사물인터넷(IoT)은 인터넷으로 연결된 사물들이 정보를 주고받으며 소통하는 지능형 기술·서비스로, 차세대 성장 분야로 급부상하고 있다.

미국의 시장조사기관 가트너는 IoT 시장 규모가 2020년에 1조9000억 달러(약 1950조원)에 달할 것으로 전망했다. 기업들을 비롯해 정부에서도 사물인터넷 시장에 대한 투자를 아끼지 않고 있다.

사물인터넷은 이미 빠르게 확산되고 있다. 각종 웨어러블 디바이스를 비롯해 자동차, 가전제품 등에도 사물인터넷이 적용되고 있다.

하지만 보안이 담보되지 않은 사물인터넷은 재앙이 될 수 있다.

각종 센서와 이를 서버로 연결해주는 통신의 보안이 취약하다면 민감한 개인정보가 외부로 유출될 수 있다. 또 가전제품이나 자동차의 경우 중간자공격(MITM)으로 인해 치명적인 문제를 발생할 수 있다.

<딜라이트닷넷>은 사물인터넷 보안에 대한 트렌드와 이를 보호하기 위한 선결 조건 등에 대해 알아보고 사물인터넷 보안의 발전 방향을 살펴볼 계획이다.

<글 싣는순>

①사물인터넷 활성화, 선결과제는 보안
②사물인터넷 센서 통신을 보호하라
③보안업계, 사물인터넷 보안솔루션 개발 박차

사용자 삽입 이미지

사물인터넷의 확산이 기대됨에 따라 국내 보안업체들의 발걸음도 빨라지고 있다.

사물인터넷 보안위협이 현실화되고 있으며, 이에 따른 신규 시장이 열림에 따라 이를 선점해 나가겠다는 의도로 해석할 수 있다.

국내에서는 시큐아이, 펜타시큐리티, 마크애니, KTB솔루션 등이 시장에 참전했다. 이들은 각각 웨어러블 방화벽이나 보안게이트웨이와 같은 사물인터넷 센서보호를 위한 하드웨어를 비롯해 사물인터넷을 위한 암호화 솔루션도 내놓고 있다.

이들은 공통적으로 사물간 통신의 보호에 초점을 잡았다.

먼저 시큐아이는 사물인터넷 보안플랫폼 ‘시큐아이 IoT보안플랫폼’을 선보였다. 이 플랫폼에는  ▲사물인터넷 정보유출·해킹 방지 하드웨어 모듈 ▲경량 사물인터넷 시스템에 최적화된 암호모듈 ▲사물인터넷 보안 게이트웨이 ▲사물인터넷 센서 등 4종의 제품을 개발했다.

시큐아이는 개발완료된 ‘시큐아이 IoT보안플랫폼’ 4종을 기반으로 이동통신사업자, M2M사업자와 스마트가전 제조업체를 대상으로 영업·마케팅을 본격 시작하고, 사물인터넷 관련 산·학·관 표준화 기관을 통해 국내 사물인터넷 보안 표준화에도 적극 참여할 계획이다.

펜타시큐리티는 자사의 강점인 DB암호화 솔루션을 사물인터넷용 데이터 암호화 솔루션으로 확장하고 있다.

이 회사는 올해 초부터 데이터암호화플랫폼(DEP) 개발에 착수했다. DEP는 DB암호화 솔루션의 적용 범위를 자동차와 같은 사물인터넷 기기로 확대시킬 수 있는 기반이다.

이미 공개키기반구조(PKI)를 활용해 차량통신 보호 기술을 개발한 펜타시큐리티는 앞으로 출시되는 사물인터넷 기기에 대한 보호를 위해 DEP의 적용 범위를 넓혀갈 계획이다.

마크애니는 사물인터넷을 지원할 수 있는 전자서명 기술을 개발했다. 우리나라에서 전자서명 기술이라고 하면 공인인증서를 많이 떠올린다. 공인인증서는 PKI 기술을 기반으로 부인방지를 위한 본인확인 기능과 전자서명 기능이 함께 탑재돼 있다.

또 개인신용정보와 같이 소량의 데이터를 PKI 기술로 전자서명하는 것은 쉽다. 하지만 사물인터넷 단말기들이 쏟아내는 수많은 데이터에 PKI 기술을 적용하는 것은 다른 문제다. 적합한 성능을 뽑아내기 위한 비용의 문제와 함께 키 관리도 무시할 수 없다.

