PSA 위협 모델과 보안 분석(TMSA) 문서 최초 공개
이를 통해 Arm은 공공의 IoT 디바이스에 자사의 보안 요구사항을 정의하려는 기업들에게 가이드라인을 제시하며, 향후 1조개에 이를 커넥티드 디바이스를 안전하게 보호할 수 있는 기반을 마련했다.
현재 IoT 산업이 직면한 가장 중요한 문제는 바로 보안이다. 그러나 수많은 기업들이 서로 다른 보안 체계를 요구하고있어, 성공적으로 보안체제를 구축하기가 어려운 상황이다. 2017년 10월, Arm은 IoT 생태계의 모든 구성원들이 보다 강력하고 확장된 보안 체제를 갖추고 더욱 확신을 가지고 나아갈 수 있도록 하는 범용 산업 프레임워크인 플랫폼 시큐리티 아키텍처(PSA)를 발표한 바 있다.
PSA는 IoT 보안에 대한 전반적인 보안 지침을 제공해, 칩 제조업체부터 디바이스 개발자에 이르는 가치 사슬 내 모든 구성원들이 보안을 성공적으로 구현할 수 있도록 한다. Arm은 PSA를 발표하면서, 해당 프레임워크가 관련 업계에 제공하고자 하는 바를 소개했으며, 그 비전과 더불어 발전하기위해 노력해왔다.
위협 모델: 적정 수준의 보안 설정
플랫폼 시큐리티 아키텍처(PSA)는 분석, 설계, 구현이라는 세 가지 핵심 단계로 구분된다. Arm은 위협 모델과 보안 분석(Threat Models and Security Analyses, TMSA)의 1차 문서를 공개함으로써 PSA의 첫번째 단계를 지원한다. PSA는 보안을 구현하기 전에 분석이 항상 선행되어야 하고, 해당 범위 내에서 보호해야할 자산과 우려해야 할 위협에 대해 고려해야한다고 조언한다. 개발자들과 제조업체들은 자체적으로 TMSA를 제작하거나 관련된 기존 사례들을 활용하여 보안 구축을 진행해야 한다.
Arm은 스마트 수도 계량기, 웹 카메라, 자산 추적장치와 같은 가장 대중적인 IoT 디바이스 중 일부를 위한 새로운 TMSA 사례를 공개해, 자사의 IoT 제품에 보안 요구사항을 정의하려는 이들에게 기점이 되는 강력한 가이드라인을 제시한다. Arm은 향후 관련 업계가 상업용 IoT 제품에 이러한 사례를 기반으로 한 보안 분석을 적용하기를 기대하고 있다.
Trusted Firmware-M: 보안에 대한 접근성 강화
보안이 점점 복잡해지면서 모든 개발자들에게 관련 리소스가 필요하다는 점을 고려해, Arm은 고품질의 참조 코드와 문서에 대한 접근성을 강화함으로써 보안을 보다 간단하고 비용 효율적으로 구축할 수 있도록 한다. Arm은 이러한 목표를 달성하기 위해, PSA 사양을 준수하는 최초의 오픈소스 참조 구현 펌웨어인 Trusted Firmware-M을 발표했으며, 이는 2018년 3월 말경에 출시될 예정이다.
Arm은 앞으로도 해당 프로젝트를 전담하는 소프트웨어 개발자 팀을 운영해 커넥티드 마이크로컨트롤러에 적합하고 안전한 프로세싱 환경(Secure Processing Environment, SPE)을 제공할 계획이다. 또한, 추후에는 비(非)전문 보안 개발자도 쉽게 활용할 수 있는 새로운 보안 기능을 추가해, 보다 높은 품질의 안전한 디바이스를 구현할 수 있도록 할 예정이다. Arm은 Cortex-A 애플리케이션 프로세서용 Arm Trusted Firmware와 IoT 디바이스를 클라우드 기반 서비스에 연결시키는데 널리 사용되고있는 산업용 솔루션인 Mbed TLS 등을 포함한 오픈소스 보안 소프트웨어 분야에서 성공적인 실적을 보유하고 있다.
Arm의 IoT 디바이스 IP 사업부 부사장 겸 총괄 매니저인 폴 윌리엄슨(Paul Williamson)은 “최근 Arm 보안 선언문(Security Manifesto)에서 언급한 바와 같이, 데이터가 가져올 엄청난 가치를 실현하기 위해서는 시스템 보안 유지를 위한 노력이 동반되어야 한다”며, “Arm은 향후 1조개에 이르는 커넥티드 디바이스를 안전하게 보호하기위해 최선을 다할 것이다. PSA를 향한 Arm의 노력은 TMSA 문서 및 Trusted Firmware-M 발표에서 그치지 않고, 더 많은 것을 이루어 낼 것”이라고 말했다.
오승모 기자 oseam@icnweb.co.kr
