[위클리스마트] 출입증 복제·선관위 해킹 논란…근원은 'IoT 보안'

2025년 세계 커넥티드 IoT 기기 750억 대…"SW 대신 하드웨어적 대안 필요"

(CG) [연합뉴스TV 제공]

(서울=연합뉴스) 최현석 기자 = "언제 벌어질지 모르는 보안 범죄에서 문 열어두고 생활한 것과 다름없다."

국회 과학기술정보방송통신위원회 여당(국민의힘) 간사인 박성중 의원은 이달 초 국정감사에서 과학기술정보통신부 소관 기관 62%가 복제하기 쉬운 일반 전자태그(RFID) 출입증을 사용하고 있다며 이렇게 질타했다.

박 의원이 70개 기관으로부터 받은 자료에 따르면 RFID 출입증 제작 과정에 보안 규격을 요구한 곳은 26개에 불과했으며 최상의 보안을 유지해야 하는 '가급 국가 보안시설'과 '나급 보안시설' 각 1곳을 포함해 44곳은 복제 가능한 RFID 출입증을 사용하고 있었다.

이번 국감에서는 5초 만에 복제할 수 있는 RFID 출입증과 함께 중앙선거관리위원회 투·개표 시스템 해킹 의혹 등이 IT 보안 문제로 부각됐다.

선관위 해킹 의혹은 여야 간 정쟁 거리로 비화하는 양상을 보이고 있지만 전문가들은 사이버 보안 관련 고도의 기술적 측면에서 접근해야 한다고 지적했다.

RFID 출입증 복제나 투·개표 시스템 해킹 우려 사태는 사물(Things)이 네트워크에 연결되면서 야기된 이른바 'IoT(사물인터넷) 보안' 영역의 문제라는 분석이다.

RFID 출입증의 경우 흔한 플라스틱 카드가 RFID를 통해 통제시스템과 연결돼 사용된다.

인쇄 전 종잇조각일 뿐인 투표지는 전자개표기를 거쳐 선관위의 선거인명부 시스템 및 개표시스템 등 각종 전산 네트워크와 실시간 연동된다.

이처럼 플라스틱 출입증이나 종이 투표지 같은 각종 사물은 어떤 형태로든 관련 네트워크와 직간접적으로 연결돼 제 기능을 한다.

그렇기에 IoT 보안에 허점이 생기면 네트워크로 연결된 첨단 기능 제품에 차질이 발생할 수 있다.

2021년 미국 최대 송유관 운영사인 콜로니얼이 랜섬 공격으로 전면 셧다운된 것은 파이프 곳곳에 결속돼 유압과 유속 등을 실시간 체크하는 각종 IoT 센서가 먹통이 된 데 따른 것이다.

글로벌 시장조사기관 HIS마킷의 분석에 따르면 전 세계 커넥티드 IoT 기기 대수는 300억대를 돌파했고 2025년이면 750억 대를 넘어설 전망이다.

이처럼 기하급수적으로 늘어나는 IoT 기기 하나하나에 보안 프로그램을 깐 뒤 주기적으로 업데이트해 사이버 공격을 막아내는 기존 소프트웨어(SW) 보안 방식은 이제 한계에 다다랐다.

결국 기기마다 하드웨어(HW)적인 방어 기제가 작동해야 한다는 게 학계와 업계 논리다.

김동규 한양대 융합전자공학부 교수는 "SW식 보안은 암호키를 외부에서 생성해 각 기기에 주입해야 하기 때문에 항상 공격에 노출돼 있다"며 "그런 의미에서 '물리적 복제방지기술'(PUF)은 IoT 보안을 위한 HW적 대안이 될 수 있다"고 강조했다.

미 매사추세츠공대(MIT)에서 대륙간 탄도미사일(ICBM) 보안용으로 처음 개발된 PUF는 반도체 칩 제조과정에서 무작위로 생기는 구조적 미세 차이를 암호키 값으로 활용한다. 이 키값은 인간이 태어날 때 자기도 모르게 갖게 되는 지문과 같다. 외부 주입이 안 된 채 자연 발생한 키값을 공격자는 추정조차 할 수 없다.

IoT 보안업체 ICTK 관계자는 "PUF 보안칩을 각 출입증에 인입하고, 투표지나 개표기 등에도 탑재하는 등 보다 실체적이고 적극적인 대책을 강구하는 게 불필요한 정쟁이나 소모적 국론 분열을 종식시키는 유일한 대안"이라고 말했다.

PUF 출입통제 시스템 보안 방식 [ICTK 제공]

harrison@yna.co.kr

▶제보는 카톡 okjebo