□ 모든 사물에 통신 기능이 탑재되어 사물 간 실시간 연결이 가능한 사물인터넷 시대 도래

○사물인터넷은 개별 단말에 통신 기능을 접목해 원격 감시 및 시스템 자동화 등을 실현하는 사물 간 통신(M2M)*과 유사한 개념 

   * Machine-to-Machine : 주로 대규모 인프라 설비나 산업 시설 등 대형 시스템을 대상으로 통신 기술을 접목해 설비 운영효율을 높이는 솔루션 제공에 초점

○사물인터넷은 모바일, 클라우드, 빅데이터 등 다른 IT 기술과의 연계를 통해 한 단계 진보된 사업 모델을 제시하는 것이 목표

□ 시장조사업체 가트너(Gartner)에 따르면, ‘15년 IoT 사용기기는 49억 개로 이러한 IoT 시장 성장추세가 더욱 가속화되어 ’16년에는 64억 개의 IoT 사용기기가 있을 것으로 추정

   ※ 이는 일 평균 약 550만개의 기기가 새롭게 연결되는 것을 의미

○ 이에 대해 가트너는 IoT 서비스가 IoT 시장을 활성화하는 주요 요인이라고 밝히며, 소비자들이 커넥티드 카를 비롯해 인터넷에 연결된 많은 사물들을 사용하게 될 것이라고 밝힘

<부문별 IoT 사용기기 전망>

                                      (단위 : 백만 개)     

    ※ 자료 : Gartner(‘15.11.10)

① IoT 보안 위협 대두

□ 사물인터넷 서비스 확산으로 인터넷에 연결된 모든 사물이 사이버해킹 대상이 됨에 따라 보안 위협 우려 증가

○ 통신 기능과 함께 데이터를 자체적으로 확보, 처리하는 기능이 탑재된 사물인터넷 단말 및 시스템이 사이버공격의 표적이 될 수 있음

○ 특히, 사물인터넷 서비스에 활용되고 있는 단말들의 경우, 대체로 컴퓨팅 기능이 단순하고 보안성도 취약한 경우가 많아 외부공격에 취약한 상태

○ 또한, 사물인터넷 산업 환경이 단일된 기술 표준으로 통합될 경우, 특정 분야를 겨냥한 사이버공격이 다른 산업에까지 악영향을 미치는 부작용을 초래할 수 있음

□ 사물인터넷 단말의 보안 취약성의 특징은 크게 ▲고도의 보안 솔루션을 도입하기 어렵고, ▲외부에서 해킹 사실을 확인할 수 없으며, ▲복잡한 네트워크 구조로 침투 경로가 다양하다는 점 등이 지목

○ 간단한 통신 기능만 탑재된 단말의 경우, 개별적으로 보안 SW를 설치해 구동하는 것이 불가능하고, 보안 HW 모듈을 장착하거나 전체 제어 시스템에 보안 솔루션을 적용하는 등 별도의 노력이 필요

○ 아직까지 사이버위협에 노출된 사물인터넷 단말을 실시간으로 파악하는 보안 솔루션이 보편화되지 않았으며, 일반 소비자 가전 영역에서는 해킹 공격을 확인할 방법이 전무

○ 또한, 개별 사물인터넷 서비스에서 사용하는 통신 기술 표준이 아직 정립되지 않아 복잡한 네트워크 구조를 형성하고 있으며, 와이파이(Wi-Fi), 블루투스(Bluetooth) 등 이종 네트워크 간 상호 연동 과정에서 일정한 보안 수준 유지 어려움이 발생

□ 스마트가전, 스마트카 등 사물인터넷과 관련된 보안 문제가 이미 여러 차례 가시화되면서 업계의 경각심이 높아지는 추세

○ 미국 연방거래위원회는 보안용 웹카메라 벤더 트렌드넷(TRENDnet)의 CCTV 제품 ‘시큐어뷰(SecurView)’가 보안 결함이 있다며 시정조치를 명령(‘13.9)

○ 미국 보안업체 프루프포인트(Proofpoint)는 ’13.12.23~14.1.6 기간에 세계 전역에서 기업 및 개인을 겨냥한 악성 스팸 메일 총 75만 건 중 25%가 TV, 냉장고 등 통신 기능이 탑재된 가전제품에서 발송된 것으로 확인

○ 사물인터넷 분야 중 하나인 스마트카 역시 스마트폰 등 자동차와 연결되는 다른 단말을 통해 바이러스에 감염될 수 있으며, 감염된 자동차가 작동 오류를 일으켜 최악의 경우 대형 사고의 원인으로 부각

