모든 사물이 인터넷으로 연결되는 ‘초연결사회’가 도래했다. 이미 스마트워치와 같은 웨어러블(Wearable) 기기가 상용화돼 심장 박동수나 혈압 등의 데이터를 수집, 분석해주는 ‘건강 지킴이’ 역할을 하고 있다. 홈 시큐리티나 지능형 교통통제시스템은 우리 일상생활의 안전까지 책임진다. 더 나아가 초소형 단일보드 컴퓨터인 라즈베리 파이를 개인용 IoT 플랫폼으로 활용해 일반인도 CCTV나 드론을 만들어 스마트폰으로 통제할 수 있는 시대다. 이를 입증하듯 지난 3월에 열린 세계 최대 IT박람회인 모바일 월드 콩그레스(MWC 2015)에서도 가장 관심을 모은 것은 단연코 IoT였다. 정부와 시장조사 기관도 연일 IoT 시장의 밝은 청사진을 제시하고 있다.
이처럼 IoT의 발전은 편리하고 풍요로운 생활을 지향하는 인간의 욕구를 해소하고, 각종 사물에서 수집하는 데이터(Data)를 가공해 삶의 질을 향상시킨다는 점에서 매우 반가운 일이다. 그러나 IoT가 기본적으로 ‘사물 간의 대화’, 즉 데이터의 통신을 통해 활성화된다는 사실은 우리에게 또 다른 고민거리를 준다. 사물에 부착된 센서가 수집하는 거대한 데이터를 인터넷을 통해 실시간으로 주고받다 보니, 그 과정에서 발생할 수 있는 보안상 취약점을 해결하기가 만만치 않기 때문이다.
과거 IoT 시대의 기반을 다졌던 USN(Ubiquitous Sensor Network) 시대에는 보안이 크게 강조되지 않았다. 네트워크의 기본 요소인 노드(Node)와 링크(Link)만으로 연결되는 사물 간의 통신이 공중망이 아닌, 별도 주파수와 특수하게 구성된 단방향 네트워크로 이뤄졌기 때문이다. 이에 서비스를 제공하는 중앙통제시스템과 인터넷 접점에 대한 보안 시스템을 구축하는 선에서 머물러 있었다.
그러나 IoT는 공중망을 포함해 데이터를 송수신하게 되면서 단위 센서가 가진 취약점이 그대로 노출된다. 여기에다 사물 기기마다 운용체계와 네트워크 구조가 다르고, 각 사물이 수집하는 정보가 과거와 비교할 수 없을 만큼 크게 증가한다. 발생 가능한 보안 취약점도 많아지고 있다. 실제로 2014년에 싱봇(Thingbot)이라는 악성코드가 홈네트워크에 침투해 디지털TV와 냉장고를 감염시킨 뒤, 이를 통해 탈취한 개인정보를 활용해 75억통의 스팸 메일을 발송한 사례도 있었다.
그렇다면 IoT 보안은 어떻게 강화해야 하는가. 크게 세 가지로 나눠볼 수 있는데 그 첫째로 고려돼야 할 것이 바로 IoT 기기 자체 보안이다. 시스코에서 발표한 자료에 따르면 2020년에는 약 500억대 규모의 IoT 기기가 세상에 나올 것으로 전망하고 있다. 이에 대비해 기기의 OS와 애플리케이션, 하드웨어 사양, 네트워크 연결 환경 등을 고려한 보안정책이 제품 기획 단계에서부터 수립, 적용돼야 할 것이다.
둘째로는 게이트웨이 보안이다. 공격자는 공격에 들이는 노력에 대비해 많은 결과물을 얻을 수 있는 방식을 선호한다. 여러 기기와 시스템의 연결고리인 게이트웨이는 공격자의 주요 침투로일 수밖에 없다. 게이트웨이 보안은 전통적으로 방화벽이나 침입방지시스템이 주로 활용되고 있으나, 최근에는 스마트폰이 사물을 통제하는 컨트롤러 역할과 함께 게이트웨이 역할을 하고 있어 스마트 기기 보안도 함께 고려돼야 한다.
이와 함께 공격자의 최종 침투 목표라 할 수 있는 기존 중앙시스템과 IoT에서 활용하는 클라우드 시스템에 대한 보안요소도 충족돼야 한다.
마지막으로 IoT 보안을 ‘보호(Protect)’ 개념에서 ‘탐지(Detect)’로 확대해 나가야 할 필요성이 있다. 지능형지속위협(APT)과 같이 공격은 장기간에 걸쳐 은밀하게 진행되기 때문에 공격을 발견했을 때에는 이미 상당한 피해가 발생한 이후일 가능성이 높다. 따라서 공격이 실제로 발생하기 전에 이상 징후를 포착할 수 있는 트래픽 모니터링 및 분석 시스템을 이용하는 방법이 필요하다.
춘래불사춘(春來不似春). IoT의 ‘꽃(기기)’들이 봄이 왔음을 알리고 있으나, 여전히 보안이 담보되지 않은 상태에서 완연한 봄을 맞을 수 없다. 사물끼리 주고받는 대화가 가져다주는 삶의 풍요로움과 기대감도 좋지만, 이로 인해 발생할 수 있는 위험성을 인지하고, 대책을 강구해 나가는 것이 필요한 시점이다. 아울러 IoT시대의 본격적인 서막은 보안으로 이뤄낼 수 있다는 것을 명심해야 할 것이다.
강용석 인포섹 기술혁신본부 본부장(수석위원) yskang@skinfosec.co.kr
