IoT와 보안은 상극이라고 합니다.
하지만 꼭 그렇게만 볼 일은 아닙니다.
IoT에 대하여 조금이라도 스터디를 해 본 분이라면 가장 크게 고려되어야 할 요소가 “보안”이라는 데 이의를 달기 어려울 것입니다. 애초에 전체적인 아키텍처를 설계할 때부터 보안이 함께 고려되어야 합니다.
그런데 IoT는 어떠한 특정 기술 하나에 기반한 것이 아니기 때문에, 적용되는 기술과 환경에 따라 다양한 유형의 보안이 함께 적용되어야 합니다.
참고로 시만텍의 자료를 참조하자면, 다음과 같은 보안 요소들이 고려되어야 합니다.
- IoT 프로토콜과 네트워크 보안
- 정보보호 및 사생활 보호
- 시스템 장애 방지
- 계정 관리
다소 이론적인 이야기처럼 들리죠?
하지만 어느 매체의 기사 제목인 “사물 인터넷, 해커 침입 때는 괴물 인터넷 될라”처럼 IoT 보안은 아무리 강조해도 부족함이 없습니다. 최근에는 CCTV나 개인 노트북의 캠에 대한 공격뿐 아니라 인터넷에 연결된 TV, 자동차, 의료기기 등도 공격을 받고 있다는 보고가 있습니다. 즉, 인명과 관련된 장비까지 해킹의 위험성에 노출되고 있다는 것이죠.
기기 자체의 보안부터 시작해야 한다
시스코에서는 우선 IoT 장비를 제작하는 단계부터 보안에 대한 고려가 이루어져야 한다고 말합니다. “센서 시스템에 대한 자체 보안 기능 확보”인데, 센서는 IoT 장비가 주변 상황을 수집하고 실시간으로 정보를 주고받는 데 핵심적인 역할을 담당합니다.
예를 들어 센서나 게이트웨이 단계에서 인증 없이 명령을 받을 수 있거나, 펌웨어 업데이트 과정이 검증되지 않는다면 이후 네트워크나 서버에서 아무리 보안을 강화해도 취약점이 남을 수 있습니다. 따라서 기기 식별, 접근 제어, 안전한 업데이트, 기본 비밀번호 관리 같은 기본 요소가 설계 단계에서 함께 검토되어야 합니다.
데이터 보안과 사생활 보호
그 다음으로는 데이터에 대한 보안이 중요합니다. 대부분의 IoT 기기들은 빅데이터로 연결되는데, 이 데이터를 운영하는 회사에는 강한 보안이 요구되는 상황이죠. 이 데이터들은 아마 주민등록번호 수준을 넘어서는, 개인의 삶 전체를 표현하는 데이터가 될 것이기 때문입니다.
특히 IoT 데이터는 단일 정보만으로는 민감하지 않아 보여도, 위치 정보·사용 시간·생활 패턴과 결합되면 개인을 식별하거나 행동을 예측할 수 있는 정보가 됩니다. 따라서 저장 구간뿐 아니라 전송 구간의 암호화, 권한 분리, 로그 관리, 불필요한 데이터 수집 최소화 같은 원칙이 함께 적용되어야 합니다.
국내 IoT 보안 시장의 가능성
다만 아직 외국 대형 보안업체에 비하여 국내의 시장이나 기술력은 조금 떨어지는 편이라고 보는데, 최근 들어 중소회사를 중심으로 본격적으로 IoT 보안을 표방하며 사업을 전개하고 특허를 등록하고 있어 그 시장은 분명 확대될 것이라고 봅니다.