Home > 전체기사
스마트시티의 위협 대응, 보안체계 파악 ‘우선’
  |  입력 : 2018-07-02 00:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
스마트시티의 보안 구조와 위협 살펴보기

[보안뉴스= 류동주 비트레스 대표이사] 스마트시티는 하얀 도화지와 같다. 도화지에 어떤 색으로 어떤 그림을 그리느냐가 관건이듯이 스마트시티도 어떤 기술을 적용하느냐에 따라 도시의 모습이 달라지기 때문이다. 그러나 스마트시티에 어떤 기술을 도입하든지 ‘보안’은 기본이고 필수다. 스마트시티를 얘기할 때 함께 거론되는 초연결성 때문이다.

[이미지=iclickart]

기술과 데이터가 서로 거미줄처럼 연결돼 있기 때문에 어떤 경로로 어떤 정보가 새어나갈지 어떤 바이러스가 스며들어 도시의 기능을 마비시킬지도 모른다는 위협이 항상 존재하기 때문이다. 여기에서는 스마트시티에서의 기본적인 사이버 보안을 점검해 본다.

스마트시티는 2017년 3월 스마트도시법이 개정이 되면서 기존의 유비쿼터스 도시(u-시티)를 대체하는 단어로 통용되고 있다. 2003년으로 거슬러 올라가면 u-시티는 최초의 스마트시티 화두였다. 이후 2008년까지 부처별 의견이 수렴되면서 본격적으로 사업과 연구·개발(R&D)이 시작됐다. 2016년에는 정부가 9대 국가전략으로 스마트시티를 선정해 R&D 예산으로만 약 3,300억원이 배정됐으며, 올해 1월에는 대통령 직속 4차산업혁명추진위원회의 전략과제로 선정돼 추가적인 개발이 진행되고 있다. 스마트시티는 u-시티와 비슷한 기술과 내용을 가지고 있으나 내용적 측면에서는 다른 개념을 갖고 있다. <표1>은 국내 스마트시티의 적용 대상과 추진 주체 지원과 인증에 대한 부분을 개정·발전시킨 내용이다.


<표1>처럼 u-시티보다는 스마트시티에서 좀 더 다양한 정책적 지원이 도입·개정됐고, 신도심을 위한 정부 주도의 전략을 발전시켜 민관이 주도할 수 있도록 변경됐다. 다양한 육성 지원사업과 수출 전략을 목표로 변화·발전된 형태를 갖고 있다. 이러한 발전 방향은 기술적 내용에는 큰 변화가 없지만 신기술과 기존 기술들에 대한 적용이 더 확대된 결과다. 국내 스마트시티의 정보통신기술(ICT) 내용은 대부분 과학기술정보통신부(과기부)에서 R&D 지원한 기술이 적용되고, 산업통상자원부(산업부)나 국토교통부(국토부), 환경부, 경찰청, 소방청 등 기관별 스마트시티를 위한 기술 전략과 R&D는 각 부처별 예산으로 진행된다.

u-시티는 신도시에 초점을 맞췄지만 스마트시티는 구도심과 신도심의 조화를 목표로 다양한 기술과 콘텐츠, 유무선 네트워크, 사물인터넷(IoT) 기술, 교통, 에너지, 안전, 생활 등 도시 생활을 영위하기 위한 모든 것들이 총망라된 것이라고 봐도 무방하다. 해외에서는 국가 차원의 스마트시티 전략이 자금력을 바탕으로 구체적인 실증 사업을 목표로 진행되고 있다. <표2>는 해외 스마트시티 추진 사업들의 예시다.

스마트시티 구조
앞에서 서술한 것처럼 전략적 추진 개발 사업들은 대부분 도시민 생활과 사용자 중심으로 진행하고 있음을 확인했다. 보안 측면에서 보면 단위 보안(유선과 무선 IoT, 백신 등 이렇게 기술별 보안을 단위보안으로 칭하고 설명한다)으로 구성하고 전체적인 연동 보안에 대해서는 단순 연동으로만 구성하게 돼 있다. 현재 스마트시티의 보안 점검 방법은 다양하다.

국가정보원의 보안 적합성 평가를 받아 기반시설과 연동되는 부분에 대해서 점검받는 기준이 있으며, 정보통신은 관련 보호법과 기반시설 보호법, 개인정보보호법, 영상관리 관련 법, 기타 국토부 스마트도시 법 등 간략하게 법명만 나열해도 몇 줄이나 된다. 그만큼 저촉되는 법률적 사항이 많고 관련 부처도 5개 이상이다. 스마트시티의 신규 보안 위협은 단위 보안과 융복합 보안이라는 단어로 압축이 가능하며, 스마트시티의 논리적 구성과 물리적 구성은 <그림1>과 같이 정리할 수 있다.


