암호화는 보안의 기본이다. 그래서 인터넷 통신의 절반 이상이 SSL/TLS 암호화로 보호되고 있으며, 주요 웹 브라우저 기업들은 암호화되지 않은 통신에 대해 보안 경고를 내리고 있다.
그렇다면 늘 인터넷에 접속돼 있는 IoT 환경에서는 어떨까? AI 스피커의 경우, 소스코드 보안 취약점이 개별 제품 당 평균 350개에 이른다는 분석 보고서가 발표될 만큼 보안에 취약하다. UC버클리대 연구팀은 사람의 귀에 들리지 않는 고주파대 음역 소리를 이용해 AI 스피커를 해킹할 수 있다고 발표하기도 했다.
“IoT 기기가 서버와 통신할 때는 HTTPS로 암호화 통신을 할 수 있다고 하지만, 기기간 통신은 어떻게 보호할 것인가? IoT 기기 자체가 암호화 보안 통신을 하지 않는다면 IoT 보안 취약성은 해결할 수 없다.”
오상근 eWBM 대표는 “기존 소프트웨어 보안 기술만으로 IoT를 보호할 수 없다. 소스코드 보안 취약점을 완벽하게 제거할 수는 없으며, IoT 기기는 리소스가 적기 때문에 보안 기능을 충분히 탑재할 수 없다”고 지적했다.
현재 IoT 기기를 보호하는 방법은 CPU에서 암복호화를 수행하거나 별도의 암호화 보안칩을 추가하는 것이다. CPU에서만 암복호화를 하면 성능저하가 발생하고 전용 보안칩을 추가하면 생산단가가 상승하고 극소의 리소스를 사용하는 기기에는 적용이 어렵다는 문제도 있다.
eWBM은 보안 기능을 추가한 초소형 SOC ‘MS500’을 출시하며 IoT 기기를 근본적으로 보호한다. 암호화 엔진과 시큐어 부팅, 시큐어 스토리지, 암호화 키 저장소의 기능이 탑재됐다. 최근 FIDO2 인증을 받은 지문인식 방식 보안USB에도 탑재됐다. 내년에 출시 예정인 ‘MS1200’은 미국 CMVP 인증을 추진해 세계 시장 진출을 노릴 계획이다.
eWBM은 높은 암호화 처리 속도를 장점으로 내세운다. 풀HD급 영상도 실시간에 가깝게 암복호화가 가능해 CCTV 영상을 보호할 수 있다. 암호화칩이 있으면 공격자가 CCTV 네트워크에 잠입해 백도어를 설치하고 영상을 탈취하는 것도 불가능하다. 촬영 순간 암호화돼 전송되기 때문에 영상을 탈취한다 해도 볼 수 없다.
보안 SOC가 필요한 IoT 기기의 대표적인 예로 드론을 들 수 있다. 특히 군·경찰 등에서 드론을 사용할 때 보안을 내재화하지 않은 기기는 국가 안보와 국민 안전에 위협을 가할 수도 있다. 공급망 공격으로 악성코드가 숨은 펌웨어 업데이트를 배포하거나 드론이 연결된 무선 네트워크를 가로채 공격자가 마음대로 조종하는 것도 가능하다.
오상근 대표는 “IoT를 보호하는 가장 이상적이고 현실적인 방법은 보안 SOC를 사용하는 것이다. 그러나 국내 각종 인증 제도와 규제가 기술의 발전을 따라오지 못하고 시장 성장의 발목을 잡는 경우가 있다”며 “현실적인 인증과 규제를 통해 IoT 보안 산업을 육성해야 할 것”이라고 지적했다.
그는 이어 “또한 우리나라 제조기업들은 생산단가를 이유로 들어 보안 내재화에 소극적이지만, 실상 보안에 투자하는 비용은 그리 크지 않다. 실제로 해외 주요 제조사들은 보안에 적극 투자하면서 시장을 리드하고 있다”며 “우리나라에서는 FIDO 관련 기술이 세계적으로 인정받고 있다. 보안 SOC를 통해 FIDO 보안 등급을 높이고 세계 시장에서의 경쟁력도 높일 수 있을 것”이라고 말했다.
