07.23
주요뉴스
뉴스홈 > 보안/해킹
[화제의 현장] “안전한 IoT 활용 위해 기기인증 등 보안 고려해야”[화제의 현장] “안전한 IoT 활용 위해 기기인증 등 보안 고려해야”
   
 

[컴퓨터월드] 드림시큐리티(대표 범진규)가 ‘건설·물류산업을 위한 IoT 보안·인증’ 세미나를 지난달 24일 서울시 양재동 엘타워에서 개최했다. 이번 세미나에서는 4차 산업혁명시대 기반 기술 중 하나인 사물인터넷(IoT: Internet of Things)의 안전한 활용을 위한 보안체계 구축 방법과 IoT를 인증, 출입관리 등의 분야에 활용해 보안 및 효율성을 증진시킬 수 있는 방안이 공유됐다.

드림시큐리티는 특히 이번 세미나에서 자사 안면 인식 솔루션 ‘페이스원(FACEONE)’이 적용된 스피드게이트 등을 전시해 참가자들로부터 많은 관심을 이끌어 냈다. 최근 IoT 보안 트렌드 등을 살펴볼 수 있었던 드림시큐리티의 세미나 내용을 요약했다.


IoT 시대, 데이터 축적으로 가치 확대된다

이번 세미나는 이두원 동국대학교 핀테크블록체인학과 교수의 ‘사물인터넷 3.0 시대의 네트워크 변화와 응용 서비스’ 주제발표로 시작됐다. 이두원 교수는 먼저 4차 산업혁명시대에서는 기존 획일화, 플랫폼 중앙 집중, 소수 폐쇄형 권력 독점에서 맞춤, 개방, 분권화로 패러다임이 변하고 있다는 점을 강조했다.

이 교수에 따르면 4차 산업혁명의 기반 기술은 센서와 IoT, 클라우드, 인공지능 등으로, 이를 통해 데이터 기반의 현실·가상 연계가 이뤄지고 있다. 현실세계에서 데이터를 확보하고, 이를 가상세계에서 분석해 현실에 적용하는 데이터 중심의 사업모델이 주목받고 있다는 것이다.

또한 IoT 및 AI가 대두되면서 사물의 가치도 변하고 있다. 기존 사물은 시간의 경과에 따라 가치가 떨어졌으나, 인터넷에 연결된 사물은 데이터 축적 및 활용에 대한 지속적인 가치 확대를 통해 사물의 가치가 감소하지 않는다.

최근에는 ‘서비타이제이션(Servitization)’이 주목받고 있다. ‘서비타이제이션’이란 ‘제품과 서비스의 결합(Product Servitization)’과 ‘서비스의 상품화(Service Productization)’를 포괄하는 개념으로, ‘제품의 성능이 주는 가치와 서비스를 결합하면 더욱 증대된 가치를 제공할 수 있다’는 아이디어가 반영돼 있다. 대표적인 예로 자동차 운행 및 상태 정보를 확인할 수 있는 기기인 OBD2(On-Board Diagnostics 2)를 꼽을 수 있다. OBD2는 단순히 장치 판매할 때보다 보험과 연계하는 등 서비스화할 때 더욱 많은 수익을 기대할 수 있다는 것이다.

‘서비타이제이션’의 유형을 살펴보면, 제품이 중심이 되고 제품의 가치를 지원하기 위해 서비스를 적용한다. 주로 제품의 기능, 유지보수, 부품교체, 유통 등에서 나타나고 있으며, 장기 고객 유지 및 매출 창출이 주요 목적이다. 롤스로이스의 엔진 유지보수 서비스, 제록스의 복사기 렌털 서비스, 코웨이의 케어 가전 서비스 등을 예로 들 수 있다.

가트너에 따르면, 인간의 명령을 따르거나 스스로 다른 사물들과 함께 작동할 수 있는 다양한 지능 사물이 만들어질 것으로 전망된다. 예를 들어 드론이 밭을 조사해서 수확할 준비가 됐다는 결론을 내리면, 자율 수확기계가 스스로 작동하는 것이다. 이런 자율형 IoT는 물리공간 상의 수많은 지능 사물들이 대규모로 연결돼 주어진 상황에 맞게 자기조직화하고, 자율적인 상호협력을 통해 스스로 문제를 해결하고 진화해 갈 것이다.

금융서비스에서의 IoT 활용도 본격적으로 논의되고 있다. 핀테크 산업을 심화시킬 수 있는 기술로 금융 IoT가 주목받고 있기 때문이다. 자동차 내에 있는 센서를 통해 보험사에 데이터를 제공할 수도 있으며, 스마트홈 통제를 위한 센서로 집의 상태를 파악해 부동산 담보대출 심사에 활용하는 등 다양한 방안이 논의되고 있다.

