“디지서트는 전세계 IoT 보안에 대한 강력한 의지를 갖고 있다. IoT 기기가 급증함에 따라 이에 대한 보안문제는 이제 우리 생활에 실존하는 문제로 대두되고 있다. IoT 보안은 정부 규제당국과 제조사 그리고 디지서트와 같은 보안기업들의 협업이 가장 중요하다. 한국도 IoT 보안 문제에 대해 공감하고 해결하는 노력이 필요하다. 디지서트가 적극적으로 지원해 나가겠다. 디지서트는 글로벌 IoT 보안에서 가장 높은 확장성을 확보하고 있는 전문 기업이다. 물론 한국 IoT 보안을 위해 지원할 수 있는 인프라를 확보한 유일한 기업이라고 할 수 있다. IoT 제조사들의 보안 인식 제고와 적극적인 동참이 절대적으로 필요하다.” –마이크 넬슨(Mike Nelson) 디지서트 IoT 보안담당 부사장-
신원 확인(ID)과 암호화를 위한 TLS/SSL, PKI(공개키 기반구조) 및 IoT(사물인터넷) 보안 솔루션 분야의 글로벌 전문기업 디지서트(DigiCert. 나정주 지사장)가 23일 기자간담회를 열고 IoT 보안 과제와 글로벌 트렌드 그리고 디지서트가 제시하는 최신 IoT 보안 전략 및 솔루션에 대해 소개하는 시간을 가졌다.
이 자리에 참석한 마이크 넬슨 디지서트 IoT 보안담당 부사장은 IoT 보안이 왜 시급한 당면과제인지 몇 가지 사례를 들었다.
▷2015년 C사가 차량에 사용하는 IoT 인포테인먼트 데시보드를 개발했다. 하지만 원격에서 해킹이 가능한 것으로 드러났다. 차량 내부 네트워크로 침입해 와이퍼를 조작하고 차량도어를 제어하고 브레이크와 엑설레이터까지 원격 조작이 가능했다.
▷유명 의료장비 제조사에서 개발한 심장박동기가 원격 해킹이 가능한 것으로 조사됐다. 해커는 원격에서 심장박동기를 조작해 환자를 사망에 이르게 할 수 있었다.
두 사례 모두 자동차 제조사와 의료장비 제조사들이 IoT 기기에 대한 보안을 제대로 하지 않아 발견된 취약점들이다.
마이크 넬슨 부사장은 “IoT 보안위협은 실질적인 위협으로 우리 앞에 다가왔다. 네트워크와 연결되는 기기들을 신뢰할 수 있도록 하는 인증, 데이터 암호화와 무결성이 무엇보다 중요하다. 데이터가 위변조 된다면 치명적인 사고로 이어질 수 있기 때문이다”라며 “글로벌에서도 IoT 보안표준을 만드는 작업과 정부의 규제 및 제조사와 디지서트의 협업이 강화되고 확대되고 있다”고 밝혔다.
영국, 미국, 독일, 일본 등 많은 국가들이 IoT 기기 제조사들이 디폴트 패스워드를 사용하지 못하도록 의무화하고 있으며 PKI 인증서를 적용해 보안을 강화하도록 규제하고 있다. 물론 한국도 이제 초기 단계이지만 IoT 보안 체계를 만들기 위해 KISA 등 관련 기관들이 노력하고 있다. 특히 한국은 5G 기술선도 국가로 IoT 보안 체계 확립은 반드시 필요한 상황이다.
마이크 부사장은 이에 대해 “IoT 보안 규제를 만들 때 중요한 것은 정부에서 하이레벨만 공표하고 나머지 세부적인 사항은 제조사들과 보안기업 등이 협업해서 만들어야 한다. FDA도 의료장비 제조시 의료장비와 네트워크가 연결될 때 디지털 인증을 해야 한다 정도만 규정하고 있고 나머지 표준이나 방식은 제조사와 디지서트와 같은 보안기업들과 협업해서 만들어 가고 있다”고 강조했다. 즉 정부에서 너무 세부적인 규정을 만들면 안 된다는 것이다.
이어 “디지서트는 PKI 분야에서 전세계 리더기업이다. 이를 기반으로 한 IoT 보안도 리딩하고 있다. IoT 제조사들 제조 공정을 바꿔가며 보안을 하는데 부담을 느끼고 있기 때문에 기기에 들어가는 칩에 디지서트 인증서를 적용해 제조사 입장에서는 간편하고 안전하게 IoT 기기 보안을 적용할 수 있도록 제공하고 있으며 기하급수적으로 증가하고 있는 IoT 기기에 보안을 확장해 나갈 수 있는 확장성에서 디지서트는 글로벌에서 독보적인 리더십을 발휘하고 있다. 디지서트의 확장성과 규모를 보고 글로벌 IoT 제조사들이 디지서트와 협업을 진행하고 있다”고 덧붙였다.
