상무는 “여기서 한 가지 고려해야 할 점은 SNS를 통한 개인적인 건강, 위치 및 행동패턴 등 민감한 정보의 유출 가능성이다. 이러한 정보들을 SNS의 인증정보와 정확하게 연동해 접근권한이 있는 실제 수요자에게 전달하기 위해서는 IoT 서비스 제공자와 SNS의 인증 서비스 및 프로파일 정보공유에 관한 보안기술이 필요하다”고 덧붙였다.

즉 표준화된 아이덴티티 페더레이션(Identity Federation) 기술을 통해 IoT 서비스상의 계정과 SNS 계정과의 연결 기능을 제공해야 하며, 기본적인 정보 외에 민감한 정보에 대해서는 모바일 인증 또는 OTP 등 추가적인 인증을 요구하는 기능이 요구된다는 것. 또한, IoT 서비스 사용자는 다수의 SNS를 사용하는 경우가 대부분이므로 다수의 SNS간의 싱글 사인 온(Single Sign On) 기능 제공도 필수적이다.

IoT 환경에서는 사물과 사람의 소통을 가능하게 해주는 사용자 인터페이스가 필수적이며, 다양한 형태로 사용되고 있는 모바일 기기는 이러한 문제를 해결해주는 훌륭한 솔루션이 될 수 있다.

이에 대해 그는 “모바일 기기가 IoT의 사용자 인터페이스·허브가 된다는 것은 그 사물에 대한 통제권한을 가지게 된다는 것을 의미하기 때문에 철저한 보안이 필수적이다. 특히 모바일 기기의 경우 분실이나 도용, 해킹 등의 위협에 노출되기 쉬우므로 다양한 보안장치를 마련해야 한다”고 강조했다.

이미 많은 기업들이 모바일 기기에 대한 보안으로 MDM(Mobile Device Management) 솔루션을 사용하고 있으나, BYOD 및 IoT 환경에서 이러한 접근방법은 한계가 있다는 것이 정광연 상무의 주장이다.

즉, IoT 인터페이스로서 동작하는 모바일 기기에 대한 보안은 모바일 애플리케이션과 서버 간의 보안을 강화하는 MAM(Mobile Application Management) 솔루션을 적용하는 것이 더욱 효과적이라는 얘기다.

그는 “MAM 솔루션은 모바일 기기 인증, 등록 및 기기 사용자의 프로파일관리 서비스를 제공하며, 모바일 기기와 사용자, IoT 디바이스간의 역할 관리 기능도 제공한다. 또한 서버기반 보안기술이기 때문에 사용자의 행동패턴이 평소와 다를 경우 이상징후를 감지하는 상황인식기반의 추가인증 기능도 제공할 수 있다”면서 “이처럼 IoT 서비스 제공자들이 우려하는 고민들을 해결하기 위해서는 보다 근본적이면서도 총체적인 접근방식, 즉 보안 플랫폼이 필요하다”고 말했다.

즉 기업에서 IoT를 제대로 활용하기 위해서는 IoT 보안체계와 기업의 기존 보안체계를 효과적으로 연계하는 것이 중요하다. 센서나 디바이스와 같은 단말에서 기업 내 어플리케이션에 이르기까지의 다양한 IT 레이어 간의 정보공유 및 상호참조가 가능한 프로세스의 조합이 필요하며, 접근요청과 접근관리를 동일한 정책과 정보 하에서 중앙관리할 수 있는 보안 플랫폼이 요구된다는 것이다.

정광연 상무는 “보안 플랫폼을 통해 기업은 자사 네트워크, 모바일, 소셜 및 IoT에 이르는 모든 비즈니스 환경에서 일관된 보안정책을 적용하고, 위험요소에 대한 포괄적인 분석을 통해 자사 보안 시스템을 지속적으로 강화해 나갈 수 있다”고 말했다.

이어 그는 “IoT가 일반화된 세상은 그 동안 연결되지 못했던 많은 사물들이 네트워크로 연결돼 개인에게는 생활의 편리함을, 기업에는 혁신을 가져다 줄 것으로 기대된다”면서 “그러나 새로운 기술의 도입은 다양한 긍정적 변화를 가져다주는 것과 동시에 새로운 보안 위협과 고민거리를 안겨준다. 따라서 모바일, 소셜, IoT 시대에 걸맞은 보안 플랫폼에 대한 고민을 통해 비즈니스 혁신과 투자대비 효과를 극대화 할 수 있는 사고의 전환이 필요하다”고 강조했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>