IoT 애플리케이션의 사이버 보안 문제 해결

사물인터넷(IoT) 기기가 악성 공격의 표적이 되고 있습니다

IoT 기기가 우리의 삶의 다양한 측면에 점점 더 스며들고 있으며, 시간이 지남에 따라 소비자와 기업 모두 일상 생활과 업무의 편의성을 높이기 위해 IoT 제품을 점진적으로 채택해 왔습니다. 그러나 기존에는 컴퓨터를 주로 표적으로 삼았던 해커와 악의적인 행위자들이 이제 IoT 기기로 관심을 돌리고 있습니다. IoT 기기의 보안을 강화하는 것이 제품 개발자, 정부, 소비자 모두에게 중요한 문제로 대두되고 있습니다.

IoT 공격은 일반적으로 두 가지 방식으로 발생합니다: 인터넷을 통해 장치를 대상으로 하는 원격 공격과 공격자가 대상 장치에 물리적으로 가까이에 있는 경우 발생하는 로컬 공격입니다. 원격 또는 논리적 공격은 소프트웨어를 대상으로 하며, 로컬 또는 물리적 공격은 장치 자체의 칩을 대상으로 합니다. 과거에는 대부분의 네트워크 공격이 개인에 의해 원격으로 시작되었지만, 최근에는 조직적인 노력으로 수백 달러를 타겟으로 한 개인 공격에서 벗어나 기업을 대상으로 수백만 달러를 공격하고 갈취하는 대규모 공격 및 랜섬웨어에 집중하고 있습니다.

게다가, 해커들이 기업의 네트워크 시스템에 접근하게 되면 기존의 도구를 활용해 침투하고 방어 시스템이 손상될 가능성이 높은 특정 시점에 공격을 예약하며 기업의 대응 시간을 지연시킵니다. 또 하나의 추세는 공격이 원격에서 로컬로 이동하는 변화입니다. 이는 부분적으로 기업의 네트워크 보안을 담당하는 인력이 클라우드 중심의 공격을 방어하는 데 성공적으로 대응했기 때문에 해커들이 인터넷을 통해 IT 인프라를 침투하는 것이 더 어려워졌기 때문입니다.

기업 내 네트워크 보안에 대한 인식이 높아짐에 따라 범죄자들은 피봇 공격으로 눈을 돌리고 있습니다. 피봇 공격은 최종 노드 장치를 표적으로 삼아 이를 악용하여 상위 수준의 인프라를 공격하는 것을 목표로 합니다. 최종 노드 장치는 전통적으로 공격 대상으로 간주되지 않았고 내장된 보안이 약한 경우가 많으며, IoT와 산업 IoT의 부상으로 인해 기저에 존재하는 스마트 장치의 수가 크게 증가했습니다. 이는 시장에서 이러한 IoT 및 산업 IoT 장치를 쉽게 접근할 수 있게 하여 해커들이 취약점과 진입점을 탐색하는 데 시간을 투자할 수 있게 만들며, 이로 인해 이러한 IoT 장치의 침입 위험이 증가하고 있습니다.

랜섬웨어 공격의 초점이 IT에서 OT 센터로 옮겨지고 있습니다

랜섬웨어는 점점 더 표적화될 뿐만 아니라 정보 기술(IT)에서 운영 기술(OT)로 초점을 옮기고 있습니다. 이러한 변화는 OT가 건물 자동화, 공장 자동화 또는 건물 제어와 같은 애플리케이션 등 기업 운영의 주요 목표와 연결되어 있다는 점에서 비롯됩니다. 이러한 운영에서의 사업 연속성 중단은 막대한 재정적 손실을 초래할 수 있습니다. 공격자들은 이러한 운영이 기업에 심각한 피해를 줄 수 있다는 사실을 알고 있으며, 이를 통해 기업이 몸값을 지불할 가능성이 높다는 점을 이용합니다.

