- 시만텍, IoT 통신/기기 보안·기기 지속관리·분석기반 시스템 인지 역량 강조

[디지털데일리 이유지기자] “사물인터넷(IoT) 환경에서는 보안이 ‘내재화’돼야 합니다.”

시만텍이 IoT 시대 보안 패러다임으로 ‘내재화된 보안(Intrinsic Security)’을 제시했다.

브라이언 위튼(Brian Witten) 시만텍 사물인터넷 부문 수석이사는 3일 싱가포르에서 열린 아시아태평양·일본지역 미디어 행사에서 “IoT·클라우드 시대의 보안 방식은 PC·데이터센터 시대의 방식과는 크게 달라져야 한다”며 “IoT 환경에서는 기존에 적용해온 ‘외적보안(Extrinsic Security)’이 아닌 ‘내적보안(Intrinsic Security)’을 구현해야 한다”고 강조했다.

그에 따르면, 지금까지는 PC와 서버 등 IT시스템이 제조·생산된 후에 보안을 추가로 적용하는 방식을 채택해 왔다. 하지만 IoT·클라우드 시대에는 기기와 서비스에 보안을 내재화해 설계단계에서부터 선제적인 보안을 적용해야 한다.

그 구현 방법으로 위튼 수석이사는 IoT 보안 레퍼런스 아키텍처를 소개했다. IoT 보안 아키텍처를 구축하려면 먼저 IoT 통신 보안과 기기 보안을 적용해야 한다. 또 지속적으로 기기를 보안관리 할 수 있는 방안이 필요하며, 고도의 분석 역량을 갖춰 시스템 자체를 잘 이해하는 것이 중요하다.

위튼 수석이사는 “IoT 환경은 센서와 디바이스, 게이트웨이, 클라우드·데이터센터로 구성된다”고 전제하고 “IoT 보안의 첫 단계는 통신(communication)을 보호하는 것부터 시작한다”고 말했다.

IoT 통신을 보호하기 위한 방안으로는 ‘암호화’와 ‘인증’을 꼽았다. 그는 “IoT 기기의 배터리 소모 등을 이유로 암호화 기술을 사용할 수 없어 보안을 내재화하기 힘들다고 하지만 실제로 배터리나 전력을 거의 소모하지 않는 암호화 기술이 존재한다”고 설명했다. 그 사례로 ECC(Elliptic Curve Cryptography) DSA(Digital Signature Algorithm)를 들었다.

또한 위튼 수석이사는 “IoT 기기는 게이트웨이를 거쳐 데이터센터까지 연결돼 통신이 이뤄지지 때문에 인증이 아주 중요하다. 암호화된 인증을 적용하지 않을 경우에는 안전성 여부를 검증할 수 없다”고 지적했다. 더불어 “IoT 인증을 위해서는 별도의 IoT 최상위인증기관(CA)이 필요하다”는 점도 덧붙였다.

기기 자체를 보호하기 위한 방안으로는 ‘코드사이닝(Code Signing)’과 ‘호스트 기반 보안’을 지목했다. 이 가운데 ‘호스트 기반 보안’은 시그니처 기반이 아니라 화이트리스트 및 정책 기반으로 허용된 것만 구동되도록 해야 한다고 강조했다. 예를 들어 IoT 기기에서 서명(사이닝)된 허용 애플리케이션만 실행할 수 있어야 한다는 것이다. 아울러 반드시 신뢰할 수 있는 환경에서 데이터가 오갈 수 있도록 해야 한다고 설명했다.

위튼 부사장은 “지능화된 공격에 대응하기 위해서는 업데이트 등의 지속적인 보안관리 메커니즘이 운영돼야 하며, 머신러닝(기계학습) 등을 구동해 스스로 학습하고 분석할 수 있는 역량을 갖춰 시스템 자체를 이해할 수 있도록 해야 한다”는 점도 강조했다.

이어 그는 “IoT 보안을 위해서는 ‘시큐어부팅(Secure Booting)’이 지원되는 칩셋, 보안이 적용돼 있는 하드웨어를 사용해야 하며, 코드사이닝과 운영체제(OS)를 보호할 수 있는 호스트 보안 장치를 마련해야 한다. 또 언제든 안전하게 펌웨어 등을 업데이트할 수 있는 관리 방안이 필요하다. 시스템의 무결성을 확인하고 비정상 행위를 판별할 수 있는 체계도 운영돼야 한다”고 제안했다.

위튼 수석이사는 “시만텍은 암호화, 인증, 코드사이닝을 비롯해 IoT CA까지 IoT 환경의 통신 보호과 기기 보호 기술을 지원하고 있다”면서 “현재 세계 3대 자동차 제조사들과 협력하고 있으며, ATM·공유기·POS(Point of Sales) 등 10억개 넘는 기기에서 보안을 제공한다”고 내세웠다. 시만텍은 통신 보안과 기기 보안 기술 외에도 임베디드 IoT 보안 분석(Analytics) 기술을 개발, 현재 베타버전을 제공하고 있다.

현재 시만텍은 자동차산업과 의료산업, 산업제어시스템 분야에 가장 중점을 두고 IoT 보안 전략을 추진하고 있다.

<싱가포르=이유지 기자>yjlee@ddaily.co.kr