[IoT 시대①] IoT 환경에는 단순하고 강력한 보안이 필요하다
“사물 간 인증보안·디지털 사이니지 등 수익모델화 시도 활발”
산업현장부터 가정까지 IoT 도입이 활발해지면서 “또 무엇이 인터넷에 연결될까”라는 물음이 나오는 상황이다. 하지만 그에 앞서 그 ‘무엇’이 가지고 있는 정보와 이를 보호할 수 있는 보안방안은 마련돼 있는지를 먼저 고민할 시점이다.
□ “보안 취약성도 연동된다” IoT 인증보안의 중요성 대두
사물인터넷은 여러 가지 요소기술이 통합돼 특정서비스를 구성한다. 사물간의 연결로 각 요소 기술이 가진 보안 취약점이 연동될 수 있으며, 새로운 보안 취약점이 발생할 가능성도 배제할 수 없다. 즉, 계란을 한 바구니에 담은 격이다.
부산대 김호원 ITRC 센터장에 따르면 각 요소 기술 중 디바이스나 운영체제, 통신·네트워킹, 웹 서비스·응용 서비스 등에서는 기밀성, 무결성, 인증, 접근제어 등이 중요하다. 데이터마이닝이나 빅데이터 기술 분야의 경우 사생활 보호가 중시된다.
예를 들어 SK텔레콤의 인공지능 비서 ‘누구’의 경우 디바이스에 자체 운영체제를 품고 있으며 IBM의 인공지능 ‘왓슨’을 탑재했다. 또한 Wi-Fi를 이용해 인터넷에도 연결되며, 사용하면서 데이터를 쌓고 딥러닝을 한다.
이처럼 IoT 도입은 단일 사업자가 주도하지 않고, 다양한 주체가 공존하는 수평적 시장의 형태로 사생활 보호책임과 권한선정의 어려움은 필연적이다.
현재 IoT 시장은 보안 기법을 의무화하지 않고 상황에 따라 다양한 인증 기법을 이용할 수 있다. 인증보안이 걸림돌일지 여부는 아직 지켜봐야 하는 상황이다.
□‘One Time ID’ 한시적이며 가변적인 팩터
일반적으로 인증은 구성요소가 필요하다. 아이디와 패스워드, 지문·홍채를 비롯한 생체정보, 대표적인 투팩터 인증 수단인 OTP(One Time Password) 등이 있다.
아이디와 패스워드는 늘어만 가는데 기억은 가물가물해져 자연스레 비밀번호찾기를 누르게 된다. 혹여나 한 번에 로그인을 성공하면 씁쓸한 쾌감을 맛보기도 한다.
“우리의 솔루션이 가진 구성요소는 아이디밖에 없다” 이와 관련해 박규호 코리아엑스퍼트 대표는 눈길을 끄는 아이디어로 IoT 인증보안을 선도하겠다고 자신감을 내비쳤다.
아이디어는 ‘아이루키’가 됐고 국내에서 특허도 받았다. 가장 주요한 기능은 OTID(One Time ID)로 정해진 시간에만 활성화되는 일회용 아이디다. 한정된 숫자조합으로 중복될 수 있는 OTP와 달리 코리아엑스퍼트가 가진 알고리즘을 통해 해당 사용자를 지칭할 수 있는 아이디를 부여하는 형태다.
기자는 아이루키 홈페이지 자동로그인에 사용될 일회성 아이디를 부여받아 테스트를 진행했다. 아이루키 앱에 나타난 일회용 아이디는 ‘GE3DQNBVGN2...’으로 영문과 숫자의 불규칙한 나열이 계속됐다.
<최진영 기자>jychoi@cctvnews.co.kr [기사원문 바로가기]