[CCTV뉴스=이나리 기자] IoT(Internet of Things) 용으로 새로운 솔루션들이 속속 등장하며 시장이 활기를 띠고 있다. IoT 제품의 보안과 안전을 위해서는 시장에 출시하기 전에 제품을 시험하고 테스트하는 것만으로는 충분하지 않다. 이를 위해서는 제품의 수명이 이어지는 전체 기간에 현장에서 제품 모니터링과 유지보수, 필요한 업데이트/업그레이드를 지속적으로 해야 한다. 최근 이런 요구를 충족하도록 설치된 장비를 지원하기 위해 많은 원격 서비스들이 제공되고 있다. 

원격 서비스는 다양한 전자 제품에 적합한 센서와 측정 장치를 갖춰야 한다. 이로써 시스템이나 기계를 원격적으로 테스트하고 조절할 수 있으며 예방적 유지보수를 할 수 있다. 또 원격 진단을 하기 위해서는 가상 사설망(VPN)을 통한 보안 액세스를 필요로 한다. 이를 통해 현장을 직접 방문하는 데 따른 시간과 비용을 절약할 수 있다. IoT 애플리케이션은 난방 관리에서부터 로봇 시스템의 소프트웨어 업데이트와 스마트 농장에 이르기까지 다양한 분야의 다양한 형태가 될 수 있다.

그런데 복잡한 유통 사슬이나 IoT의 원격 유지보수에 사용되는 장치들은 공격자들에게 새로운 기회를 제공하곤 한다. 민감한 데이터나 IP(Intellectual Property)의 도용에서부터 전체 시스템 플랫폼의 무단조작에 이르기까지, 보안의 모든 측면에 걸친 과제들을 해결해야 한다. 하지만 대다수의 IoT 회사는 필요한 보안 전문성을 갖추지 못한 것이 현실이다. 

인피니언은 OEM과 관련 업체를 위해 하드웨어 기반 보안 솔루션을 사용한 포괄적인 IoT 에코시스템을 제공하고자 2015년 인피니언 시큐리티 파트너 네트워크(Infineon Security Partner Network, ISPN) 프로그램을 만들었다. ISPN의 파트너 업체는 커넥티드 디바이스와 IoT 서비스 업체를 타깃으로 꼭 필요로 하는 맞춤화된 보안 솔루션을 제공한다. 

이 네트워크는 각각의 애플리케이션 분야에서 어떤 보안 요구가 존재하는지 이해하고, 필요로 하는 보안 솔루션을 구현한다. 이를 위해 파트너 업체는 커넥티드 디바이스의 트러스트 앵커(Trust Anchor)로서 하드웨어 기반 보안을 사용한다. 

일례로, ISPN 회원사인 이매지네이션 테크놀로지스(Imagination Technologies)는 크리에이터(Creator) Ci40과 Ci40 IoT-in-a-box 키트를 개발했다[그림 1]. 개발자는 이 개발 툴을 사용함으로써 IoT 디자인을 개발하는 조기 단계에 보안을 구현할 수 있다. MIPS 기반 크리에이터 Ci40 플랫폼은 키와 인증서 저장을 위해 인피니언의 OPTIGA TPM(Trusted Platform Module) 보안 컨트롤러를 채택하고 있다[그림 2]. 

보안은 모든 전문적인 IoT 솔루션에서 마땅히 주의를 기울여야 하는 중요한 문제임에도 불구하고 현실은 그렇지 않다. 여전히 많은 개발자들은 견고한 보안 솔루션을 구현할 수 있는 툴과 자원을 갖추지 못했다. 만약 보안 솔루션을 개발 작업 막판에 가서야 구현한다면, 그 결과가 만족스럽지 못할 것이고, 의도하지 않은 공격 취약점을 초래할 수 있다. 

IoT 보안의 현실

현재 시장에서는 IoT 애플리케이션용으로 다수의 임베디드 개발 보드가 출시됐으나 거의 대부분이 마땅한 보안 기능들을 포함하지 않고 있다. 그런데다가 클라우드와 안전하게 연결할 수 있는 확장성 뛰어난 오픈 소스 IoT 프레임워크를 찾기가 어렵다. 크리에이터 Ci40은 IoT 허브로서 오픈 소스 보드와 소프트웨어를 지원한다. 또 키 저장, 보안 부트 프로세스, 여타 보안 기능을 위해 OPTIGA TPM을 채택하고 있다.