2016년 ICT 산업 10대 이슈 - 6. IoT 보안 위협

[전영필(창원)]

2016년 ICT 산업 10대 이슈

정보통신기술진흥센터

Institute for Information & communications Technology Promotion

1. IoT 생태계 패권 경쟁 본격화

2. 자동차, ICT로 무한진화

3. 모바일로 활성화되는 핀테크 시장

4. 상업용 드론의 활용 본격화

5. 차세대 ICT의 Brain – 인공지능(AI)

6. 급증하는 IoT 보안 위협

7. 일상으로 다가온 지능형 로봇

8. 모방에서 창조로 변화하는 중국 ICT

9. 제2의 전성기를 맞이한 배터리

10. 모바일 헬스케어 본격화

6 급증하는 IoT 보안 위협

요 약

IoT 관련 신제품과 새로운 서비스가 연이어 출현하는 등 IoT 시장이 본격적으로 개화하고 있으며, 이에 따라 IoT에 연결되는 사물도 엄청난 속도로 증가하고 있으나, 최근 수년간 IoT 보안의 심각성을 보여주는 많은 사례가 보고되고 있음. 기존 인터넷 시대에 비해 보안에 취약한 공격 대상이 더욱 확대될 전망이어서 이를 보호하는 것이 큰 도전으로 대두

이슈의 중요성 / 날로 커져가는 IoT 보안 위협

■ 선정 배경

○ 기존 보안 위협 공격 증대와 IoT 시장 확대

‒ 최근 들어 DDoS 공격이 증가 추세를 보이고, 악성코드 유포가 증가하고, 클라이언트와 서버 간의 시간 동기화를 위해 사용되는 NTP 프로토콜에서 DDoS 취약점이 발견되는 등 보안 공격 빈도 증가와 보안 취약점 증대로 보안에 대한 우려가 커지고 있음

그림 Ⅱ-6-1 보안 침해 사고 추이

< 2014년 주요 침해 사고 >

< 국내 인터넷 침해 사고 추이 >

자료: 국가정보화백서, KISA

‒ 이러한 가운데, IoT 관련 신제품과 새로운 서비스가 연이어 출현하는 등 IoT 시장이 본격적으로 개화하고 있으며, 이에 따라, IoT에 연결되는 사물도 엄청난 속도로 증가하고 있음

※ Gartner는 2020년에는 IoT 연결기기가 250억 개에 이르고, Cisco는 2030년에 이르면 500억개로 증가할 것으로 예측

그림 Ⅱ-6-2 IoT 시장 확대 및 보안환경 변화

< IoT 연결기기 급증 >

< 보안 패러다임 변화 >

자료: Gartner(2014-2020년), Cisco(2020-2030년), KISA

○ IoT 보안 환경 변화

‒ IoT 환경에서는 기기 등의 연결방식, 네트워크, 사물의 속성에 이르기까지 다양한 환경조건들이 존재하며, 따라서 기존 인터넷 시대에 비해 보안에 취약한 공격 대상이 더욱 확대되어 있어 이를 보호하는 것이 큰 도전으로 대두

※ 인터넷과 같은 공용네트워크, 사설네트워크, RFID 기반의 센서네트워크, 3G/4G LTE 등 다양한 네트워크가 사용

※ IoT 기기는 경량‧소형화, 저전력화, 가격 제약 등의 요인에 따라 CPU, 메모리 등 성능 제한이 크고, 소프트웨어 업데이트 및 관리가 곤란하고, 제한적 연산능력 등으로 기존 보안 기술의 적용이 곤란

※ 개인정보는 허가받지 않은 공격자의 단말 조작이나 단말에서의 HW‧SW 처리 시, 데이터의 전송 과정, 혹은 저장장치에서, 데이터 처리 등 어느 단계에서도 누출될 가능성이 존재

‒ 즉, 그 동안 PC, 모바일 기기 등으로 한정되었던 보호대상이 IoT 시대에는 IoT에 연결되는 모든 사물로 확대되고, 따라서 기존의 고전력, 고성능의 보호대상이 향후에는 기존 보호대상은 물론 초경량, 저성능의 사물로 대폭 확대되는 등 보안 패러다임의 변화를 맞이하고 있음

