최신 ICT 이슈 최신 ICT 이슈 IoT 보안 이슈와 시사점 * 1. 더욱 커져가는 IoT 보안 위협 IoT 시대 도래와 함께 더욱 커져가는 보안 우려 IoT(Internet of Things; 사물인터넷) 시대에는 대부분의 기기에 정보 획득 및 네트워 크 연결 기능이 탑재되고, 이를 바탕으로 스마트홈, 스마트가전, 스마트카, 스마트그리 드, 헬스케어, 웨어러블 등 다양한 분야에서 신제품과 서비스가 출현할 것으로 기대 Gartner 는 IoT 에 연결되는 접속기기 수가 2014 년 37.5 억 대에서 2015 년 30% 증 가한 49 억 대에 이르고, 2020 년에는 250 억 대를 넘어설 것으로 전망 - IDC 는 2013 년 91 억 대에 이른 IoT 기기 수가 이후 17.5%의 연평균성장률을 보 여 2020 년에는 281 억 대가 될 것으로 예측 우리나라를 포함한 세계 각국은 IoT 를 미래 성장동력으로 인식하고, 기술개발 및 산업 활성화를 위한 각종 지원 정책을 추진하고 있으며, 글로벌 기업을 중심으로 스타트업에 이르기까지 IoT 시장 선점을 위한 치열한 노력을 경주 그러나 IoT 관련 산업에 대한 장밋빛 성장 예측에도 불구하고, IoT 보안 위협 사례가 갈수록 증가하고 있어 IoT 기기 및 서비스 자체에 대한 신뢰성 저하로 관련 시장의 성 장 자체에 큰 위협이 될 것으로 우려 - 거의 모든 사물의 인터넷 연결에는 엄청난 정보의 생성, 수집, 유통, 관리 및 활용의 단계가 필연적으로 따르고, 이 과정에서 취약한 보안시스템은 공공안전 위협과 프라 이버시 침해라는 두 가지 위험에 직면 - HP 의 자료에 의하면, IoT 기기의 70%가 패스워드 보안, 승인, 암호화 측면에서 취 약점을 갖고 있으며, Cisco 의 보안 전문가는 IOT 적용 분야가 너무 방대해서 시나 리오별로 보안 분석을 수행하기도 어려운 지경이라고 진단 - 최근 국내 인터넷전문가협회가 인터넷 분야 전문가를 대상으로 한 설문 조사에 따르 * 본 내용과 관련된 사항은 산업분석팀( 042-612-8212, jaylee@iitp.kr)으로 문의하시기 바랍니다. ** 본 내용은 필자의 주관적인 의견이며 IITP 의 공식적인 입장이 아님을 밝힙니다. 정보통신기술진흥센터 33
주간기술동향 2015. 8. 26. 면, IoT 상용화를 위해 가장 필요한 조건으로 철저한 보안 이 꼽혔으며, IoT 보급의 가장 큰 우려는 해킹 위험 으로 조사 - 지금까지는 해킹 등으로 인해 보안 위협이 개인정보 유출, 금전상 손해 정도로 그치 는 경우가 많았으나, IoT 환경에서의 보안 사고는 사회적 재해나 인명 사고로 이어 진다는 데 문제의 심각성이 있음 2. IoT 보안 이슈 IoT 가 초래하는 보안 및 개인 프라이버시 침해 위협에 주목 IoT 시대에는 개인정보 유통에 인한 프라이버시 침해는 물론 자동차, 의료, 공공기반 등 많은 분야에서의 취약한 보안이 생명을 위협할 가능성이 제기되는 등 수많은 다양 한 데이터의 이동에 따른 보안과 관련한 문제해결이 초미의 관심사 - 해킹 대상이 전 생활과 산업 영역으로 넓어져 제조공장, 전력망, 자동차, 의료기기, 가정에 이르기까지 광범위한 영역이 악의적인 해커들의 목표물이 될 가능성이 증대 - 