[아이티투데이 이경탁 기자] 스마트폰, 웨어러블 기기, 심지어 자동차까지 다양한 특성을 가진 이기종의 기기가 상호 연결되어 소통하는 사물인터넷 시대 도래에 따라, 많은 기업들이 사물인터넷 기술을 미래 성장 사업으로 삼고 사업 기회 확대에 박차를 가하고 있다.

기업 성장을 견인할 핵심 동력이 될 것이라는 기대다. 실제로, 가트너는 전 세계적으로 2016년에는 64억개, 2020년에는 208억개에 달하는 기기가 사용될 정도로 사물인터넷 기기 시장이 급성장할 것이며, 일반 소비자 대상의 사물인터넷 서비스 사업도 큰 폭으로 확대될 것이라 내다봤다.

하지만 한편에서는 사물인터넷 보안 위협에 대한 우려를 표하는 목소리가 높아지고 있다. 사물인터넷 기기들이 개인의 삶과 밀접하게 연관되어 있는 만큼, 예상하지 못한 기기의 취약점을 악용해 사용자의 사생활을 유출하고 금전적 피해를 야기하며 심지어 생명까지 위협할 수 있는 가능성이 존재하기 때문이다.

다시 말해, 자동차, CCTV 등 그 해킹 가능성이 앞서 증명된 기기는 물론 가전제품이나 의료 기기 등 인터넷에 연결되어 있을 것이라 쉽게 생각되지 않는 다양한 기기 역시 보안이 전제되지 않는다면 무엇이나 공격 대상이 될 수 있다. 예를 들면, 다리미를 통해 무선 네트워크에 접속해 도청을 시도한다거나, 심박기에 내장된 전송기를 해킹해 전기 공급량을 원격 제어하여 사용자의 생명을 노리는 식이다.

 

따라서 제품 및 서비스의 기획 설계부터 사후 관리 단계까지 보안성을 고려해야 한다는 지적이 높아지고 있으나, 사물인터넷 기술의 혜택을 안전하게 누리기 위한 선제적인 보안 대책마련은 아직 미진한 상황이다.

여러 가지 이유가 있겠지만 가장 큰 어려움은 전문 보안 지식이 부족한 사물인터넷 기기 및 서비스 제공업체들이 시큐어코딩, DB보안, 기기 위변조 및 부채널 공격 방지 등 보안 기술을 쉽사리 적용하기는 어려울뿐더러 보안성 확보를 위해 투입해야 하는 자원에 대한 부담이 크다는 데서 발생한다.

백기승 한국인터넷진흥원장은 사물인터넷 기기의 70%가 보안 위험에 노출되어 언제든지 공격받을 수 있는 상황임에도, 상당수의 사물인터넷 디바이스 플랫폼과 통신모듈 등에 보안관련 기술이 장착되지 않은 채 사물인터넷 제품 개발이 이뤄지고 있다며 이에 대한 우려를 표한 바 있다.

■사물인터넷 보안 체계 구축 필요성 대두...이글루시큐리티 '준비 철저'

이와 같은 배경에서, 보안업계에서는 기업들이 보다 안정적이고 효율적인 제품, 서비스를 선보이기 위한 사물인터넷 통합보안 관제 체계 구축 및 표준화 논의 필요성이 부각되고 있다. 사물인터넷 기기 및 서비스 제공업체들이 제품, 서비스의 기획 설계 단계부터 보안성을 고려하고, 지속적으로 관리, 점검하며, 기기들이 연결된 네트워크 전체에 대한 가시성을 확보하기는 어려운 만큼, 전문적인 보안 지식과 노하우에 기반하여 사물인터넷 제품, 서비스의 취약점을 노리는 공격에 선제적으로 대응하기 위해서다.

 
일부 보안 업체들이 사물인터넷 제품, 서비스의 보안성을 확보하기 위한 사물인터넷 보안 솔루션과 서비스를 선보인 가운데, 이미 보안관제 분야에서 선도적 위치를 점하고 있는 이글루시큐리티의 행보가 눈에 띈다. 이글루시큐리티는 일원화된 관제 환경에서 다양한 사물인터넷 기기 및 네트워크를 통합적으로 운영 및 관리하고, 악성 공격 시도를 탐지하며, 새로운 위협에 대응해 보안 업데이트를 실시할 수 있는 보안관제 센터 구축에 역점을 두고 있다.

또한 이글루시큐리티는 내년 본격적으로 진행될 것으로 예상되는 사물인터넷 보안 인증 제도 도입에 앞서, 미래창조과학부와 한국인터넷진흥원에서 기 공표한 “IoT보안7대원칙”을 만족하는 여러 보안 모듈들을 onM2M 및 MOBIUS과 같은 국제표준 및 개방형 플랫폼 상에서 개발하여 선보일 계획이다. 이를 통해 많은 사물인터넷 기기 제조사 및 서비스 제공 업체들이 보안 이슈로 인한 비즈니스 런칭 지연 등 어려움을 해소하고 생산성을 향상시킬 수 있도록 지원할 방침이다.

이글루시큐리티 인터넷보안연구소 남현우 소장은 “사물인터넷 제품, 서비스 도입 후에는 보안 조치가 어려운 만큼 사전 기술 개발 단계에서 보안성 확보에 대한 투자가 수반되어야 하나, 보안에 대한 지식이 부족하고 이에 대한 경제적 부담이 큰 상당수의 기업들이 쉽사리 전문 보안 기술을 도입하기는 어려운 상황”이라며, 사물인터넷 기기 제조사 및 서비스 제공 업체들이 보안성 확보에 대한 부담 없이 보다 유연하게 개발에 전념할 수 있도록 국가 기준을 만족하는 보안 모듈을 선보이는 등 보안업체의 지속적인 노력이 요구된다고 말했다.

그는 이어 “또한, 기획 단계에서 보안을 고려했다 할지라도, 사물인터넷 기기들이 경량, OS, 인증 방식 등 다양한 요소에 차이가 있어 공격 침투 경로가 다양화될 수 있고, 상당수가 개인 소유의 기기로 빠른 공격 탐지 및 대응이 어려운 만큼, 지속적인 사후관리가 이뤄지지 않는다면 새로운 취약점을 악용한 공격에는 무방비로 당할 수 밖에 없다”며 다양한 사물인터넷 제품 및 서비스를 기술 개발부터 사후 관리 단계에 걸쳐 관리할 수 있는 통합적인 사물인터넷 보안 체계 수립의 중요성을 강조했다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지