2016년 10월 18일 화요일

2016년도 SW기업 품질대상 공모




IoT 사례 연구 - 보안 

최근 들어, IoT(Internet of Things)는 가트너(Gartner)를 비롯한 ICT 관련 전략 기술에 매번 선정되는 핵심 기술로 알려져 있다. 특히, 모바일 디바이스나 무선 네트워크 환경의 발전으로 IoT 디바이스의 활용 폭이 지속적으로 증대되고 있고, 빅데이터와 함께 다양한 산업에 접목시키려는 노력이 늘어나고 있다. IoT는 시장이나 활용처가 모호할 정도로 역할이 정해져 있지 않은 것처럼 보이지만 최근에는 거의 모든 산업에서 역할을 부여하고 있을 정도로 무한한 적용 범위를 나타내고 있다. 이번 회에서는 이렇게 급속도로 적용되는 상황에서 반드시 살펴봐야 하는 보안 문제에 대해 알아보기로 한다. 체계적인 보안 구성으로 효율적인 IoT 서비스가 제공되기를 기대한다. 

사례 연구 전 확인 사항 

IoT 보안 위협 수준 

모바일 디바이스와 무선 인터넷이 일반화 되면서 보안 문제는 지속적으로 증가하고 있다. 이런 상황에, 사물에 네트워크를 연결하여 활용하는 IoT의 보급은 보안 문제를 항상 안고 갈 수 밖에 없는 상황이다. 가전제품과 자동차와 같은 사람이 직접 사용하는 것에서부터 공장, 공공 장비 등의 기기들까지 이제 사회 생활 전반에 걸쳐 보안 위협이 노출되어 있는 상황이다(그림1). 


 <그림1> IoT 보안 위협 요소들 

 출처: LG CNS 

그림1에서 보는 것처럼, IoT는 네트워크를 통해 디바이스부터 서비스까지 거의 모든 부분에서 보안 이슈가 발생할 수 있다. 제품이나 부품을 많이 사용하는 디바이스에서는 검증되지 않은 부품 등을 통해 산업에서 사용하는 공급망 자체에 공격을 가할 수 있고 펌웨어를 통한 해킹으로 비인가 접속과 권한을 획득할 수 있다. 그리고, 원격 접속으로 인한 접속 권한 탈취와 네트워크 해킹으로 정보 노출, 위변조가 발생할 수도 있다. 네트워크에서는 정보 패킷 변조, 파밍, 인터페이스 해킹 등의 문제가 발생할 수 있고, 서비스는 이보다 더 심각한 결과를 초래할 수 있는데 서비스 자체에 대한 보안 문제도 있지만 디바이스나 네트워크 보안 문제로 인해 오염된 정보 서비스를 제공할 수도 있기 때문이다. 

IoT 보안을 다른 보안보다 더 심각하게 인식하는 이유는 사람을 통한 관리 없이 디바이스 자체적인 활동으로 정보 수집부터 서비스가 이루어지는 경우가 많기 때문이다. 다른 ICT 서비스는 사람이 모니터링 하거나 서비스에 대한 보안, 확인, 문제 발생시 대처를 하지만 IoT의 경우는 보안 문제가 발생해도 방치될 여지가 충분히 있기 때문에 서비스 전에 체계적인 보안 설계와 충분한 보안 점검이 필요하다. 

IoT가 보안에 취약한 큰 이유는 무선 네트워크는 구조적인 문제를 안고 있는데 냉장고, TV, 심지어 자동차까지도 무선 네트워크를 사용하기 때문에 거의 모든 전자제품에 보안 문제가 발생한다는 것이고, IoT 관련 디바이스가 대부분 저전력에서 사용되는 것으로 저사양이 대부분이기 때문에 해킹하기가 용이하다는 점, 그리고, IoT 관련 장비들이 너무 많이 나오기 때문에 표준화나 인증 수단이 못 따라간다는 것도 보안에 취약할 수 밖에 없는 구조다. 마지막으로, 각 산업에서는 ICT 지식이 부족하기 때문에 보안과 관련된 규제나 가이드라인을 제시하지 못하고 있는 것이 현실이다.

                자세히 보기

애자일 프로젝트의 효율적인 협업 방안 


우리나라에서 가장 많은 프로젝트 형태인 SI(System Integration)에서도 애자일(Agile) 프로젝트는 관심을 많이 받고 있다. 하지만, 요구사항 중심적이고 전통적인 방식에 많이 치중된 SI 프로젝트에서 애자일을 적용하기란 매우 어려운 것으로 알려져 있다. 이번 회에서는 원활한 커뮤니케이션과 적극적인 협업을 강조하는 애자일이 SI 프로젝트에 효율적으로 적용되는 방법에 대해 (주)Cocoon의 한용만 박사를 만나 자세한 사항을 들어본다.

Q: 본격적인 이야기 전에 애자일 적용 프로젝트에 대해 설명을 부탁 드립니다. 
SI 프로젝트는 관리 요소가 참 많습니다. 인력 관리부터 일정, 비용, 산출물, 무엇보다도 고객 관리가 필수지요. 다른 것들을 아무리 잘해도 고객 관리가 잘 못되면 실패한다는 얘기가 있을 정도로 소프트웨어를 고객 맘에 들게 하는 것은 매우 어려운 일 중에 하나입니다. 비단 SI 프로젝트가 아니라도 소프트웨어를 만드는 프로젝트는 대부분 모두 그럴 겁니다. 이런 상황에서 고객과 커뮤니케이션이 잘 통하게 한다는 애자일은 구세주가 아닐 수 없죠. 이미 2007년도 전후에 애자일이 현장 프로젝트에 적용되기 시작했었죠.


Q: 애자일 얘기 전에, 근본적인 궁금증이 있습니다. SI 프로젝트는 왜 실패율이 높은 건가요? 
SI 프로젝트는 장미 빛으로 시작합니다. 새로운 시스템을 도입하고 고객들이 사용하는 방식으로 일을 자동화 해주는 것이니 당연히 좋아할 수 밖에 없지요. 그런데, 프로젝트 끝날 무렵에는 실망과 다툼만 남는 것이 보통일 정도로 SI 프로젝트 성공은 많지 않습니다. 가장 큰 이유는 그림1에 나와 있습니다.


                                             자세히 보기