이익을 창출하는 능력이 OT(운영 기술)를 목표로 삼으려는 집중의 전환을 이끄는 주요 이유가 되고 있지만, 이것만이 유일한 요인은 아닙니다. 배포의 용이성 또한 중요한 이유 중 하나인데, 제조 시스템, 로봇, 화재 경보 시스템 및 출입 통제 시스템을 포함한 운영 장치들은 종종 비용 문제로 인해 내장된 보안을 갖추지 못하고 있습니다. IoT(사물 인터넷) 및 산업 IoT(IIoT)의 트렌드는 기존에 존재하지 않았던 장치를 시스템에 도입하고 있습니다. 특히 산업 IoT의 경우, 저렴한 센서들이 공장 바닥에 배치되어 데이터를 클라우드로 전송하는 일이 흔합니다. 이러한 장치들은 종종 매우 작은 업체나 스타트업에서 제작되는데, 이들은 최상의 보안 기능에 집중할 자원이 부족할 수 있습니다.

Each sensor introduces a new attack vector and could become a method to cause critical systems to fail, with the downtime being used to ransom significant amounts for service restoration. Inexpensive sensors from around the world are more accessible in the supply chain and are studied and exploited in well-equipped hacker labs. For example, consider the scenario of a fire alarm system in a high-rise office building in the New York financial district being compromised. The alarm system might be triggered, evacuating people from a 300-story building. What if the access control system of the same building is also compromised? Strategically placed circuit breakers might even plunge an entire city into darkness. Imagine how much ransom a criminal could demand in such a situation, and demanding a ransom of a billion dollars, given the amount lost per minute, is not an implausible scenario.

정부의 사이버보안 표준에 대한 관심이 꾸준히 증가하고 있습니다

사이버 보안 요구에 대응하기 위해 미국 캘리포니아 주 정부는 2020년 1월 1일 발효된 캘리포니아 소비자 개인정보 보호법(California Consumer Privacy Act)을 제정했습니다. 이 법은 기기의 성격 및 기능뿐만 아니라 기기에서 수집, 포함, 또는 전송되는 정보에 적용되는 '합리적인' 보안 기능을 포함하도록 의무화하고 있습니다. 이러한 보안 기능의 설계는 기기와 그 안에 포함된 정보를 무단 접근, 파괴, 사용, 수정 또는 공개로부터 보호할 수 있어야 합니다. 또한, 제조된 각 기기에 사전 프로그래밍된 비밀번호가 고유하도록 요구하고 있습니다. 본질적으로, 이 법은 이러한 기기들이 해킹에 저항할 수 있어야 한다고 요구합니다. 미국의 다른 많은 주들도 유사한 법안을 도입했으며, 이는 미국 인구의 약 30%에 영향을 미치고 있습니다.

미국에서는 국가표준기술연구소(NIST)가 무엇이 '합리적(reasonable)'으로 간주되는지 결정하는 관할 기관으로 역할을 합니다. 앞으로 더 많은 법률과 소송들이 미래 법률을 계속해서 지침으로 제공할 것으로 예상됩니다. NIST는 확장 가능한 IoT 장치에 대한 사이버 보안 기준을 설정하는 NISTIR 8259A를 발표했으며, 네트워크 연결 가능한 제품의 소프트웨어 사이버 보안 일반 요구 사항을 명확히 하는 UL 2900-1 표준 개발을 주도했습니다.

미국은 IoT 기기의 보안을 보장하기 위한 노력에 헌신하고 있는 유일한 국가가 아닙니다. 영국과 기타 유럽 국가들도 현재 유럽 전기통신 표준 협회(ETSI) 내에서 소비자 IoT를 위한 유사한 규범적 보안 기능을 수립하기 위해 협력하고 있습니다. ETSI는 유럽연합 집행위원회(European Commission)에서 인정받는 기관으로, 유럽 정보통신기술(ICT) 표준을 개발하는 책임을 맡고 있습니다. NISTIR 8259A는 소프트웨어/펌웨어의 업데이트 가능성과 소프트웨어의 무결성을 보장해야 하는 보안 기능을 요구하는 등 유사한 주제를 많이 공유하며, 이를 통해 내장형 기기의 펌웨어에 대해 안전한 부팅 및 안전한 업데이트가 필요하게 될 것입니다. 또한, ETSI는 글로벌 소비자 IoT 기기의 첫 번째 사이버 보안 표준인 EN 303 645 표준을 발표했으며, 이는 기술적 및 조직적 조치를 결합하여 사이버 보안 관행의 향상을 목표로 하고 있습니다.

