제목 IoT 환경의 스마트홈 보안을 말하다
작성자 ninehome1
작성일자 2016-04-08
조회수 1278

집 바깥에서도 가스 밸브나 도어락의 잠금 상태를 체크한다. 조명이나 냉∙난방 가전기기들이 만드는 정보, 차량 출입 여부나 주차 위치 등 거주자 정보, 가스∙전기 사용량 정보 등 갖가지 주거공간에 대한 정보를 처리하여 에너지를 절약하고 쾌적한 상태를 유지한다. 먼 미래의 모습인가? 아니다. IoT(Internet of Things, 사물인터넷) 기술을 적용하여 상용화 진행 중인 스마트홈의 모습이다. 더욱 활성화될 미래를 대비하여 스마트홈 보안 상태를 점검하고 안전한 스마트 라이프를 위한 보안 대응책을 살펴보자.

 

매슬로우가 1943년 자신의 논문(A Theory of Human Motivation)을 통하여 제안한 “욕구이론”(Maslow's hierarchy of needs)을 보면, 인간의 욕구가 중요도 순대로 “생리(Physiological needs) > 안전(Safety needs) > 소속(Love and belonging) > 존중(Esteem) > 자아실현(Self-actualization, Self-transcendence)”으로 제시되어 있다. 중요도가 높을수록 근본적인 욕구다. 전 단계의 근본적인 욕구가 만족되었을 때만 다음 단계의 욕구로 전이된다고 한다.

안전한 주거공간은 인간의 가장 근본적인 욕구인 생리, 안전 욕구를 만족하기 위한 기본적인 부분인 동시에 인간이 고도의 욕구를 이루는 질 높은 삶을 영위하기 위한 근간이다.

최근 이러한 주거공간에 IoT 기술을 도입한 스마트홈 환경이 적용되면서 사람들에게 보다 안전하고 편안한 공간으로 진화하고 있다.

하지만 주거공간을 구성하는 모든 사물이 인터넷에 연결되고 제어가 가능해진만큼 스마트홈 보안에 대한 우려의 목소리도 커지고 있다. 스마트홈 환경에서 발생할 수 있는 보안 문제는 어떤 것이 있으며 대응 방향은 어떻게 잡아야 할까?

 

스마트홈에서 발생할 수 있는 보안 문제

IoT 환경의 특성을 그대로 갖고 있는 스마트홈 환경은 스마트홈 기기(월패드) 및 네트워크 계층의 취약점을 악용한 보안 침해 사고가 발생할 수 있다.

예를 들어, 동일 세대(단지)의 네트워크 망을 통해 월패드로 전달되는 제어 명령을 재생하여 다른 세대의 월패드를 제어할 수 있다. 월패드 실행 파일에 악성코드를 삽입하여 월패드로 제공되는 기능이 악의적인 목적으로 동작하도록 할 수도 있다. 스마트폰 등 원격에서 제어하는 기능을 악용하는 등의 공격도 가능하다.

게다가 현재는 인터넷 검색 엔진에서 관련 키워드를 입력하면, 개인이 자신의 집에 설치되어 있는 월패드 해킹 시도 사례 문서들을 쉽게 찾을 수 있다. 해당 문서에 있는 발견된 취약점이나 사용한 소프트웨어 도구를 응용한다면 누구든지 해킹을 시도할 수 있는 상황이다.

 

기존 IT 시스템과 다른 IoT 환경의 특수성

IoT 환경은 기존 IT 시스템과는 다른 환경적인 요인을 갖는다. 따라서 IoT 환경의 스마트홈에서 발생할 수 있는 보안 문제는 다음과 같은 세 가지 관점에서 심층적으로 생각해볼 수 있다.

- 보호해야 하는 자산의 특성 관점: 일반적인 IT 시스템의 경우 소유자나 운영자가 기업에 속한 직원이고, 물리적으로 안전한 환경이나 선량한 관리자를 가정할 수 있는 등 보안 위험에 대하여 기본적인 억제력이 있는 환경으로 볼 수 있다. 하지만 IoT 기기의 경우 악의적인 의도를 가진 개인이 위협원인 동시에 기기에 대한 소유자가 될 수도 있다는 점에서 위험하다.

- 위협 관점: 인터넷 등을 통하여 노출된 공격 기법을 사용한다면 높은 수준의 전문가가 아니더라도 공개 도구와 방법으로 월패드에 접근할 수 있다. 따라서 위협의 발생빈도(Likelihood)가 좀 더 높다고 할 수 있다. 또한, 최근 스마트홈의 경우 전기∙가스 등 에너지 사용량을 처리하기 때문에 금전적인 이득을 의도로 하는 위협도 발생할 수 있다.

