[아이뉴스24 김문기기자] 대부분의 IoT 기기는 스마트폰보다 CPU 성능이 낮고 메모리도 적다. 저전력에서 구현돼야하는 경우가 많아서다. 그러다보니 보안에 취약해질 수밖에 없다. 이에 대한 대안으로 하드웨어 측면에서의 보안이 해결책으로 제시돼고 있다.
ST마이크로일렉트로닉스는 29일 서울 본사에서 기자간담회를 열고 국내 IoT 보안 스타트업 시큐리티플랫폼과의 IoT 보안 협력을 발표했다.
두 업체의 협력은 ST의 IoT 시장 확산과 더불어 최근 대두되고 있는 사물인터넷의 취약성을 해결할 수 있는 국내 유망 스타트업의 니즈가 맞아떨어졌기에 가능했다.
모하메드 타벳 ST 보안 마이크로컨트롤러 부분 마케팅 매니저는 이번 협업과 관련해 "시큐리티플랫폼은 보안 전문성이 가장 우수하다. 그간 보안과 관련한 많은 일들을 해냈다. 특히 TPM과 같은 하드웨어 기반의 보안 솔루션을 전문적으로 하는 업체다. TPM 필요성을 같이 공감하고 인식해왔으며 그 경험을 유연하게 활용할 수 있을 것으로 기대한다"고 말했다.
지난 2015년 설립된 시큐리티플랫폼은 비록 2년밖에 되지 않은 스타트업이지만 구성원의 경우 대부분 보안 분야에 일가견이 있는 인원들로 구성됐다. 황수익 시큐리티플랫폼 대표의 경우 1993년 삼성전자에 입사해 기억장치 부문 월드베스트 프로젝트 및 삼성자동차 SM5 개발 프로젝트에 참여, 2000년 설립된 정보보안 전문회사인 시큐아이의 창립 멤버로 활동했다.
사물인터넷은 잠재적으로는 수십 억 개에 달하는 인터넷 연결 기반 소형 임베디드 컴퓨팅 디바이스로 이루어져 서비스와 인프라를 자동으로 관리할 수 있도록 돕는다. 이러한 디바이스들은 인터넷을 통해 통신하고, 클라우드로 데이터를 공유하기 때문에 사이버 공격으로 민감한 정보가 유출되거나 연결된 디바이스들이 악성코드에 감염되는 것을 방지할 수 있도록 강력하면서도 경량의 편리한 보안 솔루션이 필요하다.
29일 미래창조과학부는 IoT 스마트홈 확산을 위해 보안점검 내용을 포함했다. 홈네트워크 건물인증 AAA를 받으려면 보안성도 획득해야 한다. IoT 보안 자율인증 표준 및 법제화도 검토하고 있는 실정이다.
다만, 실제 현장에서의 IoT 보안이 가능하려면 그에 따른 리소스가 필요하다. 황수익 시큐리티플랫폼 대표는 "IoT 기기는 자원이 풍부하지 않다. CPU도 낮고 메모리도 작다. 게다가 값 싸다. 대부분 보안전문가가 다루지 않는다. 복잡하고 까다로운 보안과는 먼게 사실이다"라며, "소프트웨어 보안이 가능하려면 그에 따른 연산 능력이 필요하지만 IoT 특성상 어렵다. 결국 가볍고 값싸면서도 강력한 보안을 제공할 수 있는 대책을 찾아야 한다"고 설명했다.
시큐리티플랫폼의 IoT 보안 솔루션은 하드웨어 측면에서의 보안이다. ARM의 밀리언셀러이자 가장 기본적인 코어텍스 M0에 올라갈 정도로 가볍지만 그에 따른 보안성은 강하다.
시큐리티플랫폼은 보안 부트로더, 암호라이브러리 및 개발도구 통합 제공하는 'Axio-OS'를 운영하고 있다. 보안 하드웨어로 TPM, eSE, Security SOC, PFU 등이 있다. 적용 운영체제는 임베디드 리눅스, 안드로이드, RTOS 등으로 구성됐다.
아두이노 호환의 보안이 내장된 개발도구인 Axio-Builder도 보유하고 있다. 아두이노 어플리케이션을 그대로 사용할 수 있고 보안에 대한 지식이 없이도 복제가 불가능하고 승인없는 코드 수정을 할 수 없도록 제공한다.
예컨데, 애플을 예로 들 수 있다. 애플은 기기 자체에 보안키를 저장해두고 쓰는 터치ID 솔루션을 운영 중이다. 터치 ID가 적용된 아이폰의 잠금을 해제할 수 없었던 미국 FBI가 애플에게 잠금 해제를 부탁한 사례는 두고두고 회자되고 있다. 삼성전자도 모바일 기기에 녹스 솔루션을 적용해두고 있으며, 자체 운영체제 타이젠을 통해서도 녹스 지원이 가능해 사물인터넷으로 저변을 넓히고 있다.
이번 협력을 통해 ST와 시큐리티플랫폼은 독립적으로 사용되었던 기존 STSAFE-TPM IC와 Axio-OS 및 Axio-RA 소프트웨어를 기반으로 즉시 사용 가능한 사전 통합 솔루션을 제공한다. 소프트웨어 기반의 시큐리티플랫폼의 솔루션으로 하드웨어로 전이시켜 진정한 하드웨어 기반 보안이 가능하게끔 협력한 사례다.
일종의 트러스트 컴퓨팅은 연결을 시도하거나 연결된 모든 디바이스의 권한을 검증하고 무결성을 확인할 수 있도록 특수 설계된 보안 IC와 소프트웨어를 결합하여 네트워크를 안전하게 보호한다. ST와 시큐리티플랫폼은 이러한 트러스트 컴퓨팅 원리를 이용해 고도로 안전한 IoT 디바이스를 간단하게 구현할 수 있도록 협력하는 셈이다.
ST의 STSAFE-TPM은 조작방지, 메모리 보호, 데이터-감시 방지 등의 검증된 기법을 사용하여 시스템 인증에 필요한 암호화 키와 같은 데이터를 위해 보안 스토리지를 제공하는 트러스트 플랫폼 모듈이다. TCG TPM 1.2 및 TPM 2.0 보호 프로파일과 IT-보안 CC EAL4+ 인증 및 미국 FIPS 140-2를 비롯해 업계에서 인정한 보안 표준을 준수한다.
STSAFE-TPM은 ST의 STSAFE IC 제품군으로 제공되며, 소형 IoT 기기에서 산업용 및 컨슈머 제품, 데스크톱 컴퓨터에 이르는 다양한 종류의 커넥티드 디바이스를 위해 플랫폼 무결성, 인증, 보안 스토리지, 기타 암호화 서비스를 지원할 수 있도록 조정이 가능하다.
황 대표는 "결론적으로 IoT 보안이 되려면 값싸면서도 제조단계에서 추가돼야 해 출시가 되면 더 이상 보안이 필요없게 하는게 중요하다. 어떤 하드웨어 제조사들이 보안에 대해 아무것도 몰라도 플랫폼 수준에서 바로 적용할 수 있는 형태로 공급하는게 우리 전략이다"라고 말했다.
모하메드 타벳 매니저는 "시큐리티플랫폼과의 협력을 통해 우선적으로 한국 시장을 공략한다. 이후 ST와 시큐리티플랫폼의 사업을 확대해 글로벌 진출을 도모할 계획"이라고 강조했다.
김문기기자 moon@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기