IoT는 일상생활을 더 편리하게 했지만, 그만큼 보안위협도 높였다. 관리되지 않은 수많은 단말, 암호화되지 않은 통신, 취약한 인증 시스템 등으로 인해 공격 장벽이 낮아지고 방어는 어려워졌다. 보안이 내재화된 IoT가 아니면 IoT가 재앙이 되는 것은 시간문제다. 강력하고도 편리한 접근제어 기술로 IoT를 보호하는 방법을 살펴본다.<편집자>
블룸버그 비즈니스위크가 10월 폭로한 ‘중국 스파이칩’ 의혹이 전 세계를 발칵 뒤집어놓았다. 중국 하청공장에서 보드에 몰래 심은 것으로 의심되는 이 칩의 존재에 대해 관련된 모든 기업들이 해당 사실을 부인하고 있다. 또한 이 칩이 실제로 어떤 공격 활동을 했는지도 밝혀지지 않았다. 그러나 정체가 불분명한 이 작은 칩이 ‘모종의’ 역할을 했을 것이라는 의심은 지워지지 않는다.
블룸버그가 폭로한 기사가 사실이라면 마이크로칩을 이용한 스파이 활동은 서버 시스템에서만 일어났다고 장담할 수 없을 것이다. 기업/기관에서 사용하는 IT 시스템은 물론이고, 일반 엔드포인트 기기에서도 발생할 가능성을 배제할 수 없다. 스마트폰, 스마트 디바이스, 스마트 홈 기기 등 다양한 단말에도 스파이칩을 심을 수 있다.
오상근 eWBM 대표는 “최근 국방·경찰 업무에 드론을 활용하는 방법이 연구되고 있는데, 만일 스파이칩이 숨어있는 드론을 군 정찰용으로 사용한다면 국가안보에 대한 기밀정보가 모두 적국으로 넘어갈 수도 있는 일”이라며 “보안에 대한 접근을 근본적으로 다시 해야 할 시점”이라고 강조했다.
IoT, 공격 쉽지만 방어 어려워
스파이칩 의혹은 IoT 보안에 대한 시각을 새롭게 바꾸는 계기를 만들고 있다. 지금까지 사이버 스파이 활동은 소프트웨어로 된 악성코드를 이용하거나 내부자를 이용했다. 이를 해결하기 위해 악성코드를 차단하고 내부자의 이상행위를 탐지하는 기술이 적용돼왔다.
그러나 이러한 기술은 하드웨어 단에서 비인가자가 접근해 민감한 정보를 탈취한다면 보안 방침은 무용지물이다. AI 기반 네트워크 행위분석, 이상행위 모니터링 시스템을 도입한다 해도 하드웨어에서 일어나는 공격을 탐지하지는 못한다.
하드웨어 기반 공격은 IoT 환경에서 더욱 취약하다. IoT 기기는 보안에 투자할 리소스가 충분하지 않으며 관리가 소홀해 관리자 계정을 쉽게 탈취당할 수 있다. 공격자가 장악한 IoT 기기는 스파이 활동에 이용당하거나 대규모 디도스 공격을 위한 좀비 기기로 사용될 수 있다.
이효승 네오와인 대표는 “칩 제조 단가는 매우 저렴하기 때문에 대량으로 제작해 타깃 시스템에 몰래 심거나 USB 등 외부 저장장치에 숨겨 타깃 사용자와 타깃 조직에 유포할 수도 있다. 공격자는 낮은 비용으로 효과적으로 공격에 성공할 수 있으며, 장기간 안전하게 데이터를 유출할 수 있다”며 “하드웨어 칩 단에서부터 비인가자의 접근을 막고 불법적인 데이터 탈취나 위변조를 막을 수 있어야 한다”고 말했다.
보안MCU로 하드웨어 공격 차단
하드웨어 기반 보안 방법 중 하나가 보안칩이다. 하드웨어 암호화 엔진과 시큐어 키관리, 시큐어부팅, 시큐어 스토리지, 펌웨어 및 기기 무결성 확인 등의 기능을 수행하는 보안칩은 CPU가 수행하는 보안 기능을 대신 수행해 CPU의 부하를 낮추고 기기 성능을 높일 수 있다.
최근에는 MCU에 보안 기능을 더한 보안 MCU로 통합돼 제공돼 하드웨어 설계를 단순화하고 기기 생산 단가를 낮출 수 있도록 지원하고 있으며, 보안 MCU의 모든 기능을 하나의 칩으로 통합해 제작하는 시스템 온 칩(SoC)으로 제공되기도 한다.
