사회 전반에 인공지능(AI), 사물인터넷(IoT)과 사이버물리시스템(CPS), 빅데이터 등이 주도하는 4차 산업혁명의 바람이 거세게 불고 있다. ‘1차 산업혁명’이 증기기관의 발명을 통한 육체노동의 기계화를 가능케 하였다면, ‘2차 산업혁명’은 전기를 이용한 대량생산체계가 이루어진 시기로 생산성을 비약적으로 향상시켰다. 이후 반도체와 인터넷을 필두로 한 ‘3차 산업혁명’은 정보화 및 자동화의 혁명을 불러왔으며, 이제 세상은 사이버 세계(cyber world)와 현실 세계(physical world)가 완전히 통합돼 정보의 생성 · 수집 · 공유 · 활용이 수시로 이뤄지는 ‘4차 산업혁명’의 소용돌이로 들어가고 있다.
4차 산업혁명의 장밋빛 미래 속에 드리워진 보안 위험
4차 산업혁명은 분명 우리 삶 전체에 메가톤급 변화를 가져올 것이나, 이러한 장밋빛 미래 뒤에는 그에 따른 그늘 또한 존재하고 있는 것도 사실이다. 지금까지 벌어진 해킹사고는 단순히 우리에게 개인정보 유출이나 금전적인 손해를 끼치는 정도에 그쳤지만, 사물인터넷 환경에서 문제가 생기면 이는 인명 사고나 큰 재해로 번질 수도 있다.
실제로 스마트카 해킹 같은 경우에는 2010년에 미국 UC 샌디에이고(UC San Diego) 대학의 스테판 세비지(Stefan Savage) 교수 연구팀에 의해 처음 그 가능성이 제기된 바 있으며, 2015년 7월 세계적인 자동차 회사 피아트 크라이슬러(FCA)는 해킹 취약점이 발견된 최신 자동차 140만 대를 리콜하기도 했다. 또한 스마트TV는 몰래카메라로 악용되거나 방송국 몰래 ‘거짓 뉴스(fake news)’를 내보내는 게 가능하다는 것이 2013년에 고려대학교 연구팀에 의해 처음 시연됐으며, 올 3월 폭로 전문 웹사이트 위키리크스(WikiLeaks)는 미국 CIA가 스마트TV를 해킹해 도청 장치로 악용했다는 의혹을 제기했다. 지난 2012년에는 심장병 환자들이 많이 하고 다니는 심박 조율기를 15m 정도 떨어진 곳에서 원격으로 해킹해 다른 사람에게 전기 충격을 가할 수 있다는 사실이 공개됐다. 최근에는 항공기나 최첨단 핵잠수함에 대한 해킹 시도도 꾸준히 증가하고 있는 추세다.
기기의 신뢰성과 안정성은 높이고 보안은 강력하게… ‘보안 내재화’
문제는 이런 사물인터넷 기기들에 대한 보안 대책을 마련하는 일이 생각처럼 쉽지 않다는 것이다.
제대로 된 보안 기술이 스마트카나 스마트TV, 의료기기 등의 사물인터넷 시스템에 탑재된다면 해킹사고는 분명 크게 줄어들 것이다. 그러나 기존과 같이 단순한 방법으로 보안 기능을 추가하게 되면 기기 내부의 복잡도(complexity)는 그만큼 증가하게 되고, 이는 다시 기기 전체의 신뢰성(reliability, 시스템 또는 부품이 고장 없이 원래의 성능을 유지하는 것)을 떨어뜨리는 결과를 초래하게 된다. 예를 들어 자율주행 자동차에 보안 기능을 집어넣었다가 오히려 이로 인해 회로가 복잡해져 운행 중 고장을 일으켰다면, 이는 보안 기능을 추가하려다 제품의 신뢰성을 떨어뜨린 것이 된다는 뜻이다.
이러한 이유로 등장한 것이 ‘보안 내재화(security by design)’란 개념이다.
앞서 언급했듯 기존 사물인터넷 기기에 보안 기능을 내장하는 일(이를 소위 ‘embedded security’라 일컬음)은 결코 쉽지 않다. 보안 내재화란 요구사항 분석 및 설계 단계에서부터 제품의 보안성(security), 신뢰성(reliability), 안전성(safety) 등의 요소를 종합적으로 고려해 필요 최소한의 기능들만을 선별해냄으로써 복잡도를 최대한 줄이고, 이를 바탕으로 제품을 구현해야 한다는 개념이다. 또한 이러한 것들을 가르치는 학문 분야가 ‘보안공학(security engineering)’이며, 이 절차를 표준화 시킨 것이 ‘CMVP(Cryptographic Module Validation Program)’, ‘CC(Common Criteria)’, ‘SSE-CMM(Systems Security Engineering Capability Maturity Model)’, ‘C&A(Certification & Accreditation)’ 등이다.
