[소부장 스타트업] 시큐리티플랫폼 "IoT 보안, 앞으론 기본이 될 것"
[IT동아 정연호 기자] 한국인터넷진흥원(KISA)이 발표한 ‘2021년 사이버 위협 전망’에 따르면, 2022년 주요 보안 위협 중 하나는 ‘5G를 이용한 사물인터넷(IoT)과 관련된 보안 위협’이다. 5G를 활용한 IoT 기반 서비스가 확대되면서, 의료, 스마트 홈, 스마트 공장, 스마트 농업 등 전 산업군과 관련된 실제 생활 영역에 IoT가 적용되기 시작했다. 이에 따라 생활과 밀접화된 공격도 증가하고 있다. 만약, 병원에서 활용하는 IoT 기기가 해커에게 노출된다면 어떻게 될까? 생명과 직결된 공격이 일어날 수도 있다. 앞으로도 IoT 기기를 조작하는 사이버 공격이 빠른 속도로 늘어날 것으로 예상된다.
시큐리티플랫폼(황수익 대표)은 IoT 보안을 하드웨어 단위에서 제공하는 기업이다. 소재 및 부품 장비(소부장)업체를 지원하는 정부 사업인 ‘소부장 스타트업 100’에 선정돼 지원을 받고 있다. 기업 발굴 및 육성 전문 기관인 서울창조경제혁신센터가 2년간 소부장 주관기관으로 선정되면서 소부장 스타트업 지원 및 관리활동을 맡고 있다. 시큐리티플랫폼의 황수익 대표를 만나 IoT 보안의 현황, 필요성, 그리고 그가 예측하는 IoT 보안시장의 미래와 관련된 이야기를 나누었다.
ㅡ지난 번에 시큐리티플랫폼과 인터뷰를 진행한 적이 있다. 반년 만에 다시 만나게 됐는데 그동안 많은 일이 있었을 거 같다. 이야기를 나누기에 앞서 회사에 대한 간략한 소개 부탁한다.
“시큐리티플랫폼은 IoT 보안 솔루션을 만드는 스타트업이다. 작은 프로세서 안에 하드웨어적으로 안전 영역(시큐어 존)을 설정하는 솔루션이다. 그 안에 암호 모듈을 이식한 다음 소프트웨어와 펌웨어를 암호화하거나 전자 서명을 하고, 그 키를 다시 시큐어 존에 넣어 보호한다. 그럼 복제·변조·데이터 갈취 등을 할 수 없다. 시큐리티플랫폼은 이 같은 기술력을 바탕으로 기기에 보안을 제공하는 액시오-OS, 연결된 디바이스의 위·변조나 복제를 검출하는 원격 검증 솔루션 액시오-RA 등 보안 플랫폼을 제공하고 있다”
ㅡ시큐어존과 관련된 보안솔루션은 어떻게 개발하게 됐나?
“IoT 보안이 이슈가 되면서 반도체 설계 전문 기업인 ARM이 2015년에 차세대 아키텍처를 발표했다. 마이크로 컨트롤러에 트러스트존(TrustZone)이란 보안 영역을 설계할 수 있게 한 것이다. 시큐리티플랫폼은 트러스트존 기반의 여러 보안 기능을 넣어 상용화를 했다. 처음엔 스마트미터 쪽에서부터 적용을 했다. 스마트미터란 통신 기능이 있는 전력 미터다. 전력 미터를 직접 확인하지 않고 통신기능을 통해 원격으로 데이터를 받을 수 있다. 스마트미터는 기기 하나가 뚫리면 전체 시스템이 다 해킹된다. 그래서 보안이 중요하다. 2020년을 기점으로 스마트미터를 정말 많이 쓰고 있다. 한전의 스마트 전기 검침기, 전력선 통신(PLC) 모뎀 등에 시큐리티플랫폼의 보안 솔루션 ‘엑시오’를 50만 개 정도 적용했다.
