개요
2025년 세계 커넥티드 IoT 기기 750억 대…"SW 대신 하드웨어적 대안 필요"
국회 과학기술정보방송통신위원회 여당(국민의힘) 간사인 박성중 의원은 이달 초 국정감사에서 과학기술정보통신부 소관 기관 62%가 복제하기 쉬운 일반 전자태그(RFID) 출입증을 사용하고 있다며 이렇게 질타했다
이번 국감에서는 5초 만에 복제할 수 있는 RFID 출입증과 함께 중앙선거관리위원회 투·개표 시스템 해킹 의혹 등이 IT 보안 문제로 부각됐다.
RFID 출입증 복제나 투·개표 시스템 해킹 우려 사태는 사물(Things)이 네트워크에 연결되면서 야기된 이른바 'IoT(사물인터넷) 보안' 영역의 문제라는 분석이다.
RFID 출입증의 경우 흔한 플라스틱 카드가 RFID를 통해 통제시스템과 연결돼 사용된다.
인쇄 전 종잇조각일 뿐인 투표지는 전자개표기를 거쳐 선관위의 선거인명부 시스템 및 개표시스템 등 각종 전산 네트워크와 실시간 연동된다.
이처럼 플라스틱 출입증이나 종이 투표지 같은 각종 사물은 어떤 형태로든 관련 네트워크와 직간접적으로 연결돼 제 기능을 한다.
그렇기에 IoT 보안에 허점이 생기면 네트워크로 연결된 첨단 기능 제품에 차질이 발생할 수 있다.
HW 적 IoT 보안을 높이는 방법
기하급수적으로 늘어나는 IoT 기기 하나하나에 보안 프로그램을 깐 뒤 주기적으로 업데이트해 사이버 공격을 막아내는 기존 소프트웨어(SW) 보안 방식은 이제 한계에 다다랐다.
결국 기기마다 하드웨어(HW)적인 방어 기제가 작동해야 한다는 게 학계와 업계 논리다.
김동규 한양대 융합전자공학부 교수는 "SW식 보안은 암호키를 외부에서 생성해 각 기기에 주입해야 하기 때문에 항상 공격에 노출돼 있다"며 "그런 의미에서 '물리적 복제방지기술'(PUF)은 IoT 보안을 위한 HW적 대안이 될 수 있다"고 강조했다.
미 매사추세츠공대(MIT)에서 대륙간 탄도미사일(ICBM) 보안용으로 처음 개발된 PUF는 반도체 칩 제조과정에서 무작위로 생기는 구조적 미세 차이를 암호키 값으로 활용한다. 이 키값은 인간이 태어날 때 자기도 모르게 갖게 되는 지문과 같다. 외부 주입이 안 된 채 자연 발생한 키값을 공격자는 추정조차 할 수 없다.
IoT 보안업체 ICTK 관계자는 "PUF 보안칩을 각 출입증에 인입하고, 투표지나 개표기 등에도 탑재하는 등 보다 실체적이고 적극적인 대책을 강구하는 게 불필요한 정쟁이나 소모적 국론 분열을 종식시키는 유일한 대안"이라고 말했다.
IoT 보안의 중요성
IoT 기기가 가진 데이터 수집 및 측정 기능은 더 많은 IoT 기기를 사용하게 만드는 강력한 동기를 부여합니다. 엣지 컴퓨팅, 실시간 인사이트 및 분석과 같은 혜택을 제공하는 이러한 기기는 디지털 도입 및 트랜스포메이션과 관련된 경우가 많습니다. 하지만 디지털 프로필을 확장하면 위험도 함께 커질 수 있습니다.
IoT 보안이 매우 중요한 가장 큰 이유는 IoT 기기를 사용해 시스템에 대한 무단 액세스 권한을 얻을 수 있기 때문입니다. 일반인들은 IoT 기기가 해킹당할 수 있다는 사실을 모를 수 있지만, 사실 해킹이 가능합니다. 또한 네트워크에 추가되는 모든 IoT 기기는 공격 표면을 증가시킬 수 있습니다.
IoT 보안 위험
IoT 기기 해킹이 최종 목표가 아니라 IoT 기기가 네트워크 액세스 권한을 얻으려는 더 큰 계획의 첫 단계이기 때문입니다. IoT 기기는 다른 시스템에 진입하는 관문으로 사용되는데, 이러한 시스템들은 정작 외부 간섭은 효과적으로 차단하기도 합니다. 그러나 내부의 보호 수준은 그에 미치지 못할 수 있기 때문에 일단 IoT 보안이 침해되면 다른 시스템이 침해당할 위험도 커집니다.
- IoT 환경에서 보안을 최우선 순위에 두지 않거나 보안에대한 사전 고려 조차 없이 IoT 기기를 설계하고 제조
- IoT 기기는 항상 연결되어 있어 원격으로 액세스 가능
IoT 보안 유지 방안
- 단일창
- 액세스 제어
- 네트워크 모니터링
- 대응시간 자동화
컴퓨터나 휴대폰 등 지속적인 업데이트가 가능한 기기가 아닌 RF칩 등 물리적은 수단의 IoT는 보안이 취약할 수 있다는 점을 알수 있는 뉴스입니다 . 하지만 보안 칩을 기기에 주입한다해도 기기 자체를 도난 당한 다면 소용이 없다고 생각합니다. 따라서 출입증도 어플리케이션 등 주기적으로 변경이 가능한 수단으로 대체하는 것이 IoT보안을 강화 시킬수 있는 방안이 될 것 이다.
https://www.yna.co.kr/view/AKR20231027105300017?section=industry/technology-science
[위클리스마트] 출입증 복제·선관위 해킹 논란…근원은 'IoT 보안' | 연합뉴스
(서울=연합뉴스) 최현석 기자 = "언제 벌어질지 모르는 보안 범죄에서 문 열어두고 생활한 것과 다름없다."
www.yna.co.kr
https://www.redhat.com/ko/topics/security/security-for-iot-devices
IoT 기기를 위한 보안
IoT 보안은 기기를 보호하기 위해 반드시 고려해야 할 사항입니다. 디지털 프로필이 확장될수록 위험도 함께 커질 수 있는 이유와 IoT 보안을 통해 문제를 해결할 수 있는 방법을 알아보세요.
www.redhat.com
'IT Insight' 카테고리의 다른 글
| ' 삼성전자, 내년 갤S24에 생성AI 탑재할듯…"핵심기능에 AI 적용"(종합) ' (0) | 2023.10.31 |
|---|---|
| " 네이버클라우드, 하이퍼클로바X 기반 기업용 설루션 2종 출시 " (0) | 2023.10.30 |
| " 광주 일반 도로에서 자율주행 차량 실증…임시면허 취득 " (0) | 2023.10.28 |
| '카카오톡 먹통 1년'…데이터센터 분산 설치 '착착' (0) | 2023.10.27 |
| SK C&C "클라우드 AM 통해 미국·유럽 수출길 개척" (0) | 2023.10.26 |
