보안연구부 -2016-053 사물인터넷 (Internet of Things) 산업동향 ( 보안연구부보안기술연구팀 / 2016.10.20) 개요 사물인터넷 ( 이하 IoT) 은제조, 에너지, 금융등산업전반에서걸쳐다양하게활용되고있으며, 초연결사회 (Hyper-Connected Society) 로나아가기위한수단으로주목받고있음 이에본보고서에서는 IoT의활용사례와보안위협사례를살펴보고, 이를해소하기위한국가별정책과표준화동향에대해소개함 사물인터넷 ( 정의 ) 국제표준화기구인 ITU-T에서는사물인터넷을 정보통신기술을기반으로다양한물리적또는가상의사물들을연결하여진보된서비스를제공하기위한글로벌서비스인프라 라고정의 1) 하고있음 ITU는 2005년에 IoT 개념을처음정립 2) 하였으며, IoT를언제, 어디서나, 어떤것이든연결시켜주는기술 이라고정의 ( 개념확장 ) IoT의개념은사물통신 (M2M) 3), IoT, 만물인터넷 (IoE, Internet of Everything) 을거쳐소물인터넷 (IoST, Internet of Small Things), 만물제어 (AtO, All to One) 으로확장되고있음 다양한사물 ( 가전제품, 스마트카등 ) 을네트워크로연결해공유하는 IoT 에서수집된정보를분석하여가치를만들어내는만물인터넷, 더나아가자율적으로제어, 통제하는것을만물제어라고함 1) ITU-T Y.2060, Overview of the internet of Things, 2012. 2) ITU, ITU Internet Reports 2005, Internet of Things, 2005. 3) M2M(Machine to Machine) : 기계와기계사이의통신을의미하며, 기계, 센서, 컴퓨터등다양한장치들이유무선통신기술을이용해서로정보를교환하게함으로써개별장치들의기능이나성능을개선시켜주고개별장치들이제공하지못했던새로운지능형서비스를제공 ( 자료 : TTA 용어사전 ) - 1 -
< IoT 개념도 > 자료 : 우리금융영경연구소 < 참고 : 소물인터넷, 만물제어 > 소물인터넷 (IoST) ( 개념 ) 사물에통신모듈을탑재하여소량의데이터를주고받을수있도록구현된것으로, 저성능기기가소량데이터전송에특화되어단순정보 ( 온도, 습도, 무게등 ) 를측정해무선네트워크로데이터를전송함 - 해외에서는저전력장거리통신기술 (LPWA, Low Power Wide Area) 라고불리며, 기존의무선네트워크 (Bluetooth, Wi-Fi, Z-wave, Zigbee 등 ) 와달리저전력설계로오랫동안사용이가능하고, 넓은커버리지를충족시켜야함 ( 특징 ) 저비용, 저전력, 장거리네트워크가가능하며, 고가의중계기가필요없고전력소모가매우적기때문에상시전원없이배터리만으로최소 2년이상사용가능함 ( 이용사례 ) 도난방지자전거, 검침 ( 수도, 전기, 가스등 ), 조명제어등 만물제어 (AtO) ( 개념 ) IoT 플랫폼들을하나로묶어서통제하는것으로모든사물, 사람등의연결을유기적, 지능적, 자율적으로통제하여데이터를효율적으로사용할수있도록도와주는시스템을일컬음 ( 특징 ) 공통의디지털네트워크로연결되어서로정보를주고받을수있으며, 스스로제어가가능함 ( 이용사례 ) 스마트시티 ( 냉난방관리, 교통혼잡예방, 엘리베이터동선분석등 ), 재난구조등 - 미국의경우 스마트아메리카챌린지 프로젝트를통해전력, 의료, 교통, 제조, 항공등 7개의분야를 IoT로연결하여제어하는시스템구축계획을세움 - 2 -