전자서명은 사물인터넷 보안에 핵심적인 역할을 할 수 있다. 기기간 통신을 하기 전 전자서명의 여부를 판단해 수행 여부를 결정할 수 있기 때문이다. 인증을 통한 통신보안이 이뤄지므로 중간자공격과 같은 위협에도 안전하다.
사용자 삽입 이미지

KTB솔루션은 최근 웨어러블 방화벽 개발을 완료했다. 이 솔루션은 인가된 기기의 접근만을 허용하는 보안게이트웨이의 역할을 하게 된다.

웨어러블 방화벽은 게이트웨이로 구성돼 무선랜(Wi-Fi) 액세스포인트(AP) 기능 수행을 수행하게 된다. 이를 통해 기기와 서버간의 통신을 웨어러블 방화벽이 관장하게 되는데, 이 과정에 인증체계를 적용해 인가된 통신만 허용하게 했다.

이 회사 김태봉 대표는 “사물인터넷 보호의 핵심은 사물간 통신을 어떻게 보호할 것인가에 달렸다”고 강조했다.
2014/09/30 07:02 2014/09/30 07:02

사물인터넷(IoT)은 인터넷으로 연결된 사물들이 정보를 주고받으며 소통하는 지능형 기술·서비스로, 차세대 성장 분야로 급부상하고 있다.

미국의 시장조사기관 가트너는 IoT 시장 규모가 2020년에 1조9000억 달러(약 1950조원)에 달할 것으로 전망했다. 기업들을 비롯해 정부에서도 사물인터넷 시장에 대한 투자를 아끼지 않고 있다.

사물인터넷은 이미 빠르게 확산되고 있다. 각종 웨어러블 디바이스를 비롯해 자동차, 가전제품 등에도 사물인터넷이 적용되고 있다.

하지만 보안이 담보되지 않은 사물인터넷은 재앙이 될 수 있다.

각종 센서와 이를 서버로 연결해주는 통신의 보안이 취약하다면 민감한 개인정보가 외부로 유출될 수 있다. 또 가전제품이나 자동차의 경우 중간자공격(MITM)으로 인해 치명적인 문제를 발생할 수 있다.

<딜라이트닷넷>은 사물인터넷 보안에 대한 트렌드와 이를 보호하기 위한 선결 조건 등에 대해 알아보고 사물인터넷 보안의 발전 방향을 살펴볼 계획이다.

<글 싣는순>
①사물인터넷 활성화, 선결과제는 보안
②사물인터넷 센서 통신을 보호하라
③보안업계, 사물인터넷 보안솔루션 개발 박차


사용자 삽입 이미지


몇 년전 커피전문점에 있는 무선랜(Wi-Fi)를 쓰다가 인터넷뱅킹에서 쓰이는 금융정보가 모조리 털렸다는 기사가 화제가 된 적이 있다.

이는 서버와 클라이언트간의 데이터 전송을 중간에 가로채는 중간자공격(Man in the middle, MITM)에 대한 피해로 국내보단 해외에 보다 많은 피해가 발생되고 있는 것으로 조사됐다.

공격자는 사용자의 클라이언트(웹브라우저)와 서버(금융사 서버)사이에 끼어들어 사용자가 입력한 로그인 정보를 훔쳐내는 것뿐만 아니라 금액을 입력하는 폼 등의 양식을 변경해 웹브라우저에 표시한다.

사용자는 바른 화면이라고 생각해 정보를 입력하지만 실제로는 공격자의 계좌로 금전을 전송하게 되는 방식이다. 이러한 문제가 불거지자 금융사들은 모두 EV SSL, 일명 녹색창을 도입하며 대응책을 마련했다.

이러한 MITM이 사물인터넷에 가장 강력한 위협이 될 것으로 예측된다. 웹서비스와 달리 사물인터넷은 기기에 대한 보안을 해결할 수 있는 방법이 그리 많지 않기 때문이다.

최근 글로벌 시장에서 문제가 된 사물인터넷 보안사고를 살펴보자.

