KAST 김용대 교수 “의료장비·자동차 등의 보안은 안전에 큰 영향”
[보안뉴스 김태형] 의료장비나 자동차에 연결되어 시스템을 작동하거나 제어하는 임베디드 시스템에 대한 보안이 시급하다는 주장이 나왔다.

한국전자통신연구원(ETRI)가 12일 서울 과학기술회관에서 개최한 ‘산·연 보안컨퍼런스(ESCON)’에서 초청 강연을 맡은 김용대 KAIST 교수가 ‘임베디드시스템 보안기술 현황’에 대한 주제 강연에서 이같이 밝혔다.

어떤 기계나 전기적 제품에 연결된 시스템을 임베디드 시스템이라고 하는데, 이는 컴퓨터 이외에 모든 시스템에 해당한다.

즉 가전, 교통, 항공, 기계, 의료장비, 자동차, 통신장비 등이 임베디드 시스템에 의해 작동한다.

김용대 교수는 “최근 모든 장비와 기계, 자동차 등은 OS, 웹서버, 리모트 콘트롤, 스마트 기기와 연결되는 추세이다. 이러한 장비 중에서 의료장비나 자동차 등은 보안 취약점을 통해 안전에 큰 영향을 미칠 수 있기 때문에 이에 대한 보안이 매우 중요하다”고 말했다.

임베디드 시스템 보안의 한 예로 ‘펨토셀(femto-cell)’이라는 이동통신회사의 작은 기지국 해킹으로 이를 통해 통신하는 전화와 데이터에 대한 도청이 가능하다는 것.

이 펨토셀은 전파가 닿지 않는 지역의 원활한 통신을 위한 교환장비로서, 이를 통해 각 가정이나 사무실에서의 전화와 데이터 통신을 가능하게 한다. 하지만 이 장비가 해킹된다면 사용자들에게는 치명적인 보안위협이 될 수 있는 얘기다.

김 교수는 “유명한 보안전문가 브루스 슈나이어는 보안은 공격자 입장에서 생각하지 못하면 공격을 막을 수 없고 취약점을 찾지 못하면 대응할 수 없다고 말했다”면서 “국내 보안현황을 보면, 보안에 대한 투자가 매우 미흡하다. 한 예로 미국의 유명 대형 은행은 IT예산의 20%를 보안에 투자하고 있다. 이는 우리나라와 비교해 월등히 높은 비중”이라고 강조했다.

또한, 그는 “보안 취약점을 찾는 측면에서도 해외에서는 제로데이 버그를 팔아 돈을 버는 전문가들이 있다. 예를 들면 윈도우에서 커다란 버그를 발견하면 15만불, 기타 다른 버그는 10만불, iOS 관련된 버그는 50만불에 판매된다”면서 “하지만 국내에서는 어떤 보안 취약점을 찾아주면 도리어 화를 내는 것이 가장 큰 문제이며 취약점이 발견되어도 적극적으로 대응하지 않는다”고 지적했다.

김 교수는 “이와 같이 우리나라에서도 보안 취약점이나 제로데이 버그를 찾아내면 이에 대한 적절한 보상을 해줄 필요가 있으며 다양한 사이버공격을 막기 위해서는 임베디드 시스템 등을 포함해서 모든 부문에서 보안을 생각하고 바라보는 폭 넓고 다양한 시각이 필요하다”고 강조했다.

한편, 이번 컨퍼런스는 ETRI가 보유한 첨단 보안기술의 산업체 활용 제고 등을 위한 컨퍼런스로, ETRI는 산·연 보안컨퍼런스에서 개발한 첨단기술을 활용해 국내 보안업체가 성과를 내기 위한 방법을 모색하고 산업체의 기술적 요구 및 사업화 과정의 애로사항을 효과적으로 수렴, 해소할 수 있는 산·연 소통의 장으로 마련했다.

이날 컨퍼런스에서 ETRI는 전역적 통합보안제어기술, 디지털 포렌식 기술, 액티브 피싱 공격 및 방어기술, 스마트 단말 보안취약점 및 대응기술, 차세대 무선랜 보안기술, 원거리 휴먼인식기술, 패킷 필터 기반 산업용 부정접근 방지기술 등에 대해 발표했으며 국내 보안업체에서는 차세대 통합 무선랜 보안기술, 시큐어코딩과 정적기술 등의 발표가 진행됐다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>