활용사례 다양한산업분야에서 IoT를활용하고있으며, 금융권에서는결제, 보험, 대출관리분야에서주로활용되고있음 초기에는단순히정보를단방향으로전달하는역할을하였으나, 기기제어등서비스와연계함에따라양방향통신으로변화 예 ) 냉장고속유통기한임박상품을알리고, 추천요리와부족한식재료의자동주문연계서비스 < 분야별 IoT 활용사례 > 구분금융개인산업공공 간편결제부정결제탐지통행료지불보험담보대출관리스마트카스마트밴드스마트홈 / 가전생활밀착원격관리프라임에어 ( 물류 ) 스마트팜스마트공장원격관제스마트크린스마트미터스마트시티 서비스내용 블루투스기반의비콘 (Beacon) 을이용하여서비스범위내에있는사용자의앱과결제장치의통신을통해간편결제 결제단말기에서전송하는위치정보값과인근에근접한기지국의위치값을비교하여부정거래발생여부판별 달리는차안에서무선또는적외선통신을이용하여자동으로요금을결제 차량에설치된 OBD(On-Board Diagnostics) 장치를이용하여운전자운행습관에따른보험료차등적용, 자전거도난방지솔루션을이용한도난보험상품연계 이동성이있는담보물건 ( 자동차, 공장설비등 ) 에대해무선통신및 GPS 센서가탑재된 IoT 단말을부착하여안정적인담보물건관리 자동차에네트워크연결기능을탑재하여, 인포테인먼트등이용자편의, 차량제어및관리기능제공 운동량등신체정보제공을통해개인건강증진도모 ICT 기반의주거환경통합제어로생활편의제고 칫솔, 포크등에내장된센서를통해생활습관개선제안 사회적약자 ( 아동, 환자등 ), 애완동물등의원격관리 무인비행기를이용한택배서비스로소비자의이용편리성제고및원격제어등을통한관리효율향상 시설물모니터링, 농지, 작물의생육과정관찰을통해작업효율개선 생산, 가공, 유통공정에 ICT 기술접목으로생산성향상도모 CCTV, 노약자위치정보등의정보제공으로사전적사고예방 대기질, 쓰레기양의정보제공으로환경오염최소화유도 에너지사용량의원격검침, 실시간과금으로관리효율성증대 교통정보, 냉난방시스템등사회전반적인기능을통합관리하여에너지효율, 편의성증대 참조 : 이정민, 사물인터넷의국내외주요적용사례분석과시사점, KDB 산업은행, 2014.6. - 3 -
보안위협및보안요구사항 ( 보안위협 ) IoT는소형화, 경량화, 저전력화등에의해한정된하드웨어자원에서동작하기어려우므로전통적인보안기술 * 들을적용하는데제한됨에따라일반기기 (PC, 스마트폰등 ) 에비해상대적으로보안에취약함 * 암호화통신, 데이터암호화, 백신등 구조적으로취약한무선네트워크 * 를기반으로동작하고, 수많은기기들이연결되므로보안위협이발생될수있는접점이무한히생성될수있음 * 무선네트워크는공중을통해전파되는특성으로인해불특정다수가해당신호를감지가능 기기위 변조, 기기복제 변경, 기기분실 도난, 데이터불법접근, 보안패치미적용, 보안기능우회 ( 은닉채널 ), 비인가기기접속, 무선통신도감청등의보안위협발생가능 ( 보안요구사항 ) IoT의구성요소 ( 디바이스, 네트워크, 애플리케이션 ) 에따라다양한보안위협과이에대응하는보안요구사항을제시할수있음 다양한보안위협이존재하지만권한설정, 무결성검증, 접근통제, 인증등을통해위협으로부터기기, 데이터등을보호가능 < IoT 구성요소별보안위협및보안요구사항 > 보안위협 보안요구사항 디바이스 ( 단말 ) 분실 / 도난. 물리적파괴, 단말의기밀성 / 무결성침해, 비인가된접근, 복제공격 권한설정, 인증, 단말무결설검증, 접근 통제, 데이터기밀성및무결성보장 네트워크 애플리케이션 데이터위 변조, 인증방해, 신호데이터의기밀성 / 무결성침해, 정보유출, 서비스거부데이터위 변조, 데이터의기밀성 / 무결성 / 프라이버시침해, 비인가된서비스및사용자접근, 정보유출 권한설정, 인증, 데이터 / 신호정보의기밀성및무결성보장권한설정, 인증, 데이터기밀성, 무결성, 프라이버시보장, 보안감사수행, 안티바이러스실시 자료 : 장봉임외, 사물인터넷보안기술연구, 2014. ITU-T, Overview of the Internet of Things, 2012. 재구성 - 4 -
