종단 간 IoT 보안을 위해 하드웨어 수준까지 영역을 넓히는 클라우드 공급업체

10여 년 전에 클라우드 서비스를 사용하기 시작할 때는 공동 배치된 전용 서버를 플랫폼으로 선택했고, 그 당시 IT 관리자는 이 클라우드를 재해에 대비해 백업을 저장하는 데 유용하겠다는 정도로만 여겼었습니다.

Amazon 홈 페이지에서도 AWS(Amazon Web Services) 링크는 ‘fold’(기본 화면)(‘첫 번째 화면’의 최신 용어)의 맨 아래쪽 잘 보이지 않는 곳에 있었고, 클릭하더라도 한 달 전에 게시된 AWS ‘새로운 제품’ 발표의 세부 사항이나 표시되는 다소 부실한 AWS 홈 페이지로 연결되었습니다(그림 1).

결합성이 낮은 분산 시스템을 만들기 위한 핵심 AWS 서비스인 Amazon SQS(Simple Queue Service)는 베타 버전 기간을 막 끝내고 정식 출시되었으며, Amazon Elastic Compute Service(현재는 EC2라는 약어로 알려짐)라고 하는 AWS의 대표 클라우드 컴퓨팅 서비스가 리미티드 베타 버전으로 출시된 상태였습니다. 그 후 그야말로 비약적인 발전이 이루어졌습니다. 이제까지의 발전도 인상적이지만 IoT의 무수한 요구 사항을 충족하기 위해 현재 진화 중인 클라우드 플랫폼 서비스의 다음 단계는 더욱 흥미롭습니다.

그림 1: 초창기 이후 급속한 발전이 이미 있었지만 현재 클라우드 서비스 제품은 IoT 장치와의 밀접한 통합을 보장하는 더 새로운 단계로 진입 중입니다. (이미지 출처: The Internet Archive, Wayback Machine)

내장형 시스템 개발자가 개발한 제약된 리소스의 IoT 종단 노드와 하드코어 인프라 전문가가 개발한 가상화된 리소스에서 실행되는 클라우드 애플리케이션 간에는 근본적인 임피던스 불일치가 존재합니다. 겉으로만 보면 적절한 통신 스택을 추가하고 연결된 API를 통해 상호 작용을 하기만 하면 되는 것으로 보일 수 있습니다. 센서 데이터를 일부 클라우드 기반 종단점으로 푸시하기 위해 최소한의 REST 호출을 사용하는 것은 그리 어려운 일이 아닙니다. 거의 문제가 되지 않습니다. 연결된 '스마트' 제품에 필요한 간단해 보이는 설계가 다수 사용된 연결형 시스템을 손쉽게 구축할 수 있습니다.

하지만 이 작업만 수행한다면 소셜 미디어에서 실패한 다음 사례로 전락할 수도 있습니다. IoT 장치와 클라우드 서비스 간의 이러한 불일치는 가장 강력한 손상을 일으킬 수 있는 종단 간 보안에서도 최근 나타났기 때문입니다.

IoT 종단 노드에서 클라우드 기반 엔터프라이즈 리소스까지 아우르는 IoT 애플리케이션 계층에 걸쳐 확장된 보안은 구현하기 까다롭지만 먼저 떠올릴 만한 이유로 까다로운 경우는 많지 않습니다. IoT의 경우 보안은 암호화 프로토콜 및 인증과 같은 기본 메커니즘에 개념 측면에서 매우 밀접하게 관련이 있어서 전체 애플리케이션 자체를 놓치기에 십상입니다. 즉, 나무에 집중하느라 숲을 못 보는 것입니다.

실제로 우리는 통신을 제재하고, 무단 사용자를 차단하며, 점점 더 증가하는 위협을 완화할 수 있는 많은 보안 장치를 사용할 수 있습니다. 제조업체는 위협받는 영역을 최소화하도록 설계된 특수 보안 칩과 IoT 등의 취약한 응용 분야 영역을 대상으로 암호화 가속기를 MCU에 주기적으로 통합하고 있습니다. 이렇게 저수준 보안 메커니즘을 가장 신중하게 적용하더라도 결국 설계와 애플리케이션이 전체 IoT 애플리케이션 계층을 위한 전반적인 보안 애플리케이션 프레임워크에 충분한 주의를 기울이지 않은 상태에서 개발되었다면 대규모 보안 문제가 야기될 수 있습니다.

다행히 클라우드 제공업체는 클라우드 보안 서비스와 장치 간의 이러한 번거로운 불일치를 제거할 수 있는 방식으로 하드웨어 분야에서 더욱 심층적인 개발을 진행하고 있습니다. 예를 들어 Microsoft에서 최근 발표한 Azure Sphere는 Nordic Semiconductor, NXP Semiconductors, Silicon Labs 및 STMicroelectronics를 포함한 유명한 Arm® 기반 반도체 제조업체의 다중 코어 설계에 Microsoft의 Pluton 보안 서브 시스템을 통합하는 장치로 장치 대 클라우드 보안을 확실히 강화할 수 있습니다.

IoT 클라우드 발전의 다음 단계를 기다리지 않고도 이러한 이점을 활용할 수 있습니다. AWS는 Microchip과 협업하여 Microchip Technology ATECC508A 보안 장치를 사용하는 '제로 터치' 보안 배포를 지원합니다. 보안 시스템 작업을 위해 AWS는 다음을 포함한 여러 하드웨어 플랫폼에서 인증된 Amazon FreeRTOS 실시간 운영 체제를 통해 IoT 시스템을 위한 강력한 통합을 제공합니다.

• Microchip Curiosity PIC32MZ EF 개발 기판
• NXP LPC54018 IoT 모듈
• STMicroelectronics STM32L4 디스커버리 키트 IoT 노드
• Texas Instruments CC3220SF-LaunchXL

이러한 플랫폼에서 실행되는 Amazon FreeRTOS 및 관련 AWS 서비스를 사용하면 보안 연결을 더 쉽게 달성하고 IoT 종단 노드 및 에지 장치를 위한 IoT 수명 주기 작업에 필수적인 보안 펌웨어 업데이트를 지원할 수 있습니다(그림 2).

그림 2: AWS(Amazon Web Services)는 보안 연결 및 펌웨어 업데이트를 단순화하도록 설계된 Amazon FreeRTOS를 통해 IoT 장치 플랫폼으로 더욱 확장합니다. (이미지 출처: Amazon Web Services)

Google 역시 TLS 기반 인증으로 인한 일반적인 과부하 없이 상호 인증을 지원할 수 있는 새로운 접근법과 Microchip ATECC608A 보안 장치를 결합하는 정교한 IoT 연결 접근법을 발표했습니다(그림 3).

그림 3: Google은 Microchip ATECC608A 보안 IC 및 JWT(JSON Web Token)를 활용하여 기존 TLS 인증에 따른 과부하 없이 IoT 장치와 Device Manager 클라우드 서비스 간의 상호 인증을 제공합니다. (이미지 출처: Google)

이 특별한 옵션은 반도체 제조업체와 클라우드 서비스 공급업체 간의 협업이 증가하면서 빠른 속도로 개발되어 제공되고 있는 통합 제품 유형의 일부에 지나지 않습니다. 이러한 솔루션을 더 넓은 보안 정책 내에서 결합하면 비즈니스의 제품을 보다 안전하게 보호할 수 있는 유리한 입지를 구축하게 됩니다.