IoT 기기의 보안 요구 사항을 보호하기 위한 플랫폼

진화하는 보안 트렌드가 제기하는 과제에 대응하고 규제를 준수할 수 있도록 고객을 지원하기 위해 Silicon Labs는 IoT 기기를 보호하고 미래에 대비하도록 설계된 수상 경력에 빛나는 플랫폼인 Secure Vault를 도입했습니다. 최근 Secure Vault는 PSA 인증 레벨 3(PSA Certified Level 3) 상태를 달성한 최초의 IoT 보안 솔루션이 되었습니다. Secure Vault의 주요 카테고리 중 하나는 보안 기기 ID, 보안 키 관리 및 저장, 고급 위변조 탐지를 포함한 새로운 보안 기능을 제공하는 것입니다.

이 프로세스의 일환으로 Secure Vault는 물리적으로 복제할 수 없는 기능(Physically Unclonable Functions)에 의해 생성된 고유한 디지털 지문을 활용합니다. 이를 통해 AES 대칭 키를 생성할 수 있으며, 시스템 전원이 차단되면 해당 AES 대칭 키는 물리적으로 사라지게 되어 칩의 전원이 꺼져 있는 동안에는 사실상 존재하지 않는 상태가 됩니다. 이는 키 관리 문제를 해결하기 위한 매우 효과적인 솔루션이며, 개발자의 애플리케이션 요구 사항에 따라 다수의 키를 지원하는 기능으로 확장할 수 있습니다. Secure Vault에는 변조 탐지 시스템이 포함되어 있어 변조 이벤트가 발생하면 디바이스가 종료되고 키를 복구할 수 없게 됩니다. Secure Vault는 현재 이용 가능한 가장 진보된 하드웨어 및 소프트웨어 보안 보호 스위트로, 안전한 디바이스 ID 증명서를 제공합니다. 각 칩의 출생 증명서와 유사한 개념으로, 배포 후 보안, 진위성, 그리고 증명 기반 상태 점검을 가능하게 하여 칩의 생애 주기 동안 진위성을 보장합니다.

Secure Vault는 고급 변조 감지 기능도 지원하여 개발자가 장치가 예상치 못한 동작(예를 들어, 극단적인 전압, 주파수, 온도의 변화가 취약점을 나타낼 수 있는 경우)에 직면했을 때 적절한 반응 조치를 설정할 수 있도록 합니다. Secure Vault는 또한 보안 키 관리 및 저장을 지원하며, 이는 애플리케이션 코드로부터 키를 암호화하고 격리하는 중앙 구성 요소로, 물리적으로 복제 불가능한 함수(PUF)에 의해 생성된 마스터 키 암호화 키(KEK)를 사용하여 IoT 장치와 해당 데이터 하드웨어에 대한 직접적인 접근을 방지합니다.

Secure Vault의 보안 기능을 지원하는 무선 SoC

Silicon Labs는 Secure Vault가 적용된 일련의 제품을 출시했습니다. 이러한 제품에는 EFR32FG23 Sub-GHz Wireless SoC, EFR32MG24 Series 2 멀티프로토콜 무선 SoC, 그리고 EFR32MG27 Series 2 멀티프로토콜 무선 SoC가 포함됩니다. 모든 Series 2 제품은 xG21, xG22, xG23, xG24, xG25, xG27 및 xG28을 포함하여 Secure Vault 카테고리에 포함될 수 있습니다.