보안위협사례 IoT와관련된보안위협은지속적으로발표되고있으며, 금전적인손실뿐만아니라생명에도영향을가할수있으므로 IoT와관련된보안에보다적극적인대응이필요함 < IoT 관련보안위협사례 > 발생일 2014.1. 2014.3. 2014.3. 2014.6 2014.8 2014.9 2015.8. 2016.8. 2016.9. 2016.10. 설명미국보안업체 Proofpoint는스마트TV와냉장고, 홈네트워크라우터를해킹하여 좀비가전 을만든뒤악성이메일을 75만건발송한사이버공격사례를공개이혼한남편이와이파이에연결된가정용보일러의온도를조절할수있는앱을삭제하지않고금전적손실을발생시킬목적으로수시로온도를조절보안컨설팅업체인 Team Cymru 는해커들이 D-Link, Tenda, Micronet, TP-Link 등이제조한약 30만개의공유기를해킹했다고경고유로폴 (Europol) 은올해또는수년안에자동차, 의료기기, 웨어러블기기등 IoT기기를해킹한온라인납치와살인등사이버범죄발생을우려하며, 정부에대책방안을요구블랙햇을통해 KNX 프로토콜기반의취약성으로인해아이패드 2만으로중국의한호텔의방온도, TV 온오프, 블라인드, 문밖표시등에이르기까지원격제어시연 ISEC 2014 컨퍼런스에서로봇청소기원격조종을위해필요한앱의인증방식취약점과로봇청소기에연결되는 AP의보안설정상의취약점등을악용해로봇청소기에탑재된카메라로실시간모니터링시연블랙햇에서주행중인지프체로키차량의전화선을이용한원격조작으로액셀레이터, 브레이크기능을무력화하는실증을선보였으며, 이영향으로피아트 클라이슬러 오토모빌스 (FCA) 는 140만대의차량을리콜실시블랙햇을통해차량의임의조작, IoT 조명시스템조작등의시연을선보임 - 차량정보를취득하는 OBD2 커넥터를통해액셀레이터와블레이크기능을비활성화하거나임의조작이가능함을증명 - 스마트 IoT 조명시스템을드론으로원격해킹하여빌딩근처의전기를전멸시키는시연을보임텐센트산하 킨보안연구소 연구진이테슬라의전기자동차를해킹해달리는차량을원격으로급브레이크를걸고, 사이드미러, 트렁크, 좌석, 방향지시등을원격제어기능을시연 `16.2.12. ~ 6.15일까지불특정다수의공유기를해킹해스마트폰을허위포털사이트로접속하도록유도하여악성앱을유포한후스마트폰 1만 3,501대로부터포털계정을부정생성 참조 : 사물인터넷개요및보안동향조사, 금융보안원, 2016.5. IoT 현황및주요이슈, 정보통신기술진흥센터, 2014.12. - 5 -
국내외정책동향 ( 국내 ) 2009년 IoT 분야의국가경쟁력강화및서비스촉진을위한기본계획을수립하고신사업육성방안을통해경쟁력을강화하였으며, 최근정보보호에초점을맞춘정책수립 발표 최근발표된 IoT 공통보안가이드라인 ( 미래창조과학부 ) 은 IoT 보안얼라이언스 4) 및산 학 연전문가가참여하여민간주도로개발되었으며, 공통보안 7대원칙을구체화 상세화한 15대요구사항을제시함 [ 별표 ] IoT 공통보안가이드 15대요구사항 참조 < 국내주요정책동향 > 주관기관 발표일 세부내용 2009.10. 사물지능통신기반구축기본계획 방송통신 위원회 2010.05. 10 대방송통신미래서비스 중 IoT 포함 2011.10. 7 대스마트신산업육성전략 중 IoT 포함 2013.06. 인터넷신사업육성방안 중 IoT 포함 2014.05. 2014 년정보통신및방송기술진흥시행계획 중 IoT 포함 미래창조 과학부 2015.06. 사물인터넷 (IoT) 정보보호로드맵수립 - IoT 공통보안 7 대원칙발표 (IoT 공통보안원칙 v1.0) 2015.12. K-ICT 사물인터넷확산전략수립 ` 2016.09. IoT 공통보안가이드라인 발표 자료 : 기관보도자료참고 ( 해외 ) 미국, 유럽, 중국, 일본등주요국가에서도 IoT 육성정책을세웠으며, 최근에는보안위협으로부터발생될수있는문제를해결하기위한사이버보안강화정책추진중임 4) 국내외사물인터넷제조 서비스업체및보안업체를포함한산업계와학계, 공공기관등약 50 여기관이공동으로참여하는국내최초 최대의 민간자율의 IoT 보안협의체 로 2015 년 6 월에발족됨 - 6 -
