뻥 뚫린 'IoT 보안', 이젠 보안 플랫폼으로 안전하게
[IT동아 정연호 기자] 규제는 오랫동안 철폐의 대상이었기 때문에, 가능한 한 최소화해야 하는 것으로 여겨졌다. 다만 이로 인한 탈규제 정책이 성공적인 결과를 낳지 못하자, 효율적인 규제의 필요성을 강조하는 주장이 서서히 힘을 얻게 됐다. 이러한 분위기에 따라 등장한 이론이 바로 포터(Porter) 가설이다. 하버드 경영 대학원의 마이클 포터 교수는 “적절한 환경 규제는 기술을 발전시켜 기업의 생산성을 높인다”는 포터 가설을 내세웠다.
포터 교수는 기업이 실제로는 이윤을 극대화하는 최적의 선택을 하지 못한다고 가정했다. 그래서 환경 규제가 적용될 때, 수익성에 압박을 받게 된 기업은 자원 낭비를 줄일 수 있도록 기술을 혁신하게 된다고 주장했다. 환경부가 자동차 배출 기준을 강화한 덕분에, 한국의 자동차 산업이 세계 시장에서 경쟁력을 가지게 된 것처럼 말이다.
환경만큼이나 안전의 문제에서도 적절한 규제는 중요하다. 안전은 사고에 대한 주의 의식을 갖지 않는 안전 불감증으로 인해, 민감도가 특히나 떨어지는 영역이다. 그래서, 위로부터의 규제를 통해 일정한 수준 이상을 보장하는 것이 필요하다. 이렇게 강화된 안전은 그 자체로도 기업의 경쟁력이 될 수 있다.
사물인터넷과 보안
4차 산업 혁명의 주요 화두 중 하나인 ‘사물 인터넷[Internet of Thing, 이하 IoT]’ 시대가 성큼 다가오면서, IoT 산업의 안전과 보안을 우려하는 목소리도 함께 커지고 있다. IoT는 사물에 센서와 통신 기능을 적용해, 인터넷으로 연결하는 기술을 뜻한다. 사람이 기계를 작동시키지 않아도 사물들끼리 센서로 통신하고 움직여 인간의 편의를 해결한다.
정보통신산업진흥원[NIPA]이 발간한 IoT 보고서에 따르면, 시장 조사 기관 IDC(International Data Corporation)는 IoT 산업이 2023년까지 연평균 12.3%씩 성장할 것이며, IoT에 대한 지출액이 2022년 1조 달러(한화 약 1,181조 원)에서 2023년에는 1조 1,000억 달러(한화 약 1,299조 원)까지 증가한다고 예측했다. 하지만, 빠른 성장 속도에 비해 안전에 대한 의식과 제도는 한참 뒤처져 있다.
과거엔 해킹(Hacking)의 피해라고 해봤자 정보 유출 피해 정도였지만, 이제는 IoT 기기가 오작동하면 인프라 마비가 나타나 사람의 생명까지 위협할 수 있는 상황이다. 이러한 IoT 기기는 기본적으로 인터넷 기반이므로 모든 제품이 해킹의 대상이지만, 기기가 저사양·저전력인 경우가 많아 고전력·고성능 환경에서 제공하던 보안 솔루션을 탑재하기 어렵다. 한마디로, 중요한 정보를 다루는 IoT 기기는 해커들에게 좋은 먹거리가 된 셈이다.
IoT 기기는 제작 이후로 배포·설치됐을 때 보안 패치 등의 업데이트가 불가능하거나 큰 비용이 들어간다. 그래서, 최초 설계·개발 단계부터 보안 설정을 적용해야 한다. 다만, 일반적으로 IoT 제조업체는 중소기업인 경우가 많아 높은 수준의 보안 적용을 위한 투자가 쉽지 않다.
시큐리티 플랫폼의 보안 플랫폼
IoT 기기의 안전성을 보장하기 위해서, 세계 각국에선 규제를 통해 안전한 생태계를 만들려는 시도를 하고 있다. 미국 캘리포니아주에서 최초의 ‘사물 인터넷[IoT] 보안법(정식 명칭 SB 327)’이 2020년 1월부터 시행되면서, 이젠 인터넷 연결이 가능한 모든 기기는 보안 기능을 필수로 탑재해야 한다. 유럽 연합[EU] 의회에선 ‘EU 사이버 보안법’이 통과되면서, 2023년 이후로 전력·수도·운송·의료·에너지 등 주요 시설의 제품 및 서비스에 보안 인증이 의무화된다.
