IoT 보안, 어떻게 하면 좋을까요?

가트너(Gartner)에 따르면 2020년까지 전세계 사물인터넷(IoT : Internet of Things)

디바이스 수가 약 300억대에 이를 것으로 전망하고 있습니다. 

매년 개최되는 국제전자제품박람회(CES)에 출시된 제품들도 

스마트홈, 웨어러블 디바이스와 같은 IoT 제품 및 서비스일 정도로

전 세계적으로 IoT가 큰 이슈인데요.

이러한 가운데 최근 IoT 관련 해킹 및 정보유출 등의 침해사고들이 발생하고 있어서

IoT 보안이 조금씩 이슈화되고 있습니다. 

그래서, 이번에는 IoT 보안에 대해 살펴보도록 하겠습니다. 

IoT 산업 현황

사물인터넷(IoT : Internet of Things) 관련 전후방 기술개발이 빠르게 진행되면서

웨어러블 디바이스, 헬스케어 플랫폼 및 스포츠 용품 등

다양한 산업분야에서 IoT 기술 기반으로 서비스가 제공되고 있습니다. 

IoT 기술은 홈 어플라이언스, 건물, 자동차 및 모든 사물들을

P2P(People-to-People), P2M(People-to-Machine), M2M(Machine-to-Machine) 방식으로

인터넷을 통해 연결하고 있는데요.

이를 통해 RFID/USN 기반의 초 연결사회를 구현하는 것입니다.

산업분야별 주요 제품과 서비스 사례를 보면 다음과 같습니다. 

▲ 2012년 스포츠 용품 제조사인 미국의 나이키는 스마트 미디어 기기와 연동되어   사용자의 운동 현황을 체계적으로 기록하고 관리할 수 있는 단말기(NIKE+Fuelband)를 출시했다.   ▲ 홍콩의 HapiLabs는 사용자가 음식물 섭취에 걸리는 시간 및 빈도를 알려주는  지능형 식기 도구(HAPIfork)를 출시했다.

IoT 보안 위협 요인

IoT 기술은 우리 생활을 점점 더 편리하게 만들어주고 있는 반면,

일상생활 속의 다양한 사물들을 인터넷으로 연결하기 때문에

프라이버시 침해나 개인정보유출 등 개인의 안전에 위협을 줄 수 있는 우려도 안고 있습니다. 

IoT 네트워크에 연결 가능한 디지털 기기의 70%가 

수집된 정보를 클라우드 컴퓨팅 시스템이나 로컬 네트워크에 

암호화되지 않은 상태로 전송하고 있고,

IoT 기기의 60%는 보안에 취약한 웹 인터페이스(web interface)에 적용되어 있으며,

소프트웨어를 업데이트할 때도 60%가 암호화를 사용하지 않는 등

IoT 기기 대부분이 암호화나 사용자 접근 권한 등에 있어 취약점을 갖고 있는 것으로 나타났습니다. 

* 출처 : IoT 보안 관련 설문조사 결과(SANS Institute 자료 종합)

또한 IoT 네트워크는 해커가 인터넷에 연결된 디바이스들을

아주 쉽게 찾아낼 수 있기 때문에 해킹 위협이 더욱 가중되고 있습니다. 

2013년 10월 쇼단(shodan) 검색 엔진 등장은

가장 심각한 IoT 네트워크의 보안 위협 사례로 꼽히고 있는데요

IoT를 통한 다양한 분야의 보안위협 사례를 요약하면 다음과 같습니다. 