< 해외국가별주요보안정책동향 > 국가미국유럽중국일본 주요내용 IoT를중심축에둔보안정책이나법제도가아직정립되지않았으나, 특정분야에대한사이버보안강화정책은지속적으로추진중 백악관은주요기반시설을겨냥한사이버공격에대응하기위해대통령행정명령을발동하고, 미국 NIST( 국립표준기술연구소 ) 의주도하에사이버보안프레임워크를수립 (`13.2.) EC( 유럽위원회 ) 는 IoT가확산됨에따라보안위협이나사생활침해등의부작용이발생할수있음을인지하고, 지속적인공공-민간의견수렴을통해필요한제도적기반을준비중 유럽 IoT 연구단 (European Research Cluster on the Internet of Things) 에서는 IoT와관련된전반적인기술연구가이뤄지고있으며, 이중에는 IoT 보안관련연구과제도포함 `11년 12월중국 MMIT( 공업정보화부 ) 는 IoT 정책을구체화한 사물인터넷 12차 5개년계획을공개하고, 원천기술혁신, 산업생태계육성, 기술응용수준제고등의목표를설정함 또한, 사물인터넷발전 10개전문행동계획을수립하고핵심보안기술개발및보안테스트평가플랫폼구축을추진하는등자국의보안역량강화를모색중임 IoT 기술을활용하는데있어기업들이보안및사생활침해등의문제로인해소극적인대응을방지하고자가이드라인제시예정 일본정부는표준화, 기술개발, 실증실험을적극독려하고있으며, 사물인터넷추진컨소시엄을주축으로전방위적지원가속화 자료 : 배상태, 김진경, 사물인터넷발전과보안의패러다임변화, KISTEP, 2016.7. 재구성 원출처 (KISA, IITP) 표준화추진동향 다양한사물들과의연계, 정보통합등을위해서는상호호환성문제해결이필요하므로기술표준화요구가증대됨에따라공적표준화기구, 사실표준화기구, 표준협의체등을통해기술표준화추진중이며, 최근보안대책필요성이지속적으로제기됨에따라 IoT 보안기술개발이진행되고있음 - 7 -
(ITU-T) IoT 관련부분암호화기법, 보안가이드라인등신규표준화과제로채택하여개발중이며, 전다스터디그룹 (SG20) 을통해디바이스식별, 위조방지등의 IoT 보안표준개발진행 (ISO/IEC) IoT 및 ITS 보안에활용할수있는경량화된암호기술에대한표준을개발하였으며, 현재추가표준개발진행 < IoT 관련표준화현황 > 구분 표준화기구 / 단체 주요내용 공적표준화기구사실표준화기구 ITU-T ISO/IEC JTC1 onem2m IEEE IETF ETSI 3GPP W3C ITU-T SG13( 네트워크 ), SG17( 보안 ), SG20(IoT 및응용 ) 등 IoT 서비스 네트워크 통신 보안분야표준논의 JTC1/SC31( 자동식별 ), SC6( 정보통신 ), WG7( 센서네트워크 ), WG10(IoT) 등센서네트워크 IoT 개념 시장요구사항, IoT 표준화갭분석등 IoT/M2M 공통서비스지원계층관련사실상의표준화기구로서, 구조 요구사항 프로토콜 보안 시멘틱기술등의표준개발 - 2015년 1월 onem2m 규격 Release 1.1 공표, 2016년하반기 Release 2 공표예정무선 LAN/PAN 기술관련사실상의표준화기구로서, 스마트미터링, 옥외저전력근거리 중장거리통신등의표준개발인터넷프로토콜관련사실상의표준화기구로서, 저전력유무선네트워크를위한적응계층및 CoAP 등의표준개발상호운용성이확보되지않는이슈를중심으로 IoT 참조구조, 상호운용성, 스마트시티관련표준화에초점을맞추고있으며, EU의사물인터넷관련연합체인 AIOTI의표준그룹을이끌며표준기반의대규모실증단지프로젝트표준주도물리계층부터전송계층까지셀룰러통신표준화에초점을맞추고있으며, IoT/M2M 기기의동시기지국접속시부하관리, 망운영구조, 저전력셀룰러통신등표준개발주도 Web-of-Things 라는신규관심그룹을만들어관련기술연구에들어갔으며, 특히시멘틱을이용한데이터및사물에대한표준주도 표준 협의체 OCF 다양한산업분야를연결하는범용 IoT 연결프레임워크를제공할수있도록디바이스및리소스연동표준과오픈소스를동시에개발중인컨소시엄 (2014.9, 창립 ) Qualcomm, Microsoft 등을비롯하여 silicon, SW, platform 제조사들참여, IoT 표준의통합과 IoT 솔루션간의상호운용성제공에중점 - 8 -
