[IoT] 사물인터넷의 보안 문제에 대해서 알아보자 (Security problem of Internet of Things)

---

 IT is True 블로그에 들어와 주셔서 감사합니다.

---

사물인터넷의 문제점

사물인터넷의 기술은 클라우드 컴퓨팅 서비스 및 빅 데이터와 함께 IT분야에 기술 이슈가 되고 있는 기술 중 하나로, 4차 산업혁명의 핵심입니다. 현재 다양한 산업분야에서 응용 및 활성화되고 있는데요. 이러한 새로운 시대를 열어주는 기술들에는 언제나 문제점이 따르기 마련입니다. 특히 사물인터넷의 특성상 여러 사물들을 인터넷에 연결하는 것에 많은 전문가들은 보안 문제에 취약하다고 합니다. 이에 따른 보안 위협들에 대응 방안이 강구되어야 할 텐데요 지금부터 보안 문제에 위협이 되는 것들을 분석하여 대응 방안에 대하여 알아보도록 하겠습니다.

 

사물인터넷의 피해는?

2014년 사물인터넷의 보안 피해 금액 [출처 : 산업연구원]

사물인터넷은 소형화와 신속성, 저전력 등 환경요인의 제약으로 무선 전송매체의 비중이 매우 높습니다. 이러한 무선 전송매체의 사용은 기존 무선 네트워크의 취약성을 가지고 있어 그만큼 위험성이 높은데요. 최근의 자료는 찾지 못했지만 불과 2014년에만 해도 피해규모는 상당히 컸습니다. 당시 편의성과 이동성, 실시간성의 장점을 가진 스마트폰의 보안 피해만 약 16조 원에 달하는데요. 무선 전송매체 및 운영체제, 서비스 환경 등에 따른 피해액이라고 합니다. 이중 무선통신 단말기로 인한 피해가 34%, 전기 및 전자기기로 인한 피해가 32%로 가장 큰 비중을 차지하고 있으며 그 외 다른 분야에도 상당한 보안 피해가 발생하고 있었습니다. 또한 보안과 무관하다고 여겨졌던 자동차 분야에도 피해액이 약 24조 원에 이르고 있었습니다. 현재 사물인터넷은 우리 삶에 깊숙이 파고들어 있어 산업의 전반으로 피해가 확산되고 있을 텐데요. 이러한 사물인터넷의 위협 요인에는 무엇이 있을까요?

 

사물인터넷의 위협 요인

(1) 데이터 가로채기(Data intercept)

무선 전송 매체를 사용하는 사물인터넷은 많은 기기들로부터 적은 용량의 데이터를 수집 및 전송하며, 시간적 또는 공간적 제한은 받지 않습니다. 그렇기 때문에 다수의 사물들을 연결하는 데 사용하고 있죠. 이러한 문제로 데이터 가로채기 공격에 취약하여 위협 요인이 되고 있습니다. 이에 대한 대응 기술로 무선 인증과 데이터 암호, 보안 채널, 터널링 등이 있지만 사물인터넷 기기의 수가 증가할 경우, 성능 및 관리상의 문제들이 발생하는 단점이 있기 때문에 구축 환경 및 문제점을 고려한 대응 방안이 마련되어야 합니다.

 

(2) 방해 및 위조, 변조(Interrupt and forgery, modulation)

방해 공격은 유선, 무선의 경계 없이 시도되고 있습니다. 이에 따른 피해도 지속적으로 증가하고 있는데요. 대표적으로는 '서비스 거부 공격'이 있습니다. 이러한 공격을 컴퓨터나 스마트폰뿐만 아니라 사물인터넷과 관련된 웨어러블 디바이스, 가전제품, 자동차 등에도 일어날 수 있기 때문에 더욱 위험하다고 볼 수 있습니다. 위조와 변조는 사용자를 위장한 공격 등을 포함하며, 복합 형태로 공격이 이루어집니다. 이에 대한 사례로 원격지에서 인가된 사용자를 위장해 자동차의 제어장치를 조작하거나 정상적인 기기를 가장해 공격하는 등 인간의 생명까지 위협하고 있습니다. 이 외 본인 인증 또는 데이터 전송에 대한 위조, 변조 공격을 통해 2차적인 피해를 입어 막대한 경제적 손실을 위협하는 요인이 되고 있습니다.

 

(3) 바이러스 및 웜(Birus and worm)

사물인터넷은 궁극적으로 인터넷으로 연결되어 있어 바이러스 및 웜의 유입 가능성을 배제할 수 없습니다. 그러나 이와 같은 공격에 대응하기 위해서는 백신을 사용해야 하는데요. 만약 저용량, 저비용, 저전력, 신속성 등 극도의 효율을 요구하는 사물인터넷에는 백신을 사용할 경우 속도 저하 문제를 배제할 수 없습니다. 따라서 바이러스 및 웜은 사물인터넷 기기나 사물들을 관리할 시스템 등에 위협요인이 되고 있으며, 인터넷과의 연결이 될 경우 피해 확산이 매우 빠르게 진행될 수 있습니다. 따라서 극도의 효율성을 갖춘 사물인터넷 기기나 백신이 등장해야 이러한 문제를 해결할 수 있습니다.