EFR32FG23 Flex Gecko Sub-GHz Wireless SoC는 스마트 홈, 보안, 조명, 빌딩 자동화, 계량용 Sub-GHz IoT 무선 연결에 이상적인 솔루션입니다. 고성능 Sub-GHz 무선 기술은 긴 전송 범위를 제공하며, 2.4 GHz 기술로 인한 간섭에 취약하지 않습니다. 단일 다이, 멀티코어 솔루션은 업계 최고의 보안, 빠른 웨이크업 시간과 함께 저전력 소비를 제공하며, IoT 기기의 차세대 안전한 연결을 가능하게 하는 통합 전력 증폭기를 포함합니다.

EFR32MG24 Series 2 멀티프로토콜 무선 SoC는 스마트 홈, 조명 및 건물 자동화 제품을 위한 Matter, OpenThread, Zigbee 프로토콜을 사용하는 메쉬 IoT 무선 연결에 이상적인 제품입니다. 고성능 2.4 GHz RF, 저전력 소비, AI/ML 하드웨어 가속기 및 Secure Vault™와 같은 주요 기능을 통해 IoT 디바이스 제조업체는 원격 및 로컬 사이버 공격으로부터 안전한 스마트하고 견고하며 에너지 효율적인 제품을 개발할 수 있습니다. 최대 78 MHz로 동작하는 ARM Cortex®-M33와 최대 1.5 MB의 플래시 메모리 및 256 kB의 RAM은 까다로운 애플리케이션을 위한 리소스를 제공하며, 미래 확장을 위한 여유 공간도 남깁니다. 주요 애플리케이션에는 게이트웨이 및 허브, 센서, 스위치, 도어 잠금 장치, LED 조명, 조명기구, 위치 서비스, 예측 유지보수, 유리 파손 감지, 웨이크 워드 감지 등이 포함됩니다.

또한 EFR32MG27 SoC는 Silicon Labs의 Zigbee 포트폴리오를 확장하며, 저전력, 소형 폼 팩터 엔드 디바이스를 위해 특별히 개발되었습니다. 통합된 DCDC 부스트는 IoT 디바이스 제조업체가 전압을 0.8볼트까지 낮춰 사용할 수 있도록 하여, 단일 셀 알칼라인 및 버튼 셀을 이용해 디바이스 폼 팩터와 비용을 줄일 수 있는 기능을 제공합니다.

추가적으로, 모든 Series 2 제품은 통합 보안 하위 시스템을 포함하며 Secure Vault 기술을 완전히 활용할 수 있습니다. Secure Vault는 뛰어난 보안 소프트웨어 기능과 물리적 복제 방지 기능(PUF) 하드웨어 기술을 제공하여 IoT 보안 취약성과 지적 재산 침해의 위험을 크게 줄여줍니다.

현재 모든 Series 2 제품은 Simplicity Studio 5 개발 도구를 사용하여 손쉽게 마이그레이션할 수 있습니다. 이들 제품은 개발 키트, SDK, 모바일 앱, Silicon Labs의 에너지 프로파일러, 특허받은 네트워크 분석기를 활용하여 제품의 시장 출시 시간을 단축할 수 있습니다.

결론

IoT 기기는 개인, 가정, 비즈니스 환경에서 널리 사용되고 있습니다. 하지만 이것은 악의적인 행위자들에게 잠재적인 공격 벡터를 제공하기도 합니다. 따라서 IoT 기기의 보안은 선택적인 기능이 아닌 필수적인 기능으로 간주되어야 합니다. Silicon Labs의 Secure Vault는 진화하는 IoT 위협을 효과적으로 해결하기 위해 설계된 최첨단 고급 보안 기능의 포괄적인 집합을 포함하고 있습니다. 이는 IoT 생태계에서 발생할 수 있는 보안 취약성 위험을 크게 줄이고, 위조로 인해 지적 재산권 또는 수익 손실에 미치는 영향을 최소화합니다. Secure Vault를 채택함으로써 IoT 기기의 보안을 향상시킬 수 있으며, 관련 제품을 개발하는 제조업체들이 이를 더 깊이 탐구하고 구현할 가치가 있습니다.