[보안 칼럼] IoT 보안과 미 봐봐요

사물인터넷 IoT 기술은 빠르게 확산되고 있는데 보안은 충분한가? 사고였던 IoT는 단순한 전산에 그치지 않고 사물을 직접 조작하기도 하므로 보안 실패 시 인체에 물리적으로 직접 피해를 줄 수 있기 때문에 기존의 ICT 보안에 비해 더욱 강도가 높고 어린이의 초 접근법이 전혀 다른 보안이 필수적이다.​ ​ 자율 보안과 규제 보안 ​ IoT에 대해서 보안이 필요한 분야는 크게 1)스마트 홈, 2)스마트 팩토리, 3)스마트 카, 4)스마트 에너지 맨 정신으론 그리드 등 4가지다.​ 그 중 1)스마트 홈과 2)스마트 팩토리 보안은 '자율 보안'성질이었다 사용자가 자신의 이익에 기초하여 자신의 시스템에 IoT를 적용할지, 만일 적용한다면 보안도 적용 여부를 판정한다. 다시 이이에키하고, 1)과 2)의 보안은 ' 하지 않기도 한개'이었다 물론, 그로 인한 피해 책임은 오로지 유저에게 맡겨져 있기 때문에, 할 수 있으면 하는 것이 좋지만, 어쨌든 개인의 자유다. 공장의 경우에는 노동자의 안전을 위해 보안을 강제해야 하지만 대부분의 공장은 나름의 사정으로 IoT 이전에 기존 ICT 적용도 미흡해 갈 길이 멀다.자체 보안은 사후 대처 방식으로 서서히 확산된다. 사후 대처란 사고가 발생하면 보안을 추가하는 패치 방식을 뜻한다. 기존의 개인용 컴퓨터 보안과 마찬가지로 이미 익숙해진 하나이기 때문에 현재 대부분의 IoT 보안 중소기업들은 이 분야 사업에 집중하고 있다. IoT 보안이라기보다는 기존의 ICT 보안과 실로 거의 동일하기 때문에 쉽게 접근할 수 있기 때문이다.​ 한편 3)스마트 카 그리고 4)스마트 에너지 맨 정신으론 그리드 보안은 '규제 보안'성질이었다 규제 보안이란 자율 보안과는 달리 규제를 위해서도 '안 할 수 없는 하나'라는 뜻이었다. 3)는 사용자 본인뿐만 아니라 다른 사람의 안전까지 위협하기 때문에 4)은 에너지 흰색으로 이용 과금의 공정성 때문에 엄격한 관리와 통제 즉 규제 보안의 대상 하나밖에 없다. sound의 음주운전이나 안전벨트 미착용은 과거에는 불법이 아니었지만 요즘은 엄격하고 당연한 규제대상인 것과도 대등한 경우다.규제 보안은 각종 규제에 의한 선제 보안으로 사회 전반에 마치 손바닥을 자르듯 혁신적으로 적용된다. 규제 적용과 동시에 보안이 발동되는 것이다. 선제 보안이란 사고가 발생한 후 서둘러 대책을 강구하는 것이 아니라 시스템 설계 단계부터 보안을 충분히 고려하여 문제 발생 전망을 최소화하는 방법이었다. 기존 발전소 등 주요 인프라 폐쇄 전용망 구축과 비슷한 접근법이라고 할 수 있다. 보안성이 이미 충분한 시스템과 네트워크를 완전히 구축하고 나서 운영을 개시한다. 3)과 4)는 국가 인프라 전반에 하나이므로 기술 종합적인 하나이기도 하다.IoT 보안은 '생명보안' IoT는 기존 IT기술과 각종 하드웨어 조작기술 OT(Operational Technology)의 결합으로 보안 실패 시 물리적 피해 발생 위험이 있다. 따라서 IoT 보안 및 IT 보안과 OT 보안의 절충이 필요하며, 그 기준은 보다 엄격한 OT 기준을 따른다. 네트워크 접속에 대해도 IT 보안은, 실은 그래서는 안 되지만, 하나 접속해 사후 문제 발생시에 수습하는 방식을 취한다. 한편 OT 보안은 폐쇄 보안 원칙에 따라 위험의 반드시 사전 차단 방식을 취한다. 따라서 IoT 보안, 또 보안 우선 접속(Secure Firstthen Connect) 방식이어야 한다.​

