보안의 재 고찰과 사물인터넷(IoT)- S.LSI사업부 콜로키움

키를 가지고 자동차에 가까이 다가가면 자동차 문의 잠금 장치가 열리고, 키를 넣지 않아도 시동을 걸 수 있는 ‘스마트키’, 전력 공급자와 소비자가 양방향으로 실시간 정보를 교환함으로써 에너지 효율을 최적화하는 차세대 지능형 전력망인 ‘스마트그리드’ 등 사물인터넷(IoT, Internet of Things)과 관련된 기술은 어느덧 우리 일상에서 쉽게 만나 볼 수 있게 되었습니다.

사물인터넷은 단순히 인터넷에 연결된 사물들을 일컫는 단어가 아닙니다. 사물인터넷은 기존의 인터넷이나 모바일 인터넷보다 진화된 단계로, 인터넷에 연결된 기기가 인간의 개입없이 서로 정보를 주고 받아 처리합니다.

이러한 사물인터넷 구현에 필요한 핵심적인 기술 중 하나가 바로 ‘보안’입니다. 사물인터넷은 미래 생활을 매우 편리하게 바꿔 줄 기술로 각광받고 있지만, 한편 그 구성 요소들이 서로 주고 받는 대량의 데이터에 대한 해킹, 정보 유출은 사용자에게 위협이 될 수도 있기 때문입니다.

이미 생활 속으로 성큼 다가온 사물인터넷 환경의 보안에 대해 우리는 어떤 점들을 고민해야 할까요? 지난 10월 13일, 삼성전자 화성캠퍼스 DSR동에서 열린 S.LS사업부 콜로키움에서는 사물인터넷 시대의 보안에 대해 다시 한 번 살펴보고, 발전적인 방향에 대해 모색하는 자리를 가졌습니다.

■ 사물인터넷 환경의 보안, 새로운 시각의 접근 필요

이번 콜로키움은 안랩(AhnLab)의 김기영 실장의 강연으로 진행됐습니다. 김기영 실장은 “웃음은 상황에 관계없이 같은 행동을 반복할 때 나온다.”는 프랑스의 철학자 베르그송의 이야기로 강의를 시작했습니다. 김기영 실장은 변해가는 상황에 대해 반복적인 대응을 하는 우리의 모습을 보며 “누군가 비웃고 있지 않을까라는 상상을 한다”며, “기존에 있었던 ‘보안’이라는 문제를 어떻게 새로운 관점에서 바라볼 것인가에 대해 이야기하고자 한다”고 주제를 밝혔습니다.

보안에 대한 ‘재’ 고찰은 보안 개론에서부터 시작된다고 합니다. 먼저 보안은 Confidentiality(기밀성), Integrity(무결성), Availability(가용성)의 3가지 요소로 구성된다고 하는데요, 흔히 보안은 허용되지 않은 것을 보이지 않게 하거나, 알아볼 수 없게 하는 ‘Confidentiality’만을 생각하게 됩니다. 하지만 김기영 실장은 사용자가 만족스럽게 사용할 수 있는 ‘Availability’와 데이터의 무결성 및 일관성 있는 보안 정책을 아우르는 ‘Integrity’가 동시에 갖춰져야 한다고 강조했습니다.

한편 보안에 있어 ‘셀로판지’가 재미있는 통찰을 제시하기도 합니다. 보안 모델의 원리는 서로 다른 색상의 셀로판지를 2개 이상 겹쳐 놓으면 빛이 그 곳을 통과하지 못하는 원리와 비슷한데요. 결국 서로 다른 보안을 잘 융합하는 것, 그리고 그것을 효과적으로 연결하는 보안 아키텍처가 매우 중요하다고 합니다.

김기영 실장은 보안 개론을 정리하며, 보안을 창과 방패가 끊임없이 대결하는 ‘모순(矛盾)’ 이야기에 비유했습니다. 그러나 보안에 있어 모순은 앞뒤가 맞지 않는 말이 아니라 치열한 현실이며, 이 방패가 뚫리지 않기 위해서는 ‘다음 번에는 뚫릴 수도 있다’라는 마음가짐이 필요하다며, 보안이 어떻게 깨질 수 있는지에 대해 미리 고민하고 준비해야한다고 강조했습니다.