지난해 10월 러시아 국영방송은 국내 전자제품 도매상이 수입한 중국산 다리미 일부 제품에서 와이파이로 동작하는 해킹 장치가 발견됐다고 보도했다.

다리미 설명서에 공개된 무게와 실측 무게가 다르다는 것을 의심한 도매상이 이를 의심해 분해한 결과 발견된 것이다. 이 모듈은 공개된 와이파이 네트워크에 접속해 악성코드를 유포하는 것으로 조사됐다.

같은해 블랙햇에서 공개된 티비싱(TVshing=TV+Smishing)도 중간자공격을 사용한 공격기법이다. 티비싱은 TV와 셋톱박스의 통신을 가로채 원래 방송 자막 대신 공격자가 원하는 자막을 송출하는 기법이다. 즉, 통신판매 사업자가 송출하는 계좌번호 자막을 공격자의 계좌번호로 바꾼 뒤 전송하는 등의 공격이 가능해진다.

냉난방시스템 통제에 쓰이는 셋톱박스가 디도스(분산서비스 거부, DDoS) 공격에 악용된 사례가 국내에서도 발견됐다.

국내 A사는 올해 초 강력한 디도스 공격을 받았다. 한국인터넷진흥원(KISA)이 공격을 가하는 진원지를 탐색한 결과 충격적인 결과가 나타났다. 모 대학 네트워크에서 감행된 디도스 공격이 PC같은 단말이 아니라 냉난방통제시스템용 셋톱박스에서 이뤄졌기 때문이다. 공격자는 셋톱박스에 들어있는 네트워크타임프로토콜(NTP)의 취약점을 악용해 공격에 사용한 것으로 조사됐다.

앞서 일련의 사고 사례들은 공통적으로 사물인터넷 기기들에 대한 상호인증 과정이 없었기 때문에 발생한 것이다. 서버가 보안이 담보되지 않은 기기들과의 통신을 무조건적으로 허용했기 때문이다.

이러한 사고를 예방하기 위해서는 사물인터넷에 쓰이는 센서들에 대한 보호가 우선시 돼야 한다. 서버와 클라이언트와의 통신에서 가장 선두에 서 있는 것이 센서이기 때문이다.

중간자공격에 활용되는 것도 센서다. EV SSL과 같은 보호체계가 센서 생태계에는 없을 뿐더러, 소형화를 위해서 만들어진 센서에 보안에 대한 대책이 있을리 만무하기 때문이다.

이때문에 최근에는 초소형 방화벽이나 침입방지시스템이 국내외 업체들로부터 나오고 있다. 센서를 보호하는 것이 사물인터넷 보안을 위한 최선의 방침이란 것을 인지하게 된 것이다.

보안업계 관계자는 “사물인터넷 보안에서 가장 중요한 것이 센서를 보호하는 것”이라며 “이를 위해서는 게이트웨이를 먼저 보호해야 한다. 그 전까지는 대안이 없다”고 말했다.
2014/09/30 07:01 2014/09/30 07:01
사물인터넷(IoT)은 인터넷으로 연결된 사물들이 정보를 주고받으며 소통하는 지능형 기술·서비스로, 차세대 성장 분야로 급부상하고 있다.

미국의 시장조사기관 가트너는 IoT 시장 규모가 2020년에 1조9000억 달러(약 1950조원)에 달할 것으로 전망했다. 기업들을 비롯해 정부에서도 사물인터넷 시장에 대한 투자를 아끼지 않고 있다.

사물인터넷은 이미 빠르게 확산되고 있다. 각종 웨어러블 디바이스를 비롯해 자동차, 가전제품 등에도 사물인터넷이 적용되고 있다.

하지만 보안이 담보되지 않은 사물인터넷은 재앙이 될 수 있다.

각종 센서와 이를 서버로 연결해주는 통신의 보안이 취약하다면 민감한 개인정보가 외부로 유출될 수 있다. 또 가전제품이나 자동차의 경우 중간자공격(MITM)으로 인해 치명적인 문제를 발생할 수 있다.

<딜라이트닷넷>은 사물인터넷 보안에 대한 트렌드와 이를 보호하기 위한 선결 조건 등에 대해 알아보고 사물인터넷 보안의 발전 방향을 살펴볼 계획이다.

