[보안 칼럼] IoT 보안과 미래차 보안 이리하여 '교통 보안' 이야~~

사물인터넷 IoT 기술은 빠르게 확산되고 있는데 보안은 충분한가? 사고였던 IoT는 단순한 전산에 그치지 않고 사물을 직접 조작하기도 하므로 보안이 실패할 경우 인체에 물리적으로 직접 피해를 줄 수 있기 때문에 기존의 ICT 보안에 비해 매우 강도가 높아 어린이의 초 접근 방법이 전혀 다른 보안이 필수적이다.​ ​ 자율 보안과 규제 보안 ​ IoT에 대해서 보안이 필요한 분야는 크게 일)스마트 홈, 2)스마트 팩토리, 3)스마트 카, 4)스마트 에효은시지그릿도 등 4가지다.​ 그 안에 스마트 홈과 2)스마트 팩토리 보안은 '자율 보안'성질이었다 사용자가 자신의 이익에 기초하여 자신의 시스템에 IoT를 적용할지, 만일 적용한다면 보안도 적용할지를 결정한다. 다시 이야기하고, 일)과 2)의 보안은 ' 하지 않는 것도 있다는 것'이었다 물론 그로 인한 피해책이 모두 사용자 몫이므로 왼쪽으로 하는 것이 좋지만 어쨌든 개인의 자유다. 공장의 경우에는 노동자의 안전을 위해 보안을 강제해야 하지만 대부분의 공장들은 자신의 이름으로 IoT 이전에 ICT 적용도 불충분하기 때문에 아직 갈 길이 멀다.자체 보안은 사후 대처 방식으로 서서히 확산된다. 사후 대처란 사건이 발생하면 보안을 추가하는 패치 방식을 뜻한다. 기존의 퍼스널 컴퓨터 보안과 마찬가지로 이미 익숙해진 일이라 현재 대부분의 IoT 보안이 작은 기업들은 이 분야 사업에 집중하고 있다. IoT 보안이라기보다는 기존의 ICT 보안과 정말로 동일하고 쉽게 접근할 수 있기 때문이었다.​ 한편 3)스마트 카 그리고 4)스마트 에효은 시지 그리드 보안은 '규제 보안'성질이던 규제 보안이란 자율 보안과 달리 규제 때문에도 '안 할 수 없는 일'이라는 의미였다 3)는 사용자 자신만 아니라 다른 사람의 안전까지 위협하기 때문에 4)는 에효은시지 이용 과금의 공정성 때문에 엄격한 관리와 통제 즉 규제 보안의 대상일 수밖에 없다. 소음주 운전과 안전띠 미착용은 과거에는 불법이 아니었지만 요즘은 엄격하게 당연한 규제대상인 것과도 대등한 경우다.규제 보안은 각종 규제에 의한 선제 보안으로 사회 전반에 마치 손바닥을 감싸듯 혁신적으로 적용된다. 규제 적용과 동시에 보안이 발동되는 것이다. 선제 보안이란 사건이 일어나자 부랴부랴 대책을 강구하는 것이 아니라 시스템 설계 단계부터 보안을 충분히 고려해 문제 발생의 현실성을 최소화하는 방법이었다. 기존 발전소 등 주요 인프라 폐쇄 전용망 구축과 비슷한 접근법이라고 할 수 있다. 보안성이 이미 충분한 시스템과 네트워크를 완전히 구축하고 스스로 운영을 개시한다. 3)과 4)는 정부의 인프라 전반에 걸친 것이어서 기술 종합적인 것이기도 하다.IoT 보안은 '생명보안' IoT는 기존 IT기술과 각종 하드웨어 조작기술 OT(Operational Technology)의 결합으로 보안 실패 시 물리적 피해 발생 위험이 있다. 따라서 IoT 보안 또한 IT 보안과 OT 보안의 절충이 필요하며, 그 기준은 보다 엄격한 OT 기준을 따른다. 네트워크 접속에 대해도 IT 보안은 사실에 의해서는 안 되지만, 일단 접속해 사후 문제 발생 시에 수습하는 방식을 취한다. 반면 OT 보안은 폐쇄 보안 원칙에 따라 위험의 무조건 사전 차단 방식을 택한다. 따라서 IoT 보안 역시 보안 우선 접속(Secure Firstthen Connect) 방식이어야 한다.​

