사물인터넷-정보보호 위해 기업, 서비스업체, 이용자 모두가 노력해야
새로운 IoT 시대에 대비한 산업체 맞춤형 정보보호 인재 양성 필요

[보안뉴스= 황 준 서울여자대학교 소프트웨어융합학과 교수] 사물인터넷의 가장 큰 등장배경은 인터넷 환경의 진화라 할 수 있다. 유무선 인터넷의 활성화와 근거리 통신 기술의 발전 등 통신 인프라가 구축되면서 사물인터넷의 실질적 구현이 가능해졌다. 통신 기기나 장비 등이 소형화되고, 기술 발전에 힘입어 가격이 하락하면서 기기 등에 탑재할 수 있는 범위가 확대되고 일상 속 사물간의 커뮤니케이션 기능이 가능해진 것이다.

또한, 최근 화두가 되고 있는 비정형 데이터를 분석할 수 있는 빅데이터 기술과 수많은 데이터를 수집·관리하는 클라우드(Cloud) 서비스가 실현되면서 사물인터넷이 급부상했다. 오늘날의 사물인터넷 환경에서는 개인정보의 수집과 활용이 지금보다 훨씬 더 활발해질 것이기 때문에 사회적으로도 사물인터넷과 관련해서는 정보보호 이슈가 급속히 커지고 있다.

IoT 시대 보안위협 급증
최근의 국가기반시설에 대한 사이버공격은 ‘지능형 지속가능 위협(Advanced Persistent Threat, APT)’로 알려진 지속적이고 지능화된 위협으로 진화하고 있으며, 다양한 해킹 메일과 랜섬웨어 유포 등 지능화된 사이버 공격이 확산됨에 따라 실시간 정보 보안관제의 중요성과 필요성이 날로 증대되고 있다.

특히, APT 공격은 특정 회사를 공격 목표로 표적공격과 국가 기밀 데이터 탈취가 목적인 사이버 스파이 활동, 정치·사회적 목적의 해킹인 핵티비즘(Hacktivism) 등 다양하다. 이러한 사이버 위협은 정찰, 무기화, 유포, 악용 및 설치, 명령제어의 공격 절차로 장기간에 걸쳐 수행되고 백신, 침입탐지 시스템 등 기존의 보안체계로는 탐지되지 않도록 치밀하게 준비되기 때문에 보안체계를 잘 갖추고 있는 회사라 하더라도 공격에 무력화되기 쉽고 대응하기가 어렵다. 실제 최근 국내외에서 발생한 사이버 공격은 공격 준비기간만 수개월이 소요되는 등 은밀하고 정교해지고 있어 회사 내부에서 기존의 방식으로 공격을 탐지하기가 더욱 어려워지고 있다.

국내 금융·방송사를 대상으로 정교하게 계획된 3.20 전산장애 사고 뿐만 아니라 해외에서 발생한 APT 공격도 이와 같은 방법으로 이루어졌다. 오퍼레이션 오로라(Operation Aurora, 2010), 스턱스넷(Stuxnet, 2010), RSA OTP해킹(2011), 엘더우드 프로젝트(Elderwood Project, 2012), 레드 옥토버(Red October, 2012) 등의 APT 공격이 대표적인 예다.

국내도 마찬가지로 천만 명 이상의 고객정보를 유출한 옥션 사고(2008), SK컴즈 사고(2011)는 이전에 경험하지 못한 대형사고인 측면도 있지만 관제 대상과 범위가 주로 네트워크 영역으로 한정돼 있고 외부로부터 유입되는 공격에 대한 모니터링에 집중하는 보안관제 체계가 사고의 원인 중 하나로 파악됐다. 즉, 내부PC를 대상으로 하는 공격이나 패턴기반의 탐지를 우회하는 알려지지 않은 취약점을 이용한 APT 공격, 사회공학적 공격 등에는 한계를 보인 경우이다.