시큐리티플랫폼이 2019년에 ARM의 새로운 아키텍처에 보안 솔루션을 넣어서 처음으로 완성된 제품으로 인증을 받았다. 그걸 발표하니 리스크파이브 진영에 있는 엔지니어랑 중국 반도체 기업 스타파이브에서 리스크파이브 아키텍처엔 트러스트존 같은 보안 솔루션이 없다면서 설계를 요청했다. 리스크파이브란 리눅스 기반의 오픈소스 프로세서이다. 중국이 2015년부터 반도체 자립 선언하면서 리스크파이브와 관련된 투자가 빠르게 늘고 있다. 작년 초에 칩을 받아서 시큐어존(트러스트존)을 설계했고 이제 배포하는 단계다”
ㅡ시큐어존에 대한 설명을 추가적으로 듣고 싶다.
“IoT에 보안 솔루션이 들어가는 경우가 별로 없다. 통신 데이터를 암호화하는 정도다. IoT 프로세서 자체가 CPU, 메모리, 입출력 소자 등 통합돼 들어갔고 메모리 사이즈도 메가 단위가 없다. 저전력, 저스펙으로 운용 제작되니 기존 보안 솔루션을 넣는 게 어렵다. 디바이스 제조사가 보안 전문 엔지니어를 보유하는 것도 드물다. 기존엔 보안을 한다고 하면 보안칩을 추가해서 데이터를 암호화하거나 인증을 하는 방식이었다. 시큐리티플랫폼은 프로세스 내부에 시큐어존이란 구역을 만든다. 이러면 별도의 보안칩이 필요 없다. 보안칩은 인증과 데이터 보호는 가능하지만 시스템에 대한 보안을 보장할 수 없다.
IoT 보안 위협 중 하나가 기존 펌웨어를 없애고 오동작을 하게끔 하는 펌웨어를 새로 설치하는 것이다. OS 단계부터 변조를 하니까 소프트웨어로 보안을 해도 무용지물이다. 미터기는 통신 보안을 해도, 미터기 조작을 하면 끝이다. 과금을 10분의 1로 줄이는 펌웨어를 깔았으면 요금은 계속 그렇게 나온다. 또 다른 취약점은 IoT 장치가 대중에 노출이 돼서 쉽게 접근이 가능하다는 거다. 유튜브에서도 이걸 조작하는 방법을 쉽게 찾을 수 있을 정도다. 원래 기기는 그 기기의 소유자여도 쉽게 조작할 수 없도록 막는 게 맞다고 생각한다. 시스템과 하드웨어의 변조, 복제, 좀비화 등을 막을 수 있어야 여러 앱이 안전한 그릇 위에서 동작하게 된다. 시큐리티플랫폼은 앱에 대한 보안보단, 기기 장치에 대한 보안 솔루션이라고 이해하면 된다”
ㅡ시큐리티플랫폼이 타깃으로 하는 시장이 어디인지 궁금하다
“현재 IoT를 가장 많이 쓰는 곳이 스마트에너지(ICT를 활용해 에너지 공급 효율을 극대화하는 시스템)라고 한다. 전력은 정전이 일어나면 안 되기 때문에 소비하는 양보다 항상 더 많이 생산해야 한다. 그래서 적자가 난다. IoT로 가정마다 사용량을 실시간으로 조사하면, 이후로 사용에 대한 예측이 가능하다. 수요에 맞춰서 생산을 할 수 있게 된다. 또 많이 쓰이는 곳이 IP카메라(인터넷에 연결해서 쓰는 카메라)다. 전 세계적으로 방범 카메라가 빠르게 확산하고 있다. 이번에 월패드(인터폰) 카메라가 해킹되지 않았나. 스마트홈, 스마트 시티, 모빌리티, 드론 등 다 통신장치라 보안이 필요하다.
보안 관련 법이 빠르게 만들어지는 곳은 프라이버시 쪽이다. 헬스케어와 스마트홈 에너지도 프라이버시다. 전기 에너지 사용량은 민감한 개인 정보다. 방범 카메라도 개인정보와 관련됐다. 이런 분야에서 먼저 법이 만들어진다. 그 다음이 자동차처럼 안전과 관련된 거다. 또, 민간기업에서 프라이버시에 더 빠르게 대응한다. 지역별로 따지면 EU가 프라이버시에 가장 민감하고, 그 다음이 북미, 우리나라는 약한 편이다. 보안은 법 제도화가 시장을 만드는데 한국은 아직은 초기 단계다. 이 시장이 만들어지려면 시장 내에 플레이어가 많아야 한다. 그래서 다양한 회사와 파트너십을 맺고 다변화해서 영업을 하려고 한다”
ㅡ최근에 eSIM과 관련해서 좋은 소식이 있다고 들었다.