■ IoT 보안 위협과 대응 방안

○ IoT 보안 위협

‒ 현재의 IoT 보안 상황은 매우 우려할 만한 수준인데, HP의 자료에 의하면, IoT 기기의 70%가 패스워드 보안, 승인, 암호화 측면에서 취약점을 갖고 있으며, Cisco의 보안 전문가는 IoT 적용 분야가 너무 방대해 시나리오별로 보안 분석을 수행하기도 어려운 지경이라고 진단

‒ 이러한 상황에서 최근 수년간 프라이버시 침해 가능성이나 공공 안전 및 개인 생명에 대한 위협 가능성 등 IoT 보안의 심각성을 보여주는 많은 사례가 보고되고 있는데, 해킹 대상이 전 생활과 산업 영역으로 넓어져, 제조공장, 전력망, 자동차, 의료기기, 가정에 이르기까지 광범위한 영역이 악의적인 해커들의 목표물이 될 가능성이 증대

※ 미 보안기업 IID는 수년 안에 IoT 기기를 통한 사이버 살인범죄가 발생할 가능성이 있다고 전망하고, 실제 IoT 기기의 보안 취약점 정보를 거래하는 암시장이 존재하며, 온라인 살인의 현실화는 시간문제라고 주장

‒ 의료기기 분야에서는 최근 미국 FDA가 약물주입펌프의 사용중지를 권고하였으며, 자동차 분야에서는 해킹에 의해 테슬라 전기차가 주행 중 시동이 꺼지는 현상이 시연되는 등 IoT 보안에 대한 우려가 커지고 있는데, 지금까지는 해킹 등으로 인해 보안 위협이 개인정보 유출, 금전상 손해 정도로 그치는 경우가 많았으나, IoT 환경에서의 보안 사고는 사회적 재해나 인명 사고로 이어진다는 데 문제의 심각성이 있음

표 Ⅱ-6-1 대표적 IoT 보안 위협 사례 

분 야	내 용
의료 기기	- ’15년 8월, 최근 미국 FDA가 사이버 보안 위험을 이유로 약물, 수액 등을 자동으로 환자에게 주입하는 약물주입펌프의 사용중지를 권고 - ’12년 블랙햇 보안 컨퍼런스에서 해커가 800미터 밖에서 인슐린 펌프를 조작하여 치명적인 복용량을 주입할 수 있음을 증명
자동차	- ’15년 8월, 테슬라 전기차가 해커의 공격으로 주행 중 시동이 꺼지는 현상이 시연. 실험에 참여한 해커들은 시동은 물론 감속, 계기판조작, 음악재생, 창문열기 등을 마음대로 조작 - 스페인 출신 해커 팀이 차량네트워크에 침투할 수 있는 조립 회로보드(20달러)를 공개, 이를 통해 자동차업체가 컴퓨터시스템 검사를 위해 엔진내부에 설치한 차량용 제어구역네트워크(CAN)에 접근하여 브레이크 조작, 방향 설정, 경보장치 해제 등이 가능
스마트가전	- ’14년 9월, 서울 ‘ISEC 2014’에서 블랙펄 시큐리티는 로봇청소기 원격조종을 위해 필요한 앱의 인증방식 취약점과 로봇청소기에 연결되는 AP의 보안 설정상의 취약점 등을 이용‧해킹하여, 로봇청소기에 탑재된 카메라로 실시간 모니터링이 가능하다는 것을 시연
공유기	- ’14년 3월, 보안컨설팅 업체인 Team Cymru는 해커들이 D-Link, Tenda, Micronet, TP-Link 등이 제조한 약 30만 개의 공유기를 해킹했다고 경고
교통	- 보안업체 IOActive Labs가 Sensys Networks의 도로차량 감지기술을 조사한 결과, 광범위한 설계 및 보안 결함을 발견. 특히 공격자는 센서를 가장해 교통관리시스템에 위조 데이터를 전송하거나 신호등 같은 주요 인프라 통제가 가능
스마트TV	- ’13년 8월, 미국 라스베이거스에서 스마트TV에 탑재된 카메라를 해킹해 사생활 영상을 유출하는 시연이 열려, 인터넷에 연결된 가정기기의 보안 취약성을 노출

