[보안 칼럼] IoT 보안과 미래차 보안 그리고 '교통 보안' 와~~

사물인터넷 IoT 기술은 빠르게 확산되고 있는데 보안은 충분한가? 문제였다. IoT는 단순히 전산에 머무르지 않고 물건을 직접 조작하는 경우도 있기 때문에 보안 실패 시 인체에 물리적으로 직접 피해를 줄 수 있기 때문에 기존의 ICT 보안에 비해 훨씬 강도가 높고 기초에 대한 접근이 전혀 다른 보안이 필수적이다.​ ​ 자율 보안과 규제 보안 ​ IoT에 대해서 보안이 필요한 분야는 크게 1)스마트 홈, 2)스마트 팩토리, 3)스마트 카, 4)스마트 에너지 맨 정신으론 그리드 등 4가지다.​ 그 중 1)스마트 홈과 2)스마트 팩토리 보안은 '자율 보안'성질이었다. 사용자가 자신의 이익에 따라 자신의 시스템에 IoT를 적용할지, 아니면 적용한다면 보안도 적용할지 여부를 결정할 것입니다. 다시 말해서 1)과 2)의 보안은 ' 하지 않는 것도 있다는 것'이었다. 물론 그로 인한 피해책임입니다는 순수하게 사용자의 몫이고 가능하면 하는 게 좋지만 어쨌든 개인의 자유다. 공장의 경우에는 노동자의 안전을 위해 보안을 강제해야 하지만 대부분의 공장은 나쁘지 않다, 이름 때문에 IoT 이전에 기존 ICT 적용도 불충분하기 때문에 아직 갈 길이 멀다.자체 보안은 사후 대처 방식으로 서서히 확산된다. 사후대처란 문재가 발생하면 보안을 추가하는 패치방식을 가지고 있습니다. 기존의 개인 컴퓨터 보안과 마찬가지로 이미 익숙해진 일이라 현재 대부분의 IoT 보안 대기업들은 이 분야 사업에 집중하고 있다. IoT 보안이라기보다는 기존의 ICT 보안과 거의 같기 때문에 쉽게 접근할 수 있기 때문이다.​ 한편 3)스마트 카 그리고 4)스마트 에너지 맨 정신으론 그리드 보안은 '규제 보안'성질이었다. 규제 보안이란 자주 보안과 달리 규제를 위해서라도 '해야 하는 일'의 의의였다. 3)는 사용자 자신만 아니라 다른 사람의 안전까지 위협하기 때문에 4)은 에너지 흰색으로 이용 과금의 공정성 때문에 엄격한 관리와 통제 즉 규제 보안의 대상일 수밖에 없다. 소음주 운전과 안전벨트 미착용은 예전엔 불법이 아니었지만 지금은 엄격하고 당연한 규제 대상인 것과도 대등한 경우다.규제 보안은 각종 규제에 의한 선제 보안으로 사회 전반에 마치 손바닥을 감싸듯 혁신적으로 적용된다. 규제의 적용과 동시에 보안이 발동되는 것이다. 선제 보안이란 문제가 발생해 나쁘지 않으면 서둘러 대책을 강구하는 것이 아니라 시스템 설계 단계부터 보안을 충분히 고려해 문제 발생 가능성을 최소화하는 방식이었다. 기존 발전소 등 주요 인프라 폐쇄 전용망 구축과 비슷한 접근법이라고 할 수 있다. 보안이 이미 충분한 시스템과 네트워크를 완전히 구축하여 나쁘지는 않으므로 운영을 시작합니다. 3)과 4)는 행정부의 인프라 전반에 걸친 것이어서 기술 종합적인 것이기도 하다.IoT 보안은 '생명보안' IoT는 기존 IT기술과 각종 하드웨어 조작기술 OT(Operational Technology)의 결합으로 보안 실패 시 물리적 피해 발생 위험이 있다. 그러므로 IoT 보안 또한 IT 보안과 OT 보안의 절충이 필요하며, 그 기준은 보다 엄격한 OT 기준을 따른다. 네트워크 접속에 있어서도 IT 보안은, 실은 그래서는 안 되지만, 일단 접속해, 사후 문제 발생시에 수습하는 방법을 취합니다. 반면 OT 보안은 폐쇄 보안 원칙에 따라 위험을 반드시 사전 차단하는 방법을 취합니다. 따라서 IoT 보안 또한 보안 후 연결(Secure First then Connect) 방식이어야 합니다.​

