IoT는 사람이나 다른 IT 기술의 개입 없이 사물간, 혹은 사물과 사람간 통신이 가능해야 하기 때문에 인증(Authentication)과 인가(Authorization)도 중요하다. 스마트그리드와 같이 사용한 만큼 비용을 지불하는 경우 과금(Accounting)에 관한 것도 중요하게 생각해야 한다.
인증·인가를 위한 인프라는 공개키기반인프라(PKI)가 가장 많이 사용된다. PKI는 공개키와 개인키로 이뤄진 비대칭적인 2쌍의 키를 통해 인증하는 방식으로, 우리나라 공인인증서에 사용된 것으로 잘 알려진다.
PKI는 인증이 필요한 거의 대부분의 분야에서 사용된다. 전자금융거래, 소프트웨어 코드사인, 액세스 컨트롤 등 많은 분야에서 사용되고 있으며, IoT에서도 사용된다. 대표적인 예로 삼성전자가 인수한 커넥티드카 시스템 하만이 엔트러스트의 ‘아이오트러스트 시큐리티 플랫폼(ioTrust Security Platform)’을 도입한 것을 들 수 있다. 하만은 대량의 디바이스에 보안 자격 증명서를 쉽게 관리할 수 있게 됐으며, 보안 위협이 발생했을 때 신원확인 매커니즘으로 다른 모듈 영향 없이 최종 디바이스를 쉽게 차단할 수 있었다.
엔트러스트는 PKI 전문기업이며, ‘아이오트러스트’는 IoT를 위한 인증 솔루션이다. X.509 및 ECC 인증서를 기반으로 하는 제조사 아이덴티티의 대량 발급이 가능하며, 실시간 수명주기 관리와 안전한 소프트웨어와 하드웨어 키스토어를 제공한다.
IoT 보안인증을 위해 PKI가 중요하게 사용되면서 국내 기업들도 이 시장 개척에 적극 나서고 있다. 펜타시큐리티는 가장 먼저 커넥티드카 보안 분야에 뛰어들어 IoT보안 플랫폼을 개발, PKI 및 인증 솔루션 등을 공급하고 있다. 드림시큐리티는 암호 기술 전문성을 강조하며 IoT 기기 인증 보안 플랫폼의 경쟁력을 자신한다. 케이사인은 인가된 사용자와 기기, 애플리케이션만 접근할 수 있도록 지원하는 IoT 보안 플랫폼 ‘트러스트 씽’을 출시하고 시장 공략에 나섰다.
IoT 통신 프로토콜 보안 문제도 해결해야
IoT 보안의 또 다른 핵심 영역은 네트워크다. IoT는 ICT를 대체할 용어로 꼽힐 만큼 광범위하게 적용되고 있으며, IT 뿐 아니라 일상생활과 산업 전 분야에서 사용된다. IoT 기기만큼이나 네트워크도 다양하게 사용된다는 뜻이다. IoT는 유무선 네트워크를 이용해 서비스되며, 일반 인터넷 프로토콜 뿐 아니라 산업별로 특화된 프로토콜, IoT를 위해 제안되는 프로토콜 등이 광범위하게 사용된다.
최근 IoT 분야에서는 MQTT 프로토콜이 많이 사용되고 있는데, HTTP보다 가볍고 빠르다는 장점이 있다. MQTT는 현재 센서, 네트워크 장비, 에너지 기기, 스마트홈, 자동차 등 여러 분야에서 사용하고 있며, IoT 기기와 네트워크 장비 제조업체들은 MQTT 프로토콜 지원도 고려해 제품을 제조해야 한다.
더불어 MQTT에서도 데이터를 암호화 해 보호해야 할 필요가 있다. IoT를 통해 수많은 정보가 오가고 있으며, 사람의 개입이나 보안장비의 보호 없이 통신이 이뤄지는 경우가 많기 때문에 전송 데이터를 원천적으로 암호화해 민감한 데이터가 유출되지 않도록 해야 한다.
IoT 기기와 사람에 대한 인증, 수많은 트래픽에 대한 QoS를 통해 서비스 안정성을 보장하는 문제 등도 고려해야 하며, 인터넷 접속 요청 증가에 따른 DNS 성능과 보안 문제도 해결해야 한다.
신기욱 F5네트웍스코리아 상무는 “MQTT 암호화 모듈을 적용하는 로직이 IoT 네트워크 인프라에 포함돼 있어야 한다. F5의 빅IP 플랫폼은 이러한 점까지 고려해 IoT 네트워크를 안전하고 빠르게 운영할 수 있도록 한다”고 말했다.
다양한 무선 환경 보호 방안 시급
IoT를 위한 무선 네트워크 보안 방법도 중요하다. 통신망, 와이파이 뿐 아니라 블루투스, 지그비, NFC, 아날로그 RF 등 다양한 무선 네트워크가 제안되며 이 통신의 보안을 어떻게 해결하느냐는 매우 중요한 문제로 지목된다.
가장 보편적으로 알려진 무선랜 보안 솔루션으로 WIPS가 제안되지만, 현재 대부분의 WIPS 솔루션 기업은 대형 기업에 인수됐으며, 무선랜 인프라 솔루션 기업들은 자사 제품에 WIPS 등 보안 기능을 추가해 보안이 강화된 무선랜을 제공한다고 주장한다.
WIPS를 사용한다 해서 안전을 보장할 수 있는 것은 아니다. WIPS가 모든 무선 프로토콜을 지원하는 것도 아니며, WIPS 설계를 잘못하면 사각지대로 인한 보안위협이 발생하거나 다른 사업장까지 WIPS 센서가 작동해 다른 사업장의 비즈니스를 방해하는 등의 문제도 있다.
IoT 인프라를 관리할 때에도 무선 환경의 보안 취약점 문제가 제기된다. 이승준 NSHC 보안교육팀장은 “기기간 연결 혹은 기기와 인터넷의 연결 시 사용되는 무선 네트워크 보안 이슈도 심각하지만, IoT 인프라와 서비스를 관리할 때도 무선 네트워크를 이용하기 때문에 취약점을 이용한 공격이 발생할 가능성이 높다”며 “대부분의 관리는 노트북이나 스마트폰 혹은 전용 단말기 등 휴대용 기기를 사용하고, 무선을 기반으로 어디서든 접속 가능하기 때문이다. 인터넷과 연결되는 접점에 대한 관리가 무엇보다 중요하다”고 말했다.
