시만텍이 발표한 2016년 인터넷 보안 위협 보고서에 따르면, 2015년 한해 동안 매일 100만 건에 달하는 인터넷 공격이 발생된 것으로 추산했다. 시장자문기관인 가트너는 2017년과 2018년에 주목해야 할 IoT 기술에 대해 소개하면서, IoT로 인해 공격 대상이 확장되고 있으며 이로 인해 커넥티드 디바이스를 개발하는데 있어 보안이 최우선 고려 사항이 되었다고 밝혔다.
업계 최고의 기술 보안 전문가들은 보안에 민감한 소프트웨어가 e커머스 표준에 따라 관리되지 못하는 경우, 수십 억 대의 커넥티드 디바이스(connected device)들이 보안 위협에 노출될 수 있다고 지적했다.
영국 반도체 설계자산(IP) 기업인 ARM은 인터시드(Intercede), 솔라시아(Solacia), 시만텍(Symantec) 등과 공동으로, 산업, 홈, 의료 서비스 및 교통과 같이 다양한 분야에서 수십 억 대의 커넥티드 디바이스를 겨냥한 보안 위협 평가를 진행했다. 조사 결과에 따르면, 시스템 레벨의 RoT(Root of Trust)를 구축하지 않은 시스템은 보안 침해 공격을 받을 수 있는 것으로 밝혀졌다.
이러한 보안 위협에 대응하고자 ARM은 파트너사들과 함께 보안 아키텍처(Secure Architecture)에 신뢰할 수 있는 코드 관리를 결합한 OTrP(Open Trust Protocol)을 구축하기로 결정했다. OTrP 구축을 위해 스마트폰 및 태블릿과 같은 대중적인 디바이스상에서의 대규모 뱅킹 및 민감한 데이터 애플리케이션에 사용되어 입증된 기술들을 활용한다.
ARM 보안 시스템 부문 부사장인 마크 카넬(Marc Canel)은 “IoT 세계에서 모든 디바이스 및 서비스 제공업체들은 반드시 상호간의 신뢰를 구축해야 한다. 통신 서비스 제공업체는 자사 시스템과 호환되는 디바이스의 보안을 구축해야 하는데, OTrP는 이를 간단한 방법으로 이뤄낸다. 이를 통해 e커머스 트러스트 아키텍처(e-commerce trust architecture)와 기존 플랫폼과 손쉽게 통합할 수 있는 최고 수준의 프로토콜을 제공한다”고 설명했다.
OTrP는 악의적인 공격으로부터 모바일 컴퓨팅 기기를 보호하도록 설계된 ARM® TrustZone® 기반 보안실행환경(TEE: Trusted Execution Environments)과 같은 보안 솔루션과 연동되는 최고 수준의 관리 프로토콜이다. 이 프로토콜은 프로토타이핑 및 테스트 목적으로 IETF 웹사이트에서 다운로드 받을 수 있다.
이 프로토콜은 중앙집권화된 데이터베이스 없이도, 기존의 e커머스 보안 아키텍처를 재사용하여 신뢰할 수 있는 소프트웨어를 관리할 수 있도록 지원하는 상호 운영 가능한 개방형 표준 구축을 위해 준비하고 있다. 해당 관리 프로토콜은 공개키 기반구조(PKI: Public Key Infrastructure)와 인증 기관(CA: Certificate Authority) 기반의 트러스트 아키텍처와 함께 사용된다. 이를 통해 통신 서비스 제공업체, 앱 개발 업체, 그리고 OEM 업체들은 자사 고유의 키(key)를 통해 신뢰할 수 있는 소프트웨어 및 자산을 인증하거나 관리할 수 있게 되었다. OTrP는 상위 레벨(High level)의 간단한 프로토콜로서 TEE나 RSA 암호화 기술을 적용한 마이크로컨트롤러 기반 플랫폼에 매우 쉽게 추가될 수 있다.
OTrP는 IETF 정보 참고용으로 접근 가능하며, 추가적인 개발은 이를 상호 운영 가능한 표준으로서 널리 채택하도록 장려할 수 있는 표준 제정 기구에 의해 추진하도록 한다는 계획이다. OTrP 연대 주주 협정(Joint Stakeholder Agreement)에 속한 다른 회원들로는 빈포드(Beanpod), 시퀴터 랩스(Sequitur Labs), 스프린트(Sprint), 썬더소프트(Thundersoft), 트러스트케널(Trustkernel) 및 베리매트릭스(Verimatrix)가 있다.
브라이언 위튼(Brian Witten) 시만텍 IoT 보안 담당 전무는 “새로운 기술이 등장하면 보안에 대한 위험도 증가한다. IoT와 스마트 모바일 기술은 더욱 다양한 형태로 활용될 것이다 또한, 온보드 암호화 키를 보호하도록 설계된 하드웨어 기반 보안의 보다 쉽고 빠른 도입을 지원하는 개방형 프로토콜을 개발하는 것이 중요하다”고 설명했다.
박상진 솔라시아 CEO는 ”신뢰할 수 있는 애플리케이션을 위해 OTrP 에코시스템을 구축하는 일은 시장 전반에서 상업적인 유연성을 제공하는데 매우 중요하다. 우리는 보안 업계 전반에서 개방형 표준을 채택하도록 만드는데 전념하고 있다. 이를 달성하는데 시큐리티(SecuriTEE)는 안전한 모빌리티를 확산시키기 위해 ARM TrustZone 기술을 확산시킬 것”라고 말했다.
아이씨엔 매거진 오승모 기자 oseam@icnweb.co.kr