죄송합니다. 더 이상 지원되지 않는 웹 브라우저입니다.

엣지 애플리케이션에서 임베디드 시스템 보안의 중요성

PDF 다운로드

글/브랜든 루이스(Brandon Lewis) 

제공/마우저 일렉트로닉스(Mouser Electronics)

네트워크에 연결된 임베디드 시스템에는 강건한 보안 조치들이 필요하다는 건 누구나 아는 사실이다. 하지만, 대부분의 임베디드 엔지니어는 보안 전문가가 아니다. 다양한 종류의 위협을 방어하기 위해, 이들 엔지니어에게는 이러한 위협들의 특성과 다층적인 방어 전략(하드웨어 설계를 보호하는 것에서부터 암호화 프로토콜을 구현하는 것에 이르기까지)에 대한 안내가 필요하다.

이러한 요구를 충족하기 위해서는 제로 트러스트 원칙에 기반한 분산형 보안 프레임워크가 필요하며, CIA 3원칙이 충족돼야 한다. CIA 3원칙이란 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 말한다. 

엣지 디바이스의 취약성

많은 기업이나 기관들이 엣지 디바이스 구축 전반에 걸친 포괄적인 이해가 부족한 편이다. 또한 IoT 기기들은 전통적인 보안 범주로부터 벗어난 곳에 설치되는 경우가 많아 근본적인 취약성에 노출될 수 있다. 흔히 디바이스들을 원격지에다 설치하면 효과적인 관리와 보안이 어려워지며, IT 부서가 엣지 디바이스들을 감시하는 데 한계가 있어 모니터링이 까다로워진다.

뿐만 아니라, 임베디드 디바이스 설계 팀이 활용할 수 있는 테스트 자원이 제한적이어서 취약한 부분을 인지하지 못할 수도 있다. 이러한 위험성은 써드파티 라이브러리와 프레임워크에 의존하는 설계일수록 더 높을 수 있다. 공격자들은 이러한 부분들에 대한 결함을 알아채고 악용할 수 있는데, 특히 오픈소스 솔루션일수록 더욱 그럴 수 있다. 

펌웨어를 최신 상태로 유지하는 것을 소홀히 하는 것도 디바이스를 공격에 취약하게 만들 수 있다. 흔히 펌웨어에 대해서는 소프트웨어에 대해서보다 주의를 덜 기울일 수 있다. 하지만 펌웨어에서의 허점 역시 악의적인 공격자에게는 좋은 진입 지점이 되어서 무단 액세스와 악의적인 코드 실행을 일으킬 수 있다.

최신 업데이트된 시스템이라 하더라도 인증과 권한 부여 메커니즘이 취약하다면 손쉽게 해를 입을 수 있다. 불량한 기밀정보 및 세션 관리 같은 결함은 강제 암호 대입이나 세션 하이재킹 공격에 취약할 수 있다. 마찬가지로, 조악하게 설계된 API는 서비스 거부(denial-of-service, DoS) 공격이나 그 밖에 다른 공격의 손쉬운 대상이 될 수 있다.

마지막으로, 엣지 디바이스는 컴퓨팅 리소스가 제한적이어서 잠재적 방어 범위에 제한이 있고 과부하 공격에 취약하다. 이러한 위험은 엣지 디바이스가 급증하는 수요를 처리할 수 있는 충분한 리소스를 확보하고 리소스 고갈 공격에 대한 복원력을 갖추는 것이 중요하다는 점을 다시 한 번 확인시켜준다.

이러한 위협들을 막기 위해서는 다음과 같은 CIA 3원칙을 충족해야 한다:

• 코드와 데이터의 기밀성(confidentiality): 이러한 목표를 달성하기 위해서는 암호화가 중요하다. 하지만, 엣지 디바이스는 리소스가 제한적이기 때문에 모든 암호화 기법이 임베디드 시스템에 적합한 것은 아니다. 하드웨어 가속기는 AES(advanced encryption standard), 널리 사용되는 대칭 암호화 알고리즘, SSL/TLS 인증에 사용되는 비대칭 암호화 알고리즘으로서 RSA 같은 주요 암호화 워크로드를 지원함으로써 이러한 부담을 덜어준다.

TPM(trusted platform module)은 암호화 키를 보안적으로 저장하는 데 유용한 역할을 한다. TPM은 키(key), 패스워드, 디지털 서명 같은 민감한 데이터를 접근이나 무단 조작이 극히 어려운 하드웨어 영역에 보안상 안전하게 저장할 수 있다.

