IoT 소프트웨어 보안 국제공동연구센터 탐방記

안전한 IoT SW 개발 위해 뭉친 4개국의 최고 두뇌들
‘IoT 소프트웨어 취약점 자동분석 플랫폼’ 통한 IoT 취약점 글로벌 리더십 확보

[보안뉴스 민세아] 사물인터넷(IoT) 소프트웨어 사용이 기하급수적으로 증가함에 따라 관련 취약점도 급증하고 있다. 보안에 취약한 소프트웨어의 사용으로 IoT 디바이스의 70%가 공격에 노출돼 있고, 오픈소스 소프트웨어 보안 취약점으로 인해 상용 시스템이 위협받고 있는 추세다. 그러나 IoT 시스템의 소프트웨어 관리체계가 갖춰져 있지 않고 임베디드 소프트웨어 취약점 정보 공유가 부족한 문제점이 계속해서 부각되고 있다.

이를 해결하기 위해 세계 최고의 우수인력들이 머리를 맞댄 ‘IoT 소프트웨어 보안 국제공동연구센터(Center for Software Security & Assurance, 이하 CSSA)’가 고려대학교 등 4개 대학이 참여한 가운데 만들어졌다.

지난해 11월 19일 문을 연 ‘IoT 소프트웨어 보안 국제공동연구센터(Center for Software Security & Assurance, 이하 CSSA, 센터장 이희조)’는 IoT 소프트웨어에 잠재적으로 포함돼 있는 보안취약점과 소프트웨어 오류를 사전에 자동으로 분석·검증하는 핵심 기술과 발견된 취약점이나 오류에 대한 보안 패치를 신속하게 보급하는 보안 플랫폼 개발을 추진하기 위해 개소됐다.

CSSA는 고려대학교가 주축이 돼 한국인터넷진흥원(KISA)과 미국 카네기멜론대학교(CMU), 영국 옥스퍼드대학교(Oxford), 스위스 취리히연방공과대학교(ETH) 등 4개국이 역할을 분담해 공동으로 참여하고 있다. CSSA의 센터장을 맡고 있는 이희조 교수는 이렇게 4개국이 협력하게 된 계기에 대해 이렇게 설명했다.

“소스코드를 볼 수 없는 블랙박스 테스트는 퍼징(Fuzzing) 툴이 필요합니다. 값을 랜덤하게 일일이 입력해야 하는데, 시간이 너무 많이 걸린다는 문제가 있었죠. 어떻게 하면 최적화 시켜서 입력을 최소화할 수 있을까 고민하던 중 소프트웨어 취약점 자동분석 분야를 연구하던 CMU 연구팀에 요청을 하게 됐죠. 이 외에도 소프트웨어 오류 자동 검증 기술에 특화된 Oxford, 네트워크 프로토콜 보안 기술을 중점적으로 연구하는 ETH에 요청을 하게 됐습니다.”

CSSA는 연구의 최종 목표인 ‘IoT 소프트웨어 취약점 자동 분석 플랫폼’을 개발하기 위해 화이트박스, 블랙박스, 네트워크 프로토콜 팀별 자동분석 모듈을 구현하고 이를 통합해 취약점 자동분석 플랫폼을 구축한다.

소스코드 없이 실제 IoT 기기를 이용해 분석하는 블랙박스, 소프트웨어 및 시스템의 소스코드 상의 취약점을 탐지하는 화이트박스, SSL/TLS 프로토콜과 유사한 취약점 등을 찾는 네트워크 취약점 분석 등의 연구가 진행된다. CSSA는 이렇게 연구된 기술들을 하나로 묶는 플랫폼을 만든다. 해당 사업은 소프트웨어 및 시스템 개발 시 미리 취약점을 찾아 대응할 수 있도록 하는 것이 최종 목표다.

해당 CSSA 사업은 2015년 6월 1일부터 2018년 5월 31일까지 진행된다. 1차년도에는 IoT 기기 시스템 소프트웨어 및 무선프로토콜 취약점 대상 선정 및 기반기술을 연구한다. 2차년도에는 전년도 선정 분야별 취약점 자동분석 기술을 연구하게 된다. 마지막 3차년도에는 IoT 시스템 소프트웨어 및 무선프로토콜 취약점 자동분석 플랫폼을 구축한다는 계획이다.

고려대학교는 국내 연구진을 3개의 참여 대학에 파견시켜 국제협력 연구를 진행하고 있다. 이 외에도 각 참여 대학의 연구진과 함께 정기적으로 온오프 세미나를 개최하고, 연 1회 이상 방문연구를 진행하면서 연구 진행상황 등을 공유할 계획이다.

▲국제공동연구 월례회의

이러한 일련의 연구·개발 과정을 통해 비전문가도 단시간에 소프트웨어 취약점을 점검할 수 있도록 함으로써 전반적인 IoT 소프트웨어 및 네트워크 보안 수준의 상승효과가 기대된다는 것이 이희조 교수의 설명이다.

“국내 소프트웨어 개발 기술이 인지도가 낮고, 비교적 약한 경쟁력을 갖고 있는 게 현실입니다. 센터가 설립된 목표 중 하나가 국제적인 협업을 통해 좋은 기술을 만들어 소프트웨어 취약점을 공유하고, 개발자들이 자기가 개발한 프로그램이나 시스템을 직접 점검해 보안성을 높여 결과적으로는 우리나라 소프트웨어 기술 리더십을 향상시키는 것입니다.”

취약점 점검 커뮤니티 활성화로 고급인력 양성 측면에서도 센터의 역할이 기대된다. 이와 더불어 높은 수준의 취약점 분석 결과를 활용한 안전한 IoT 인프라 구축 효과와 이를 통한 국내 취약점 분석시장의 해외 기술 의존도 감소 등 사회적 측면의 기대효과도 얻을 수 있다는 평가다.

경제·산업적 측면으로는 미국, 영국, 스위스 등 기술 선도국과의 공동 연구를 통한 글로벌 리더십을 확보해 기술격차를 해소하고, IoT 기반의 사회 인프라 안전도 향상될 수 있을 것으로 기대된다. 향후 CSSA의 연구가 어떤 결과를 가져다줄지 더욱 기대되는 이유다.

한편, CSSA는 오는 4월 28일 공개 워크샵을 열어 이제까지의 연구결과를 발표할 예정이다.
[민세아 기자(boan5@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)