국제인터넷표준화기구, 사물인터넷 보안 위해 새로운 표준 제안

[보안뉴스 문가용 기자] 사물인터넷 장비들은 대단한 기능과 편리성을 사용자들에게 제공한다. 산업 현장에서 사용되면 생산 효율도 크게 높여주기도 한다. 그러나 그 무엇이 됐든 사물인터넷의 치명적인 공통점은 보안이 취약하다는 것이다. 사물인터넷 장비 대부분은 보안 장치가 거의 되어 있지 않다. 그래서 해커들에게 굉장히 인기가 높다. 이런 장비가 늘어나면 늘어날수록 회사는 혼란스러워진다. 심지어 어떤 장비가 승인된 것인지, 어떤 장비가 어느 권한을 가지고 있는지도 헷갈리고, 확인하지도 않게 된다.


경험이 풍부한 네트워크 관리자라면 각 장비마다 접근 규칙을 다르게 적용하거나, 장비를 항목화 해서 관리하는 등의 조치를 취하겠지만, 이 작업은 고통스러울 정도로 번거롭고 느리며 복잡하다. 게다가 완수한다고 해서 보안이 완벽해지는 것도 아니며, 애초에 사물인터넷 장비를 도입했던 목적인 효율성을 깎아내릴 수도 있다. 다시 말하자면, 기기를 생산하는 단계에서부터 보안을 도입함으로써 얻어갈 것이 많다는 뜻이다.

국제인터넷표준화기구(IETF)는 얼마 전 이 문제를 해결하기 위한 문건의 초안을 만들어 제안한 바 있다. 생산자 사용 설명서(Manufacturer Usage Description, MUD)라는 이름의 보안 강화 표준에 대한 제안이다. 사물인터넷 장비들이, 연결된 네트워크와 통신을 하도록 해주고, 접근 권한 및 네트워크 기능을 필요에 따라 세부적으로 설정함으로써 보안을 강화하도록 한 것이 MUD의 기본 골자다.

MUD가 제안하는 워크플로우는 다음과 같다.
1) 사물인터넷 장비가 네트워크에 연결될 때 MUD URL을 라우터로 전송한다.
2) 그 때부터 라우터는 MUD 관리자와 같은 역할을 하게 된다.
3) 라우터는 전송받은 URL을 방문해 MUD 파일을 하나 받는다.
4) MUD 관리자가 된 라우터는 MUD 파일 내 정보를 사용해 접근 규칙을 적용시킨다.
5) 이 접근 규칙은 기기 생산자가 설정해놓은 것이다.

이렇게 하면 업체들은 사물인터넷 장비들을 간단하게 연결시킬 수 있고, 접근 권한을 하나하나 설정해줄 필요가 없게 된다. 물론 이렇게 한다고 해킹에서부터 완전히 자유롭게 되는 것은 아니지만, MUD 파일에 먼저 접근해 조작하는 등의 절차를 먼저 거쳐야 할 것이다. 만약 공격자가 사물인터넷 장비를 동원해 디도스 공격이나 사보타쥬 혹은 민감한 정보 수집을 시도한다면 MUD가 먼저 이러한 행위들을 차단할 수 있다. 생산자 입장에서는 여전히 취약저머 패치와 펌웨어 업데이트를 해야 하겠지만, MUD가 중간에 역할을 해줌으로써 위험 수준을 크게 낮춰줄 수 있다.

이런 워크플로우를 이해하는 해커라면 MUD URL을 엉뚱한 곳으로 변경시키려는 시도를 할 수 있다. 그래서 엉뚱한 MUD 파일이 다운로드 되도록 하는 것이다. 그러나 국제인터넷표준화 기구의 초안에 따르면, MUD URL이 전송되는 방식은 세 가지다(시간에 따라 더 추가될 예정이다). DHCP와 X.509 확장, LLDP 확장이 바로 그것이다. 이 중 DHCP와 LLDP를 통해서는 URL이 조작될 수 있다. 그러나 X.509의 경우 MUD URL을 아이덴티티 인증서에 추가하기 때문에(생산자가 할 수도 있고, 공급망 내 다른 관계자가 할 수도 있다) 보다 안전하다. 생산자가 할 경우 IDevID가 생성되고, 공급망 내 다른 관계자가 할 경우 LDevID가 생성된다.

전기전자학회의 802.1AR 표준은 안전한 기기 식별자인 IDevID와 LDevID를 기기에 부여하는데, 이 번호들은 모두 고유하며 암호학적으로 장비 하나하나에 적용된다. 또한 장비들의 아이덴티티를 인증하는 기능 또한 제공해준다. 이 표준이 적용된 장비들에는 대부분 신뢰 플랫폼 모듈(TPM)을 포함하고 있다. TPM은 암호화 키가 저장되는 곳이다. X.509 확장이 IDevID나 LDevID 인증서에 추가되고 TPM에 저장되기 때문에 MUD URL이 안전하게 보호될 수 있다. IDevID는 변경될 수 없으므로 MUD URL도 마찬가지가 된다.

물론 문제가 없는 건 아니다. TPM의 용량, 비용, 소요 파워 등은 심각한 제한 사항이 될 수 있다. 즉, 모든 사물인터넷 장비에 적용하는 게 불가능할 수 있다는 뜻이다. 감사하게도 신뢰 컴퓨팅 그룹(Trusted Computing Group)이 제공하는 장비 식별자 구성 엔진(Device Identifier Composition Engine, DICE) 아키텍처가 이러한 제한 사항을 고려하여 사물인터넷 보호 방법을 마련하고 있다. DICE를 사용하면 파워가 낮은 작은 사물인터넷 장비들도 암호화 키를 저장할 수 있게 된다. 그러므로 X.509 확장을 사용해 MUD URL을 안전하게 보호하는 것도 가능해진다.

3줄 요약
1. MUD, 생산자가 생산 과정에서 환경설정 제안하면 네트워크 라우터가 이를 받아 장비 관리하는 구조.
2. 해커가 아예 침투 못하는 건 아니겠지만, 여러 방법들을 겹쳐내서 최대한 힘들게 만들 수 있음.
3. 용량이나 파워, 비용이 제한 사항으로 작용할 수 있으나, 작은 장비에도 적용 가능한 방법도 개발되고 있음.

글 : 루이스 크리거(Louis Creager), zvelo
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>