`특정 시스템에 보안 기능을 추가하려다 제품 신뢰성이 떨어진다. 정보시스템 신뢰성을 확보하기 위해 정보보호(Information Security)를 넘어 정보보증(Information Assurance)을 고려해야 한다.`
한국정보보호학회는 지난 14일 서울 양재 엘타워에서 `제1회 CPS 보안워크숍 2016`을 개최했다. CPS(Cyber-Physical System)란 센서를 비롯한 물리시스템과 이를 제어하는 컴퓨팅이 결합한 네트워크 기반 분산제어시스템이다.
김승주 고려대 정보보호대학원 교수는 `사물인터넷(IoT) 보안 VS 사이버 물리시스템 보증` 주제 발표에서 정보시스템은 단순한 해킹 대응을 넘어 신뢰성(trustworthiness) 확보가 절실하다고 주장했다.
신뢰성이란 보안, 프라이버시, 안전, 복원성 등을 통합하는 개념이다.
김 교수는 “정보시스템 신뢰성은 해킹에 안전하고 기계 오작동 등 오류가 없는 상태”라면서 “문제가 발생해도 인명사고 등 재해로 연결되지 않고 빠르게 원상으로 복원되는 시스템을 의미 한다”고 설명했다. 그는 “정보보증은 바로 이런 신뢰성을 확보하고 검증하는 관리적, 기술적 수단과 행위”라고 말했다.
김 교수는 “신뢰성을 구성하는 요소는 상호 유기적으로 작동 한다”면서 “기존 시스템에 단순히 시큐리티 기능을 덧붙이면 코드 복잡도가 증가해 전체 신뢰도를 떨어트릴 수 있다”고 설명했다. 예를 들어 소형기기에 첨단 보안기능을 넣으려다가 회로가 복잡해져 과도한 발열이 생기는 경우다. 보안을 추가하려다 제품 전체 신뢰성이 무너진다.
김 교수는 “정보보증을 달성하기 위해서는 요구사항 분석과 설계 단계에서부터 신뢰성 요소를 종합 고려해야 한다”면서 “인터넷전문은행, 스마트 그리드, 스마트카, 의료자동화기기 등 사이버물리시스템이 늘어나 정보보증 중요성이 더욱 커진다”고 덧붙였다.
서정택 CPS 보안워크숍 운영위원장(순천향대 정보보호학과 교수)은 “북한 등 사이버테러 단체는 국가기반시설을 포함한 CPS시스템을 표적으로 한다”면서“CPS 운영환경에 특화한 보안 기술 개발과 적용이 절실하다”고 말했다.
한국정보보호학회는 7월 기존 `그린 IT융합보안연구회`를 `CPS보안연구회`로 바꿨다. CPS보안연구회는 전력, 원자력, 교통, 수자원 시스템 내의 보안, 정보보증, 보안성 평가 프로그램 등을 연구한다.
김인순 보안 전문기자 insoon@etnews.com