아이오토피아 프레임워크...90개국에 회원 가지고 있는 글로벌플랫폼이 주도
보안에 입각한 설계, 장비 사용 목적, 자율적인 SDO, 행동 주기 고려 등

[보안뉴스 문가용 기자] 사물인터넷 보안 강화를 위한 새로운 프레임워크가 등장했다. 이름은 아이오토피아(IoTopia)로, 사물인터넷 장비의 설계, 인증, 구축, 관리 등의 표준화를 목적으로 마련된 것이라고 한다. 사물인터넷 보안을 위한 단체인 글로벌플랫폼(GlobalPlatform)이 상세히 발표했다.


아이오토피아 프레임워크는 사물인터넷 생태계의 불안전한 현 상황을 국제적인 표준을 정립해 해결코자 하는 시도 중 하나다. 이 프레임워크에 참여하는 업체들은 통일된, 혹은 합의된 사양과 조건에 맞추어 장비들을 만들어낼 예정이다. 프로젝트를 주도한 글로벌플랫폼의 회원사는 90개가 넘으며, 2600명의 산업 전문가들이 적극적으로 참여하고 있다. 글로벌플랫폼은 칩 기반 신용카드, 스마트폰, 스마트TV, 자동차 내 제어 유닛과 관련된 프로젝트를 다양하게 진행한 바 있다.

사물인터넷 시장은 빠르게 확대되고 있다. 따라서 사물인터넷을 보호하기 위해 결성된 글로벌플랫폼은 더없이 바쁜 나날을 보내고 있다고 전무 이사인 케빈 길릭(Kevin Gillick)은 설명한다. “우리는 모두 초연결 시대로 빠르게 걸어 들어가고 있습니다. 지금 우리에게 주어진 기술과 태도 역시 그에 맞게 확장시켜야만 새로운 위협들에 대응할 수 있을 것입니다.”

그러면서 길릭은 “현재 사물인터넷 생태계는 거친 서부 시대와 같다”고 설명한다. “누구나 시장에 뛰어들어 아무런 표준이나 규제 없이 제품을 만들어내고 시장에 내보냅니다. 보안은 제조사의 선한 의도에 의해서 덧대어지길 기대하는 수밖에 없습니다. 하지만 자발적 보안의 한계를 지난 몇 년 동안 우린 숱하게 경험해왔습니다. 지금 상태를 지속시켜서는 보안이 강화될 수 없다는 뜻입니다.”

게다가 사물인터넷 시장을 움직이는 원동력 역시 기존 IT 시장의 그것과 다르지 않다. 바로 ‘조금이라도 더 빨리 더 낮은 가격에 출시해서 경쟁에서 우위를 점하는 것’이다. “이해가 안 가는 건 아닙니다. 하지만 그 때문에 보안이 가장 크게 희생되는 것은 지적할 수밖에 없습니다. 기능성과 상품성에 대한 R&D는 진행되지만, 보안성에 대한 투자는 찾기가 힘들죠.”

길릭은 “공통의 사물인터넷 보안 프레임워크가 없다는 것부터 개선해야 한다는 결론을 내렸다”고 설명을 이어간다. “일단 제조사가 가지고 있는 보안에 대한 막연한 느낌과 오해들을 바로잡아야 하는 게 먼저라고 생각했어요. 보안에 투자하면 투자할수록 비용이 올라가고 사용자가 느끼는 불편은 커진다는 게 누구나 가지고 있는 잘못된 선입견이거든요. 또한 전문가만이 할 수 있는 영역이라는 편견도 제법 컸고요.”

또한 길릭은 “사물인터넷 업계를 향한 보안 전문가들의 메시지도 수정이 필요하다는 걸 알게 되었다”고 말한다. “보안 업계가 사물인터넷 제조사들에 하는 말은 늘 추상적입니다. 보안이 중요하다, 이런 위협에는 이런 솔루션을 사용하라, 이런 공격 시나리오에 대비해서는 이러한 사례를 참고하라, 등이죠. 실제 솔루션이나 정책의 구축과 운용에 대해서는 별다른 설명이 없습니다.”

그래서 ‘말로 떠드는 것을 넘는 보안’을 이번 프레임워크 마련 시 가장 중요한 사안으로 염두에 두었다고 길릭은 강조한다. “그래야 실제로 행동을 취할 수 있게 됩니다. 우리에게 필요한 건 보안을 행동으로 실천하는 제조사들이고요.”

아이오토피아는 크게 네 가지 요소로 구성되어 있다. 하나는 ‘보안에 입각한 설계(security by design)’ 혹은 ‘설계 때부터 도입되는 보안’이다. 보안 요소들이나 API들을 활용해 현존하는 보안 표준들을 재정립하는 것을 포함하는 개념이다. 두 번째는 ‘장비의 사용 목적(device intent)’이다. “아이오토피아는 ‘인터넷 엔지니어링 태스크 포스(Internet Engineering Task Force)’의 생산자 사용 설명서와 ‘고유 자원 식별자(uniform resource identifier)’를 사용해 장비가 가지고 있는 권한과 허용 사항들을 관리할 수 있도록 해줍니다.”

길릭은 “사물인터넷 생태계가 가진 보안 문제의 핵심은 결국 기계가 기계의 신원을 정확하게 확인하는 것”이라고 정리한다. “그러려면 여러 가지 질문을 던져야 합니다. 그리고 그 질문에 대한 답이 생산되고 전달되는 과정이 간단명료해야 합니다. 쉬우면서도 확실한 인증 방법이 필요하다는 건데, 아직 뚜렷하게 발견된 공식은 없습니다. 시간을 충분히 들여 더 개선해나갈 부분입니다.”

세 번째 주요 요소는 자율적이고 확장이 간편한 안전 장비 온보딩(Secure Device Onboarding, SDO)이다. 아이오토피아는 앞으로 표준에 의거한 안전 온보딩 과정을 도입하도록 함으로써 네트워크 관리가 부드럽게 이어질 수 있도록 할 예정이다. 마지막 네 번째 주요 요소는 장비의 생애주기 관리 개념이다. 생애의 여러 단계에 맞도록 알맞은 관리 방법과 기술, 정책 등을 제시할 것이라고 한다.

3줄 요약
1. 사물인터넷 장비 보안 위한 새 프레임워크가 제안됨.
2. 사물인터넷이 위험한 분야인 건, 보안을 자율에 맡기고 보안 전문가들은 입으로만 외쳐서라고 디지털플랫폼은 결론을 내림.
3. 아이오토피아라는 새 프레임워크, 네 가지 주요 개념 위에 작성됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>