- 취약점 관점: 다수의 모범 사례(Best Practice)를 경험한 기존 IT 시스템과는 달리 보안 매커니즘에 대한 설계 단계에서부터의 고려가 부족하여 잠재적인 취약점들이 산재할 수 있는 환경이기도 하다.

이와 같은 이유로, IoT 환경의 보안에 대해서는 기획∙설계 단계에서부터 정보 보호를 고려한 정보보증(Information Assurance) 관점의 접근이 필요하며, 보다 높은 수준의 보안 대책이 필요하다.

 

광범위한 보안 문제로의 확대 우려

문제는 IoT의 적용 범위가 광범위한 만큼 다양한 공격 경로를 통하여 개인 프라이버시 침해 등이 발생할 수 있다는 점이다. 이는 컴퓨터 안에서 처리되는 파일 등을 사용하지 못하게 되거나 노출되는 수준이 아니다. 실생활에 영향을 미치기 때문에 그 파급력은 훨씬 크다. [그림1]에서 스마트홈을 포함한 IoT 기술에 대한 계층화된 아키텍처와 각 계층별 취약점을 악용할 경우 발생할 수 있는 다양한 보안 우려를 정리했다.

 

[그림1] IoT 환경 계층 구조와 계층별 취약점에 따른 보안 문제

 

스마트홈 보안 정책 가이드라인

이에 미래창조과학부는 「IoT 정보보호 로드맵」을 수립(2014.10)하고, 스마트홈 분야를 주요 과제에 포함하여 보안이 내재화된 IoT 기반 조성을 진행 중이다. 전체적인 내용을 간단히 정리하면 다음과 같다.

 

[그림2] 정부의 사물인터넷 정보보호 로드맵 스마트홈 관련 내용

 

○ IoT 서비스를 홈ㆍ가전, 의료, 교통, 환경ㆍ재난, 제조, 건설, 에너지 등 7대 분야로 분류

○ 스마트홈 분야를 3대 IoT 분야로 정하여 우선적으로 적용하려는 계획 수립

○ 특히, 시험ㆍ평가ㆍ인증 제도에 IoT 보안 항목 및 기준 반영 검토 계획

 

로드맵을 토대로 관련 시행 계획도 마련하여 본격 추진 중(2015.06)이다.

 

[그림3] 정부의 사물인터넷 정보보호 로드맵 시행계획 스마트홈 관련 내용

 

시행계획 역시 스마트홈 분야가 주요 과제에 포함되어 있다. 여기에는 KISA 주관으로 IoT 보안 얼라이언스를 구성하여 「IoT 공통 보안 7대 원칙」을 제정하여 시행하는 계획이 포함된다. 현재 인증 기준이 없는 신규 IoT 제품ㆍ서비스에 대해서는 신규 항목 및 기준을 개발∙적용한 ‘IoT Security Verified’ 제도 운영도 검토 중이다.

 

IoT 환경의 스마트홈 보안에 대한 취약점 분석∙평가

정부가 제안하는 로드맵 하에 스마트홈 관련 업계에서는 월패드에 대한 취약점을 분석하고 평가해야 최적의 보안 상태를 유지할 수 있다. 안랩은 수십 년 간의 보안 컨설팅 노하우를 바탕으로 IoT 환경의 스마트홈에 대한 취약점 분석 및 보안 컨설팅을 하며 안전한 스마트홈 환경을 제공하기 위하여 노력하고 있다.

 

  

[그림4] 스마트홈 취약점 분석 및 평가

 

월패드 보호 매커니즘을 적용한 보안 기술 계발

더 나아가 각 세대 내에 있는 스마트 기기로부터 발생하는 정보를 처리하거나 제어하는 것은 물론 사용자와의 접점이 되기도 하는 월패드에 대한 보호가 필요하다.

 

[그림5] IoT 환경의 보호 매커니즘 구성

 

구체적으로는 월패드 운영체제를 대상으로 파일, 네트워크, 기기 인터페이스에 대한 락다운(Lock-Down) 보호 매커니즘의 적용을 통하여, 지속적이고 안전한 상태를 유지하는 방안을 고려할 수 있다. 특히 안랩은 독보적인 화이트리스팅 기반 기술을 토대로 한 보호 매커니즘 기술 개발에 주력하고 있다.

 

[참고 문헌]

[1] 미래창조과학부, 사물인터넷 정보보호 로드맵, 2014.10

[2] 미래창조과학부, 사물인터넷 정보보호 로드맵 시행계획, 2015.06



출처 :  http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=2&seq=24716&key=&dir_group_dist=&dir_code=

 

다운로드수 0
첨부파일