집과 차는 물론 도시 전체가 변화한다. 사물인터넷(IoT)의 파급력이 높아짐에 따라 스마트홈, 커넥티드카, 스마트 시티 등 대중에게 잘 알려진 영역은 물론 우주항공, 제조 설비, 운송 시설, 통신망 등 다양한 영역에서 기기가 더욱 긴밀하고 광범위하게 연결된다. 그리고 연결성은 더욱 더 큰 보안 위협 발생을 예고한다.
최근 미국에서 발생한 IoT 디도스(DDos) 공격은 세계를 충격에 빠뜨렸다. 관련 소스코드와 취약점이 모두 공개된 현재 더 큰 피해가 발생할 수 있다는 예측이다. IoT 시대에는 해킹으로 디지털 정보를 훔치거나 악용하는 것뿐만 아니라 운영을 방해함으로써 개인 또는 다수의 생명과 안전이 위험에 노출된다.
사이버 공격 대처는 크게 방어 기능 배포와 포렌식으로 구분할 수 있다. 여러 보호 기능을 조합해 설계·배포하는 한편 방어 체계를 검증하고 적절한 구성 환경 내에서 이러한 기능을 유지·관리하는 것이다.
포렌식은 공격이 어떻게 발생하고, 공격이 달성하려는 의도가 무엇이며, 침입 요소가 어떻게 작용하고, 공격 요소가 어떤 영향을 미치는지 조사하는 것이다. 적절한 사이버 대응책을 마련하기 위해서는 먼저 공격의 본질 이해가 중요하기 때문이다.
IoT 환경에 사용되는 임베디드 기기 보안은 새로운 어려움을 발생시킨다. 임베디드 기기는 대부분 극히 제한된 리소스를 사용한다. 고유한 목적을 위해 설계되거나 다소 널리 적용되지 않는 버스, 인터페이스를 채택하기 때문이다.
또 대규모 환경에서 시스템 수준의 사이버 테스트를 실행하기에는 비용 부담이 크고, 전체 디바이스를 완전히 중지하지 않고는 라이브 시스템에서 보안 테스트를 수행하는 것이 실제 불가능하다.
물론 비용 문제가 되지 않는다면 사이버 멀웨어와 대응책을 테스트하기 위한 목적으로 완전하게 격리된 네트워크, 이른바 `사이버 범위(cyber range)`를 구축할 수도 있다. 스윙 연습을 위한 골프장이나 사격 연습을 위한 사격장 확보와 유사한 개념이다. 그러나 이런 방식은 지나치게 많은 비용이 소요된다. 관련된 모든 물리 형태의 장비 또한 갖춰야 한다. IoT 환경은 소프트웨어(SW) 개발을 위해 연구실에 비행기 조종석, 발전 시설, 스마트홈 네트워크, 커넥티카 등 실제 설비를 모두 구비해야 하는 것이다.
그러나 사이버 범위의 비용과 물리 특성은 수용에 한계가 있다. 실제 수준의 크기가 미치지 못하는 경우가 많다. 또 사이버 범위는 대개 특정한 시스템 고유의 특성과 인터페이스에 연계된 특정 기술을 필요로 한다. 여러 제약과 결과 측면을 고려했을 때 물리 형태의 `사이버 범위`라는 개념은 효과나 경제 측면에서 충분하지 않은 방안이다.
좀 더 유연하고 효율 높은 현실 방안으로는 가상의 하드웨어(HW), 시뮬레이션 기술 활용이 현명하다. 가상 HW와 시뮬레이션이 제공하는 장점은 크게 두 가지 꼽힌다.
먼저 물리 형태의 HW 상에서는 불가능한 테스트도 수행할 수 있다는 점이다. 예를 들어 악성코드를 `속여` 특정한 행동을 하도록 만들 수 있다. 스스로를 노출시키고 숨지 못하도록 만든다. HW 오류를 프로그래밍 방식으로 시스템에 주입, 개발 단계에서 사전에 사이버 공격에 대비하도록 한다.
가상 사이버 범위 구축으로 필요한 만큼 그 범위를 확장한다는 점도 장점이다. 시스템을 탐색하기 위해 필요한 모든 요소를 구성하고 사이버 연구 개발팀의 모든 엔지니어가 액세스할 수 있다.
HW 실험 장비가 있는 HW 랩은 장애가 자주 발생하고 오류 발생에 취약한 경향이 있다. 대규모 랩일수록 민감도는 커져서 복잡성이 증대한다. 밤새 시스템을 자동 테스트한 결과를 확인할 때 테스트에 문제가 발생하거나 중단된 경우가 흔한 것도 이 때문이다. IoT 경제에서 테스트 지연은 대단히 큰 손실을 야기한다.
상호 연결성은 자동화 및 디지털 혁신이라는 장밋빛 미래를 제시하는 동시에 개발·유지 관리의 복잡성을 증가시키고, 이는 곧 보안 위협으로 이어진다. 시스템 시뮬레이션 기술은 유연하며 확장 가능한 환경에서 매우 다양한 공격 방법과 대응책을 연구, 분석, 테스트하도록 한다. 동시에 물리 시스템에서는 가능하지 않은 방식이 가능하다. 점점 더 지능화되는 공격자보다 한발 앞서 사이버 보안 우위를 점하려고 한다면 시뮬레이션을 통한 좀 더 고도화된 지능 및 혁신 방안을 고려해 볼 필요가 있다.
박주동 윈드리버 지사장 judong.park@windriver.com
