IoT 보안의 재고찰: 기초 원리와 입체적 접근

Source

• Google Keep/IoT와 보안(보안의 재 고찰과 IoT보안).md

Summary

본 문서는 안랩 김기영 실장의 세미나 내용을 바탕으로 IoT 보안을 전통적인 보안의 기초(CIA: 기밀성, 무결성, 가용성)로 환원하여 접근해야 함을 강조한다. IoT의 핵심은 ‘사물(Things)‘이 아닌 ‘연결(Internet)‘이며, 이로 인해 장비 역공학, 펌웨어 분석, 프로토콜 취약점 등 공격 표면이 확대된다는 점을 지적한다. 효과적인 보안을 위해 하드웨어 보안(TrustZone 등), 상호인증, 그리고 사용자를 고려한 HCI(Human-Computer Interaction) 관점의 접근이 필요함을 제시한다. 또한 ‘깨진 유리창 이론’을 적용한 환경 개선과 공격 표면 최소화, 그리고 명확한 목표 설정과 실전 중심의 보안 설계의 중요성을 강조한다.

Key Points

• IoT 보안은 기밀성, 무결성, 가용성(CIA)이라는 보안의 기본 원리로 돌아가 접근해야 한다.
• IoT의 본질은 사물 자체가 아닌 연결(Connection)이며, 이는 새로운 공격 벡터(역공학, 펌웨어 추출, 사이드 채널 등)를 생성한다.
• 보안은 입체적으로 설계되어야 하며, 인프라와 단말뿐만 아니라 프로토콜과 펌웨어의 보안도 포함해야 한다.
• 사용자 경험(HCI)을 고려한 보안(상호인증, 생체인증+공개키 등)이 지속 가능한 보안의 흐름이다.
• 보안 설계 시 명확한 목표 설정, 공격 표면 최소화, 그리고 실전 환경(이론 매몰 금지)을 고려해야 한다.

Related

• IoT 네트워크 보안의 핵심: 신뢰 기반의 브로커 모델

• 3 Top IoT “security” Architectures and How to Fix Them

• 사물 인터넷(IoT) 생태계와 기반 기술의 준비

• 사물인터넷(IoT) 서비스 아이디어 전략 5단계

• 사물인터넷(IoT)과 공공데이터의 관계

• 사물 인터넷(IoT) 패러다임과 주요 기술 트렌드

• IoT Toolkit: 오픈소스 IoT 상호운용성 플랫폼

• 시스테믹 혁신 관점에서 본 IoT 2014 동향 (VentureSquare)

• 공유경제, IoT, Trust

• IoT 데이터 모델 및 상호 운용성의 필요성 (Michael Koster)

• 사물인터넷(IoT)의 5W1H 분석 (2014)

• CloudRail 시드 라운드 및 IoT 상호운용성 해결

• 사물인터넷(IoT) 데이터 모델 및 상호운용성

• 사물인터넷(IoT)을 위한 이벤트의 근사적 의미 매칭

• Python 기반 IoT 솔루션의 신속한 프로토타이핑

• 사물인터넷(IoT), 새로운 IT의 풍경

• 시만텍 2015 보안 전망: IoT 및 머신러닝의 부상

• KAIST 트러스트 시각화 연구

• CPID 매핑 표준화의 필요성

• 오라클의 IoT 통합 플랫폼 전략

• IoT(사물인터넷)의 문제점: 사용자 경험(UX)과 인터페이스

• CES2015와 사물인터넷(IoT) 기술 표준 경쟁 구도

• 일본의 IoT 기반 제조업 부활 전략 및 한국에 대한 시사점

• 사물인터넷(IoT) 생태계 구조 분석 (2013)

• 라이프로깅과 비즈니스 모델(Lifelogging & Business Model)

• 사물인터넷(IoT)에 대한 단상 (페이스북 토론회)

• 윈드리버(Wind River)의 사물인터넷(IoT) 임베디드 전략

• 4차 산업혁명과 플랫폼 (소프트웨어 관점)

• 스케치플랫폼캠프 2013: IoT의 현실화와 혁신의 흐름

• 드림엔터, 국내 최초 IoT 해커톤 개최

• 인텔 통합 IoT 플랫폼 공개 (2014)

• IoT 채용 시장 현황: 주요 기업, 지역 및 직무 (2015)

• DLT와 IoT 통합에 대한 서베이 (ACM CSUR)

