IoT 시장이 빠르게 성장하고 있다. 시스코는 인터넷에 연결되는 기기가 2020년는 500억 대에 이를 것으로 전망했으며, ARM은 2035년 IoT 디바이스가 1조개에 이를 것으로 예상했다. IoT가 확장될수록 보안위협도 커진다. 가트너는 2020년 IoT 관련 공격이 전체 기업 공격의 20%에 이를 것으로 예측했다. 사이버시큐리티 벤처스는 2021년 전세계 사이버 범죄 피해액을 6조달러로 전망했다. 실제로 한국인터넷진흥원에 접수된 취약점 신고 건수가 2016년 급격하게 늘어났는데, 2015년 130건에서 2016년 362건으로 3배 가까이 증가했다.
보안 취약한 IoT, 생명도 위협한다
IoT 보안위협이 심각해지면서 IoT 라이프사이클 전 단계에 맞춘 보안 전략이 시급해졌다. 특히 IoT 기기 보호는 무엇보다 먼저 선행돼야 한다. IoT 기기 보호를 위해 소프트웨어 기반 보안 기술만을 사용하는 것은 한계가 있다.
많은 IoT 기기가 보안을 위해 사용할 수 있는 리소스가 거의 없거나 부족하다. 잦은 업데이트나 장애·충돌이 발생한다면 IoT에서 사용할 수 없다. 소프트웨어 개발 단계에서부터 취약점을 제거한다 해도 소프트웨어에는 늘 취약점이 존재하며, IT에 대한 이해가 없는 사람들이 이를 이해하는 것도 쉽지 않은 일이다.
류제필 맥심 인터그레이티드코리아 부장은 “많은 전문가가 애플리케이션 개발 단계부터 보안을 적용해야 한다고 주장하지만 스마트 커넥티드 제품을 개발하는 엔지니어에게 보안 구축을 위한 적절한 도구가 주어지는 경우는 흔치 않다”며 “소프트웨어 기반 보안은 비용이 많이 들고 해킹 위협에 노출되기 쉽다”고 지적했다.
이러한 이유 때문에 IoT 보안은 하드웨어에서부터 강력한 보안을 적용하는 것이 권장된다. 특히 기기 설계 단계부터 해킹 방어 기능을 포함하는 하드웨어 기반 보안으로 최고 수준의 보안을 구현하는 ‘보안 내재화’가 IoT의 필수라고 제안된다.
하드웨어 기반 보안은 ‘보안칩’에서 시작된다. 보안칩은 기기 인증과 키관리를 하는 것이 중요 역할이다. SE, TPM과 같은 하드웨어 보안 영역에 기기 인증 정보를 저장하고 전자서명과 암호화 등의 기능을 수행한다.
보안칩은 기기 보안에 관한 역할을 수행하기 때문에 IoT 기기의 일반 작동을 담당하는 CPU의 부담을 줄이고 IoT 기기 성능을 높일 수 있다. 그러나 2개의 칩을 사용할 수 있는 충분한 리소스가 없는 기기도 있으며, 비용이 증가한다는 이유로 보안칩을 사용하지 않는 경우가 대부분이다.
그래서 정부는 IoT 보안 인증제도를 실시하고 IoT 기기 제조사들이 설계단계부터 보안칩을 포함한 보안 요구사항을 적용하도록 유도하고 있다. IoT 보안인증제도는 관련업계의 요구에 따라 자율적으로 시행하고 있으며, 향후 IoT 보안에 대한 인식이 충분한 수준으로 올라가면 의무적용 사항으로 바꿀 계획이다.
보안칩 시장 경쟁 시작
국내 보안칩 전문기업인 네오와인의 초소형 보안 반도체 ‘DORCA-3’은 4mm 크기에 RSA, ECC, AES, SHA, TRNG, 하드웨어 ID 6개 기능을 구현했다. 이 제품은 전자결제, 수신제한 시스템(CAS), 셋톱박스, IP카메라, 전자도어랑, 워키토키 등에 적용됐다.
세계 최초로 PUF 기술을 사용화한 ICTK도 국내 대표적인 보안칩 제조 기업이다. PUF는 칩 제조 공정에서 자연스럽게 생성되는 반도체 칩의 공유한 특징을 인증키로 사용하는 기술이다. ICTK는 블록체인 기술 기업 팍스데이터테크와 함께 3세대 블록체인 플랫폼을 개발하고 있으며, 내년 1분기 탈중앙화 응용 프로그램 ‘디앰(dApp’을 공개할 계획이다.
최근 보안칩 분야에서 주목받는 기업인 EWBM은 단일 플랫폼에 IoT 기기 보안에 필요한 모든 요소를 통합한 SOC ‘MS500’을 출시하고 글로벌 시장에 진출했다. 이 제품에는 시큐어부팅, 백도어 제거, 난수발생기, 디바이스 고유 키, 시큐어스토리지, 고속 스트림 사이퍼 엔진, 고속 비대칭 암호화 엔진 등이 포함돼 있다. 이 기술은 SK텔레콤 IoT 전용망과 자가망용 표준 로라모듈에 탑재됐다.
글로벌 반도체 기업들도 강력한 보안과 초소형 하드웨어로 이뤄진 보안칩 출시에 사력을 다하고 있다. 맥심인테그레이티드는 중요 데이터와 키를 보호하는 ‘딥커버(DeepCover)’ 임베디드 보안 솔루션과 PUF 기술 기반의 ‘칩DNA’, 그리고 커넥티드 기기용 턴키 보안 솔루션 등을 제공한다.
최신 딥커버 보안 마이크로컨트롤러 ‘MAX32558’는 간단한 통합 설계로 종합 소프트웨어 프레임워크를 구축했다. 경쟁사 대비 최대 50% 축소된 PCB(Printed Circuit Board) 공간에서 빠르고 효율적인 보안 암호화, 키 스토리지 통합, 능동적인 위변조 탐지 기능을 제공한다.
맥심의 보안 솔루션은 셀프서비스 결제 솔루션 기업 인벤코의 G7 아웃도어 단말기, 베이징 웨이패스 파노라마 POS 등에 적용됐으며, 미국 디지털 보안 기업 시프트의 ORWL 보안 데스크톱에도 탑재됐다.
시큐리티플랫폼은 하드웨어 임베디드 보안 솔루션을 개발하는 국내기업으로 ▲시큐어부팅 ▲시큐어 업데이트 ▲인증·비밀키 등 보호 ▲암호모듈 연동 전송계층보안(TLS) ▲PKI 상호인증 등의 솔루션을 갖고 있으며, 보안에 대한 지식이 없는 제조사도 쉽게 보안을 적용할 수 있도록 부트로더 바이너리 파일과 라이브러리를 제공한다.
시큐리티플랫폼은 지난해 소프트밴처코리아로부터 투자를 받았으며, 현재 소프트뱅크그룹 ARM 홀딩스 8세대 아키텍처 ‘ARMv8-M’ 기반 보안 솔루션을 개발하고 있다. 이 제품은 OS 없는 경량 IoT 기기를 위한 트러스트존을 구현한다.
이보다 앞서 ST마이크로 등 글로벌 칩 벤더와 파트너십을 맺고 본사 차원의 보안칩 기술 협력을 진행하고 있으며, 시큐리티플랫폼은 삼성전자 및 국내 통신사 등과 함께 IoT 보안 플랫폼을 개발, 공급해왔다.