우리나라도 인터넷진흥원에서 IoT 보안 인증 프로그램을 시행하고 있지만, 아직은 관련된 법∙제도가 준비되지 않아 이용률이 저조한 상황이다. 그렇지만, 국내에도 이런 IoT 기기 제조사를 위한 보안 플랫폼을 제공하는 사례가 있다. Arm사와 협업으로 보안 플랫폼을 개발한 IoT 보안 솔루션 개발 기업 시큐리티플랫폼의 한전향 보안 전력량계 플랫폼이다.
한국전력공사(이하 한전)는 2017년 국정 감사에서 1.7조 원 규모의 지능형 전력 개량 시스템[AMI, Advanced Metering Infrastructure]의 보안이 취약하다는 지적을 받은 뒤, 반도체 설계 전문 기업 Arm과 제휴를 맺고 보안과 계량 기능이 강화된 전력량계를 개발하고자 했다. AMI는 통신망을 통해서 원격으로 전력 사용량을 검침하고, 전기 사용 정보 등을 소비자에게 제공하는 시설이다.
한전은 AMI에 Arm의 8세대 아키텍처(architecture) 기능인 트러스트존(TrustZone)이라는 강화된 보안을 적용할 계획이었다. 트러스트존은 PC의 중앙처리장치[CPU]와 같은 역할을 하는 마이크로컨트롤러유닛(MCU) 메모리 내부에 독립된 보안 구역을 따로 둬 중요한 정보를 보호하는 하드웨어 기반 보안 기술이다. 하지만, 국내 제조사들이 보안 전력량계 개발하는 데 애를 먹으면서 사업이 계속 지연돼, 현재는 일부 업체만 DLMS-HLS(데이터를 암호화하는 최소한의 보안) 개발을 완료하고 이제야 시범 사업을 준비하는 상황이다.
이러한 문제를 해결하기 위해서, 시큐리티플랫폼은 하드웨어·시스템·통신·보안 등이 모두 포함된 한전향 보안 전력량계 플랫폼을 제조사에 배포했다. 기술 장벽 때문에 보안 기술 개발을 쉽게 하지 못했던 제조사는 검증된 보안 플랫폼 모듈 덕분에, 보안 기술에 필요한 예산과 시간을 절약할 수 있게 됐다. 남는 자원은 자연히 연구 개발에 투자할 수 있어 더 좋은 IoT 기기를 만드는 선순환 구조가 마련된 것이다.
시큐리티플랫폼의 황수익 대표는 “국내 약 50여 개의 전력량계 기업은 보안 플랫폼을 통해 기업 고유의 기술에 집중해 혁신적인 제품을 개발할 수 있으며, 북미와 유럽의 보안 규제가 시작되는 시점에서 전 세계 약 20억 개에 달하는 AMI 시장에 진출할 새로운 기회를 얻게 됐다”고 말했다.
이어 “우리는 이미 IT 산업에 있어 충분한 경쟁력과 잠재력을 갖고 있으며, 새로운 질서를 만들 수 있는 능력이 있다. 최근 애플과 구글의 인앱(in-app) 결제 강제를 금지하는 법안을 우리나라에서 세계 최초로 입법화한 것이 그 증거다”라고 덧붙였다.
법적 규제는 잘 설계되고, 국민과 이해 관계자에게 정당한 것으로 받아들여질 때 기술 개발을 촉진한다. 지금은 보안 플랫폼 내부에 국제 인증 규격에 맞는 IoT 보안 기능을 갖췄음에도, IoT 보안과 관련된 국내 법∙제도가 없어 일부 기능만 적용하고 있다. IoT의 안전과 보안 문제를 우리가 먼저 입법화하고 생태계를 구축하여 시장을 주도할 때다. 혁신 규제를 선도하려면, 규제와 관련해 산업계의 다양한 목소리를 주의 깊게 듣고 솔직한 피드백을 받는 과정이 필요하다.
글 / IT동아 정연호 (hoho@Itdonga.com)