사물인터넷(IoT) 시장이 성장하면서 보안·사생활 침해 위험도 커졌다. 기기·네트워크·소프트웨어(SW) 등 다양한 주체가 IoT 사업에 참여하면서 관리할 위험 요소도 늘었다. IoT 전체를 아우르는 통합 보안 체계 마련이 시급하다는 지적이다.
김호원 부산대 교수(IoT 연구센터장)는 한국지역정보개발원 지역 정보화 동향분석 보고서를 통해 IoT 보안과 사생활 침해 보호 문제를 지적했다.
김 교수는 “IoT는 기존 응용서비스와 달리 요소 센싱 기술과 정보 가공 기술, 저장·활용 기술 등 기술 복합체”라며 “사람과 사물, 서비스가 하나의 공간으로 통합돼 보안 취약성과 사생활 침해 문제를 더욱 해결하기 어렵다”고 밝혔다.
IoT는 정보를 센싱하는 센서와 정보 통신·네트워크, IoT 기기를 위한 칩 기술 등으로 구성된다. SW 단에서는 운용체계(OS)·임베디드 시스템·빅데이터 분석·서비스 응용 서비스 기술을 활용한다. IoT 취약점은 구성 기술요소와 연결 환경에서 나타날 수 있다.
그는 “기술 간 연동 시 예상치 않은 새로운 보안 취약성도 나타날 수 있다”며 “안전한 IoT 서비스를 제공하기 위해서는 구성 기술 요소 각각에 대한 보안 기술 체계를 마련해야한다”고 밝혔다.
보고서는 네스트랩 자동온도조절장치와 마텔이 개발한 헬로 바비 인형이 대표적 IoT 보안·사생활 침해 사례로 제시했다. 네스트랩 자동온도장치는 외부 장치에서 부팅, 악의적 코드를 온도조절장치에서 실행할 수 있다. 와이파이 통신망으로 외부 공격자가 필요 시점에 원격 로그인, 원하는 동작을 제어할 수 있다. 마텔 헬로 바비 인형에 담긴 음성 인식 기능은 어린이 대화 내용을 분석하거나 열람 시 사생활 침해가 가능하다고 지적했다.
김 교수는 IoT에서 기기 인증·식별과 접근 제어 기술이 보안 핵심으로 꼽았다. 인증서는 강력한 인증을 제공한다. 연산량이 많아 기기 적용에 한계가 있고 인증기관이 필요하다는 것은 단점이다. ID와 패스워드는 간단하지만 많은 기기에 적용하기 어렵다.
그는 “회로 기판에 부착하는 방식으로 내장형 가입자 식별모듈(임베디드 SIM)이 제안되기도 한다”며 “기기접근 제어는 많은 기기에 적용 가능한 확장성, 유동적 IoT 환경 반영 등이 이슈가 될 것”이라고 내다봤다.
권동준기자 djkwon@etnews.com
