실시간
뉴스

솔루션

삼성전자 첫 시큐리티 포럼, IoT 보안에 대한 고찰

[디지털데일리 최민지기자] 첫 번째로 열린 삼성전자 보안 포럼에서 안전한 사물인터넷(IoT)을 위한 대응방안에 대한 토론이 펼쳐졌다. 제품 개발·설계부터 보안을 내재화한 ‘시큐리티 바이 디자인’을 적용하는 한편, 소프트웨어보다 하드웨어로 접근해 성능개선까지 끌어내야 한다는 의견이 개진됐다.

삼성전자는 지난 21일 삼성전자 서울R&D캠퍼스에서 ‘제1회 삼성 시큐리티 테크 포럼(SSTF)’을 열고, 해킹방어대회 CTF를 비롯해 보안 컨퍼런스 등을 진행했다.

이날 열린 보안 컨퍼런스의 주요 주제 중 하나는 IoT 보안이었다. 학계 전문가들은 개발 단계부터 좀 더 안전하게 만들기 위한 노력이 필요하다고 입을 모았다.

김형식 성균관대학교 교수는 “일반 사용자들은 IoT를 쉽게 설정하고 사용할 수 있도록 만들어야 하는데, 디자인단계부터 보안을 내재화한 개발자들이 전세계적으로 부족하다”며 “개발자들이 좀 더 시큐어하게 개발할 수 있는 툴을 만드는 것도 중요하다”고 제언했다.

가격적 한계로 인해 하드웨어보다 소프트웨어로 IoT 보안에 대해 접근할 수밖에 없는 환경에 대한 지적도 제기됐다. 성능이 낮아지더라도 최종 가격을 낮게 책정시키기 위해서다.

이에 대해 백윤흥 서울대학교 교수는 “IoT 기능은 단순하며 간단한 보안 기능을 탑재하면 되기 때문에 하드웨어 자체가 비싼 것은 아니다”며 “범용성을 갖춰 대량생산에 돌입하기 시작하면 가격은 떨어지게 된다”고 반박했다.

김용대 카이스트 교수는 결국 보안이 내재화된 제품으로 가야 한다고 강조했다. 처음부터 보안을 생각하지 않고 제품과 서비스를 내놓았다가 추후에 더 큰 손해를 입을 수 있기 때문이다. 해킹을 당할 경우, 벌금과 고객보상 등을 책임져야 한다.

김 교수는 “결국 시장이 결정하겠지만, 대부분 보안 내재화 제품으로 들어갈 것”이라며 “보안업체들이 솔루션을 이용해 IoT 보안을 한다고 하면 굉장히 큰 오해”라고 말했다.

이어 “하드웨어 가격은 수요와 공급이 늘어나고 경쟁이 생기면 자연스럽게 가격은 저렴해진다”며 “카카오뱅크에서 보듯 보안과 사용성이 좋은 경우를 만들 수 있는데, 처음부터 보안을 생각하지 않고 추후에 추가하려 하면 오히려 더 큰 비용적 손해를 입게 된다”고 덧붙였다.

IoT 보안을 강화하기 위한 정부의 역할도 짚었다. IoT 보안과 관련된 인증작업에 정부가 개입하기 보다 보안을 지키지 않은 기업에 대한 처벌에 좀 더 집중해야 한다는 의견이다.

김형식 교수는 “표준기관들이 테스트를 위한 각자의 기준을 만들겠지만, 체크리스트 기반의 방법이 제품에 대한 보안성을 담보할 수 있느냐에 대해서는 회의적”이라며 “정부의 경우, 인증 등 기술적으로 개입을 하는 것보다 보안을 지키지 않은 업체에게 어떻게 패널티를 적용할 수 있을지에 대해 고민하기를 바란다”고 첨언했다.

한편, 이번 행사에서는 해킹방어대회 CTF가 개인전으로 치러졌고 일본 해킹팀 도쿄웨스턴스 멤버인 마사푸미 야무(Masafumi Yabu)씨가 1등을 수상했다. 이번 대회는 5개 종목으로 구분돼 진행됐고, 많은 사람들이 해결하는 문제를 풀면 점수는 떨어지지만 희귀한 문제를 풀면 점수를 획득할 수 있는 방식이 채택됐다.

김용대 교수는 “한국에서 보안하는 사람은 구글로 간 화이트해커, 이정훈처럼 되고 싶어하지만, 그런 사람은 단 한명이고 전세계 1위”라며 “한국 학생들은 해킹부문에서 잘하는 모습을 보여줬지만 나머지 분야에서는 실망스러운 점수를 냈는데, 보안은 굉장히 다양한 분야를 바라보기 때문에 한 분야에만 집중하기 보다는 좀 더 다각적으로 공부를 했으면 한다”고 전했다.

이날 기조연설로는 버질 글리고 미국 카네기멜런대 사이랩 교수의 시스템 보안 기술, 얀 쇼시타이슈빌리 애리조나주립대 교수의 지능형 해킹 기술에 대한 강연이 이뤄졌다.

<최민지 기자>cmj@ddaily.co.kr

디지털데일리 네이버 메인추가
x