자료: 보안뉴스 등 각 언론매체 발표 내용 발췌, 재정리

○ IoT 보안 위협 대응 방안

‒ IoT 환경은 기존 PC, 모바일기기 중심의 사이버 환경과 달리 그 보호대상 범위, 대상 특성, 보안담당 주체, 보호방법 등에 있어 새로운 시각으로 접근해야 할 것임

‒ 따라서 센서․기기, 통신․네트워크, 플랫폼, 응용서비스로 구분하여 각각의 보안 대책은 물론 전체적인 관점에서 대응하는 한편, 프라이버시 보호를 위해서는 정보의 센싱,가공·처리·저장·활용 단계별로 프라이버시 보호 기능을 제공할 필요

‒ 이와 함께 새로운 보안 취약점이나 악성코드 발생 시에 이에 대한 신속한 탐지와 분석을 통해 대응체계를 마련할 수 있도록, 업체 간 경쟁보다는 정보공유를 통한 협력체계를 구성하는 등 침해대응 체계도 전면 개선해야 함

시장현황 및 전망 / IoT시장과 비례하여 보안 시장 확대

■ IoT 보안 산업 동향

○ (시장 전망) IoT 보안은 IoT 산업의 성장에 큰 영향을 미칠 주요한 요인임과 동시에 보안 시장 자체로도 성장성이 높은 유망한 산업 분야로 부각

‒ 미국 시장조사회사인 Technavio에 따르면, 글로벌 IoT 보안 시장은 향후 5년간 (2014년~2019년) 연평균 54.9% 성장할 전망

‒ 한국인터넷진흥원은 국내 융합보안 시장이 2010년 이후 2018년까지 연평균 32% 성장할 것으로 전망

○ (경쟁 구도) IoT 보안 시장은 글로벌 보안업체가 주도하고 있는 가운데, 국내 통신3사는 초기 IoT 시장을 주도하기 위해 자체 보안 솔루션 확보에 주력하고 있으며, 국내 보안업체는 IoT 보안 관련 사업부를 구성하고 향후 시장성을 파악하는 한편 본격 진입 시기를 저울질하고 있고, IT 업체들도 IoT 보안 사업을 확대하고 있고, 관련 보안 스타트업들도 잇달아 출현

‒ 국내 보안업체는 원천기술 부족으로 혁신적 제품보다는 기존 제품의 개선 수준에 머물러 있어, IoT 보안 기술 및 산업 주도는 쉽지 않은 상황에 놓여 있으며, 결국은 국내 IoT 보안 시장조차도 삼성전자 등 대형 IoT 제품 제조업체, SK텔레콤 등 대형 이동통신사, Cisco 등 글로벌 보안업체를 중심으로 치열한 주도권 경쟁이 이뤄질 것으로 전문가들은 예상

※ 보안기술 수준격차(%): 미국(100), 유럽(88.2), 일본(84.6), 한국(79.9), 중국(72.7) (출처: IITP)

○ (국내 정책 동향) 우리 정부는 경쟁국에 한 발 앞서 IoT 보안을 주도하기 위한 각종 정책을 수립‧발표하는 등 적극적 의지를 보이고 있어, 보안 산업에 긍정적인 기류가 조성

‒ 정부는 6월 ‘사물인터넷 산업 육성 지원’의 일환으로 ‘사물인터넷 정보보호 로드맵 3개년(2015-2017)’ 시행계획을 수립한 데 이어, 최근 ‘사물인터넷 공통 보안 7대 원칙’을 발표

※ 동 원칙에는 사물인터넷 제품·서비스의 기획부터 설계, 개발 시점부터 배포·설치, 운영, 관리, 폐기에 이르기까지 전 단계에 걸쳐 잠재적 보안 위협요소와 취약점을 자율적으로 점검해 보안을 내재화하는데 필요한 기본사항이 담겨 있음

표 Ⅱ-6-2 사물인터넷 공통 보안 7대 원칙

- 정보보호와 프라이버시 강화를 고려한 IoT 제품 및 서비스 설계

- 안전한 소프트웨어 및 하드웨어 개발기술 적용 및 검증

- 안전한 초기 보안 설정 방안 제공

- 보안 프로토콜 준수 및 안전한 파라미터 설정

- 사물인터넷 제품 및 서비스의 취약점 보안패치 및 업데이트 지속 이행

- 안전한 운영‧관리를 위한 정보보호와 프라이버시 관리체계 마련

- IoT 침해사고 대응체계와 책임추적을 확보할 수 있는 방안 마련

자료: 미래창조과학부(2015.06)