또 최근 주목받고 있는 블록체인 기술과 IoT의 결합도 기대되는 부분이다. 블록체인 프레임워크는 중앙집중식 제어를 필요로 하지 않고 장치간 P2P 통신을 가능토록 함으로써, 확장이 용이하고 안전하며 효율적인 IoT를 구축할 수 있도록 도울 것으로 기대받고 있다.

기업들은 디지털 기술을 활용해 업무 혁신을 지속하고 있다. IoT, AI, 로봇, 보안 등의 기술은 모든 산업 분야의 지능화, 사이버화, 인간과 사물의 융합을 촉진하는 동인이 되고 있다. 특히 초연결성, 초고속의 무선통신기술 5G가 상용화되면서 IoT 구현은 더욱 가속화될 것으로 예상된다. 또한 5G 상용화로 연결기기가 증가하면서 네트워크 부하 감소 및 리얼타임확보를 위해 에지 컴퓨팅(Edge Computing)을 도입한 IoT 기반 아키텍처가 주류가 될 것으로 전망된다.

마지막으로 이두원 교수는 “데이터가 중요한 자원으로 인식되는 트렌드에서 기업들은 데이터 서비스 전략을 수립해야 한다”면서, “데이터 활용 영역을 비용절감과 리스크 관리를 위한 활용에서 수익 창출과 혁신 잠재력 탐색으로 확장해야 하며, 상품 및 고객 라이프 사이클에 집중해야 한다. 광범위한 데이터 수집과 결합을 통합해 IoT 유용성을 강화해야 하며, 방어 및 대응을 위한 보안대책 개발도 고려할 시기다. 마지막으로 고객 신뢰도 향상을 위해 데이터 투명성도 극대화해야한다”고 강조했다.

   
▲ 이두원 동국대 교수는 “데이터 활용 영역을 비용 절감과 리스크 관리를 위한 활용에서 수익 창출과 혁신 잠재력 탐색 등으로 확장해야 한다”고 강조했다.


“2022년 IoT 디바이스 약 300억 개, 보안 강구해야”

김영진 드림시큐리티 이사는 ‘IoT 환경을 위한 보안 기술 적용 및 개발 전략’을 주제로, IoT 보안 방안에 대해 발표했다. 김영진 이사는 “IoT 디바이스는 2022년 약 300억 개에 달할 것으로 전망된다”며, “IoT 디바이스는 증가하고 있지만, 효율적인 보안 관리 부재로 인해 각종 보안사고 노출 및 대규모 피해가 우려되고 있는 실정”이라며 IoT 시대에 있어 보안의 중요성을 강조했다.

김 이사에 따르면, 미국에서는 인터넷 주소 조회 서비스에 대한 서비스 거부(DDoS: Distributed Denial of Service) 공격으로 1,200개 이상의 도메인 사용자들이 서비스에 접속할 수 없는 사고가 발생했다. 이 사고를 유발한 공격은 IoT 디바이스 기반 플러딩 방식의 DDoS 공격으로 밝혀졌으며, 특히 추측이 용이한 패스워드 사용 등 IoT 디바이스의 초기 보안 설정 취약점을 통해 10만여 대의 홈오토메이션 디바이스, 홈 라우터 등을 공격에 동원한 것으로 나타났다.

IoT 해킹 대상 및 유형은 ▲스마트 디바이스 ▲통신구간 ▲서버구간 ▲애플리케이션 등으로 구분해 살펴볼 수 있다. 먼저 스마트디바이스에서는 운영체제(OS) 위·변조를 통해 오작동을 유도하고, 악성코드를 심어 해킹 공격에 이용한다. 통신구간에서는 네트워크 도·감청을 통해 데이터를 탈취하고, 잘못된 데이터를 보내 디바이스의 오작동을 유도한다. 서버구간에서는 API 취약점을 통해 권한을 획득하며, 애플리케이션에서는 악성코드를 심어 데이터를 탈취하고 모바일 앱 위·변조를 통해 오작동을 유도한다.

   
▲ IoT 장치의 전주기 단계별 보안 고려사항

이런 IoT 보안 위협에 대응하기 위해 미래창조과학부(現 과학기술정보통신부)에서는 2016년 IoT 공통 보안 가이드를 개발해 IoT 장치의 전주기 단계별 보안 고려사항을 제시했다. 더불어 IoT 보안 원칙 ▲IoT 제품 및 서비스 설계시 보안 강화 ▲안전한 소프트웨어 및 하드웨어 개발기술 적용 ▲초기 보안 설정 ▲보안 프로토콜 준수 및 안전한 파라미터 설정 ▲보안 업데이트 지속 이행 ▲안전한 운영·관리 체계 마련 ▲침해사고 대응 체계 및 책인 추적성 확보방안 마련 등 7가지를 수립했다.