<스마트카 보안문제 예시>

                 ※ 자료 : 각 언론사 보도자료 재구성 

○ 독일 보안업체 리큐리티랩스(Recurity Labs)는 해킹 실험을 통해 독일 남부에 위치한 작은 도시 에틀링겐(Ettlingen)의 전력 공급을 외부에서 무단으로 차단하는 등 사물인터넷 보안 심각성 주장(2013.11)

□ 국내 역시 사물인터넷 보안 위협 피해 사례가 등장하고 있으며, 해킹 피해 예방을 위한 보안조치 마련 움직임 발생

○ SK브로드밴드 등 특정 통신사 네트워크를 겨냥한 사이버공격으로 통신 서비스가 일시적으로 장애를 일으키는 사고 발생(2014.11)

   ※ 당시 DDoS 공격에 사용된 악성코드 설치 단말(좀비 PC)은 기존의 PC나 스마트폰이 아닌 가정용 무선공유기 및 통신 기능이 탑재된 냉장고나 세탁기 등 일반 가전제품인 것으로 드러나, 사물인터넷 단말의 보안 취약성이 현실로 드러남

○ 이외에도 스마트카와 관련하여, 직접적인 해킹 피해사례는 발생하지 않았으나 피해 예방을 위한 보안조치를 강화하고 있는 추세

   * 현대차는 현대오토에버를 통해 자동차 해킹 방지기술 개발을 시작하였으며, 장거리 통신을 통한 해킹 방지 기술에 주목

② 주요국 IoT 보안 위협 대응 동향

□ 미국, 유럽 등에서는 사물인터넷 산업 진흥과 이용자 보호를 함께 고려하는 제도적 지원 마련을 검토하고자 노력

○ 구체적인 사물인터넷 정책이 수립되지 않았으나, 시장의 자율규제를 통해 각 서비스 분야별로 보안 원칙을 적용하도록 유도

○ 헬스케어 등 사람의 생명과 직결되는 분야에서는 사물인터넷과 별도로 강력한 보안 지침을 마련해 이를 의무화한 상태

□ 미국은 사물인터넷 보안 강화를 위한 공공-민간 전문가 의견수렴 등 사물인터넷 보안 정책 수립 초기단계에 진입

○ 미국은 사물인터넷 중심의 보안 정책이나 법제도가 아직 정립되지 않았으나, 사물인터넷과는 별개로 특정 분야에 대한 사이버보안 강화 정책은 지속적으로 추진 중

○ 미국 백악관에서는 주요 기반시설을 겨냥한 사이버공격에 대응하기 위해 대통령 행정명령을 발동하고, 국립표준기술연구소의 주도 하에 사이버보안 프레임워크를 수립(2013.2)

○ 미국 식품의약청(FDA)에서는 의료장비에 대한 보안 지침을 마련해, 이를 준수하지 않은 제품은 미국 내에서 판매 및 유통을 금지(2013)

○ 미국 연방거래위원회(FTC)는 사물인터넷 규제 마련을 위한 준비 작업의 일환으로 학계 및 민간 사업자와 소비자 보호 단체가 참여하는 워크숍 개최(2013.11)

   * 사물인터넷 활용 단말 및 서비스의 정의, 사물인터넷 구현 기술의 유형 확인, 소비자 데이터 프라이버시의 보호, 데이터 전송 네트워크 보안 등 사물인터넷과 관련한 다양한 규제 이슈에 대해 논의 진행

○ 미국 연방거래위원회 줄리 브릴(Julie Brill) 의장은 사물인터넷을 제공하는 단말 및 사업자들이 크게 3가지의 대원칙을 준수해야 한다고 밝힘(2014.3)

   * ① 사물인터넷 사업자들이 보다 개인정보보호를 고려한 제품 및 서비스 디자인을 진행해야 함, ②수집된 개인 데이터의 강력한 비식별화, ③사물인터넷 단말 및 서비스의 투명성 확보

□ 유럽은 기본적으로 권고사항 및 가이드라인 형태의 사물인터넷 보안 지침 마련과 함께 사물인터넷 보안 기술 개발 및 인증, 표준화 작업에 초점

○ 유럽위원회는 유럽 내에서 사물인터넷이 확산됨에 따라 보안 위협이나 사생활 침해 등의 부작용이 발생할 수 있음을 인지하고, 지속적인 공공-민간 의견수렴을 통해 필요한 제도적 기반을 준비 중

