4차 산업 혁명의 시대에 사는 우리는 자신도 모르게 PC 및 모바일 환경에서 보안 솔루션을 사용하고 있습니다. Windows 설치 시 기본으로 제공하는 Defender는 AV (Anti-Virus)및 랜섬웨어 차단 기능을 제공하며 스마트폰의 경우 제조사나 통신사에서 기본 백신 프로그램을 제공합니다. 즉, 오늘을 사는 우리들은 알게 모르게 보안 서비스를 받고 있는 것입니다.
일반적인 IT 환경에서 기본 보안 서비스를 받고 있는데 비해 산업 제어시 스템(ICS)나 스마트 홈, IoT 분야에 있어서는 아직 보안에 대한 인식 뿐 아니라 제공되는 보안 서비스 또한 부족한 것을 확인 할 수가 있습니다.
그렇다면, IoT 보안을 위해서 우리는 무엇을 준비해야 할까요?
IoT(Internet of Things; 사물 인터넷)는 글자 그대로 사물에 대한 인터넷 연결을 의미하며, 모든 사물에 대한 초연결을 지향합니다. 즉, 모든 사물에 대한 연결을 인터넷으로 제어하고 모니터링 할 수가 있습니다. 이때, 통신 연결은 Private이 아닌 Public 인터넷을 통해서 제어하고 모니터링하는데 여기서 보안이라는 문제가 발생하게 됩니다. 기존 사물들은 내부 프로토콜을 사용하거나 제한적인 환경에서 통신을 했지만, 최근 사물들은 스마트폰의 앱이나 AI기기를 통해 장소에 구애받지 않습니다. 보안에서 회자되는 말이 있습니다. "업무가 불편할수록 보안은 강화된다". 따라서, IoT보안을 고려하기 위한 기준은 사물의 초연결의 편리성과 보안을 균형있게 고려해야 한다는 것입니다.
사물에 대한 보안을 강화하기 위해 다음과 같은 3가지 사항을 고려해 볼 수 있습니다.
1. 암호화 통신
첫 번째는 사물들간의 통신을 해킹해서 정보를 가로채거나 변경을 방지하기 위해서는 사물과 서버간 암호화 통신을 제공해야 합니다. 대표적인 암호화 통신 규약으로 전송 계층 보안(Transport Layer Security,TLS)가 있습니다. 현재 V1.3까지 나온 상태이며, 최근의 센서나 사물들은 기본적으로 TLS 통신을 제공하지만, 예전에 만들어지 사물들의 경우 암호화를 제공하지 않는 경우가 있는데, 이에 대해서는 사물과 서버간에 VPN을 통한 암호화 통신이 지원이 되어야 합니다.
2. 취약점 관리
두 번째는 H/W나 앱에 대한 취약점 문제입니다. 하드웨어의 경우 OS에 대한 문제로 인해서 취약점을 가지고 있는 경우가 있습니다. 이에 대해서 패치나 권한 제한을 통해서 커널 접속을 원천적으로 금지해야 합니다. 앱에 대한 문제는 개발 시 취약점 여부를 확인해서 개발 단계에서 앱에 대한 무결성을 확인 해야합니다. 실제 두 번째 내용은 사물을 제조하는 제조사에서 수행해야 할 작업입니다. 만약 제조사에서 이에 대한 패치나 업데이트가 불가능하다면, 센서나 사물의 게이트웨이 단에 F/W, IPS, AV 솔루션을 통해서 유해 트래픽에 대한 제어와 탐지 및 차단이 필요합니다. 추후 게이트웨이 단에는 사물 통신에 최적화된 AI를 연동하여 알려지지 않은 공격에 대해서 탐지 및 차단이 가능 할 것입니다.
3. 휴먼 에러 최소화
세 번째는 휴먼 에러라고 하는 사용자 부주의 대한 내용입니다. 사물에 대한 관리자나 사용자들은 패스워드나 암호화 키 등 중요 정보에 대한 관리에 최선을 다해야 합니다. 사물이나 센서의 경우 Default 패스워드나 패스워드가 없는 경우가 있습니다. 최근의 미라이 봇넷을 통한 DDoS 공격에서 보듯이 사물들의 접근 권한을 탈취하여 공격을 시도하는 경우가 빈번해지고 있습니다. 이에 대한 대응으로 사물에 대한 접근 시 OTP를 도입하고나 패스워드에 대한 보안을 강화할 필요가 있습니다. 아무리 보안 솔루션을 도입하고 보안을 강화하더라도 사용자가 보안에 대한 인식이 없으면, 보안은 사상누각이 될 뿐입니다. 보안에는 99%라는 것이 없습니다. 1과 0만이 존재하며 막았느냐, 뚫렸느냐만 있을 뿐입니다.
IoT 보안을 위해 암호화, 취약점, 휴먼 에러에 대한 고려가 필요합니다. 네트워크 구간의 암호화, 디바이스 단의 취약점, 사용자 단의 패스워드 등 계층별 필요한 보안에 대해서 적용할 필요가 있습니다.
앞의 3가지를 준비한다면 다양한 사물들이 인터넷과 연결되는 초연결, 초융합의 시대에 우리는 먼저 IoT 보안대해서 능동적으로 대응할 수 있을 것입니다.