구체적으로는 개인의 의료 기록이 해커에 의해 외부에 유출되어 악용되는 상황에서 부터 통신과 전력이 완전히 다운되거나 교통신호등이 통제 기능을 잃어 교통사고 유 발 및 교통마비로 이어지는 상황 등이 예상 IoT 보안 영역 확대로 완벽한 보안이 더욱 곤란 IoT 환경에서는 기기 등의 연결 방식, 네트워크, 객체의 속성에 이르기까지 다양한 환 경 조건들이 존재 - 인터넷과 같은 공용네트워크, 사설네트워크, RFID 기반의 센서네트워크, 3G/4G LTE 등 다양한 네트워크가 사용 - IoT 기기는 경량ㆍ소형화, 저전력화, 가격 제약 등의 요인에 따라 CPU, 메모리 등 성능 제한이 크고, 소프트웨어 업데이트 및 관리가 곤란하고, 제한적 연산능력 등으 로 기존 보안 기술의 적용이 곤란 - 개인정보는 허가 받지 않은 공격자의 단말 조작이나 단말에서의 HW ㆍ SW 처리 시, 데이터의 전송 과정, 혹은 저장장치에서 데이터 처리 등 어느 단계에서도 누출될 가 능성이 존재 34 www.iitp.kr
최신 ICT 이슈 따라서, IoT 기기와 그 안에 내재된 임베디드 소프트웨어 및 데이터, 데이터 집합 플랫 폼, 데이터 센터, 통신 채널 등 기존 인터넷 시대에 비해 보안에 취약한 공격 대상이 확 대되어 있어, 이 모든 대상을 보호하는 것은 큰 도전임 (IoT 보안을 위협하는 대표적 공격 행위) 서버와 단말에 대한 불법 액세스를 통한 가 용성 침해, 정보의 조작 및 탈취를 통한 기밀성ㆍ무결성 공격 및 프라이버시 침해 등이 대표적 공격 행위임 - 구체적으로는 단말, 네트워크, 애플리케이션에 대한 데이터 위변조, 프라이버시 침해, 비인가된 접근, 정보유출, 서비스 거부 등의 공격 형태를 취함 - Capgemini Consulting 의 IoT 보안 위협 공격 유형에 대한 설문조사에 따르면, 패스 워드 공격이 가장 많은 응답을 받았으며, ID 스푸핑 공격, 데이터 변경 공격 등이 뒤 를 잇고 있음 - 그러나 기업의 48%만이 IoT 제품 개발 단계부터 보안에 집중하고 있으며, 기업의 49%만이 IoT 제품에 원격 업데이트 기능을 제공하고 있는 것으로 나타남 (더욱 어려워지는 네트워크 보안) 기업망 및 공중망에 새로운 기기, 전송 프로토콜 및 네트워크 트래픽이 추가되어 네트워크 보안은 더욱 복잡하고 어려운 문제로 대두 - 보안 전문가의 79%가 네트워크 보안이 과거 2 년 전보다 훨씬 어려워지고 있거나 더 어려워지고 있다고 지적 (IOT 보안 핵심과제) IoT 제품을 보호하기 위한 핵심 도전과제로 종단 기기에 대한 액 세스 보안이 가장 많이 지목 - Capgemini Consulting 설문조사에 따르면, 종단 기기에 대한 액세스 보안, 통신채널 보안, 원격 종단기기 업데이트 보안 등이 IoT 제품 보호를 위한 핵심과제로 지목 (IoT 보안이 제품 구매에 미치는 영향) IoT 보안에 대한 우려가 IoT 제품 구매에 큰 영향을 미칠 것으로 우려 - IoT 보안에 대한 우려가 IoT 제품 구매에 영향을 미칠 것이라고 응답한 비율이 전 체적으로 71%에 이른 것으로 나타났음 - 특히, 산업제조 및 스마트미터링 부문의 제품 구매에 대한 우려가 타 부문에 비해 큰 것으로 나타났으며, 이는 두 분야가 타 분야에 비해 IoT 도입이 먼저 이루어졌다 는 점에서 주목 정보통신기술진흥센터 35
