Paranoid(편집장애). 명확하고 규칙적인 생각을 수반하는 망상체계가 진행되는 정신장애. 주된 증상은 피해와 과대 망상이 주류를 이루며, 때로 질투 망상을 보일 때도 있다.(출처: 특수교육학 용어사전, 네이버 지식백과)
편집장애는 본인은 물론 주위 사람들도 힘들게 만드는 장애이지만, 보안에서는 다른 의미로 쓰여야 한다. 편집장애에 가까울 정도로 정확하고 확실하게 보안을 챙겨야 한다는 뜻이다. 특히 IoT 보안은 ‘Paranoid’가 필요한 분야이다. 모든 기기와 사람, 생물이 인터넷에 연결되고, 클라우드를 통해 소통하며, 인공지능을 추가해 스스로 학습하고 학습한다. 모든 곳에서 연결과 소통, 학습, 의사결정이 일어나며, 모든 곳에서 침해가 발생할 수 있다.
반도체 칩 기업 맥심인터그레이티드의 크리스토프 트렘렛(Christophe Tremlet) 임베디드 보안 비즈니스 이사는 “IoT 보안에서 파라노이드를 반드시 생각해야 한다. 침해사고는 언제나, 어디에서나 일어날 수 있다. ‘나에게 보안 사고는 일어나지 않는다’는 막연한 생각은 버려야 한다. 어떠한 방법으로든 침해가 일어날 수 있다는 사실을 염두에 두고 IoT를 설계해야 한다”고 말했다.
HW 암호화 키도 해킹 가능
그는 파라노이드가 필요한 예로, 암호화 된 하드웨어 키를 해킹하는 시연을 소개했다. 장치의 동작 상태를 보면서 보안 키 값을 유추하는 ‘사이드 채널 공격’이 가능하다는 시연인데, 예를 들어 파워 소모량을 모니터링해 키 값을 알아낼 수 있다. 이와 같은 방식으로 AES256을 해킹할 수 있는 툴은 300유로(약 40만원)이면 구입할 수 있다.
2011년 발생한 소니 플레이스테이션 해킹 사고의 경우, 암호화 키를 생성하는 난수의 보안 수준이 낮았던 것이 문제가 됐다. 최근에는 TPM 보안칩을 무력화하는 취약점도 발견됐다. TPM칩이 암호화 키를 만들 때 인수분해 과정을 거쳐 난수를 발생시키는데, 특정 칩에서 인수분해 계산에 오류가 생겨 TPM 칩의 암호화 키를 해커가 알 수 있게 한다는 것이다.
트렘렛 이사는 “높은 수준의 암호화 알고리즘을 사용하면 안전할 수 있지만, 많은 컴퓨팅 시스템과 오랜 시간을 들이면 암호화 키 값을 알 수 있다. 이 과정에서 소요되는 시간과 비용이 많기 때문에 공격자들이 시도하지 않을 뿐”이라며 “그러나 잘못 설계되거나 잘못 계산된 오류가 있다면 공격자에게 이용될 수 있다. 제품의 개발부터 해커보다 앞선 관점에서 개발하는 것이 IoT 환경에서는 필수”라고 강조했다.
물리적 침해까지 차단하는 보안칩
맥심은 IoT 보안 문제를 해결할 수 있는 임베디드 보안 플랫폼 ‘딥커버(DeepCover)’ 제품군을 소개한다. 딥커버는 하드웨어 기반의 안전한 암호화 인증을 제공한다. 이 제품은 분리된 암호화 공간을 제공해 사이드 채널 공격을 방지한다. 높은 수준의 난수 생성으로 안전하게 키를 생성하며, 메모리 관리와 가속화 기능을 추가해 속도 저하 없이 IoT 기기의 암호화 인증을 수행하며 소비전력을 낮춰 경제성을 높였다. 또한 하드웨어 외부에서 사람의 체온과 유사한 열이 감지되거나, 뚜껑이 열리는 등 하드웨어의 물리적인 변화가 생기면 키 값을 초기화 시켜 외부 탈취를 막는다.
지난해 출시한 IoT를 위한 턴키 솔루션 ‘MAXQ1061’은 EAL4+ 등급의 CC인증을 받았으며, 하드웨어 제조사가 별도의 펌웨어를 개발할 필요가 없어 제품 출시 기간을 단축할 수 있다. 호스트 프로세서에 대한 보안 부팅을 지원하며, 극한 환경에서도 견딜 수 있도록 설계됐다.
한국 서비스·제조 기업과 협력해 시장 확대
맥심의 딥커버 제품군은 ATM, 신용카드 조회기 등 결제 관련 장비와 IoT 기기, 산업용 장비, 스마트그리드 기타 여러 분야에서 사용되고 있으며, 국내에서도 신용카드 결제 단말 등에서 사용되고 있다. 더불어 맥심은 국내 통신사, 스타트업, 제조 기업 등과 다양한 협력 방법을 모색하고 있다.
트렘렛 이사는 “한국의 IoT 시장은 매우 빠르게 성장하고 있으며, 서비스 사업자, 제조사들이 보안을 강력하게 만들기 위해 노력하고 있다. 맥심은 이들과 협력해 IoT를 보다 안전하게 만들 것”이라며 “IoT는 제조와 설계단계부터 보안을 고려해야 한다”고 거듭 강조했다.
