IoT 보안에도 ‘제로 트러스트’…하드웨어부터 보안 내재화 시작
[데이터넷] IoT 보안의 시작은 ‘보안 내재화(Security by Design)’다. IoT 기기와 애플리케이션, 서비스, 통신·네트워크 전체에 대해 기획부터 설계, 제조, 테스트, 배포, 운영관리 전체 영역에서 보안을 먼저 생각하고 진행해야 한다는 뜻이다. 최근 주목되는 보안 모델인 ‘제로 트러스트(Zero Trust)’가 IoT 보안에도 적용된다.

보안 내재화 설계를 위해 가장 먼저 IoT 기기 보안을 검증해야 한다. IoT 기기는 셀 수 없이 다양한 종류로 구성된다. 아주 작은 센서부터 서버까지 인터넷에 연결되는 모든 엔드포인트가 IoT 기기가 된다. 보안을 위해 사용할 수 있는 컴퓨팅 리소스가 없는 기기는 물론이고, 충분한 리소스를 가진 기기라 할지라도 보안 내재화 설계가 필요하다. 백신 서버에도 공격자가 침투할 수 있다. 기존 보안 기술을 우회하는 것은 어려운 일이 아니다.

기기의 보안 내재화는 하드웨어 단에서 시작한다. 공격자가 IoT 기기를 훔쳐 분석해 공유키와 암호 등을 탈취하고 공격 가능한 취약점을 식별하는데 성공한다면, 동일한 기기에 취약점 공격을 할 수 있다.

예를 들어 특정 모델의 가정용 IP 카메라의 취약점을 알아낸 공격자가 동일한 모델의 다른 제품에 침투해 사생활을 들여다볼 수 있다. 소비자용 IoT 기기는 소비자들이 관리자 계정을 관리하거나 비밀번호를 설정해야 한다는 것을 제대로 알지 못하기 때문에 이러한 피해를 입을 수 있다.

보안을 적용한 마이크로컨트롤러를 이용해 하드웨어 단에서 기기의 안전한 부팅과 위변조 방지, 안전한 펌웨어 업데이트, 안전하고 확실한 기기 인증을 제공하는 것이 필요하다. CPU에 이 기능을 올리면 CPU 부하가 심해 기기 성능을 저하시킬 수 있으므로 별도의 보안칩을 사용하는 것이 좋다.

펌웨어 업데이트, 보안 취약점 패치가 필요할 때 광범위하게 분산된 기기에도 즉시 패치 배포가 가능하도록 OTA 기능이 탑재돼 있어야 하며, 위조된 펌웨어나 보안패치가 배포되지 앟도록 소스코드 인증서 관리를 철저히 해야 하며, 인증서 키는 TPM과 같은 안전한 하드웨어 영역에서 관리해야 한다. 기기 인증을 위한 암호화 기술은 소량의 리소스만을 사용해 암복호화를 수행할 수 있는 타원곡선암호화(ECC) 를 사용하는 것이 제안된다.

토종 기술로 성장 이어가는 보안칩

보안칩 시장은 국내에서도 주목할 만한 성장을 보이고 있다. eWBM, 네오와인 등이 국내 보안칩 기업이며, PUF 기술을 상용화한 ICTK, 양자난수 기술을 이용한 보안칩 전문기업 이와이엘은 미국 연방정보처리 규격인 FIPS 140-2 인증을 획득하고 미국 시장 개척에 청신호를 올렸다.

시큐리티플랫폼은 OS 없는 기기를 위한 보안 플랫폼을 턴키 방식으로 제공해 제조사들이 보안에 대한 지식이 없고 보안 투자를 하지 않아도 쉽게 보안 내재화된 기기를 설계할 수 있도록 도와준다.

시만텍은 초경량 보안 클라이언트 ‘크리티컬 시스템 프로텍션(CSP)’로 IoT 기기를 보호한다. 이 제품은 하드닝 기술을 이용해 기기 위변조를 원천 방지하며, 디바이스 성능을 저해하지 않고 강력한 호스트 기반 보호를 제공한다. 레거시 OS나 단종된 OS에도 적용 가능하며, 취약점 여부에 상관없이 원본 상태를 유지할 수 있도록 한다.

▲KISA IoT 보안인증 신청 절차

To read more:

http://www.datanet.co.kr/news/articleView.html?idxno=137309