주간기술동향 2015. 8. 26. 3. 주요국의 IoT 보안 추진 및 우리의 대응 주요국의 IoT 보안 및 정보보호 추진 동향 미국, EU 등 주요국은 IoT 를 둘러싼 산업 진흥과 이용자 보호를 함께 고려하는 제도 적 지원을 검토 - 미국은 2013 년 트렌드넷의 CCTV 보안 결함 사건을 계기로 관련 지침 마련을 위한 공공ㆍ민간 전문가 의견 수렴에 나서는 등 IoT 보안정책 수립의 초기 단계에 진입 - 유럽에서는 기본적으로 권고사항 및 가이드라인 형태의 IoT 보안 지침을 통해 시장 의 자율규제를 촉구하는 기조를 보이며, IoT 보안기술 개발 및 인증, 표준화 작업에 초점 - 중국은 IoT 를 미래핵심 산업으로 육성시키기 위해 IoT 핵심 원천기술 확보의 일환 으로 IoT 보안 강화를 도모 한편, 주요국은 IoT 를 둘러싼 정보보호 이슈를 다양한 측면에서 검토 - EU 는 2014 년 9 월 EU 의 정보보호법을 IoT 에 어떻게 적용시킬 것인지에 대한 의 견서를 공표 - 미국에서는 2014 년 11 월 FTC(Federal Trade Commission)가 사물인터넷 관련 워 크숍을 개최하여 IoT 정보보호 문제를 논의하였고, FTC 의 Julie Bril 위원은 IoT 를 제공하는 단말기 또는 서비스 사업자의 보다 철저한 개인정보보호대책 강구를 지적 우리의 대응 방안 IoT 시대에는 보안과 프라이버시 보호 측면에서 과거 및 현재와는 다른 접근 방법이 요구됨 - 모바일ㆍ인터넷 시대에서는 모바일기기, PC 등으로 한정된 보호대상이 IoT 시대에 는 웨어러블, 가전, 자동차, 의료기기 등 IoT 에 연결되는 모든 사물로 확대되고, 이 는 기존 고전력ㆍ고성능의 보호대상이 향후에는 기존 보호대상을 포함하여 초경량 ㆍ저전력ㆍ저성능의 사물로 대폭 확대됨을 의미 - 보안 주체도 과거에는 ISP, 보안업체, 이용자에 국한되었으나 IoT 시대에는 이들 보 안 주체 외에도 제조업체까지 확대되고, 보호 방법에 있어서도 기존 별도의 보안장 비에 의한 SW 구현 및 연동에서 IoT 기기의 자체 보안기능 확보 및 설계 단계부터 36 www.iitp.kr
최신 ICT 이슈 의 보안 내재화 등이 요구 - 한편, 새로운 기기 및 서비스의 출현에 대응하여 나타날 새로운 보안기술과 기존 사 이버 보안기술의 적절한 조화를 통해 보안 방식 간의 혼돈을 최소화하면서 효율적으 로 IoT 보안 능력을 향상시킬 방안을 모색할 필요 이에 따라 센서ㆍ기기, 통신ㆍ네트워크, 플랫폼, 응용 서비스로 세분화하여 각각의 보 안대책은 물론 전체적인 관점에서 대응할 필요 - IoT 기기/서비스 설계 단계 시 보안기법의 적용과 접속 및 전송 시에 인증 및 암호 화 기술을 적용하고, 원격기기에 대한 업데이트를 지속적으로 이행하며, 개인정보 보 호를 위한 적극적인 조치를 취하는 것은 IoT 보안을 위한 최소한의 요구사항임 - 아울러 새로운 보안위협 시에 신속한 탐지와 분석을 통해 사전에 회피 및 방지할 수 있는 종합적인 대응체계를 마련할 필요도 있음 우리정부는 경쟁국에 한 발 앞서 IoT 보안을 주도하기 위한 각종 정책을 수립ㆍ발표하 는 등 적극적 