IoT의 기본인 통신, 그리고 통신의 핵심인 보안, 하지만 성능을 위해서 포기를 강요받는 보안...

최근들어 이슈가 되고 있는 IT 세계에 단어가 있다면 아마도 단연 IoT일 것입니다. Internet of Things의 약자로 만물인터넷, 사물인터넷이라는 번역이 많이 쓰이기도 하지만 그냥 IoT라는 단어가 어떻게 보면 더 와닫기 쉽다는 생각도 듭니다. Cisco에서는 IoT와 비슷한 뜻으로 IoE라는 단어를 만들어 열심히 마케팅하고 있기도 하죠. IoE는 Internet of Everything의 약자라고 합니다. 어찌 되었던 things나 everything이나 비슷하기는 매한가지고 기존의 PC나 노트북, 스마트폰, 태블릿PC와 같은 스마트 디바이스라 불리는 단말기가 아닌 임베디드형 단말기에서 인터넷을 이용하여 통신할 수 있게 하는 모든 개념이 IoT의 기본 개념이 아닐까 싶습니다.

IoT의 기본은 통신

IoT라는 것이 어떻게 보면 새로운 것은 아닙니다. 기존에 M2M이라는 개념이 있었지요. Machine to Machine의 약자로 기계간의 통신을 의미하는 것입니다. 어쩌면 지금 나오고 있는 IoT 제품들은 대부분 M2M의 개념에서 움직이고 있는 것이 사실이지요. 퓨어밴드나 스마트워치, 구글글래스와 같이 요즘 이슈가 되고 있는 제품들의 방식을 보면 M2M 방식을 이용하고 있습니다. 다만 통신 방식이 기존의 1:1 통신 방식이 아닌 인터넷을 이용한다는 것이 다를 뿐이지요. 실제로 현재 아직까지 스마트워치나 구글글래스의 경우 이들 제품이 직접적으로 인터넷에 붙어서 움직이는 것은 아닙니다. 인터넷이 되는 스마트폰에 연결되고 그 스마트폰을 통해서 인터넷과 연결되는 방식이지요. 그렇게 따지자면 IoT 제품과 스마트폰은 M2M으로 움직이고 스마트폰이 IoT 방식으로 움직이는 것이나 다름없다고 봐도 좋을 것입니다. 최근에는 그나마 직접 인터넷에 붙어서 작업하는 IoT 제품들이 본격적으로 등장하기 시작했으니 이제야 말 다한 것이지요. 어찌되었던 IoT든 M2M이든 단말기간의 통신이라는 방식은 동일합니다.

통신을 하는 제품들은 기본적으로 접속, 인증, 데이터 전송이라는 3단계의 방식을 따릅니다. 두 단말기간에 뭔가를 주고받기 위해서는 서로간에 인식을 할 수 있는 접속 과정을 거치게 됩니다. 한쪽이 수신자가 되고 다른 한쪽이 송신자가 됩니다. 또 반대로 송신자와 수신자가 바뀝니다. 데이터를 주는 쪽이 송신자고 데이터를 받는 쪽이 수신자이니만큼 전송하고 다시 응답을 받게 되면서 송신과 수신은 자주 바뀌게 되는 것이 통신의 기본적인 개념입니다. 이런 과정을 하기 위해서는 앞서 얘기했던 것처럼 서로간에 접속을 통해서 서로의 존재를 확인하고 연결을 위해서 인증을 거치게 됩니다. 보통 Anonymous 방식으로 그냥 접속한다고 하더라도 내부적으로는 인증을 다 거치는 것입니다. 그리고 서로 인증을 통해서 서로 연결되면 그때부터 데이터를 전송하게 됩니다. 이 방식은 IoT든 PC나 노트북, 스마트폰, 태블릿PC와 같은 스마트 디바이스든 네트워크에 붙어서 통신하는 모든 단말기는 동일하게 진행됩니다.

성능을 위해 포기 1순위로 꼽히는 보안 기능

IoT 제품들은 최근 나오고 있는 제품들을 보면 소형화된 제품들이 많습니다. 원래 IoT는 제품의 크기와 상관없이 인터넷을 할 수 있는 모든 단말기를 다 뜻하고 있으며 PC와 노트북같은 PC계열 제품들을 포함하여 지하철역에 있는 전광판, 알림판 등도 다 IoT 범주안에 들어간다고 할 수 있습니다. 하지만 최근 사람들이 많이 알고 있는 IoT 제품들은 주로 소형화 단말기에 치우치고 있다는 생각이 듭니다. 스마트워치나 스마트밴드, 구글글래스와 같은 스마트안경등이 그 예라고 할 수 있지요. 그러다보니 컴퓨팅 파워가 약한 단말기에서의 통신이라는 기본적인 제약사항을 갖고 시작을 하게 됩니다. 이런 상황에서 대부분이 간과하는 것이 성능을 위해서 포기하게 되는 1순위 항목, 다름아닌 보안에 취약성을 보이게 되는 것입니다.

