최근 들어, IoT(Internet of Things)는 가트너(Gartner)를 비롯한 ICT 관련 전략 기술에 매번 선정되는 핵심 기술로 알려져 있다. 특히, 모바일 디바이스나 무선 네트워크 환경의 발전으로 IoT 디바이스의 활용 폭이 지속적으로 증대되고 있고, 빅데이터와 함께 다양한 산업에 접목시키려는 노력이 늘어나고 있다. IoT는 시장이나 활용처가 모호할 정도로 역할이 정해져 있지 않은 것처럼 보이지만 최근에는 거의 모든 산업에서 역할을 부여하고 있을 정도로 무한한 적용 범위를 나타내고 있다. 이번 회에서는 이렇게 급속도로 적용되는 상황에서 반드시 살펴봐야 하는 보안 문제에 대해 알아보기로 한다. 체계적인 보안 구성으로 효율적인 IoT 서비스가 제공되기를 기대한다.
사례 연구 전 확인 사항
IoT 보안 위협 수준
모바일 디바이스와 무선 인터넷이 일반화 되면서 보안 문제는 지속적으로 증가하고 있다. 이런 상황에, 사물에 네트워크를 연결하여 활용하는 IoT의 보급은 보안 문제를 항상 안고 갈 수 밖에 없는 상황이다. 가전제품과 자동차와 같은 사람이 직접 사용하는 것에서부터 공장, 공공 장비 등의 기기들까지 이제 사회 생활 전반에 걸쳐 보안 위협이 노출되어 있는 상황이다(그림1).
<그림1> IoT 보안 위협 요소들
출처: LG CNS
그림1에서 보는 것처럼, IoT는 네트워크를 통해 디바이스부터 서비스까지 거의 모든 부분에서 보안 이슈가 발생할 수 있다. 제품이나 부품을 많이 사용하는 디바이스에서는 검증되지 않은 부품 등을 통해 산업에서 사용하는 공급망 자체에 공격을 가할 수 있고 펌웨어를 통한 해킹으로 비인가 접속과 권한을 획득할 수 있다. 그리고, 원격 접속으로 인한 접속 권한 탈취와 네트워크 해킹으로 정보 노출, 위변조가 발생할 수도 있다. 네트워크에서는 정보 패킷 변조, 파밍, 인터페이스 해킹 등의 문제가 발생할 수 있고, 서비스는 이보다 더 심각한 결과를 초래할 수 있는데 서비스 자체에 대한 보안 문제도 있지만 디바이스나 네트워크 보안 문제로 인해 오염된 정보 서비스를 제공할 수도 있기 때문이다.
IoT 보안을 다른 보안보다 더 심각하게 인식하는 이유는 사람을 통한 관리 없이 디바이스 자체적인 활동으로 정보 수집부터 서비스가 이루어지는 경우가 많기 때문이다. 다른 ICT 서비스는 사람이 모니터링 하거나 서비스에 대한 보안, 확인, 문제 발생시 대처를 하지만 IoT의 경우는 보안 문제가 발생해도 방치될 여지가 충분히 있기 때문에 서비스 전에 체계적인 보안 설계와 충분한 보안 점검이 필요하다.
IoT가 보안에 취약한 큰 이유는 무선 네트워크는 구조적인 문제를 안고 있는데 냉장고, TV, 심지어 자동차까지도 무선 네트워크를 사용하기 때문에 거의 모든 전자제품에 보안 문제가 발생한다는 것이고, IoT 관련 디바이스가 대부분 저전력에서 사용되는 것으로 저사양이 대부분이기 때문에 해킹하기가 용이하다는 점, 그리고, IoT 관련 장비들이 너무 많이 나오기 때문에 표준화나 인증 수단이 못 따라간다는 것도 보안에 취약할 수 밖에 없는 구조다. 마지막으로, 각 산업에서는 ICT 지식이 부족하기 때문에 보안과 관련된 규제나 가이드라인을 제시하지 못하고 있는 것이 현실이다.