맥심 인터그레이티드(이하 맥심) 국내 파트너인 길라닉스의 현석순 차장은 “사물과 사물, 사물과 서버간 암호화 인증을 하고자 한다면 기기에 암호화 키를 주입해야 하는데, 소프트웨어 방식의 키 주입은 쉽게 탈취당할 수 있다. 하드웨어 칩에 키를 새겨놓으면 탈취와 위변조가 불가능해 안전하게 기기와 서버간 인증이 가능하다. 이러한 기능을 수행하는 것이 보안칩이며, 보안에 특화된 전용칩을 사용하면 안전한 데이터 통신과 서비스를 보장할 수 있다”고 말했다.
암호인증을 위한 보안칩은 이미 많은 기기에 사용되고 있으며, 공장 자동화 시스템, 신용카드 결제 단말, ATM 등 특수목적 장비에도 적용된다. 특히 최근 인터넷 통신이 HTTPS를 사용하면서 IoT 기기에서도 암호화 통신을 요구하고 있어 이를 처리할 수 있는 전용 칩에 대한 관심도 높아지고 있다.
전문성 없어도 보안칩 적용 가능한 턴키 솔루션
국내 보안칩 전문 기업 네오와인은 복제방지 반도체로 글로벌 시장 순위에 안착해 있으며, 암호화 전용 칩 ‘도르카 3(DORCA-3)’을 제품군을 출시하면서 보안칩 역량을 강화해나가고 있다. 도르카는 미국 IoT 시스템 반도체 메모리 전문기업 아데스토와 협력을 맺고 세계 시장에서의 경쟁력을 높이고 있다.
eWBM은 보안MCU를 SoC로 공급할 수 있는 특화된 경쟁력을 강조하면서 시장 공략에 나서고 있다. eWBM의 ‘MS500’은 라온시큐어의 FIDO 기반 지문인식 USB 인증장치에 적용됐으며, FIDO2 인증 기반 보안 SoC를 스마트 홈 디바이스, 클라우드 IoT, 기기 등에 적용할 수 있도록 제조업체와 협의하고 있다.
오상근 대표는 “eWBM의 솔루션은 MCU 내에 보안코드, 기기 펌웨어 이미지까지 통합하고 있기 때문에 조립만 하면 출시할 수 있다. 제품을 다시 설계하거나 아키텍처를 바꿀 필요 없으며, 보안 전문 지식이 없어도 쉽게 기기 보안을 내재화 할 수 있다”며 “보안칩으로 인해 제조 프로세스가 늘어나지 않기 때문에 간편하다”고 말했다.
글로벌 보안인증장치 전문기업 맥심은 금융시장에서의 강력한 경쟁력을 바탕으로 IoT 보안인증 시장 확장을 위해 노력하고 있다. 맥심의 칩DNA 기반 ‘DS28E38’ 보안 인증장치는 PUF 회로에서 고유 키가 필요할 때만 생성되고 사용하지 않으면 사라지게 해 물리적 침투형 공격으로부터 회로를 안전하게 보호한다. 보안 MCU ‘MAX32558’는 소형화된 통합 보안 솔루션 구축을 지원해 제품의 시장 출시 기간을 단축시키면서 강력한 보안을 구현할 수 있도록 한다.
현석순 길라닉스 차장은 “맥심은 국내에서도 결제단말, ATM 등 금융 시장에서 강력한 쟁력을 보이고 있으며, 암호화폐 지갑, 보안 데스크톱 PC, 스마트그리드, 산업용 장비 등 다양한 분야에서 사용되고 있다”며 “또한 국내 통신사, 스타트업, 제조기업과 다양한 방법으로 협력하면서 생태계를 확장시키고 있다”고 말했다.
하드웨어 보안에 필요한 기술을 SDK로 공급하는 국내 스타트업 시큐리티플랫폼은 시큐어부팅, 키 관리, 기기관리 등의 보안 기술을 제공한다. ST마이크로, ARM, 일본 신세이코퍼레이션 및 모바일 결제 단말 서비스 기업 등과 협력해 글로벌 시장을 공략한다. 우리나라에서는 SKT 및 에너지 관련 기업 등과 협력하고 있다.
황수익 시큐리티플랫폼 대표는 “시큐리티플랫폼은 OS 없는 IoT 기기 제조사들이 쉽고 간편하고 비용 효율적으로 보안을 구현할 수 있는 기술을 공급한다. MCU에 보안 기능을 더해 보안 전문가가 없어도 보안 내재화된 기기를 생산할 수 있도록 도와주는 것이 우리의 역할”이라며 “해킹칩, 암호화폐 채굴 악성코드, 디도스, 불법 백도어, 사생활 유출 등 IoT 기기 침해를 통한 위협을 상당부분 낮출 수 있을 것”이라고 말했다.
