중국이 미국의 주요 기업과 기관에 공급되는 수퍼마이크로의 마더보드에 마이크로칩을 삽입해 사이버 스파이 활동을 해 온 사실이 알려지면서 전 세계가 발칵 뒤집혀졌다.
블룸버그 비즈니스위크가 지난주 보도한 바에 따르면 중국에서 생산된 수퍼마이크로 마더보드에 좁쌀보다 작은 마이크로칩이 삽입돼 있었으며, 이 마더보드는 미국 중요 은행과 정부기관, 기업들에 공급된 것으로 알려졌다.
보도 직후 마더보드 공급업체인 수퍼파이크로와 이 제품을 사용한 것으로 알려진 아마존, 애플 등이 반박자료를 내면서 사실이 아니라고 해명하고 나섰지만, 중국이 스파이 활동을 했을 것이라는 의심은 지워지지 않는다.
이효승 네오와인 대표는 “하드웨어 단에서 발생하는 해킹 공격은 매우 파괴력이 크다. 특정 제조사에 공급되는 칩에 백도어가 몰래 숨어 있었던 사고는 이전부터 다수 보고되고 있으며, 멜트다운·스펙트라와 같이 CPU 자체 결함으로 인한 취약점도 위협이 되고 있다”며 “하드웨어 칩에서부터 데이터를 암호화하고 보안 인증을 보장하는 기술이 없다면, 이와 같은 공격을 막지 못한다”고 지적했다.
보안 배제한 IoT, 심각한 재앙
하드웨어가 보안의 심각한 홀로 지목되고 있다. 하드웨어에서 발견된 보안 취약점은 발견하는 것도 어렵지만 이를 해결하고 패치하는 것도 쉽지 않은 문제이다. 따라서 하드웨어 칩에서부터 보안이 보장돼야 하며, 보안칩이 그 역할을 할 수 있다.
보안칩은 암호화, 인증, 키관리 기능을 SoC로 제작한 것으로, 강력한 보안 인증, 암호화, 키관리, 저전력, 소형 크기, 저렴한 가격, 높은 호환성을 제공한다. 보안칩을 사용하면 CPU가 암호화·인증을 하지 않아도 돼 CPU 성능을 향상시킬 수 있으며, 복잡한 암호화 알고리즘을 사용해 더 높은 수준의 보안 인증을 수행할 수 있어 보안성을 향상시킬 수 있다.
그러나 IoT 기기 제조사들은 보안칩 사용에 적극적이지 않다. 가격경쟁이 치열한 IoT 시장에서 제조 원가를 상승시킬 수 있는 보안칩을 선호할 리 없다. 또한 보안칩을 탑재할 경우 제품 아키텍처와 생산공정을 새롭게 설계해야 하기 때문에 시장의 요구가 없는 한 제조사들이 먼저 나서지 않는다. 소비자들이 IoT 기기를 구입할 때 ‘보안’은 선택의 기준이 되지 않기 때문에 제조사들도 보안은 외면한다.
이효승 대표는 “IoT 시대로 접어들수록 이와 같은 공격은 더욱 심각한 상황이 될 것이다. 사용자들은 보안을 고려하지 않고 IoT 기기를 사용하며, 제조사들은 제조단가 상승을 이유로 보안을 배제한다”며 “보안칩을 새롭게 탑재한다 해도 제조단가 상승은 아무리 높아도 2달러를 넘지 않으며, 대량공급일 경우 가격은 유연하게 적용될 수 있다. 2달러도 안 되는 비용을 이유로 보안을 배제한다면 심각한 재앙을 맞게 될 것”이라고 비판했다.
“현실적인 규제로 IoT 보안 촉진해야”
우리 정부는 IoT 보안을 위해 ‘IoT 보안인증제’를 운영하고 있지만 의무사항이 아니라 권고사항이기 때문에 활성화되고 있지는 않다. 또한 제조사들은 규제로 인해 경쟁력이 약화된다고 강력하게 반발하고 있다. 제품을 기획하고 개발한 후 인증을 받기까지 상당한 시간이 걸리는데, IoT 기기 수명은 고작 6개월뿐이다. 인증에 시간을 쏟다보면 타임투마켓을 맞추지 못하며, 판매할 수 있는 시기를 놓치게 된다는 지적도 나온다.
이 대표는 “IoT 보안인증을 통해 제조사들이 보안에 투자하도록 유도하는 것은 좋은 일이지만, 현재와 같은 비현실적인 인증제도는 개선해야 할 필요가 있다”며 “인증에 소요되는 시간을 단축시키고, 소프트웨어부터 하드웨어까지 모든 범위에서 보안약점을 점검할 수 있는 현실적인 방향으로 개선해야 한다”고 주장했다.
암복호화 칩으로 종단간 암호화 지원
보안 반도체 전문기업 네오와인은 복제방지 솔루션 ‘ALPU’ ‘GENESIS’ 제품군으로 중국, 대만 등에서 막강한 경쟁력을 보이고 있으며, 현재 세계 2000여개 기업에 1억3000여개의 복제방지 솔루션을 공급했다.
올해 초 초소형 암복호화 반도체 ‘DORCA-3’를 개발, 미국 IoT 시스템 반도체 메모리 전문기업 아데스토와 협력을 맺고 세계 시장에서의 경쟁력을 높이고 있다. 이 칩은 IoT 기기 간 안전한 통신을 보장하며, 데이터의 불법적인 유출을 막을 수 있다. 내년에는 종단간 암호화를 완벽하게 지원할 수 있는 실시간 암호화 칩이 새롭게 출시돼 IoT를 보다 안전하게 지원할 수 있다.
이효승 대표는 “초소형 반도체를 저가로 제조할 수 있는 현재 상황에서, 칩 단에서부터 암호화된 통신을 보장하지 않으면 IoT 보안을 장담할 수 없다. 사생활 유출 뿐 아니라 국가 안보에도 치명적인 피해를 입힐 수 있는 IoT의 문제를 해결하기 위해서는 ‘보안 내재화’가 반드시 필요하며, 암복호화칩이 필수”라며 “드론, VPN, 도어락, 휴대폰 등 다양한 기기에서 암복호화 칩을 통해 중요 데이터와 사생활, 기밀정보를 안전하게 보호할 수 있다”고 말했다.
이효승 대표는 “현재 반도체 칩의 80%는 소프트웨어 기술이 좌우한다. 네오와인은 소프트웨어 개발자를 확충하는 한편 국내외 소프트웨어 기업과 함께 혁신적인 아이디어의 제품을 만들어 나가고 있다. 이를 개인 개발자 커뮤니티까지 확장해 외연을 넓히고 다양한 분야에서 성공적인 비즈니스 모델을 만들어 나갈 것”이라고 밝혔다.
그는 이어 “네오와인은 VoIP, VPN, OTT, NAS, 게임기 등 여러 기기 제조사 및 소프트웨어 기업과 협력해 새로운 제품을 만들어 왔다”며 “향후 더 다양한 기업 및 개발자들과 협력하기 위해 적극 노력하고 있다. 4차산업혁명을 성공시키기 위한 ‘파괴적인 혁신’을 이룰 수 있도록 여러 형태의 파트너십을 만들어나갈 것”이라고 덧붙였다.