“작년 말에 정부에서 eSIM서비스를 론칭하겠다고 발표했다. eSIM (물리적인 심 카드가 아니라 디지털 심 카드를 장착하는 기능)은 가입자가 원격으로 통신사를 등록/해지/변경할 수 있다는 개념이다. 휴대폰은 유심칩을 끼워서 번호 이동이 가능했지만, 기존 IoT장치는 다 밀봉돼 있어서 통신사를 바꾸는 게 거의 불가능했다. 공공기관에선 백만 개 단위로 IoT 장비를 들이고 통신 계약을 맺는다. 기존 시스템에선 통신사 변경이 어렵다. eSIM으로 가면 통신사 계약이 끝나고 바로 변경이 가능하다. 조건과 요금에 따라 합리적으로 통신사를 선택할 수 있는 것이다.
문제는 eSIM 서버가 있어야 한다는 거다. 그런데, GSMA 보안 인증을 받은 국내 기업이 없다. 다 해외에 있고 그것도 퍼블릭 클라우드 형태로 제공하니 가입자 정보가 외부에 저장된다. 공공 인프라의 등록 정보를 해외에 저장하는 건 불가능하다. 그래서 국내 서버를 유치해야 한다고 정부가 주장했다. 때문에 ARM이 eSIM서비스를 위한 시스템을 국내로 들여오는 것과 관련해서 협약을 맺은 상태다. 시큐리티플랫폼은 서버에 정보를 안전하게 저장하는 솔루션을 제공한다”
ㅡ소부장은 정부의 지원도 중요할 거 같다. 관련된 지원은 어떻게 받고 있나?
“소부장은 제품을 내놓으면 그걸 구매할 수요기업이 필요하다. 소부장 스타트업 100 사업에 선정되고선 이런 수요 기업과 연결되는 것에 큰 도움을 받았다. 또한, 시제품을 제작하는데 필요한 개발과 외주 등에 지원비를 받고 있다”
ㅡ마지막으로, IoT 보안이 중요한 이유에 대한 이야기를 듣고 싶다.
“기존 해킹은 주로 정보와 관련된 거였다. 기밀정보와 개인정보를 탈취하는 것도 물론 심각한 문제다. 하지만, IoT는 실제로 동작을 하는 장치라는 게 문제다. 자동차나 집에 있는 IoT기기가 오동작을 하면 사람을 해칠 수도 있다. IoT는 매일매일 동작하는 장치인데, 이걸 사람이 매일 확인할 수가 없다. 해킹을 당했다 해도 이를 확인하지 못하는 경우가 많다. 월패드 카메라가 해킹당했는데 그걸 모르고 있어서 계속 영상이 찍히는 것처럼 말이다.
IoT 보안은 장치가 항상 신뢰할 수 있는 상태에서 정확하게 작동하도록 만드는 개념이다. 하드웨어서부터 시스템과 통신, 앱까지 의도한 그대로 바뀌지 않았다는 상태를 계속 증명해야 한다. 그래서 신뢰와 관련된 ‘트러스트’라는 단어를 많이 쓴다. 기기 장치를 계속 신뢰할 수 있도록 설계하는 것이 필요하다. 지금 당장은 IoT 보안을 장착한 기기는 적지만 앞으론 달라질 것이다. IoT 서비스를 하거나 장치를 만드는 회사는 제품이 복제와 변조가 안 되고 안전한 상태인 게 기본이란 인식을 하게 될 것이다. 전자제품을 개발하면 KC인증을 받듯 보안 인증도 기본적인 구성이 되지 않을까 싶다”
글 / IT동아 정연호(hoho@itdonga.com)