>

IT 보안 실패의 피해는 자산이지만, OT 보안 실패의 피해는 생명이었다. IoT 물건의 대표격인 자동차를 보자. 자동차 보안 실패 사례는 모든 사람의 생명을 위협하는 것이었다 운전 중에 운전대를 원격 조절하거나 움직이지 못하게 잠그거나 속도를 다의로 조정하거나 엔진을 정지시키기도 한다. 표시등, 경적 등 장치의 동작을 조작하거나 계기판 정보를 오출력 시키거나 GPS 좌표를 조작하거나 한다. 전체적으로 먼저 실증된 자동차 해킹 사례였다=자동차라는 사물의 성격상 사건 방지 등 안전을 위한 보안이 절실하다. 최근까지의 보안은 겨우 돈을 지키는 보안이었지만 이제는 사람의 생명을 지키는 보안이 되는 것이었기에 세계 주요 정부들은 자동차 보안 관련 규제를 계속 수립·시행하고 있다. 미국은 2017년에 'SELF DRIVE Act','DoT Guideline','AV START Act'등의 규제를 선언하고 유럽 연합은 2016년에 'EC C-ITS'사업'ENISA스마트 카 사이버 보안 권고 방안'에 이어2017년 영국 정부'스마트 카 사이버 보안 가이드 라인', EC'자동차 보안 인증 프레이이다 워크", ACEA"자동차 사이버 보안의 핵심 원칙"등의 규제 방안을 잇달아 내놓고 있다. 중국도 했다 2016년에 '자동차 보안 위원회'를 설립하고, 2017년'중국의 사이버 보안 법'을 시행하는 등의 조치를 취하고 있다.자동차 보안은 교통 보안이지만 자동차 해킹은 자동차 자체 보안만으로 막을 수 있는 것이 아니다. 교통 자체의 보안 문제다. 자동차가 지능화되어 코넥티도우홤으로써 현재 자동차는 '단순한 인터넷 접속'단계에서 '교통 네트워크 참가자'단계로 진화 중이며 이는 5G의 확산 등 환경 변이에 의해서 급속히 하나 밴 하나이다.​ 그래서 자동차 내부의 보안뿐 아니라 다른 자동차, 지능형 교통 시스템 C-ITS등의 교통에 관련된 '모두'와 V2X(Vehicle to Everything)통신 보안이 가장 중요하고, 그 밖에도 교통 체계의 중앙 및 에지 컴퓨팅 보안, V2D모 바하와 연동 보안, V2G, 전기 자동차의 생태계 보호 등 여러 분야, 보안을 종합할 충분한 힘이 있어야 완전한 자동차 보안을 실현할 수 있다. 자동차 보안은 농구의 풀코트 프레스 전략과 같이 교통 시스템 모드의 안전을 담당하는 "전역 보안(Whole-system approach)"이었다.

>

반면 현재 자동차 보안은 단순한 인터넷 접속 기준 보안입니다. 따라서 보안은 텔레매틱스 서버 보안, 차량용 쇼트스토리 보안, 웹 보안 정도에 그친다. 스토리 너희들로 차량 보안입니다. 그러나 자동차가 커넥티드 카로서 교통네트워크에 직접 참여하게 됨으로써 자동차 보안은 전혀 다른 성격의 하나, 즉 '교통보안'이 된다.​ 자동차는 V2X를 통해서 다른 자동차 및 기타 교통 수단, 스마트 도로 및 RSU, C-ITS등 교통 시스템과 연결되고, V2G를 통해서 전기 차 충전 시스템 및 전력망 그리고 에너지 흰색으로 서비스에 접속된다. 서비스 제공을 위한 클라우드 보안 등 전통적 ICT보안에서 V2X등 자동차 보안 기술 전반 그리고 V2G에너지 맨 정신으론 그리드에 대한 이해, PnC(Plug and Charge)등 미래 차의 특성에 대한 이해까지 모두 포함한 종합적 기술력의 기반이 있어야 가능한 하나입니다. 요구 기술이 복잡하기 때문에 신규 진입 장벽이 높은 사업이기도 하다.IoT 보안의 미래 교통 관련 시스템에서 보는 영역은 또 있다. 자동차 그렇게 C-ITS 등 교통 시스템의 진화 외에도 전기자동차 에너지 시장의 규모는 현재 자동차용 화석연료 시장의 규모를 당신들이 계승하여 PnC 등 고유 기술에 의한 서비스 가능성의 크기로 확장될 것입니다. 전기차 에너지 시장은 전기자동차뿐 아니라 스마트미터 등 하나방 에너지 그리드의 영역과도 연결돼 국가 인프라 규모를 이룬다. 그러면 그만큼 보안의 개념은 더욱 확장된다.그리고 앞으로 IoT 생태계는 폭발적으로 확장될 것입니다. 기존의 인터넷 크기 개념에 비해서도 차원은 전혀 다른 수준입니다. 그 때문에, 현장에서의 시스템 무인화 적용시의 효율 한계, 물량 급증에 수반하는 기존의 중앙 집중 방식의 처리 한계등의 이유로부터, "사물 인증"이나 "사물 결제(결정)" 등, 보다 스토리단에서의 결정력이 높은 기술이 필요하다. 그 해결책인 가면중심화 블록체인 기술과 IoT의 결합이 현재 부족한 필수요소이며 향후 중소기업간 경쟁차별점이 될 것으로 예상됩니다. 그러면, 그로 인해 보안의 개념은 다시 확장된다. 이는 정스토리, 천문학적 규모의 확장과 스토리라고 해도 과언이 아니다.기존의 ICT 보안은 물론 따라야 하는 것은 아니지만, 특별한 준비 없이 전장에 뛰어들어 공격의 충격을 너희들이 몸으로 부딪치는 위험 테이킹 양상을 보였다. 피해는 크든 작든 금전 피해에 한정되기 때문에 보안 실패의 책입니다.분명히 다른 사람에게 있다고 한다면, 책임을 질 수 있는 것은 자신의 책임이라고 해도 "돈이 아깝다"정도로 그치는 하나이기 때문입니다. 하지만 IoT 보안은 그렇지 않다.. 피해는 인간의 목숨에까지 미치니까요.따라서이문제는무조건해결되어야합니다. IoT는 확산되지만 보안은 충분한가?

>

​​