IoT 시대의 사회적 피해
공공기관과 기업의 정보 시스템에 대한 보안관제 시스템의 부재로 인해서 이상징후와 공격을 제때에 발견하지 못하고, 침해사고로 인한 피해를 뒤늦게 확인하는 경우가 있어 신속한 대응이 어려울 뿐 아니라 침해사고로 인한 피해가 커지는 경우가 자주 발생하고 있다. 이제 정보보안은 모든 통신망에서 최우선적인 과제가 됐다. 안전한 통신망을 이용하려면 사물인터넷뿐만 아니라 앞으로 어떠한 통신체계도 관리 및 모니터링해야 하는 시대가 온 것이다. 사물인터넷에 대한 사이버 공격은 크게 증가하고 있다.

보안위협 전망을 보면 70%가 웹 취약점, 허술한 인증 및 인가, 암호화 전송 부재, 프라이버시 및 개인정보보호와 관련된 보안 취약점에 노출될 것으로 예상하고 있다. 또한, 현재 보안위협 가운데 대표적인 것은 자동차, 온도제어, 교통제어, LED 전구제어, IP 카메라 등에 대한 해킹 시연 및 실제 사례다. 이러한 사례에서 나온 부분들은 모두 일상생활에 밀접한 기기들이다.

이는 결국 개인의 삶의 영역에 침해가 이루어져 개인의 사생활 노출에서 생명의 위협까지 받을 수 있음을 의미한다. 이러한 IoT 공격으로 인한 경제적 피해는 2020년까지 약 18조 원으로 예상하고 있으며, 이는 자연재해 약 3조 원, 사이버공격 피해 약 4조 원과는 비교할 수 없을 정도로 큰 피해액이다.

IoT 보안 패러다임의 변화
IoT 시대를 맞이하면서 정보보호 패러다임이 어떻게 변화되는지를 이해하는 것은 정보보안관제 관점에서 중요한 의미가 있다. 첫 번째로, 보호대상의 측면에서 변화가 발생한다. 기존 사이버보안 영역에서의 통신기기는 PC 및 모바일 중심의 기기별로 지원하는 통신환경에서 이루어졌다. 반면, IoT는 생활밀착형 기기로서 주변의 다양한 기기에 센서 등이 부착돼 다양한 유·무선 환경을 통해 정보가 센싱·수집돼 활용되는 시스템이다. 이는 보호대상이 명확하지 않으며, 각 물리적 환경에 따라 보안도 유연하게 대처할 수 있는 새로운 시스템이 요구됨을 의미한다.

두 번째 보호특성은 IoT의 경량화이다. 기존의 PC나 모바일 기기는 비교적 고전력·고성능의 기기 환경에서 보안을 제공할 수 있다면, IoT 기기가 가지는 전력 및 성능 자원 자체는 매우 적기 때문에 기존의 보안기법을 그대로 적용하기에는 무리가 있다.

세 번째로 보호방법의 변화다. 기존의 방화벽과 같은 별도의 보안장비를 두어 보안을 제공했다면, IoT 기기에서는 다양한 물리·논리적 환경에 유연하게 대처하기 위해 기기 자체에서 기본적인 보안기능을 제공해 보안 취약점을 최소화할 수 있어야 한다. 또한, 사이버보안 시스템과의 협력을 통해 전사적인 보안을 제공할 수 있도록 설계단계부터의 보안 내재화가 반드시 필요하다.

네 번째는 보안주체의 변화이다. 기존에는 보안의 주요 플레이어가 보안전문업체와 ISP, 이용자였다. 기기제조업체는 기본적인 보안기능들을 제공할 수 있도록 만들어 판매하고, 서비스업에서는 서비스망 영역에서의 보안만을 책임지면 되는 것으로 인식돼 왔다. 그러나 IoT 기기는 기획설계 단계부터 보안 내재화를 이루어내기 위해 제조업체에서부터 서비스업체 및 이용자에 걸쳐서 모든 플레이어가 유기적으로 결합돼 보안 제공이 이루어져야 한다.

IoT 시스템과 정보보안관제
사물인터넷 발달에 따라 현재는 가정에 대한 정보보안관제가 이루어지지 않지만, 머지않아 개인의 사생활과 개인정보를 지키기 위해 외부의 공격에 대한 가정의 네트워크 통신망에 대한 관심이 증대되고 새로운 분야의 서비스 창출에 기여할 것이다.