>

IT 보안 실패의 피해는 자산이지만, OT 보안 실패의 피해는 생명이었다. IoT 물건의 대표격인 자동차를 보자. 자동차 보안 실패 사례를 보면 모두 사람의 생명을 위협하는 것이었다. 운전 중에 운전대를 원격 조절하여 과인하게 움직이지 못하게 잠그고 속도를. 의도적으로 조절하는 과일의 엔진을 정지시키기도 할 것이다. 표시등, 클락션등 장치의 동작을 조작해, 계기판 정보를 오출력시키는 GPS 좌표를 조작하는 일도 있을 것이다. 모두 이미 실증된 해킹 사례였다.자동차라는 물건의 성격상 트러블 방지 등 안전을 위한 보안이 절실하다. 최근까지의 보안은 기껏해야 돈을 지키는 보안이었지만 곧 사람의 생명을 지키는 보안이 되는 것이었다.이 때문에 세계 주요국들은 자동차 보안 관련 규제를 계속 수립해 시행하고 있다. 미국 은 20하나 7년에 'SELF DRIVE Act','DoT Guideline','AV START Act'등의 규제를 선언하고 유럽 연합은 20하나 6년에 'EC C-ITS'사업'ENISA스마트 카 사이버 보안 권고 방안'에 이어20하나 7년 영국 정부'스마트 카 사이버 보안 가이드 라인', EC'자동차 보안 인증 프리입니다. 워크", ACEA"자동차 사이버 보안의 핵심 원칙"등의 규제 방안을 잇달아 내놓고 있다. 중국 또한 20하나 6년에 '자동차 보안 위원회'를 설립하고, 20하나 7년'중국의 사이버 보안 법'을 시행하는 등의 조치를 취하고 있다.자동차 보안은 교통 보안이라는 과도한 자동차 해킹은 자동차 자체 보안만으로 막을 수 있는 것이 아니다. 교통 자체의 보안 문제다. 자동차가 지능화되어 코넥티도우홤으로써 현재 자동차는 '단순한 인터넷 접속'단계에서 '교통 네트워크 참가자'단계로 진화 중이며 이는 5G의 확산 등 환경 변이에 의해서 급속히 하나 밴 하나이다.​ 그래서 자동차 내부의 보안뿐 아니라 다른 자동차과의 지능형 교통 시스템 C-ITS등의 교통에 관련된 '모두'와 V2X(Vehicle to Everything)통신 보안이 가장 중요하고, 그 밖에도 교통 체계의 중앙 및 에지 컴퓨팅 보안, V2D모 바하와 연동 보안, V2G, 전기 자동차의 생태계 보호 등 여러 분야, 보안을 종합할 충분한 힘이 있어야 완전한 자동차 보안을 실현할 수 있다. 자동차 보안은 농구의 풀코트 프레스 전략처럼 교통시스템 전체의 안전을 책임지는 전역 보안(Whole-system approach)이었다.​

>

한편, 현재, 자동차 보안은 단순 인터넷 접속 기준의 보안이다. 이렇게 해서 보안이 텔레매틱스 서버 시큐리티, 차량용 단말 시큐리티, 일반 웹 시큐리티 정도에 머무른다. 이야기 당신들은 자동차 보안이다. 그러나 자동차가 커넥티드 카로서 교통 네트워크에의 직접 참가자가 됨으로써 자동차 보안은 전혀 다른 성격의 것, 즉 "교통 보안"이 된다.​ 자동차는 V2X를 통해서 다른 자동차 및 기타 교통 수단, 스마트 도로 및 RSU, C-ITS등 교통 시스템과 연결되고, V2G를 통해서 전기 차 충전 시스템 및 전력망 그리고 에너지 흰색으로 서비스에 접속된다. 서비스 제공을 위한 클라우드 보안 등 전통적 ICT보안에서 V2X등 자동차 보안 기술 전반 그리고 V2G에너지 맨 정신으론 그리드에 대한 이해, PnC(Plug and Charge)등 미래 차의 특성에 대한 이해까지 모두 포함한 종합적 기술력의 기반이 있어야 가능한 일이다. 요구 기술이 복잡하기 때문에 신규 진입 장벽이 높은 사업이기도 하다.IoT 보안의 미래 교통 관련 시스템에서 보는 영역은 또 있다. 자동차, 그리고 C-ITS 등 교통 시스템의 진화 외에도 전기자동차 에너지 시장의 규모는 현재의 자동차용 화석연료 시장 규모를 너희가 계승하여 PnC 등 고유 기술에 의한 서비스 전망의 크기로 확대할 것이다. 전기자동차 에너지 시장은 전기자동차뿐 아니라 스마트미터 등 일반 에너지 그리드의 영역과도 연결돼 정부 인프라 규모를 이룬다. 그러면 그만큼 보안의 개념은 더욱 확장된다.그리고 앞으로 IoT 생태계는 폭발적으로 확장될 것이다. 기존의 인터넷 크기 개념에 비해서도 차원이 전혀 다른 수준이다. 그 때문에, 현장에서의 시스템 무인화 적용시의 효율 한계, 물량 급증에 수반하는 기존의 중앙 집중 방식의 처리 한계등의 이유로부터, "물사 인증"이나 "물사 결제(판정)" 등, 보다 이야기 끝에서의 판정력이 높은 기술이 필요하다. 그 해결책인 탈중앙화 블록체인 기술과 IoT의 결합이 현재 부족한 필수요소이며, 향후 중소기업간 경쟁 차별점이 될 것으로 전망하고 있다. 그러면, 그로 인해 보안의 개념은 다시 확장된다. 이는 정말 말해주고 천문학적인 규모의 확장이라고 해도 과언이 아니다.기존의 ICT 보안은 물론 그렇게 해서는 안 되지만, 특별한 준비 없이 전장에 뛰어들어 공격의 충격을 너희로서 몸으로 부딪치는 위험 테이킹의 양상을 보였다. 피해는 크든 작든 금전 피해에 한정되기 때문에 보안 실패의 책입니다.만약 분명히 다른 사람에게 있다면,남에게있다면 자기 책임으로 보상받을 수 있을 것이라고는 하지만 돈이 아까운 정도에 그칠 것이기 때문이다. 그러나 IoT 보안은 그렇지 않다. 피해는 인간의 목숨에까지 미치기 때문이다. 그리고, 이 사고는 반드시 해결되어야 한다 IoT는 확산되지만 보안은 충분한가?

>

​​