디지서트 PKI는 현재 글로벌 IoT 컨소시엄에 도입되고 있다. 케이블랩스(CableLabs)는 케이블 제조사연합으로 셋탑박스를 만드는 기업들 연합이다. 셋탑박스를 통해 전달되는 컨텐츠를 보호하기 위해 디지서트 PKI를 도입했다. 현재 5억개 셋탑박스의 보안을 책임지고 있는 것이다.
에어로맥스(AeroMACS)는 공항과 항공기 제조사들 연합이다. 지상공항 장비들과 비행기간 상호 통신 데이터의 위변조를 차단하고 보안유지와 데이터 무결성을 확보하기 위해 디지서트 PKI를 사용하고 있다.
이외에도 디지서트는 스마트TV 표준을 만드는데 ‘CI+’와 협업을 하고 있고 글로벌 IoT 기기 제조사 연합과 USB 제조사들과도 IoT 보안을 위한 협업을 진행하고 있다.
즉 IoT 보안 확장성에서 기기 제조사들로부터 신뢰를 확보한 상태이며 이러한 협업은 더욱 확대될 것으로 디지서트 측은 보고 있다.
특히 제조사들이 IoT 장비를 제조할 때 인터넷 라인을 연결하는 것을 두려워한다. 제조라인에 문제가 발생할 수 있기 때문이다. 그래서 장비에 인증서를 등록하는 것을 꺼려하는 이유다. 디지서트는 이 문제를 해결하기 위해 칩 제조사와 협력해 칩에 미리 인증서를 적용해 IoT 제조사에 공급할 수 있도록 하고 있다. IoT 제조사들은 공정라인에 안전성을 확보하면서 IoT 기기에 보안도 강화할 수 있어 향후 확대될 전망이다.
IoT를 위한 디지서트 PKI 플랫폼
이어 나정주 지사장은 디지서트 PKI(Public Key Infrastructure: 공개키 기반구조) 플랫폼에 대해 “디지서트 PKI 플랫폼은 기업이 강력한 인증, 암호화 및 디지털 서명 응용 프로그램을 구동하는데 사용되는 디지털 인증서를 신속하게 발급, 갱신 및 폐기할 수 있는 서비스”라며 “IoT 효율성, 자동화 및 고성능을 지원하는 입증된 솔루션으로, 스마트 기기, 산업용 센서, 제조 시스템 및 의료 장비에 대한 관리 및 데이터 보안 보호 기능을 제공한다”고 설명했다.
디지서트 PKI로 보호할 수 있는 장치로는 △서버 △홈 보안 시스템 △웨어러블 및 피트니스 장치 △산업 및 자동화 제조 장비 △웨어러블 및 피트니스 장치 △로봇 공학 △스마트 장치 및 홈 자동화 시스템 △와이파이 핫스팟 △의료 기기 및 장비 등이다.
또 나 지사장은 IoT를 위한 디지서트 PKI 플랫폼을 활용해 수십억 개의 인증서를 준비, 발급, 갱신 및 폐기 가능하다. 인증서 키의 안전한 저장 및 관리 지원, 기업 맞춤형 인증서 프로필 제공, 대용량 인증서 자동 구축, 취약점 검색 및 문제 해결 방안 제시, 네트워크 분석 및 보고서 제공, REST API, 웹 서비스를 통한 인증서 자동 발급, 암호화 곡선, 알고리즘 및 해시 업데이트 등이 가능하다고 전했다.
끝으로 마이크 부사장은 “디지서트는 한국의 IoT 보안을 위해 인프라와 제품, 컨설팅 서비스까지 모두 지원할 수 있다. 지속적으로 KISA와 협력관계를 유지해 나갈 것이며 IoT 제조사들과 협력도 확대해 나갈 계획”이라며 “제조사들도 제품을 빨리 출시하는데만 신경쓰기 보다는 IoT 기기 보안에 대한 관심과 노력을 기울여야 한다. 향후 보안문제가 발생해 이를 해결하고 복구하는데는 더 많은 시간과 비용이 들어간다는 것을 알아야 한다. IoT 보안에 확장성과 인프라를 확보하고 있는 디지서트와 많은 협력 관계를 맺길 바란다”고 전했다.
추가로 IoT는 프라이빗 보안으로 구분된다. 브라우저와 연결이 안되기 때문이다. 따라서 IoT에서는 PKI가 유연하게 적용될 수 있다. 제조사가 원하는 대로 신뢰수준을 줄 수 있고 유효기간도 정할 수 있다. 인증서 프로파일을 제조사가 제품 성격에 맞게 조절할 수 있다는 것이다. 즉 신뢰도가 높아야 하는 IoT 기기에는 보안강도를 높이고 그렇지 않은 간단한 기기에는 상대적으로 낮은 단계를 적용하면 된다.