의지를 보이고 있어 보안 산업에 긍정적인 기류가 조성 - 정부는 6 월 사물인터넷 산업 육성지원 의 일환으로 사물인터넷 정보보호 로드맵 3 개년(2015-2017) 시행계획수립에 이어, 최근 사물인터넷 공통 보안 7 대 원칙 을 발표 그러나 정부의 적극적 의지에 따른 보안 업계의 기대감에도 불구하고, 보안 관련 글로 벌 업체의 부재, 원천기술 확보 미흡, 기술개발 인력 및 투자재원의 부족 등으로 IoT 보안 산업 주도는 쉽지 않은 것이 현실이며, 이를 극복하기 위한 관련 정책의 철저한 실행과 산ㆍ한ㆍ연의 적극적 참여가 절실히 요구 4. 맺음말 IoT 에 대한 보안은 과거와는 다른 새로운 관점에서 접근이 요구 IoT 보안에 대한 우려는 IoT 산업 성장 자체에 큰 영향을 미칠 수 있는 요인으로 완벽 한 보안이 반드시 실현될 필요가 있음 더욱이 IoT 환경은 기존 PC, 모바일기기 중심의 사이버 환경과 달리 그 보호대상 범 위, 대상 특성, 보안담당 주체, 보호방법 등에 있어 새로운 시각으로 접근해야 할 것임 따라서 센서ㆍ기기, 통신ㆍ네트워크, 플랫폼, 응용 서비스로 구분하여 각각의 보안대책 정보통신기술진흥센터 37
주간기술동향 2015. 8. 26. 은 물론 전체적인 관점에서 대응하는 한편, 프라이버시 보호를 위해서는 정보의 센싱, 가공ㆍ처리ㆍ저장ㆍ활용 단계별로 프라이버시 보호 기능을 제공할 필요 이와 함께 새로운 보안 취약점이나 악성코드 발생 시에 이에 대한 신속한 탐지와 분석 을 통해 대응체계를 마련할 수 있도록 업체 간 경쟁보다는 정보공유를 통한 협력체계 를 구성하는 등 침해대응 체계도 전면 개선해야 함 IoT 보안 시장에서 경쟁력을 확보할 수 있는 환경 조성이 필요 IoT 보안은 IoT 산업의 성장에 큰 영향을 미칠 주요한 요인임과 동시에 보안 시장 자 체로도 성장성이 높은 유망한 산업 분야로 부각 최근 정부는 IoT 보안의 중요성을 인식하여 사물인터넷 정보보호 로드맵 3 개년 (2015-2017) 시행계획을 수립하고, 사물인터넷 공통 보안 7 대 원칙 을 발표하는 등 IoT 보안 산업의 신속한 발전을 위한 환경 조성에 적극 나선 것은 시의 적절한 조치로 평가 그러나 국내 보안업체는 원천기술 부족으로 혁신적 제품보다는 기존 제품의 개선 수준 에 머물러 있어, IoT 보안 기술 및 산업 주도는 쉽지 않은 상황에 놓여 있으며, 결국은 국내 IoT 보안 시장조차도 삼성전자 등 대형 IoT 제품 제조업체, SK 텔레콤 등 대형 이동통신사, Cisco 등 글로벌 보안업체를 중심으로 치열한 주도권 경쟁이 이루어질 것 으로 전문가들은 예상 어려운 상황 속에서 국내 보안 중소기업 및 스타트업의 성장을 위해 기술개발 등에 대 한 정부의 적극 지원과 함께 IoT 제품 혹은 통신망을 보유하고 있는 국내 대기업, 통신 업체들과의 상생 환경 조성에도 적극 나서야 할 것임 한편, 정부가 IoT 보안위협에 대응하기 위한 인력 수요를 분석한 결과, 관련 인력이 크 게 부족한 것으로 나타났으며, 특히 제품개발 및 기술지원 부문 인력이 가장 부족하며, 기존 보안 인력의 타 산업 이탈률이 높다는 것도 큰 문제점으로 지적되고 있어 보안 인 력의 안정적 수급을 위한 대책도 필요 38 www.iitp.kr