앞서 얘기했던 것처럼 컴퓨팅 파워가 좀 되는 제품들, PC급 성능을 지닌 단말기들은 보안을 적용해도 어느정도 성능을 보여주기 때문에 PC에서 적용하는 수준의 보안을 가져가는 경우가 많은데 스마트워치나 스마트밴드, 스마트안경과 같은 IoT 제품들은 성능을 유지하기 위해 다른 부분에서 소모되는 컴퓨팅 파워를 최소화하는 경우가 많습니다. 여기서 보안은 컴퓨팅 파워를 많이 소모하기 때문에 제외되는 1순위가 되곤 하지요. 하지만 데이터 통신을 하는데 있어서 어떻게 보면 가장 중요한 부분이 보안이기 떄문에 결코 무시해서는 안되는 부분이기도 합니다. 최근에 IoT를 악용한 해킹시도가 많이 벌어지고 있는 것이 사실입니다. 대부분 그 해킹의 시작이 통신을 통해서 침투해서 악용하는 방식입니다. IoT 제품에도 엄연히 내부적으로 CPU가 있고 메모리가 있으며 OS가 존재하기 때문에 해킹해서 해커가 원하는 방식으로 얼마든지 악용이 가능합니다. 아무리 기능이 적은 OS라고 하더라도 그 안에 돌아가고 있는 어플리케이션을 해킹하면 문제을 일으킬 소지는 언제든지 존재하기 마련입니다.

IoT 보안의 기본, 암호화

앞서 얘기했던 소형화된 IoT 단말기들은 성능을 유지하기 위해서 데이터 통신 방식도 3G나 LTE와 같은 직접적으로 인터넷에 붙는 방식 보다는 WiFi, 혹은 그 WiFi에서 사용하는 파워도 아깝다고 해서 블루투스를 이용하는 경우가 많습니다. 요즘은 NFC를 이용하는 경우도 있지요. 페어링 방식의 블루투스나 NFC가 보안에 취약하다는 것인 익히 잘 알려진 사실입니다. 물론 최근에는 보안을 강화한 블루투스 버전과 NFC 버전이 나오기도 했지만 그래도 WiFi보다 보안이 취약한 것은 어쩔 수 없습니다. 이런 보안이 취약한 통신 기반을 이용하기 위해서 가장많이 사용하는 보안 방식은 역시나 암호화입니다.

위애서 언급했던 통신 방식 중 인증과 데이터 전송에 암호화를 적용하여 데이터 자체를 보안함으로 데이터의 변형을 막고 무결성을 인증하여 데이터의 변형을 통한 해킹을 방지하는 것이 IoT 보안 중에서 가장 많이 도입되고 있는 보안 방식입니다. ETRI를 비롯한 여러 연구기관에서 IoT를 위한 경량화된 암호화 알고리즘과 암호화 플랫폼들을 많이 연구하고 개발하여 발표하고 있습니다. 통신이나 여러군데에서 가장 많이 사용하고 있는 암호화 알고리즘인 AES 알고리즘도 IoT에 적용되어 사용되고 있습니다. 또 국내에서 개발된 ARIA 역시 임베디드 단말기에 적용하기 쉽게 고안된 암호화 알고리즘입니다(요즘은 다른 이유로 좀 욕을 먹고 있기는 합니다만.. 그 노무 ActiveX -.-). 이런 암호화를 많이 도입하여 IoT 보안을 적용하는 것이 요즘 IoT 보안의 추세라고 한다면 할 수 있습니다.

하지만 앞서 얘기했던 것처럼 컴퓨팅 파워가 적은 소형 단말기에서 이런 암호화 알고리즘을 소프트웨어적인 방법으로 구현하는 것이 부담스러운 경우가 많습니다. 물론 최근에는 이런 소형 단말기에서도 나름 저전력의 컴퓨팅 파워가 어느정도 확보된 칩셋을 많이 이용하고 있기는 합니다만 그래도 PC에서 돌리는 것과는 확연히 차이가 나지요. 그래서 아예 이런 암호화만 전문으로 하는 칩셋을 따로 둬서 구현하기도 합니다. CPU 파워를 쓰는 소프트웨어 방식(암호화는 엄청난 CPU 파워를 잡아먹고 배터리 소모가 상당히 심하게 일어나는 작업입니다)이 아닌 하드웨어에서 처리하는 방식을 이용하여 성능저하와 배터리 소모율을 최소화하는 방식을 많이 이용합니다. 이미 암호화 알고리즘을 구동하는 칩셋은 시중에 많이 나와있습니다(보통 보안 칩셋이라고 많이 불립니다). 그리고 아예 임베디드용 칩셋 안에 이런 암호화 칩셋까지 넣어서 원칩 방식으로 구현되어 배포하는 경우도 많이 있습니다. 최근에는 이런 보안 칩셋을 포함한 원칩을 이용하여 IoT 제품을 만드는 것이 슬슬 대중화되기 시작하고 있다고 보여집니다.

IoT에서 보안을 소홀히 여겼다가는...

아직까지 IoT에 대해서 보안 분야는 여전히 급하지 않은 분야라고 생각하는 경우가 많습니다. 문제가 되는 해킹 사고는 대부분 PC나 스마트폰 기반의 경우가 많이 있고 언론에 이슈가 되는 경우도 대부분 이런 스마트 디바이스 계열의 해킹 사고인 경우가 많습니다. 하지만 점점 IoT가 대중화되고 삶 속에 깊히 파고들게 된다면 해킹을 통한 범죄는 이런 보안이 취약한 IoT 제품을 파고들게 될 것이고 그만큼 피해는 커지게 될 것입니다. 최근에 들어서 IoT에 대한 보안이 조금씩 이슈화 되고는 있지만 아직 갈 길은 먼 것이 사실이지요. 그래도 조금씩 이에 대한 대응책을 마련하면서 준비를 한다면 향후 해킹 피해가 나온다고 하더라도 피해가 심하지는 않을 듯 싶네요.

이 글은 LG CNS 블로그에 기고했던 글의 원본입니다. 기고한 글은 [여기]에서 보실 수 있습니다.