IoT 운영 환경에서는 IoT 네트워크 및 애플리케이션 보호를 위한 보안 서비스가 필요하다. IoT 네트워크는 센서/단말 및 게이트웨이 구간을, 애플리케이션은 센서/단말 및 응용서버 구간을 포함한다. 특히 IoT를 위한 보안 서비스는 운용 환경 특성을 고려해 초경량, 저전력, 보안 내재화 기술이 필요하다.

미래부에서 발표한 2014년 ‘IoT 정보보호맵’을 보면 IoT 보안 위협 및 요구사항을 확인할 수 있다. 센서 및 디바이스에서는 ▲저사양 디바이스 해킹 ▲디바이스 관리 취약점 증가 등 보안 위협이 있으며, 경량·저전력 암호기술, OS 위변조 방지 및 디바이스 정지·오작동 방지, 불법복제 방지를 위한 하드웨어 보안 기술 등이 요구된다.

네트워크 단에서는 ▲무선 네트워크 취약점 ▲네트워크 트래픽 공격량 급증 등의 보안 위협이 있다. 이에 통합 네트워킹에 요구되는 단말 상호간 인증 및 보안, 통합 해킹공격 탐지 및 대응, 악성코드 감염 사물봇에 의한 DDoS 방지 등이 요구된다. 플랫폼 서비스 단에서는 공개 플랫폼 취약점, 사용자 정보 유출 등의 보안 위협이 있어, 기기간 인증 및 키 관리, 접근제어, 프라이버시 침해 방지 등의 기능을 제공하는 IoT 특화 보안 플랫폼이 요구된다.

IoT 환경에서는 ▲기기 인증 ▲송수신 데이터 보호 ▲운영 프로그램 보호 ▲저장 자료 보호 등 4가지 기술이 활용될 수 있다. 또한 IoT 운영환경 및 기기에 적합한 암호키 관리 체계를 갖춰야 한다.

마지막으로 김 이사는 “드림시큐리티는 IoT 보안 기술 제공을 위해 ‘매직 IoT(Magic IoT)’ 제품군을 제공하고 있다”면서, “‘매직 IoT’는 크게 암호모듈 제품군과 인증/키관리/암호통신 제품군으로 구분할 수 있다. 드림시큐리티는 IoT 장치 관리 전단계에 걸쳐 보안 구성을 안전하고 편리하게 해주는 키 관리 기술을 개발해 제공하고 있다. 또한 키 관리 기술을 기반으로 전송 데이터에 대한 인증, 기밀성, 무결성 제공 방안도 제시하고 있다”고 설명했다.


“모바일 인사관리 솔루션으로 업무효율 높인다”

세 번째 세션에서는 김태엽 이수시스템 부장이 ‘현장근로 52시간제 근무 관리를 위한 HR 시스템 기술 적용’이라는 주제 발표를 진행했다. 김태엽 부장은 “최근 주 52시간 근무제 이슈로 근태관리 솔루션이 주목받고 있다”고 말하면서 발표를 시작했다.

이수시스템은 종합 인사관리 솔루션을 공급하고 있는데 특히 모바일 인사관리 솔루션은 최근 주 52시간 근무제의 영향으로 관심도가 높아지고 있다.

기업은 주 52시간 근무제가 시행되면서 직원이 일을 얼마나 하는지 체크하고 소명해야 하는 의무가 생겼다. 주 52시간 근무제 시행 후 업무 계획을 수립해 시간을 배분할 필요가 생겼으며, 이 과정을 직원과 기업이 협의 및 공유해야 한다.

주 52시간 근무제에 대응하기 위해 기업들은 ‘PC off’를 도입하고 있다. 계획된 근로시간 외에는 PC를 자동으로 꺼버리는 것이다. 계획된 업무시간 외에 PC를 이용하려면 연장근무 신청서를 작성해 승인받아야 한다. 이런 일련의 과정을 처리하기 위해 모바일 인사관리 솔루션의 필요성이 높아지고 있다.

   
▲ 김태엽 이수시스템 부장은 “주 52시간 근로제 시행에 따라 모바일 인사관리 솔루션이 주목받고 있다”고 설명했다.

주 52시간 근무제의 숙제는 근로 시간과 유연 근로제를 어떻게 관리하는가이다. 이수시스템은 주 52시간 근무제에 대해 4가지 관점에서 접근했다. 먼저 근무 계획 및 기록 실적의 관리가 가능해야 한다. 또한 실시간 근무일수 계산 및 예방 조치, 현황 공유 및 공지 등의 기능이 필요하다.