○ (주요국 보안 추진 동향) 미국, EU 등 주요국은 IoT를 둘러싼 산업 진흥과 이용자 보호를 함께 고려하는 제도적 지원을 검토

‒ 미국은 ’13년 트렌드넷의 CCTV 보안 결함 사건을 계기로 관련 지침 마련을 위한 공공‧민간 전문가 의견 수렴에 나서는 등 IoT 보안 정책 수립의 초기 단계에 진입

‒ 유럽에서는 기본적으로 권고사항 및 가이드라인 형태의 IoT 보안 지침을 통해 시장의 자율규제를 촉구하는 기조를 보이며, IoT 보안 기술개발 및 인증, 표준화 작업에 초점

‒ 중국은 IoT를 미래핵심 산업으로 육성시키기 위해 IoT 핵심 원천기술 확보의 일환으로 IoT 보안 강화를 도모

표 Ⅱ-6-3 주요국의 IoT 보안 추진 동향 

국가	주 요 내 용
미국	- IoT를 중심축에 둔 보안 정책이나 법제도가 아직 정립되지 않았으나, 특정 분야에 대한 사이버보안 강화 정책은 지속적으로 추진 중 - 백악관에서는 주요 기반시설을 겨냥한 사이버공격에 대응하기 위해 대통령 행정명령을 발동하고, 미국 NIST의 주도 하에 사이버보안 프레임워크를 수립(’13.2)
유럽	- EC(유럽위원회)는 IoT가 확산됨에 따라 보안 위협이나 사생활 침해 등의 부작용이 발생할 수 있음을 인지하고, 지속적인 공공-민간 의견수렴을 통해 필요한 제도적 기반을 준비 중 - 유럽 IoT 연구단(European Research Cluster on the Internet of Things)에서는 IoT와 관련된 전반적인 기술연구가 이뤄지고 있으며, 이 중에는 IoT 보안 관련 연구과제도 포함
중국	- ’11년 12월 중국 MMIT(공업정보화부)는 IoT 정책을 구체화한 ‘사물인터넷 12차 5개년 계획’을 공개하고, 원천기술 혁신, 산업 생태계 육성, 기술 응용 수준 제고 등의 목표를 설정 - 또한 사물인터넷 발전 10개 전문 행동계획을 수립하고, 핵심 보안기술 개발 및 보안 테스트 평가 플랫폼 구축을 추진하는 등 자국의 보안 역량 강화를 모색 중

자료: KISA 자료 발췌

2016년 예상이슈 / 보안공격 보편화 및 주도권 경쟁

■ (#1) IoT 기기에 대한 공격 보편화가 IoT 시장 성장에 미치는 영향에 주목

○ IoT 기기가 예상보다 빨리 증가하고 있으며, 다양한 산업에서 IoT 기기가 보편화됨에 따라 해커들의 구미에 맞는 대규모 공격 범위가 예상보다 빨리 형성

‒ 인텔 시큐리티가 ‘보안의 퍼펙트스톰이 다가오고 있다’고 주장한 바와 같이, 과연 IoT 기기에 대한 공격이 보편화되어 현실로 나타날 지가 주목되고 있으며, 또 이러한 경우 장밋빛으로 일관되고 있는 IoT 시장의 성장에 어떤 영향을 미칠 지가 주목되고 있음

그림 Ⅱ-6-3 IoT 기기에 대한 공격 보편화와 IoT 시장에 미치는 영향

 자료: IITP)

■ (#2) IoT 보안 시장 주도권 경쟁에 주목

○ IoT 보안 대상이 워낙 광범위하여, 보안업체는 물론 센서, 기기, 네트워크, 서비스 업체들 간의 협력이 매우 중요하며, 따라서 이들 간의 경쟁 및 협력 구도가 향후 어떻게 전개될 지가 주목되고 있으며, 아울러, 과거 보안시장과는 달리 IoT 보안에 있어서 국내 업체들이 경쟁력을 확보하여, 해외시장에 진출하는 원년이 될 수 있을지도 주목의 대상

그림 Ⅱ-6-4 국내 IoT 보안 시장 진입 업체 현황

자료: IITP

정보통신기술진흥센터

Institute for Information & communications Technology Promotion