• 데이터와 실행의 무결성(integrity): 예컨대 TPM은 디지털 서명을 사용해서 펌웨어와 소프트웨어의 정식성을 확인함으로써, 데이터와 실행이 조작되지 않고 신뢰할 수 있는 상태라는 것을 증명하는 데 있어서 중요한 역할을 한다. 이는 보안 부트를 가능하게 하고 멀웨어 주입을 차단한다. 뿐만 아니라 TPM은 하드웨어 부품들의 변화를 모니터링함으로써 무단조작을 감지할 수 있어, 보다 견고한 보안을 달성하는 데 기여한다.

또한 침입 감지 시스템(intrusion detection system, IDS)을 사용해서 데이터나 기능을 무단 조작하는 것을 차단할 수 있다. 하지만 IDS는 통상적인 엣지 디바이스의 능력을 뛰어넘기 때문에, 일반적으로 네트워크 계층에 구현한다.

• 시스템 가용성(availability)과 기능성 유지: 이를 위해서는 오류 교정 코드(error correcting code, ECC) 메모리와 워치도그 타이머 같은 조치들을 사용해서 재난적인 결함들을 방지할 수 있다. 예외 처리(exception handling)나 셀프 테스트 같은 소프트웨어 메커니즘을 사용해서 오류를 감지하고 오류로부터 복구할 수도 있다.

경우에 따라서는, 하드웨어 이중화를 사용해서 가동 중단 없이 특정 결함을 처리할 수 있도록 해야 한다. 소프트웨어 이중화 역시 마찬가지의 기능을 할 수 있는데, 예를 들면 소프트웨어 키를 다중의 가상화 환경에다 복사할 수 있다.

모든 위협이 디지털 도메인에서만 일어나는 것도 아니다. 엣지 디바이스의 물리적 설계 역시 보안을 염두에 두어야 한다. 뿐만 아니라 시스템이 공격을 받았을 때 재빨리 복구할 수 있도록 백업 시스템과 복구 계획을 갖춰야 한다.

엣지 디바이스 보안을 위한 포괄적 전략

이러한 요구를 충족하는 보안 조치들을 구현하기 위해서는 보안, 리소스 제약, 필요한 실행 사이에서 절충적인 고려가 필요하다. 엔지니어들은 임베디드 시스템에 적합한 검증된 보안 방법론들을 적용할 수 있다. 그러한 방법론으로 다음과 같은 것들을 들 수 있다:

① 설계에서부터 보안을 고려: 시스템 아키텍처에서부터 구체적인 설계에 이르기까지 개발 작업의 모든 단계에서 보안을 고려해야 한다. 규제 기관 및 표준 적합성, 보안상 안전한 제품 개발 라이프사이클, 그리고 심층 방어(defense-in-depth) 전략 같은 것들을 고려해야 한다.

② 제로 트러스트(zero-trust) 아키텍처: 기본적으로 이 모델은 인프라가 끊임없이 위협 속에 놓여 있다고 간주하는 것이다. 기업이 자체적으로 소유한 시스템들도 마찬가지다. 견고한 솔루션은 향상된 ID 거버넌스, 논리적 마이크로 세분화, 네트워크 기반 세분화의 세 가지 기본 전략을 포함해야 한다. 

③ 세분화와 격리: 중요도 높은 시스템들을 격리시킴으로써 악성 공격이 네트워크 내부에서 이동하는 것을 어렵게 만들어야 한다. 마이크로 세분화(micro-segmentation)는 허용된 것을 제외한 모든 네트워크 패킷을 제한한다. 컨테이너화(containerization)는 애플리케이션과 이들의 종속성을 분리시킴으로써 민감한 정보에 대한 액세스를 제한하고 기밀성과 무결성을 보호한다.

이러한 접근법들은 CIA 3원칙에 잘 부합하며, 엔지니어가 자신이 설계하는 엣지 디바이스의 보안 수준을 높일 수 있는 효과적인 툴을 제공한다. 이러한 프레임워크를 도입함으로써 설계자는 자신의 시스템에서 위험성을 최소화하고 전체적인 인프라를 악성 공격으로부터 보호할 수 있다. 

leekh@seminet.co.kr
(끝)
<저작권자(c) 반도체네트워크, 무단 전재-재배포 금지>