구분	위협사례
프라이버시	- IP 카메라 인터넷 주소를 해킹하여 실시간 영상 링크 유포  - 스마트TV에 탑재된 카메라를 해킹하여 사생활 영상 유출  - 구글 글래스의 은행계좌 비밀번호 등 금융 정보 해킹
스마트 홈	- 홈 네트워크의 라우터를 해킹, 악성 이메일 등 사이버 공격  - 로봇청소기에 탑재된 카메라로 실시간 모니터링 가능  - 가정의 온도조절기 제어권 해킹  - 스파이 마이크로 칩을 통한 악성코드 및 스팸 유포  - PC 게임 화면을 통해 인쇄 문서 해킹  - 호텔의 방 온도, TV온오프, 블라인드 등 원격제어 가능
네트워크	- 차량의 CAN에 접근하여 악의적인 엔진조작  - 가정용 DSL 라우터를 통해 홈 네트워크 해킹  - 컴퓨터 공유기 해킹
제어시스템	- 보호되지 않은 산업용 제어시스템 해킹   - 셋톱박스를 대상으로 한 DDoS 공격
의료	- 800m 밖에서 인슐린 펌프를 조작, 치명적인 복용량 주입
교통	- 교통관리시스템에 위조 데이터 전송, 주요 인프라 통제
방송	- 중간자 공격을 이용한 티비싱
사이버범죄	- IoT 기기를 해킹한 온라인 납치 및 살인 등 사이버 범죄

IoT 보안 대응 전략

 

사물인터넷(IoT) 기술은 사용자의 위치 측정 기술과 결합되면서

생활공간 자체를 스마트하게 변화시킬 수 있는 첨단 서비스를 제공하고 있지만

사물인터넷 산업을 활성화시키기 위해서는 다음과 같은 핵심 보안기술을 조기에 개발하여

대응할 필요가 있습니다. 

▲ 핵심 보안기술 개발

▲ IoT 시스템 / 플랫폼 / 네트워크의 사용자 인증 및 인가  ▲ 접근제어  ▲ 키 및 식별자 관리  ▲ 신뢰도 및 평판 관리  ▲ 프라이버시 보호

특히, IoT 네트워크의 보안 문제는

보호할 대상, 범위, 특성, 보안 담당 주체, 보호 방법 등에 대해

기존의 사이버 환경과 달리 새로운 시각으로 접근할 필요가 있습니다. 

IoT 네트워크 구축 환경에는 기기의 연결 방식, 네트워킹, 객체의 속성 등

다양한 환경 조건들이 존재하기 때문에 각 액세스 포인트마다 더욱 주의가 필요합니다. 

▲ 프라이버시 보호 기술개발

공공 및 사설 네트워크, RFID 기반의 센서 네트워크, 3G/4G-LTE(A) 등

다양한 네트워크, 단순 신호처리 기능을 가진 저전력/저비용의 센서, 

상용 OS가 탑재된 시스템 및 단말 등에 따라 특화된 보안 전략이 필요합니다. 

또한 불완전하게 정의된 표준의 난립으로 인해 과도한 SSL

(Security Sockets Layer : 네트워크 데이터 암호화 프로토콜)에 의존하게 됨으로써 

보안에 취약한 편입니다. 

이를 해결할 수 있는 보안 시스템 구축 전략이 필요합니다. 

IoT 기기도 CPU나 메모리 등의 성능이 다양하여 소프트웨어 업데이트 및 관리가 쉽지 않습니다. 

따라서 기존의 보안 기술을 적용하기에 어려움이 있고 보안에 취약한 편이어서

이를 해결할 수 있는 보안시스템 구축 전략이 필요합니다. 

가장 효과적으로 프라이버시를 보호하기 위해서는

정보의 센싱-가공-처리-저장-활용의 서플라이체인 단계별로

특화된 프라이버시 보호 기능을 제공할 필요가 있습니다. 

또한 IoT 보안을 위해 새로운 보안 취약점이나 악성코드 발생 시 

이에 대한 신속한 탐지와 분석을 통해 대응 체계를 마련하고

관련 업체 간 경쟁보다는 정보 공유를 통한 협력 체계를 구성하는 등의

개선이 필요합니다. 

<참고자료>

[1] 박세환, “사물인터넷 핵심기술 및 시장성 분석”, 주간기술동향 1603호, 정보통신산업진흥원

[2] 민경식, “사물인터넷(Internet of Things)”, NET Term, 한국인터넷진흥원 2012.06

[3] “The Internet of Things Is Poised to Change Everything”, IDC, 2013.10

[4] “IoT 현황 및 주요이슈”, 정보통신기술진흥센터. 2014,12

[6] IoT 보안 관련 설문조사 결과 (SANS Institute 자료종합)