글로벌 기업들의 보안 내재화 개념 도입, 국내선 ‘카카오뱅크’의 성공
보안 내재화가 본격적으로 주목을 받기 시작한 것은 1991년 걸프전(Gulf War) 때로 거슬러 올라간다. 걸프전을 통해 전 세계에 정보전의 위력을 유감없이 보여준 미국은 군 정보 시스템의 ‘확실성(dependability 또는 trustworthiness)’ 확보 방안 마련에 골몰하게 된다. 여기서 확실성이란 보안성, 신뢰성, 안전성 등을 종합적으로 일컫는 말로서, 한마디로 ‘해킹에 안전하고, 기계 오작동 등의 오류가 없으며, 만약 문제가 발생했다 하더라도 이것이 인명사고 등 큰 재해로 연결되지 않는 시스템’을 의미한다.
사실 다양한 악조건 속에서 임무를 수행해야 하는 군으로서는 단순히 해킹만 잘 막는 시스템보다는 그것이 고의적인 해킹으로 인한 것이던 기계 오류로 인한 것이든 간에 어떠한 환경에서도 정상적으로 잘 동작하는 정보 시스템을 확보하는 일이 매우 중요한 요소이다. 바로 이러한 이유로 미 군 당국은 90년대 후반부터 보안 내재화에 관심을 두었으며, 최근에는 소위 사물인터넷으로 통칭되는 스마트그리드 ∙ 드론 ∙ 스마트카 ∙ 첨단 의료 자동화기기 ∙ 인터넷전문은행 등에 대한 관심이 증대됨에 따라 이러한 경향이 민간에까지 확대되게 된 것이다.
이미 마이크로소프트(Microsoft), 시스코(Cisco), 록히드 마틴(Lockheed Martin) 등의 글로벌 기업들은 자사의 제품 개발 프로세스에 보안 내재화의 개념을 정립시켰으며 (이를 소위 ‘Security Development Lifecycle’이라 일컬음), 국내 기업으로는 카카오뱅크가 이를 시도해 복잡도를 줄여 단순하면서도 안전한 모바일뱅킹 서비스를 성공적으로 개발해 낼 수 있었다. 카카오뱅크는 보안 내재화를 통해 ‘생체인식’, ‘인증서(PKI)’, ‘화이트박스 암호화(white-box cryptography)’ 등의 복잡한 첨단 기술 들을 단순하고 쓰기 편한 형태로 융합해 내는데 성공했으며, 이는 곧 시장에서의 성공으로 이어졌다. 또한, 마이크로소프트의 경우 ‘윈도우 XP’의 후속 버전인 ‘윈도우 비스타(Vista)’ 개발부터 보안 내재화를 적용하기 시작했고 현재는 자사의 모든 제품군에 대해 이를 적용하고 있다.
우리 정부에 따르면 현재 하루 평균 140만건 이상의 해킹 시도가 발생하고 있으며, 이는 꾸준히 증가하는 추세라고 한다. 앞으로 제품들이 스마트화 되고 인터넷과 연결되면 될수록 보안 문제 또한 폭발적으로 증가할건 불 보듯 뻔하다. 더욱이 이런 스마트한 사물인터넷 기기들은 대부분 우리의 일상생활과 매우 밀접하게 연결되어 있기에 이들이 해킹되거나 오작동 했을 때의 사생활 침해나 인명 피해는 기존 PC에서의 그것보다 훨씬 심각하다. 게다가 이러한 제품들은 일반적으로 컴퓨터나 인터넷에 완전 문외한인 사람들도 사용하기 때문에, 필요 최소한의 보안기능들만을 선별해냄으로써 사용자가 쓰기 편하도록 단순하게 만드는 일은 매우 중요하다. 이제는 우리 기업과 정부도 보다 더 넓은 관점에서 다가올 4차 산업혁명 시대의 사이버 보안 위협에 대처해야 할 때다.
※이 칼럼은 해당 필진의 개인적 소견이며 삼성디스플레이 블로그의 입장이나 전략을 담고 있지 않습니다.