사이버 공간의 안보가 바로 국가 안보의 한 부분이자 삶의 질을 높이는 국민복지 서비스 중 하나로 여겨지고 있다. 이에 정보보호 관련 기술 동향 및 정보보호 서비스 산업의 최근 이슈를 공유하는 ‘2014 정보통신망 정보보호 컨퍼런스’가 지난 24일부터 이틀 동안 코엑스 컨퍼런스룸에서 개최됐다.

이번 행사는 ‘창조경제를 위한 정보보안’이라는 주제로 미래창조과학부가 후원하고 한국인터넷진흥원이 주최했다. 금융보안과 개인정보보호와 관련된 이슈는 물론 지금 세계적으로 화두가 되고 있는 사물인터넷, 빅데이터 등 신성장동력 산업에서 발생하는 보안 문제를 논의하여 정보보안 산업을 창조경제의 중심축으로 만들자는 취지다.

사물인터넷 구현은 보안 기술이 뒷받침돼야

첫날 행사에서 ‘사물인터넷(IoT) 서비스의 구현 기술과 보안 이슈’를 주제로 기조연설을 한 부산대의 김호원 교수는 “ICT 기술의 궁극적인 지향점으로 간주되는 초연결사회(Hyperconnected Society)는 사물인터넷에 의해 실현될 것으로 보는 견해가 많다”고 밝혔다.

“그러나 이와 같은 사물인터넷상에서 사물 공간과 가상공간의 통합은 보안에 있어 많은 취약점을 드러내고 프라이버시 문제도 야기 시킬 수 있다”고 김 교수는 경고하면서 “안전하고 신뢰할 수 있는 사물인터넷 서비스의 실현을 위해서는 견고한 보안 기술이 반드시 뒷받침돼야한다”고 조언했다.

김 교수가 발표한 사물인터넷 서비스와 관련한 현재의 보안 수준을 살펴보면, 인터넷에 연결되는 사물의 수가 폭발적으로 증가하고 있지만 주요 사물인터넷 서비스별 보안위협에 대한 대응정책은 논의 단계에 머무르고 있는 것으로 나타났다.

이 같은 현황에 대해 김 교수는 “사물인터넷의 생태계를 이루는 소프트웨어(S)와 플랫폼(P), 그리고 네트워크(N) 및 디바이스(D)는 개별적으로 보안에 대한 다양한 위협요소들이 내재되어 있다”고 주장하면서 “기획 및 설계 단계부터 보안을 고려한 사물인터넷 서비스 개발이 필요하다”고 강조했다.

김 교수는 사물인터넷의 통신 및 네트워크 보안과 관련하여 “그동안 사물인터넷 서비스용 근거리 무선통신으로 활용된 ‘Zigbee 보안기술’ 및 ‘CoAP 보안기술’, 그리고 ‘LWM2M 보안기술’과 ‘MQTT 보안기술’ 등이 대표적인 보안기술들”이라고 소개했다.

그리고 사물인터넷 서비스 및 사물인터넷 API서비스의 보안 기술에 대해서 김 교수는 “보안 및 프라이버시 보호 관점에서 중요하게 다뤄지는 IoT-A 보안기술이 사물인터넷 서비스의 주요 보안 기술이고, OAuth 보안기술은 사물인터넷 API서비스의 보안 기술 중 하나”라고 전했다.

발표를 마치며 김 교수는 “서비스의 단계별과 플랫폼별로 보안 및 프라이버시 보호 관련 문제를 해결할 필요성이 있다”고 언급하면서 “사물인터넷 디바이스 간 통신네트워크에서의 보안 이슈 및 사물인터넷의 개방형 특성으로 인해 제기되는 보안 이슈들에 대해 관심을 기울여야한다”고 당부했다.

