[Industry News 이건오 기자] 일반 피처폰이 스마트폰으로 변화되던 시점부터 스마트한 기능들이 생활 속에 깊이 파고들고 전 산업에 사용되는 대부분의 기기들이 스마트화해 지면서 스마트 제조, 의료, 홈, 자동차 등 여러 분야에 다양한 종류의 스마트 기기들이 사용되기 시작했다.
 |
| 고려대 한근희 교수는 안전성과 보안성을 고려하지 않거나 생각지 못하는 환경에서 기기를 생산, 판매 및 사용하고 있는 상태라고 진단했다. [이미지=Dreamstime] |
인터넷을 기반으로 스마트화해서 사용되고 있는 기기들을 일컬어 사물인터넷(IoT) 기기로 명명하고 있는데 2020년까지 약 200~500억개 정도가 사용될 것이라고 한다. 이에 보안에 대한 관심도 높아지고 있는데 스마트공장 보안분과장과 스마트의료보안포럼 의장을 맡고 있는 고려대학교 한근희 교수를 만나 스마트공장 보안에 대해 깊이 있는 이야기를 들어봤다.
IoT 기기들은 스마트한 기능 구현을 위해 내부에 임베디드 소프트웨어가 장착되고 더불어 LAN, WiFi, Mobile 네트워크 등 인터넷에 연동되는 기능을 갖추면서 상대적으로 해킹이 가능해지기 시작했다. 고려대학교 한근희 교수는 “IoT 기기 개발자, 공급자, 사용자들은 IoT 기기의 소프트웨어에 네트워킹 기능이 추가될 경우 해커들의 표적이 되고 해킹이 시작될 것이라는 점을 간과하고 있다”며, “안전성과 보안성을 고려하지 않거나 생각지 못하는 환경에서 기기를 생산, 판매 및 사용하고 있는 상태”라고 진단했다. 이어 “안전 및 보안을 고려한 환경에서 만든 기기를 사용하는 통신사업자, 금융기관 등의 장비나 기기들과 달리 상대적으로 IoT 기기들은 보안성이 취약해 공격자에게 손쉬운 표적이 되면서 공격이 본격화되고 있다”고 덧붙였다.
 |
| 고려대학교 한근희 교수 [사진=Industry News] |
대중적으로 사용되는 IoT 기기 10종을 대상으로 한 ‘HP Fortify 테스팅 보고서 2014’에 의하면 다수의 디바이스는 클라우드와 연계해 사용되고 있고 모든 디바이스는 원격에서 접근하거나 디바이스를 제어하기 위한 모바일 앱을 사용한다고 보고됐다. IoT 보안 취약점을 살펴보면 기기의 80%는 이름, 주소, 생년월일, 건강정보, 신용카드 등의 개인정보를 수집하고, 80%는 패스워드 강도가 충분치 않으며, 70%는 내부망과 인터넷에서 암호화 통신을 하지 않고 60%는 안전하지 않은 XSS, 세션관리, 디폴트 계정 등의 웹 인터페이스를 제공하고 60%는 소프트웨어 업데이트 다운로드시 암호화를 사용하지 않고 있었다.
이에 한근희 교수는 “2016년에 IoT를 겨냥한 최초의 대형 보안 사고가 발생했는데 라우터, 보안 카메라 등 IoT 기기로 구성된 미라이(Mirai) 봇넷(BotNet)이 사상 최대 규모의 DDoS 공격을 가한 사건이었다”고 언급하며, “2016년 3월 보안전문업체인 시만텍에서 발간한 인터넷 보안위협 보고서에 의하면 2016년에 IoT 기기에 대한 공격 시도가 2배나 증가했으며 공격 시도가 최고로 활발한 때는 평균적인 IoT 기기의 경우 2분마다 한 번씩 공격을 받은 것으로 조사됐다”고 전했다. 이어 “이제부터는 IoT 기기들은 사전에 안전성과 보안성을 고려해 만들고 사용하는 환경을 조성해야 할 시점”이라고 강조했다.
 |
| 민관합동 스마트공장추진단은 지난 3년여간 스마트공장 보급 확산 사업을 추진하고 있다. [이미지=민관합동 스마트공장추진단] |
민관합동 스마트공장추진단은 지난 3년여간 스마트공장 보급 확산 사업을 추진해 2016년 말까지 2,800여개의 중소공장에 ICT를 접목하면서 커다란 효과를 창출하고 있다. 기업과 공장에서는 과거 수작업으로 처리하던 온도제어, 기계설비, 조립 장치 등에 ICT 기술을 활용함으로써 품질 향상, 원가절감, 생산성 향상 등 상당한 효과를 얻게 됐고 더불어 여력이 생기면서 최신 기술 확보를 위한 투자도 가능해지고 있다.
한근희 교수는 “IoT 기기의 사례에서 볼 수 있듯 전에는 소프트웨어나 인터넷에 접속할 필요가 없었던 공장 설비와 기기들이 ICT 기술을 접목하면서 인터넷에 접속하고 ICT 기능들을 사용하게 됐다”며, 이에 따라 “내·외부에서 스마트공장을 대상으로 한 해킹 공격이 가능해졌기 때문에 앞으로는 안전과 보안에 각별히 관심을 갖고 작업할 때”라고 말했다. 그는 또 “기업이나 공장이 인터넷 환경에 연동됨에 따라 기업에서 보유하고 있는 설계도면, 제품생산 관련자료, 신제품 개발자료, 수·발주자료 등의 산업기밀도 보호돼야 한다”며, “공장 설비 및 ICT 설비 등에 대한 보안 대책도 함께 강구해야 한다”고 스마트공장 보안에 대한 생각을 전했다.
국내 중소 제조기업의 경우 공장 인력 확보의 어려움, 열악한 운영환경에서 경쟁력을 갖추기 위한 방안으로 스마트공장 등 ICT를 도입하고 있는 추세다. 힘든 경영 여건 속에 정부의 매칭펀드 지원정책에 힘입어 스마트공장으로 변화하기 위한 ICT를 도입하고 있는 상황으로 보안과 안전까지 고려하기는 쉽지 않다.
이에 한근희 교수는 “스마트공장 보안과 안전을 위해 2016년 9월 스마트공장추진단에서 스마트공장 최소 보안요구사항과 체크리스트를 만들어 활용토록 하고 있다”며, “이를 활용하면 큰 비용 지출 없이 기업과 공장에서 필요한 최소한의 보안과 안전을 지킬 수 있다”고 설명했다. 또한, “한국인터넷진흥원에서도 중소기업과 공장의 보안성 향상을 위해서 스마트공장 중요정보 유출방지 가이드를 발간해 기업이나 공장에서 기밀보호나 보안에 취약한 위협 요소들이 무엇인지부터 이를 보호하기 위한 방법까지 자세하게 안내하고 있다”고 소개했다.