 

3. 보안 대응

(1) 기밀성(Confidentiality)

기밀성은 가로채기 공격에 대한 대표적인 대응 기술로 암호화를 통해 비밀성을 보장합니다. 최근 커넥티드 자동차에 대한 원격 통제가 가능함을 증명한 실험으로 사물인터넷 기기간의 송신 및 수신 데이터에 대한 가로채기 공격의 가능성을 배제할 수 없습니다. 특히 사물인터넷의 대표적인 공격 대상으로 스마트폰과 스마트 홈을 꼽아 볼 수 있으며, 이들을 연결하는 네트워크의 경우, Zigbee나 WiFi, RFID, Bluetooth 등 무선 전송매체의 사용으로 위험성이 매우 높습니다. 따라서 각각의 무선 전송매체들은 보안성 제공을 위해 다음과 같은 보안 대응 기술을 적용하고 있습니다. Zigbee는 SSM(Standard Security Mode)과 HSM(High Security Mode) 2가지 모드를 제공함으로써 보안 대응을 하고 있으며, Open Trust Model 방식의 암호화를 제공하고 있습니다. WiFi는 TKIP(Temporal Key Integrity Protocol)과 CCMP(Counter mode with CBC-MAC Protocol) 등의 보안 프로토콜을 제공하고 있습니다. 그러나 무선 전송 매체에 대한 보안성 제공은 기기들의 종류와 유형, CPU, 메모리의 크기 및 소비전력, 전송 속도 등 여러 환경들을 제약하기 때문에 강제화할 수 있는 상황은 아니기 때문에 대응 방안을 고려해볼 필요가 있습니다.

 

(2) 무결성(Intergrity)

무결성은 데이터의 정보가 변경되거나 오염되지 않도록 하는 원칙으로 사물인터넷에 대한 오직 정보가 허가된 사람만이 접근할 수 있고 수정할 수 있도록 해야 합니다. 데스크톱, 노트북, 스마트폰뿐만 아니라 사물인터넷의 데이터 액세스의 제한, 엄격한 인증 절차 등 무결성을 보장하기 위해 취해지는 조치들을 취할 필요성이 절실합니다. 이를 유지하는 방법으로는 중앙 통제에 의한 데이터 갱신으로써 검증 프로그램을 이용하는 모든 갱신 처리 과정에 반드시 검증 단계를 거치도록 통제해야 하며, 검증 프로그램이 무결성 규정을 사용하여야 합니다. 무결성 규정에는 트리거 조건, 제약조건, 위반 조치 등을 잘 규정지어야 합니다.

 

(3) 가용성(Availability)

가용성은 사용이 요구될 때 한 소프트웨어가 지정된 시스템 기능을 수행할 수 있는 능력으로 총 운영 시간에 대한 시스템 가동 시간의 비율을 말합니다. 네트워크를 구성하는 요소가 일정 시간 동안 일정 조건에서 필요한 기능을 수행할 수 있는 확률로 나타내기도 하며, 네트워크 또는 서버가 해커의 공격을 받더라도 사용자에게 지속적으로 서비스를 제공할 수 있는 능력을 말하기도 합니다. 이를 실현하기 위해 관리 시스템의 경우 '서비스 거부 공격'과 같은 공격에 노출될 시 가용성 보장을 통한 대응이 필요하며, 기기들 간의 보안 채널과 같은 연결 유지 기능을 통해 불필요한 데이터의 유입이 방지되어야 합니다.

 

(4) 인증성과 접근 통제성(Authentication and access control)

사물인터넷 기기들에 대한 인증 문제는 매우 중요한데요. 현재 스마트 홈 서비스에 적용하여 사용되고 있는 기기 인증 및 사용자, 관리자에 대한 인증 정보의 유출 문제는 사물인터넷 기기들에만 국한된다고 볼 수 없습니다. 특히 인증 정보의 유출은 단순히 망 공격뿐만 아니라, 유출된 인증정보를 악용한 제3의 공격이 가능하며, 개인정보의 유출 및 경유지로 악용될 소지가 있기 때문입니다. 따라서 개인정보의 관리 및 취급, 사용에 대한 인식 개선과 교육과 관리 및 취급자에 대한 가이드라인의 마련이 필요하며, 접근자에 대한 식별 기술의 보완 및 개발을 통해 인가되지 않은 사용자 및 기기의 통제가 이뤄져야 합니다. 그러나 이와 같은 인증 및 접근 통제 기능을 사물에 탑재할 경우, 이에 따른 속도 저하 및 시스템 부하 문제에 대한 대응방안 또한 마련되어야 합니다.

 

지금까지 사물인터넷의 보안 문제점 및 위험성과 그에 대한 대응 방법에 대해서 알아보았는데요. 보안 문제는 절대 쉽게 생각하면 안됩니다. 긴 글 읽어주셔서 감사합니다.