○ 유럽 사물인터넷 연구단에서는 사물인터넷과 관련된 전반적인 기술연구가 이뤄지고 있으며, 이중에는 사물인터넷 보안 관련 연구과제도 포함

○ 유럽데이터보호 감독기구 작업반 29(Working Party 29)에서 사물인터넷 데이터 보호와 관련된 권고안*을 채택, 발표(‘14.9)

   ＊ Opinion 8/2014 on the on Recent Developments on the Internet of Things

□ 중국 역시 사물인터넷을 미래 핵심 산업으로 육성시키기 위해 사물인터넷 핵심 원천기술 확보의 일환으로 사물 인터넷 보안 강화를 도모

○ 중국 공업정보화부는 사물인터넷 정책을 보다 구체화한 ‘사물인터넷 12차 5개년 계획’ 을 공개하고, 원천기술 혁신, 산업 생태계 육성, 기술 응용 수준 제고 등의 목표를 설정(’11.12)

○ 또한, 사물인터넷 발전 10개 전문 행동계획을 수립하고, 핵심 보안기술 개발 및 보안 테스트 평가 플랫폼 구축을 추진하는 등 자국의 보안 역량 강화를 모색 중

③ 국내 IoT 위협 대응 동향

□ 사물인터넷 분야에서 사이버보안 위협이 대두됨에 따라 신속하게 관련 정보보호 정책을 발표(’14.10.31)

 ○ 기존 사이버공간에서의 보안 위협이 사물인터넷으로 인해 현실 세계로 전이 및 확대되고 있는 상황을 고려해, 새로운 사이버 보안(정보보호) 접근방식이 필요성 대두

 ○ 이에 미래부는 ▲보안 내재화된 IoT 기반 조성(Security Native), ▲글로벌 IoT 보안 선도기술 개발(Security Frontier), ▲IoT 보안 산업경쟁력 강화(Security Premier) 등의 전략으로 구성된 ‘사물인터넷 정보보호 로드맵’ 발표(‘14.10)

□ (보안 내재화된 IoT 기반 조성) 사물인터넷 산업을 7개 분야로 규정하고 각 산업에 대해 보안 내재화를 추진

○ ’15년부터 추진되는 1단계 보안 내재화 사업에서는 국민 일상생활과 밀접하고 상용화가 가장 빠르게 이뤄지고 있는 홈·가전,의료, 교통 분야에 보안 원칙을 우선 적용하고, 이후 ’16년에 나머지 산업 분야에 대한 보안 원칙 도입을 지원

○ 정부가 제시하는 사물인터넷 보안 기준을 업계에 확산시키고자 정부와 기업이 협력 하에 민관합동기구 ‘사물인터넷 보안 협의체’를 구성 및 운영

○ 사물인터넷 관련 제품 및 서비스의 신뢰성 확보를 위해 홈페이지를 통해 보안 관련 사항을 국민에게 공개하고, 새로 발견된 보안 취약점에 대한 사후관리 등 지속적인 관리지원 사업을 추진

○ 소비자가 안심하고 이용할 수 있도록 사물인터넷 보안인증 제도를 도입하고, 민간 주도의 인증 시스템 운영으로 자율적인 활성화를 도모

□ (글로벌 IoT 보안 선도기술 개발) 사물인터넷의 3계층(디바이스, 네트워크, 서비스/플랫폼) 9대 핵심 원천기술을 개발

○ (단말 계층) ▲경량·저전력 암호 ▲기기 위·변조 방지용 보안 SoC(System on Chip) ▲사물인터넷 보안운영체제 등의 기술 개발을 추진

○ (네트워크 계층) ▲이종 네트워크 간 보안 게이트웨이(Gateway) ▲침입탐지 및 대응 시스템 ▲원격 보안관제 등을 연구

○ (플랫폼/서비스 계층) ▲이용자 생체정보나 행동패턴을 인식하는 스마트 인증 ▲비정형 빅데이터 분석 기반의 사생활 보호 기술▲분야별 특성을 고려한 적응형 보안 솔루션 등이 주요 개발 대상

○ 이 같은 기술 연구를 위해 7개 사물인터넷 분야에 대한 실증사업을 추진하고, R&D 결과물에 대한 시험·검증을 통해 최종 원천 기술 확보를 달성

○ 미국, 유럽 등 사물인터넷 선도기술을 보유한 국가와의 국제협력을 통해 R&D 역량을 강화하는 한편, 확보한 원천기술의 표준화 추진을 통해 국가 경쟁력 제고도 모색