■ 사물인터넷 시대의 보안 공격과 대응 방향

그렇다면 사물인터넷 시대에 중점적으로 고려해야할 보안 이슈에는 어떤 것들이 있을까요? 김기영 실장은 ① 공격표면 분석을 통해 취약 부분에 대한 공격이 이루어 질 수 있고, ② 사물과 기존 기기의 네트워크에서 발생하는 취약점이 있을 수 있으며, ③ 펌웨어 해킹의 사례처럼 펌웨어를 획득해 분석하는 것을 통해 공격이 이루어질 수 있다고 짚었습니다. 반면 하드웨어에 대한 분석은 비교적 쉽지 않기 때문에 단말의 보안 기능 강화를 통한 대응 가능성을 제시했습니다.

또한 사물인터넷의 보안 공격에 맞서는 미래 보안의 방향에 대해, 악성코드에만 집중하는 단편적 방어를 벗어나 아키텍처 기반의 입체적 접근이 절실하다고 언급했습니다.

김기영 실장은 이러한 사물인터넷 시대의 보안 위협에 효과적으로 대응하기 위해 세 가지 주의할 점을 꼽았습니다. 첫째로, ‘익숙함’에 대한 주의입니다. 기술분야에서 보면 목적에 맞는 기술을 사용하는 것이 아니라, 자신이 잘 하는 것으로 모든 것을 해결하거나 가지고 있는 기술기반으로 제품을 기획하는 경향이 있는데, 목적을 먼저 생각하고 그에 부합하는 기술을 고민해야 좋은 제품이 나오고 기술도 발전하게 된다고 합니다.

두 번째로 ‘목적 상실’에 대한 주의입니다. 제품을 개발하다보면, 왜 이 기술이 필요한지에 대한 근본적인 목적을 상실하는 경우가 많다는 점을 꼽았습니다. 세 번째, ‘이론’에 대한 주의입니다. 변인이 통제된 상황에서 결과가 도출되는 ‘이론’이, 많은 변수를 내포하는 현실 속에서 똑같이 작용할 것인가에 대한 고민이 수반되어야 한다는 것입니다.

아울러 세 가지 주의 사항을 바탕으로, 단말 보호와 상호 인증 등 주변 환경의 개선을 통해 효율을 높이고, 불필요한 기능을 없애는 등 공격 표면을 줄이며, 사람에 대한 이해와 고려를 바탕으로 취약점을 생각하면 보안을 한층 강화할 수 있을 것이라고 조언했습니다.

김기영 실장은 마지막으로 강연을 마치면서, “보안 기술은 보안을 이루기 위한 수단일 뿐이지 목적이 아니라는 점을 기억해야한다”면서, “정말 지켜야 할 것이 무엇인지 평소에 끊임없이 고민했을 때, 영화 속 영웅처럼 모든 것을 지킬 수 있을 것”이라고 강조하며 강연을 마쳤습니다.

사물인터넷 시대에 보안 기술의 중요성이 점점 강조되고 있는 만큼, 현장에 참석한 임직원들의 열의도 뜨거웠는데요. 강연을 열심히 경청하던 임직원을 만나 소감을 들어봤습니다.

S.LSI사업부 이준호 책임

“보안 분야를 전공했고, 업무 상으로도 보안 관련 지식이 필요해 이번 강연에 참석하게 되었습니다. 보안에 대해 철학적 접근과 시각, 방향에 대해 잘 정리해주셔서 많은 도움이 되었습니다. 이번 강연을 통해 하드웨어뿐 아니라 소프트웨어에 대한 중요성도 다시 한 번 생각해 볼 수있는 계기가 되었습니다.

사람이 생각하기에 앞서 사물이 먼저 판단해 정보를 알려 주거나, 알아서 기기를 조작하는 사물인터넷 시대! 우리의 라이프 스타일을 보다 편리하게 바꿔 주는 이런 영화 속 기술이 이제 생활 속에서 본격적으로 펼쳐지고 있습니다. 나날이 발전하는 사물인터넷 기술만큼, 이러한 환경 속에서 발생하는 방대한 정보들을 든든하게 지켜 주는 안전한 보안 기술이 등장하길 기대해봅니다.