사물인터넷이 발달하고, 가정에 전자·전산 등의 다양한 기기의 통신으로 중요정보를 보호하기 위한 가정용 통합보안장비 구축과 새로운 가정의 네트워크에 대한 신규 사업으로 가정용 원격 보안관제의 시대가 열릴 것이다. 그래서 사물인터넷으로 인해 개인과 가정의 사생활 노출이 되기 쉬운 세상에서 이를 효율적으로 방어하고, 개인의 중요정보를 예방하기 위한 미래의 사이버위협에 대한 대응방안을 마련해야 한다.


IoT 시대 보안위협에 대비한 인재양성
현재 많은 대학에서 정보보호 관련 인재를 양성하고 있으며, IoT 시대가 도래함에 따라 정보보호 인력의 양성 필요성이 커지고 있으며, 아직 부족하긴 하지만 많은 인력이 배출되고 있는 것도 사실이다. 그러나 앞서 언급한 정보보안 관제 관련 인력 양성은 아직까지는 거의 전문화되지 못하고 극히 미약한 실정이다.

정보보안관제를 통해 정보 시스템에 가해지는 보안위협을 24시간 365일 실시간으로 모니터링해 악의적인 스캔공격, 해킹 등 다양한 침해 공격을 탐지하고 다양한 정보보호 솔루션과 정보시스템에서 생성되는 로그를 분석해 사이버 위협에 대응할 필요가 있다. 이러한 업무를 수행하려면 정보보안관제 인력이 필요하다.

정보보안관제사는 정보시스템의 서버(시스템), 네트워크 장비 및 정보보안장비에 대한 전문지식과 운용기술을 갖추고, 이와 더불어 실시간 정보보안관제 기술과 능력, 보안정책 수립과 보안대책 구현, 취약점 진단 및 침해사고 분석의 기술, 정보보호 관련 법규 준수 등 다양한 보안전문 능력을 보유하고, 사이버공격에 대한 신속하고 정확한 대응 업무 수행 능력을 갖추고 있어야 한다.

머지않은 미래에는 알파고(AlphaGo)와 같은 인공지능 로봇이 사람을 대신해 사이버위협과 공격을 분석하고 대응하는 시대가 도래할 것이며, 이러한 시대가 오더라도 로봇이 하지 못하는 일은 우리 인간이 판단해 특정 위기상황을 처리하고 결정해야 할 것이다. 따라서 미래 IoT 사회를 대비하려면 융합형 최고 보안인재 양성과 산업 맞춤형 정보보안 인재 양성을 준비해야할 시점이다.

사물인터넷을 가진 조직은 다른 개인의 사생활에 대해 우리가 상상하는 것 이상으로 파악할 수 있게 된다. 할리우드 영화 마이너리티 리포트 같은 시대가 조만간 도래할 수도 있는 것이다. 부작용인 빅브라더의 탄생을 막고 사물인터넷에서 얻을 수 있는 효율을 극대화하기 위해서는 개인정보에 대한 인식을 새롭게 해야 한다.

방송에서 쉽게 접할 수 있는 ‘사물인터넷 분석을 통한 맞춤형 서비스 제공’이라는 말의 이면에는 생각지도 못한 많은 정보보호 이슈가 필요하다는 것을 인식하고, 사물인터넷과 정보보호라는 두 마리 토끼를 잡기 위해서는 기업뿐만 아니라 서비스업체 및 이용자 모두가 노력해야 할 것이다. 뿐만 아니라 새로운 IoT 시대에 대비한 산업체 맞춤형 정보보호 인재도 양성해야 할 것이다.
[글_ 황 준 서울여자대학교 소프트웨어융합학과 교수(hjun@swu.ac.kr)]

필자 소개 _ 1992년부터 서울여자대학교 교수를 맡고 있는 황 준 교수는 2003년부터 2006년까지 영상물 등급위원회 게임분과 위원을 역임하고, 2013년부터 2014년까지 미국 조지아텍 연구 교수를 지냈다. 현재는 한국표준원 JCT SC21 국제표준화전문위원과 국가평생교육원 전문위원, 한국인터넷정보학회 부회장·고문으로 활동하고 있으며, 서울여자대학교 소프트웨어융합학과 교수를 맡고 있다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>