□ (IoT 보안 산업경쟁력 강화) 사물인터넷 관련 창의적인 아이디어 발굴을 위해 보안 전문 기업 육성, 인력 양성 추진

○ 사물인터넷 보안 우수기업을 발굴하기 위해 중소벤처 창업 및 육성 지원, 사물인터넷 융합보안 실증사업 등을 추진

○ 사물인터넷 보안취약점을 발굴하기 위한 신고포상제를 도입하는 한편, 보안업체와 사물인터넷 업체를 연결함으로써 사물 인터넷 보안 적용사례를 확대

○ 사물인터넷 7대 분야와 관련된 대학 학과에 대한 정보보호 기본교육 추진으로 융합보안 전문 인력 육성의 기틀을 마련하고, 정보보호 전공학생을 대상으로 심화교육도 추진

○ 사물인터넷 7대 분야에 종사하는 재직자를 대상으로 사물인터넷 보안 교육과정 운영

④ 결론 및 시사점

□ 사물인터넷 환경에서의 보안 위협 피해의 파급 효과가 클 것으로 예상되고 있으나, 이에 대한 보안 대책 수립 어려움 발생

○ 사물인터넷은 제조업, 의료 등 다양한 산업분야와 융·복합되어 혁신이 창출되는 개념으로 각 산업 분야별로 보안 위협요인과 대응 방식도 달라지기 때문에 일관된 사물인터넷 보안 기준을 결정하기 어려움

○ 또한, 사물인터넷 환경은 보호대상의 범위, 대상 특성, 보호 방법 등에 있어 기존 PC, 모바일 중심의 사이버환경과 달라 새로운 보안 대응 체계 구축이 필요한 상황 

□ 이에, 사물인터넷 관련 보안 강화 정책 추진 시, 특정 산업군마다 별도의 기준을 세워 접근하는 것에 대한 고려 필요 

○ 소셜 미디어, 검색 엔진, 온라인 쇼핑, 뉴스, 콘텐츠 서비스 등 다양한 인터넷 서비스 종류에 따라 조금씩 다른 보안 지침이 적용되고 있는 것을 감안, 사물인터넷도 유사한 접근방식을 취할 수 있을 것

○ ‘사물인터넷 정보보호 로드맵’과 같이 사물인터넷 정보보호 정책의 체계적 추진이 더욱 더 중요해질 것으로 예상

   * 국내는 미래부에서 사물인터넷 정보보호 로드맵 3개년 시행계획을 수립하는 등 사물인터넷 정보보호 정책의 체계적 추진 노력을 기울이고 있음

□ 또한, 개인정보를 활용한 다양한 사물인터넷 서비스가 출현될 것으로 예측됨에 따라 사물인터넷 환경에서의 개인정보 이슈가 지속 발생할 것으로 전망

○ 사물인터넷 환경에서의 서비스는 디바이스, 통신/네트워크 공급자 등 다양한 주체가 공존함으로 인해 주체간 프라이버시 보호책임, 권한 선정의 어려움이 발생

○ 또한, 사물인터넷 서비스 특성상 기기-사람, 기기-기기 간 수많은 정보가 유통, 공유되어 자신의 데이터를 관리, 검토하기 어려운 문제 등이 발생

출처 : 정보통신정책연구원 (2015.8.13)

http://www.nortonrosefulbright.com/knowledge/publications/121753/eu-article-29-working-party-emphasises-privacy-by-design-for-the-internet-of-things-in-opinion-82014-on-the-r
http://www.msip.go.kr/cms/www/open/go30/info/info_1/info_11/__icsFiles/afieldfile/2015/12/03/%EC%82%AC%EB%AC%BC%EC%9D%B8%ED%84%B0%EB%84%B7%20%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%20%EB%A1%9C%EB%93%9C%EB%A7%B5%20%EC%8B%9C%ED%96%89%EA%B3%84%ED%9A%8D.pdf
https://www.ftc.gov/news-events/events-calendar/2013/11/internet-things-privacy-security-connected-world
http://www.google.co.kr/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0ahUKEwjDypSX3tLJAhUFmJQKHQsJDSIQFgglMAA&url=http%3A%2F%2Fec.europa.eu%2Finformation_society%2Fnewsroom%2Fcf%2Fdae%2Fdocument.cfm%3Fdoc_id%3D1753&usg=AFQjCNHoRL11Ce0INElpI0SALOzVlFHcwQ&bvm=bv.109395566,d.dGo
http://www.gartner.com/newsroom/id/3165317