<글 싣는순>
①사물인터넷 활성화, 선결과제는 보안
②사물인터넷 센서 통신을 보호하라
③보안업계, 사물인터넷 보안솔루션 개발 박차

사용자 삽입 이미지

현재 글로벌 IT시장은 사물인터넷(IoT)과 같이 새로운 디지털 비즈니스에 주목하고 있다. 가트너 등 시장조사 업체들은 오는 2020년에는 500억개의 사물(물건)이 서로 연결되는 세상이 올 것으로 전망하고 있다.

애플, 구글, 삼성전자 등 주요 글로벌IT기업들도 사물인터넷에 초점을 잡고 다양한 제품과 서비스를 속속 출시하고 있다.

하지만 해커 입장에서 사물인터넷은 너무나도 맛있는 먹잇감이 될 수 있다. 인터넷에 연결되는 사물이 많아지고 이에 대한 관문도 함께 열려있기 때문이다.

가령 자동차와 자동차간 통신이 이뤄질 경우 이 통신이 허위일 경우 발생할 위험, 또 관제센터에서 잘못된 센서 정보를 수집해 운전 중인 자동차의 에어백을 터뜨릴 경우 등의 사고를 예측할 수 있다.

최근 1년간 사물인터넷을 통해 발생한 보안사고들을 살펴보자.

먼저 지난해 보안카메라 전문업체 트렌드넷이 미국 연방통상위원회(FTC)로부터 제재를 받는 사건이 발생했다. 트렌드넷의 유아용 CCTV가 보안에 취약하다는 지적이 나왔기 때문이다.

이 회사는 제품에 보안상 문제가 없다고 주장했으나 실제 조사결과 소프트웨어의 결함으로 인해 인터넷 주소만 알면 누구든지 보안을 우회해 온라인으로 영상과 음성을 도감청할 수 있는 것으로 나타났다.

실제로 FTC 조사결과 인터넷 상에서 약 700개의 CCTV에서 촬영 중인 실시간 영상링크가 유포되고 있었으며, 유출된 영상에는 곤히 잠든 아기의 모습부터 뛰노는 아이들, 그리고 어른들의 일상적인 생활까지 고객 수백명의 사생활이 모두 담겨 있었다.

주목해야 할 부분은 이 회사의 CCTV가 악성코드에 감염되거나 해킹을 당한 것이 아니고, 단순히 방법만 안다면 누구나 쉽게 장치에 접근할 수 있다는 취약점이 있었을 뿐이라는 점이다.

또 지난해 10월에는 인터넷 기반 장치를 검색할 수 있는 ‘쇼단(Shodan)’이라는 검색 엔진이 처음으로 등장했다.
이를 사용하면 난방 제어시스템과 정수 처리장, 자동차, 신호등, 태내 심장 모니터, 발전소 제어장치와 같은 다양한 디바이스를 찾아낼 수 있다.

이 장치를 통해 검색할 수 있다고 해서 해당 디바이스가 보안에 취약하다고 할 수는 없지만, 다른 취약점을 악용해서 공격하고자 하는 해커로 하여금 디바이스를 찾아내는 작업을 수월하게 해 줄 수 있다.

이는 사물인터넷이 빠르게 도입되고 있는만큼 새로운 보안 위협이 대두되고 있음을 시사한다. 특히 네트워크에 연결되어 있는 자동차, TV, 냉장고와 같은 주요 사물인터넷 기기가 보안 위협에 노출돼 있는 등 위협이 실제화되고 있어 앞으로 사이버범죄자에게 봇으로 악용될 수 있을 것으로 보고 있다.


제품의 기능과 서비스가 아무리 좋더라도 개인정보유출과 같은 보안사고가 발생한다면 성공하기는 불가능하다. 사물인터넷의 활성화는 반드시 보안문제를 해결한 뒤에야 가능할 것이다.
2014/09/30 07:00 2014/09/30 07:00
사용자 삽입 이미지

새로운 와이파이 다이렉트 인증 프로그램 서비스로 인해 스마트홈 구축이 확산될 것으로 기대되고 있다. 이번에 발표된 기술을 활용하면 보다 쉽고 빠르게 구축이 가능해지기 때문이다.

와이파이얼라이언스(Wi-Fi Alliance)가 와이파이 다이렉트(Wi-Fi Direct) 인증 프로그램의 신규 서비스를 18일 발표했다.