웨어러블 컴퓨팅 및 스마트그리드의 보안

둘째 행사는 웨어러블 컴퓨팅 및 스마트그리드 등 창조경제를 구현할 핵심 산업으로 각광을 받고 있는 차세대 융합기술들의 보안 시스템이 주로 논의됐다. ‘웨어러블 컴퓨팅에서의 보안 이슈’에 대해 주제발표를 한 한국인터넷진흥원(KISA)의 오용석 팀장은 "급성장하고 있는 웨어러블 컴퓨팅 환경은 생활의 편리함을 가져다주는 동시에 프라이버시 침해라는 개인정보보호 이슈도 함께 가지고 있다“고 설명했다.

오 팀장은 “웨어러블 디바이스와 연결된 기기의 해킹 시 웨어러블 디바이스를 해킹하는 효과를 거둘 수 있다”고 지적하면서 “예를 들면 구글 글래스의 경우 보안상의 취약점으로 인해 개인정보에 대한 안전관리가 위협받을 가능성이 있다”고 덧붙였다.

이 외에도 오 팀장은 “웨어러블 디바이스는 개인의 생명과 관련된 정보를 처리할 수 있다는 점에 특히 주의를 기울여야 한다”고 경고하면서 “실제로 지난 2012년에 개최된 블랙햇 보안 컨퍼런스에서 해커가 타인의 인슐린 펌프를 조작하여 치명적인 복용량을 주입할 수 있음이 증명된 바 있다”고 밝혔다.

오 팀장의 발표에 따르면 웨어러블 컴퓨팅의 정보보호 이슈로는 웨어러블 디바이스에 저장된 정보를 분석하면 개인의 라이프 스타일이 파악되는 등 프라이버시가 침해될 수 있는 점과 사진 및 동영상 촬영은 보이지 않는 휴대용 CCTV와 같은 역할을 할 수 있는 점 등이 거론되고 있는 것으로 드러났다.

이에 따라 웨어러블 컴퓨팅의 정보보호 이슈에 대한 해결방안으로 오 팀장은 웨어러블 디바이스 개발 시 소프트웨어 개발보안(Secure Coding)을 준수하고, 컴퓨팅 및 배터리 능력이 낮은 경우에도 일정 수준 이상의 보안강도를 유지할 수 있도록 경량화 된 암호화 알고리즘을 적용하며, 웨어러블 디바이스와 연결되는 네트워크 및 기기에 대해 보안을 강화하는 방법 등을 제시했다.

이어서 ‘스마트그리드의 보안 이슈 및 대응방안’을 주제로 발표한 국가보안기술연구소(ENSEC)의 이건희 박사는 “스마트그리드의 특성상 기존 전력망에서는 거의 발생되지 않았던 사이버 공격이 크게 증가했다”고 우려하면서 “작게는 전력 소비량 변조를 통해 개인의 이득을 취할 수 있고 크게는 해킹을 통한 테러로 대규모 정전사태를 유발할 수도 있다”고 우려했다.

스마트그리드 분야의 보안 이슈에 대해 이 박사는 “운영센터만 안전하게 보호하는 것으로는 피해를 예방하기에 부족하다는 점과 스마트그리드 시스템에 사용되는 대부분의 프로토콜이 TCP/IP의 환경에서 동작하기 때문에 보안 위협이 증가하고 있다는 점 등을 들 수 있다”고 말했다.

그러면서 이 박사는 스마트그리드 시스템의 정보보호 이슈에 대한 해결방안으로 “업무 관련자들에게 인증서를 발급하고, 이를 관리하기 위한 인프라를 별도로 구축하며, 스마트그리드 시스템에 대한 암호인증 체계의 확립 등이 마련되어야 할 것”이라고 언급했다.

발표를 마무리하며 이 박사는 “투자비용의 회수논리에 의해 보안에 대한 투자는 대부분 우선순위가 가장 낮게 책정되어 있다”고 지적하면서 “그러나 최근의 사례들을 보면 보안대책의 미흡에 따른 기회비용이 매우 크다는 것을 알 수 있는 만큼, 스마트그리드 시스템의 성공적 확산을 위해 사이버 보안대책 마련을 서둘러야 한다”고 주장했다.