>

IT 보안 실패의 피해는 자산이지만, OT 보안 실패의 피해는 생명이었다. IoT 물건의 대표격인 자동차를 보자. 자동차 보안 실패 사례는 모든 사람의 생명을 위협하는 것이었다 운전 중 운전대를 원격 쵸죠루하 것 자기 움직이는 1을 못하게 닫고 속도를 임의로 쵸죠루하 것 나, 엔진을 정지하기도 했다. 표시등, 경적등 장치의 동작을 조작하거나 계기판 정보를 오출력 시키거나 GPS 좌표를 조작하거나 한다. 전체기가 실증된 자동차 해킹 사례였다=자동차라는 사물의 성격상 문제 방지 등 안전을 위한 보안이 절실하다. 지금까지의 보안은 기껏해야 돈을 지키는 보안이었지만, 지금 사람의 생명을 지키는 보안이 되는 것이었기에 세계 주요 행정부는 자동차 보안 관련 규제를 계속 수립해 시행하고 있다. 오메리카웅 2017년에 'SELF DRIVE Act','DoT Guideline','AV START Act'등의 규제를 선언하고 유럽 연합은 2016년에 'EC C-ITS'사업'ENISA스마트 카 사이버 보안 권고 방안'에 이어2017년 영국 국가'스마트 카 사이버 보안 가이드 라인', EC'자동차 보안 인증 프레임워크', ACEA'자동차 사이버 보안의 핵심 원칙'등의 규제 방안을 잇달아 발표하고 있다. 중국도 2016년에 '자동차 보안 위원회'를 설립하고, 2017년'중국의 사이버 보안 법'을 시행하는 등의 조치를 취하고 있다.​ 자동차 보안은 '교통 보안'​ 그렇게 자신의 자동차 해킹은 자동차 자체 보안만으로 막을 수 있는 1이 없다. 교통 자체의 보안 문재다. 자동차가 지능화되어 코넥티도우홤으로써 현재 자동차는 '단순한 인터넷 접속'단계에서 '교통 네트워크 참가자'단계로 진화 중이며 이는 5G의 확산 등 환경 변화에 의해서 급속히 1반화되고 있다.​ 그래서 자동차 내부의 보안뿐 아니라 다른 자동차 자신 지능형 교통 시스템 C-ITS등의 교통에 관련된 '모두'와 V2X(Vehicle to Everything)통신 보안이 가장 중요하고, 그 밖에도 교통 체계의 중앙 및 에지 컴퓨팅 보안, V2D무바 1연동 보안, V2G, 전기 자동차의 생태계 보호 등 여러 분야, 보안을 종합할 충분한 힘이 있어야 완전한 자동차 보안을 실현할 수 있다. 자동차 보안은 농구의 풀코트 프레스 전략과 같이 교통 시스템 전체의 안전을 담당하는 "전역 보안(Whole-system approach)"이었다.

>

한편, 현재, 자동차 보안은 단순 인터넷 접속 기준의 보안이다. 고로시큐리티가 텔레매틱스 서버 시큐리티, 차량용 단말 시큐리티, 하나반 웹 시큐리티 정도에 머무른다. 말 그대로 자동차 보안이다. 그러나 자동차가 커넥티드 카로서 교통네트워크에 직접 참여하게 됨으로써 자동차 보안은 전혀 다른 성격의 하나, 즉 '교통보안'이 된다.​ 자동차는 V2X를 통해서 다른 자동차 및 기타 교통 수단, 스마트 도로 및 RSU, C-ITS등 교통 시스템과 연결되고, V2G를 통해서 전기 차 충전 시스템 및 전력망 그리고 에너지 흰색으로 서비스에 접속된다. 서비스 제공을 위한 클라우드 보안 등 전통적 ICT보안에서 V2X등 자동차 보안 기술 전반 그리고 V2G에너지 맨 정신으론 그리드에 대한 이해, PnC(Plug and Charge)등 미래 차의 특성에 대한 이해까지 전체 종합적 기술력의 기반이 있어야 가능한 하나이다. 요구 기술이 복잡하기 때문에 신규 진입 장벽이 높은 사업이기도 하다.IoT 보안의 미래 교통 관련 시스템에서 보는 영역은 또 있다. 자동차, 그리고 C-ITS 등 교통시스템의 진화 외에도 전기자동차 에너지 시장의 규모는 현재 자동차용 화석연료 시장의 규모를 귀하께서 계승하여 PnC 등 고유 기술에 의한 서비스 가능성의 크기로 확대할 것이다. 전기차 에너지 시장은 전기자동차뿐 아니라 스마트미터 등 하나방 에너지 그리드의 영역과도 연결돼 국가 인프라 규모를 이룬다. 그러면 그만큼 보안의 개념은 더욱 확장된다.그리고 앞으로 IoT 생태계는 폭발적으로 확장될 것이다. 기존의 인터넷 크기 개념에 비해서도 차원이 전혀 다른 수준이다. 그 때문에, 현장에서의 시스템 무인화 적용시의 효율 한계, 물량 급증에 수반하는 기존의 중앙 집중 방식의 처리 한계등의 이유로부터, "물사 인증"이나 "물사 결제(결정)" 등, 보다 말단에서의 결정력이 높은 기술이 필요하다. 그 해결책인 탈중앙화 블록체인 기술과 IoT의 결합이 현재 부족한 필수요소이며, 향후 중소기업간 경쟁 차별점이 될 것으로 전망하고 있다. 그러면, 그로 인해 보안의 개념은 다시 확장된다. 이는 정말 천문학적 규모의 확장이라고 해도 과언이 아니다.기존의 ICT 보안은 물론 그럴 수 없지만, 특별한 준비 없이 전장에 뛰어들어 공격의 충격을 몸으로 받는 위험 테이킹의 양상을 보였다. 피해는 크든 작든 금전 피해에 한정되기 때문에 보안 실패의 책이라는 명백히 다른 사람에게 있다면 귀책을 따져 보상받는 것이 단순히 내 책이라고 해도 돈이 아까운 정도에 그치기 때문이다. 그러나 IoT 보안은 그렇지 않다. 피해는 인간의 목숨에까지 미치기 때문이다.이 문제는 무조건 해결돼야 한다. IoT는 확산되지만 보안은 충분한가?

>

​​