신규 서비스는 총 4종으로 다음과 같다.

▲Wi-Fi Direct Send - 하나 이상의 기기가 최소한의 사용자 개입만으로 쉽고 빠르게 콘텐츠를 전송 및 수신할 수 있다.

▲Wi-Fi Direct Print - 단 하나의 명령으로 스마트폰, 태블릿, PC 등에서 바로 문서를 인쇄할 수 있다.


▲Wi-Fi Direct for DLNA - DLNA 상호연동성 가이드라인을 지원하는 기기들 간 콘텐츠 스트리밍을 위한 연결 전에 상호 탐색이 가능하다.  

▲Miracast - 와이파이 다이렉트의 업데이트된 디바이스 및 서비스 탐색 메커니즘을 기기에 탑재함으로써 스크린 미러링 및 디스플레이를 한번에 실행한다.

스마트홈을 계획하고 있는 사람이라면 DLNA를 위한 와이파이 다이렉트와 미라캐스트에 주목해야 한다.

먼저 와이파이 다이렉트에 대해 알아보자. 와이파이 다이렉트는 와이파이를 지원하는 기기간 직접 접속을 할 수 있는 통신 방법이다. 최대 200m 앞에서 기기끼리 선없이 직접 연결할 수 있으며 데이터 전송 속도도 최대 300Mbps를 넘어선다. 보안에 있어서는 WPA2 방식을 지원하며 802.11 a/b/g/n망과도 호환이 된다
사용자 삽입 이미지

나스(Network Attached Storage, NAS)를 사용하는 사람이라면 DLNA에 대해 한번쯤은 들어봤을 것이다. 나스에 저장된 콘텐츠를 스마트TV 등으로 볼 수 있는 기술이 바로 DLNA다.

그러나 DLNA를 사용하기 위해서는 반드시 이를 위한 플러그인의 설치가 필요하며, 이와 연결되는 PC나 스마트TV와의 설정도 만져줘야 한다. 이 때문에 대부분의 사용자들은 귀찮음과 난해함을 이유로 이를 포기하게 된다.

만약 나스나 인터넷공유기, 스마트TV에 DLNA를 위한 와이파이 다이렉트 기능이 탑재됐다면 이러한 문제는 모두 사라진다. 그저 나스에 콘텐츠를 저장하고 스마트TV를 켜면 자동으로 DLNA가 활성화되기 때문이다.

이에 대해 스콧 로프그렌(Scott Lofgren) DLNA사장은 “DLNA는 2011년부터 상호연동성 가이드라인에 와이파이 다이렉트를 포함시켜 왔다”며 “와이파이 얼라이언스와 협력하여 와이파이 다이렉트의 신규 기능을 지원하게 되어 기쁘다. 와이파이 다이렉트는 DLNA 애플리케이션을 사용하는 소비자들이 다수의 스크린 상에 콘텐츠를 더욱 쉽게 전송, 수신, 디스플레이할 수 있도록 해줄 것이다”고 말했다.

또 켈리 데이비스 펠너(Kelly Davis-Felner) 와이파이얼라이언스 마케팅 부사장은 “기존에도 와이파이 상황에서 DLNA기능은 사용할 수 있었다. 하지만 이번에 추가된 기능은 기존과는 다르다. 연결만 하면 모든 설정이 알아서 수립된다. 탐색, 연결, 실행(Discover, Connect and Do)이 한번에 진행된다는 의미”라고 강조했다.

미라캐스트 기능도 DLNA와 동일하게 적용할 수 있다. 크롬캐스트를 예로 들어보자. 현재 크롬캐스트는 ‘TV-스마트폰-크롬캐스트’의 연결이 필요하며 스마트폰에서 이를 직접 설정해줘야 가능하다.

하지만 와이파이 다이렉트가 접목되면 별도의 설정없이도 즉각 미러링이 가능해진다. 안방에서 쓰던 크롬캐스트를 거실에서 쓸 때도 별도의 설정없이 사용된다.

관건은 제조사들의 참여다. 제조사들이 이 기능들을 빨리 적용하면 할수록 스마트홈의 구축은 더욱 확산될 것으로 기대된다.
2014/09/18 15:58 2014/09/18 15:58