구분표준화기구 / 단체주요내용 AllSeen Alliance Thread Group AllJoyn 오픈소스를통해기기의연결과상호작업을촉진하기위한목적으로설립 (2013.12.), 현재 200여개의회원사를가지고 AllJoyn platform을이용하여신규 IoT 응용서비스실시 출시된상용제품간의상호운용성과적합성을보증하기위한 AllJoyn Certification 프로그램을만들어제품인증시작 (2015.10.), 현재약 24개사의제품인증완료스마트홈을위한 IP 기반무선통신망프로토콜, 스레드 (Threat) 개발로상호호환가능한 IoT 구현을위해설립 자료 : 박병주, 사물인터넷 (IoT) 산업동향과발전전망, 주간기술동향 1759 호, 14p~23p, 정보 통신기술진흥센터 (IITP) 시사점 IoT는서로다른하드웨어, 운영체제등으로구성됨에따라보안솔루션개발및적용이쉽지않아이기종간상호인증의문제를내포할뿐만아니라기존환경에서의보안위협 * 을함께내포하고있음 * 중간자공격, 무작위대입법, 데이터위 변조등 IoT의상호호환문제해결을위해다양한기술표준화가진행되고있으며, 기술적인지원을위해오픈소스기반프로젝트 * 가다수수행되고있으므로관련동향에대해예의주시필요 * AllSeen Alliance, Thread Group 등 이러한보안위협은초연결사회 (Hyper-Connected Society) 로나아가기위한산업발전의저해요소로작용될수있으므로표준규격및관련보안기술 ( 경량암호화등 ) 개발 적용등의노력이필요함 - 9 -
별표 IoT 공통보안가이드 15 대요구사항 [ 보안원칙 1] 정보보호 프라이버시강화를고려한 IoT 제품 서비스설계 1. IoT 장치의특성을고려하여보안기능의경량화구현 2. IoT 서비스운영환경에적합한접근권한관리및인증, 종단간통신보안, 데이터암호등의방안제공 3. 소프트웨어보안기술과하드웨어보안기술의적용검토및안전성이검증된보안기술활용 4. IoT 장치및서비스에서수집하는민감정보 ( 개인정보등 ) 보호를위해암호화, 비식별화, 접근관리등의방안제공 5. IoT 서비스제공자는수집하는민감정보의이용목적및기간등을포함한운영정책가시화및사용자에투명성보장 [ 보안원칙 2] 안전한소프트웨어및하드웨어개발기술적용및검증 6. 소스코드구현단계부터내재될수있는보안취약점을사전에예방하기위해시큐어코딩적용 7. IoT 제품 서비스개발에사용된다양한 S/W에대해보안취약점점검수행및보안패치방안구현 8. 펌웨어 / 코드암호화, 실행코드영역제어, 역공학방지기법등다양한하드웨어보안기법적용 [ 보안원칙 3] 안전한초기보안설정방안제공 9. IoT 장치및서비스 ( 재 ) 설치시보안프로토콜에기본으로설정되는파라미터값이가장안전한설정이될수있도록 Secure by Default 기본원칙준수 [ 보안원칙 4] 보안프로토콜준수및안전한파라미터 ( 매개변수 ) 설정 10. 안전성을보장하는보안프로토콜적용및보안서비스제공시안전한파라미터설정 [ 보안원칙 5] IoT 제품 서비스의취약점보안패치및업데이트지속이행 11. IoT 장치 서비스의보안취약점발견시, 이에대한분석수행및보안패치배포등의사후조치방안마련 12. IoT 장치 서비스에대한보안취약점및보호조치사항은홈페이지, SNS 등을통해사용자에게공개 [ 보안원칙 6] 안전한운영 관리를위한정보보호프라이버시관리체계마련 13. 최소한의개인정보만수집 활용될수있도록개인정보보호정책수립및특정개인식별정보의생성 유통을통제할수있는기술적 관리적보호조치포함 [ 보안원칙 7] 사물인터넷침해사고대응체계및책임추적성확보방안마련 14. 다양한유형의 IoT 장치, 유 무선네트워크, 플랫폼등다양한계층에서발생가능한보안침해사고에대비하여침입탐지및모니터링수행 15. 침해사고발생후원인분석및책임추적성확보를위해로그기록의주기적저장 관리 자료 : 미래창조과학부, 안전한융합산업성장을위한 IoT 공통보안가이드 발표, 2016.9.26. - 10 -