이에 이수시스템의 모바일 인사관리 솔루션은 ▲출퇴근 기록 및 체크 ▲나의 근무현황 조회 ▲부서 근무현황 조회 ▲근무 이력 조회 ▲개인 근무 캘린더 ▲연장근무 신청 및 제한 ▲근로시간 위반 감지 알림 등의 기능을 제공한다. 김태엽 부장은 모바일 인사관리 솔루션의 도입효과로 ▲내부망에 한정돼 있던 인사관리 영역 확장 ▲라이선스 문제 해결 ▲PC 사용 불가능 환경에서도 사용 가능 등을 꼽았다. 또한 모바일 기반 근태관리를 진행함으로써 기존 인식 시스템을 사용하기 위해 기다리는 시간도 줄일 수 있다.

모바일 인사관리 솔루션을 도입한 기업의 인사팀은 법 위반 예방율이 높아졌으며, 야근 문화도 개선돼 업무 효율을 높이고 고정비를 낮춰 경영에 효율성을 높이고 있다고 평가했다. 기업 노동 조합 측 또한 모바일 인사관리 솔루션에 만족한다는 응답이 88%에 달했다. 이는 근태 관리의 편의성이 높아진 것과 더불어 자신의 인사관리 정보를 조회할 수 있다는 점이 만족도를 높이는데 일조한 것으로 보인다.

다만 그럼에도 대리 근태 관리 등의 부작용을 줄이기 위해 2차 인증 요구도 높아졌다. 이에 이수시스템은 드림시큐리티의 얼굴인식 기술인 ‘페이스원(FACEONE)’을 도입했다. 얼굴인식을 선택한 이유는 지문인식의 경우, 지문 데이터만으로 직원을 구별할 수 없기 때문이라고 설명했다.


“건설·물류 산업서 IoT 활용한 인증 시스템으로 비용 절감”

박기준 드림시큐리티 상무는 ‘건설·물류 산업의 IoT 보안·인증 적용사례’라는 주제로 발표에 나섰다. 박기준 상무는 “건설, 물류 산업의 특성상 일용직 노동자가 많다. 이에 기업들은 IoT를 활용해 근태관리 시스템을 구축해 인건비 절감 등 효율성을 높이고 있다”고 설명했다.

   
▲ 참관객들이 드림시큐리티 얼굴인식 솔루션 ‘페이스원’에 대한 소개를 들으며, 제품을 체험하고 있다.

박 상무는 물류 업체에 얼굴 인식 솔루션을 구축한 사례를 소개했다. 물류 기업은 특성상 한번에 1,000여명이 넘게 출근하며 이중 약 30%는 매일 바뀌고 있다. 일용직 근로자이기 때문이다. 출근 시간에 한꺼번에 1,000여명의 인원이 몰리다 보니 기존 지문인식 시스템에서는 약 30분의 지연시간이 발생했다. 또한 지문 인식은 인식 에러 및 도용이 발생했다.

이에 기업에서는 지연 시간 해소, 도용 및 에러 방지, 오탐 발생률 축소 등을 목적으로 얼굴인식 기술을 도입했다. 얼굴인식 기술의 장점은 비접촉식이기 때문에, 접촉식 기술에 비해 청결하다. 더불어 지문인식은 지문 탬플릿 만으로 사람을 구별할 수 없지만, 얼굴인식은 구별이 가능해 대리 또는 도용을 막을 수 있다. 업체마다 차이는 있지만 얼굴인식 기술을 도입함으로써 최소한 약 5%의 비용을 절감하고 있다는 것이 박 상무의 주장이다.

박 상무에 따르면, 드림시큐리티의 얼굴인식 솔루션 ‘페이스원’의 특장점은 ▲적용 용이성 ▲보안성 ▲우수성 ▲안정성 등 4가지를 꼽을 수 있다. 먼저 적용 용이성은 얼굴 데이터를 기반으로 사후 검증이 용이하고, 기존 출입통제관리시스템 등 인프라와 쉽게 연계할 수 있다. 보안성은 안면인식 데이터를 메타 데이터화 및 분산관리를 통해 높였다. 또한 국정원 검증필 암호모듈 및 KISA 얼굴인식 인증 모듈을 적용했으며, PKI기반으로 서비스를 구축해 안정성을 높였다.

박기준 상무는 “세계적으로 리소스 관리에 대한 관심이 높아지고 있으며, 이에 따라 근태관리도 주목받고 있다. ‘홈베이스’ 등 해외 주요 근태관리 솔루션 기업들은 근태 스케줄링 기능 등에 특장점을 갖고 있지만, 얼굴인식 등을 활용한 사용자 인증 기능을 갖추고 있지 않다. 근태관리 전문 기업들과의 제휴를 통해 시장을 확대할 수 있을 것으로 기대된다”고 말했다.

인기기사 순위
(우)08503 서울특별시 금천구 가산디지털1로 181 (가산 W CENTER) 1713~1715호
TEL : 02-2039-6160  FAX : 02-2039-6163  사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김선오