사물인터넷과 관련된 보안이슈에 대한 노트 www.mechasolution.com

1. 사물인터넷
Internet of Things (IoT)
CHAPTER 14
_사물인터넷의 보안

2. Chapter 14. 1 사물인터넷의 보안문제
HP의 IoT 디바이스의 보안 분석
80%가 프라이버시 문제를 가지고 있음
80%가 취약한 비밀번호 체계
70%가 암호화가 없음
60%가 취약한 UI(User Interface)
60%가 보안이 약한 업데이트
베이비 모니터링 IoT 디바이스가
해킹되었다는 NBC 뉴스의 보도
필립스의 스마트 LED (Hue)가 해킹됨

3. Chapter 14. 1 사물인터넷의 보안문제
http://www.forbes.com/sites/anthonykosner/2014/01/18/google-buys-nest
-just-as-internet-of-things-suffers-first-global-cyber-attack/
따라서, 보안 기술이 접목된 제품이 더욱 더 높은 평가를 받게 됨.
예) Next 제품이 가진 home data의 높은 보안 기술로
구글이 Next라는 IoT 회사를 $3.2 billion (약 3조 2천억원, $1=1000원 기준)에 매입

4. Chapter 14. 2 왜 사물인터넷에서 보안이 어려운가
1. 복잡하고 분산되어 있는 시스템
2. 다양한 프로그래밍 언어 및 운영체제
3. 특화되어 있는 다양한 하드웨어
4. 취약한 데이터 구조 (개인자료, 위치정보 등)
Data
Security
• 임베디드 시스템으로부터 실시간으로 측정/생
성되는 많은 데이터에 대해서 새로운 암호화
및 컴퓨테이션 모델에 대한 연구
System
Security
• 암호화 및 컴퓨테이션 모델을 활용한 IoT 애플
리케이션을 쉽고 빠르게 개발할 수 있는 높은
보안 기술이 접목된 오픈소스 하드웨어 및 소
프트웨어 프레임에 대한 연구
하드웨어 레벨에서 원천적으로 보안
프레임에 침입한 보안의 위협을 감지

5. Chapter 14. 3 Data Security
End-to-end security
임베디드 시스템 레벨에서 암호화된 데이터를 생성
중간 애플리케이션이 아닌 “end application”만이 암호를 풀 수 있고, 데이터를 볼 수 있음
중간의 게이트웨이 및 클라우드는 데이터가 무엇인지 볼 수 없지만, 전송을 할 수 있음
그리기 위해서는 새로운 Transport Layer의 프로토콜이 필요함 (연구가 필요)
Homomorphic Encryption (Gentry, 2009)
임베디드 시스템 레벨에서 암호화된 데이터를 만듦 (10를 x로, 7을 y로)
서버에서는 이 암호화된 데이터를 가지고 임의의 오퍼레이션을 할 수 있음 (x * y)
이를 이 암호화된 데이터는 다시 디바이스에서 해독이 가능함 (서버 및 클라우드에서의
해킹을 막을 수 있음)
하지만, 서버에서 암호화된 데이터를 사용하여 임의의 오퍼레이션을 하는 속도가 너무 느림
10
7
70
x
y
xy
x
y
xy
*
encrypt
encrypt
decrypt

6. Chapter 14. 4 System Security
시스템 전반의 보안에 대한 Framework를 구축
센서에서 게이트웨이, 케이트웨이에서 서버, 그리고 서버에서 웹 혹은 어플로 흐르는
데이터 프로세싱에 대한 시스템을 구축하고 이를 Framework으로 지정
Framework은 개발자가 변경할 수 있는 코드를 가지고 있으며, 이는 시스템의 특성에 따라
생성된다.
그리고, Framework은 이 코드가 어떤 보안의 위협에 의해 변경된 지를 감지하게 됨
특히, 정보가 누출되지는 (information leakage)등을 감지하는 시스템을 구축하도록 함
Software-defined Hardware & Tamper proof Hardware
Software-defined Hardware는 소프트웨어 기술을 통해 임베디드 시스템 (하드웨어)의 보안을
구축하는 기술을 설명하기 위한 용어로 등장.
Tamper proof Hardware는 물리적인 복제를 막기 위한 하드웨어를 의미함.
두 기술 모두 System Security를 위해 필요한 중요한 옵션.
소프트웨어적인 접근과 하드웨어적인 접근의 밸런스 및 서로간의 보완을 통해 시스템 특징에
맞는 보안 기술이 요구됨

7. Chapter 14. 5 기업/정부의 보안 책임
디바이스를 판매한 판매회사 (Vendors)와 유통회사 (Suppliers, Distributors)
가 각 나라의 실정에 맞는 보안에 대한 규정을 잘 지킬 수 있도록 책임 부과가 필요.
정부에서는 보안에 대한 현실적인 (Practical) 규정을 설정하고, 이에 따른 레벨을 설정하여
사용자가 보안 정도를 인지할 수 있는 가이드라인을 제시.
보안에 대한 책임에 대한 규정을 명확하게 함이 중요

8. Chapter 14. 6 보안 안전장치
보안부트(Secure boot) 제조사가 하드웨어를 제조할 때, 암호화된 코드를 사용하여 신뢰할 수 있는
소프트웨어만 사용하여 부팅되도록 개발한 보안 표준
보안 코드 업데이트
(Secure code update)
시스템이 가질 수 있는 버그 및 보안 패치 등을 업데이트하기 위해 신뢰할
수 있는 시스템 내에서 업데이트를 함. 예) 보안부트가 된 시스템에서 업데이
트
데이터 보안
(Data Security)
End-to-end security 혹은 Homomorphic Encryption와 같이 디바이스
가 데이터를 암호화하고, 해독하는 방법으로 데이터를 보완함
인증 (Authentication) 암호체계를 보다 철저하게 구성하여 보안을 갖춤
보안 커뮤니케이션
(Secure communication)
SSH (Secure Shell) 등의 강력한 인증 방법을 통해 원격 시스템에서 명령을
실행하는 등의 프로토콜을 IoT에 접목할 수 있음
보안 모니터링
(Security monitoring)
해커들의 수백만, 수천만의 로그인 시도를 감지하여 리포팅 할 수 있음
복제 방지 하드웨어
(Tamper proof hardware)
디바이스를 물리적으로 복제하지 못하도록 만드는 장치
다음의 보안 안전장치를 기반으로 보다 IoT의 보안 문제를 개선할 수 있음