• 사물통신(IoT) 시장 관전 포인트, 플랫폼 전략, 향후 전망

• 2015년 주목받을 기술 전망 (가트너)

• PAG 4월 정기토론회 IoT의 미래 (안드로이드 웨어의 가능성)

• Canonical, Ubuntu Core 기반 IoT 시장 진출

• 쉬지 않는 사물인터넷, 근면한 기계에 대한 두려움

• 시스코, IoT 인재 육성방안 발표

• PTC, IoT 전략 가속화를 위해 악세다(Acceda) 인수

• WigWag: 사물인터넷(IoT)을 위한 공통 언어 구축 시도

• MQTT 프로토콜 표준화 및 IoT 활성화

• IoTivity: IoT 표준을 위한 오픈소스 프레임워크

• 인텔, IoT 전담 부서 신설 및 조직 격상 (2013)

• Fluent 2016 - JavaScript and IoT

• 인텔과 아두이노의 IoT 파트너십 및 갈릴레오 보드 출시

• 오프라인 모임 중심의 지식 공유 플랫폼 시장 (2013)

• IoT의 무한한 적용 가능성과 미래 혁신

• 봇넷 연구의 라이프사이클 기반 분류 및 서베이

• CES 단상: 한국 경제의 미래에 대한 우려

• Evrythng: 사물에 고유 웹주소(ADI)를 부여하는 IoT 플랫폼

• 이재용 후계 구도 현황 (2014)

• IoT, M2M, 웨어러블 및 iBeacon의 관계와 비즈니스 적용 (2014)

• IoT(Internet of Things)의 개념과 미래 영향

• MQTT 프로토콜 개요 및 IoT 애플리케이션 구축

• 범죄의 사물인터넷 (The Internet of criminal things)

• 2015년 한국 소프트웨어(IT) 전망 (VentureSquare)

• 퀄컴의 만물인터넷(IoE) 비전 및 플랫폼 전략 (2013)

• 연결의 6하원칙과 IoT 네트워크 유형 비교

• 정보화 사회에서 데이터 사회로의 전환

• 스레드(Thread) 그룹의 홈 IoT 네트워킹 프로토콜 인증 및 생태계 구축

• M2M 네트워크 아키텍처의 구성 요소

• 차세대 로봇 시장 동향 (2017)

• MQTT V3.1 프로토콜 사양 (IBM)

• 차세대 인터넷 패러다임: M2M (Machine to Machine)

• 사물인터넷(IoT)의 중요성과 가치 모델의 전환

• 2017년 주목할 혁신기술 TOP10 (MIT Technology Review 기준)

• CloudRail: IoT 상호운용성 해결을 위한 시드 라운드 유치

• 삼성전자, 타이젠을 통한 IM-CE 부문 융합 전략과 내부 협력 과제

• IP5 세계 지식재산 빅데이터 구축 합의

• WaaS: Wisdom as a Service

• 연결이 지배하는 세상에서 미디어란 무엇인가

• IETF 미러 포럼: CoAP 및 IoT 프로토콜 논의

• 물리적 웹(Physical Web)과 실시간 웹(Real-Time Web)의 개념 및 전망

• 스티브 잡스의 전략적 사고: 디지털 허브와 소프트웨어 중심 전략

• O 2013 데이터 센싱 랩: GCP와 IoT의 만남

• IBM M2M 어플라이언스 및 모바일퍼스트 전략 강화 (2013)

• 음성 AI 비즈니스 및 기술 전략 메모 (2021-07)

• IoT 환경 리눅스 OS 대상 웜 ‘리눅스 달로즈’ 분석

• 요구사항 공학에 디자인 씽킹 통합의 필요성

• 한국 네트워크 장비 시장 동향 (2013-2017 전망)

• HomeKit 기반 홈 자동화 사례 (Japan IoT Blog)

• 웹 단일 로그인(SSO) 사용자 인식 및 수용 모델 연구

• 초협력 시대의 도래

• 제3의 공간, 자동차의 인터넷 연결

• MIT Auto-ID Labs, ‘Cloud of Things’ 이니셔티브 발표

• ICT 플랫폼 생태계: 개념, 구성 요소 및 경쟁 구조

• IETF T2TRG (Things-to-Things Research Group) 개요 및 활동

• 미래 기술 현실화의 핵심: 시대적 트렌드와 인프라

• 자동차 인포테인먼트(IVI) 플랫폼의 오픈소스 전환 트렌드