<그림1>에서 논리적 구조가 일반적 해킹과 다양한 공격 유형의 형태를 표현하는 것이라 말할 수 있다. 물리적 구조 역시 파손이나 조작 등으로 인한 물리적 해킹이라고 표현할 수 있으며, 논리적 구조에서 보안 위협을 구분하기 위해 내용을 살펴보면 다음의 3가지 영역으로 나뉜다.

①관리운영 영역 대응
플랫폼과 개방형 프레임워크, 클라우드, 서비스 연계, 인프라에 대한 관제, 표준화 및 정책 등으로 구성을 볼 수 있다. 이 영역은 다양한 위협과 공격 가능성, 피해가 발생할 가능성이 매우 높다. 스마트시티는 이기종 운영체제나 혹은 프로그램들이 구동되기 위한 영역이고 정보를 받아들이기 위한 지원이 필요하므로 공통 플랫폼 혹은 이기종간 연동 플랫폼으로 구성하는 게 맞다.

그렇지만 해당 보안 영역은 단순하게 단위 보안 즉, 운영체제에서 각각 알아서 정리돼야하고 사전 예방 차원에서 패치나 업데이트 등 정보에 손상이 없을 것이라는 단순한 기대감이 존재할 수 있다. 내부망에서 전송되는 정보와 외부망에서 전송되는 정보가 공존하다 보니 다양한 보안적 요구사항들이 중첩되는 공간이기도 하다.

또한, 스마트시티에서 공통 정보를 수집·전달하기 위한 프로그램은 오픈소스가 대부분으로 일부 수정·보완된다 해도 통신과 서비스에 초점이 맞춰져 있는 게 현실이다. 이 영역에는 통합 플랫폼이라는 미들웨어와 유사한 구조의 정보 가공 전달 영역이 존재하는데 이 부분은 망이 분리된 형태로 구성되는 망분리 영역이다.

해킹 침해가 잘 안된다고 표현하는 이유는 망 분리 중 내부망에 속해 있기 때문이다. 정보 연계 및 서비스 간 연계도 망연계 장비나 공통 전송 기준, 데이터베이스의 스키마에 공통분모를 만들어 전송하거나 해당 영역을 확장·이식·전달이 가능한지에만 무게가 실려 있다. 그 이유는 단위 보안성들만이 강조가 되고 정보 전달 과정만 암호화됐는지, 기타 정보 노출이 되는지에만 집중돼 있는 현재의 규정과 검토안 때문이다. 클라우드나 빅데이터, 위치기반 정보 등 개인정보와 식별 기능 저장 공간에 대한 분리 등 다양한 보안 검토 사항들이 존재한다.

②정보통신 영역
실제 데이터가 전송되는 구간으로 이 역시 관리 운영 영역과 유사한 논리적 구조와 보안 근거로 구동이 된다. 운영 단말과 모바일 기타 웹 서비스를 통한 정보 전달에 모든 초점과 개발 등 구성이 돼 있고 보안 영역은 전송 구간이 단위 보안에 맞춘 보안이 전부이다.

③도시 공간 영역
다양한 공공기관의 서비스 지원 사업들이다. 이 영역은 환경이나 방범, 안전 등에 실생활과 연동되는 정보들을 기반 시설에 속한 장비들을 통해 수집하거나 송수신하는 영역이다. 대부분 사용자 중심의 편의 서비스를 제공하는 부분을 표현하고 있고 보안적 관점에서 프로그램상 보안 코딩과 유출 문제, 접근제어 등의 위협이 존재하고 그것을 검토할 수 있다. 물리적 구조에서 공격과 보안적 관점 위협을 정의하기 위한 영역은 <아래>와 같이 크게 3가지로 나눠 볼 수 있다.

도시통합운영센터
스마트시티의 도시통합운영센터는 모든 데이터의 집합체다. 도시통합운영센터에서 정보를 전달하고자 하는 프로그램과 앱을 개발하는 서버, 정보의 송수신, 가공, 저장, 재송수신 등 모든 정보가 출입된다. CCTV 운용과 관제도 이곳에서 하며 근무 인력들은 공무원과 관계 기관의 용역업체 인력이다. 따라서 인적·물리적·논리적 구조의 보안요소가 다양하게 얽혀 있다.

정보통신 인프라
‘인프라’는 서버와 스위치 방화벽 등 모든 물리적 장비들이 존재하는 곳이다. 실 데이터의 물리적 장비를 지칭하면서 도시통합 운영센터에서 원격으로 혹은 분리 영역으로 구분돼 관리된다. 이 곳에서 암호화와 보안 운영에 관련된 다양한 보안 장비들을 지칭하고 관리한다. 따라서 논리적 해킹 공격이 이 부분에 집중될 수밖에 없다. 보안 점검사항 역시 기존의 정보통신 기반 관련 다양한 법의 적용을 받아 적용하면 된다.

지능화된 기반시설
CCTV, 도로 공원 상하수 등 영상정보 등을 통해 확인하며 IoT 등 센서 정보들을 수집·가공해 상위 도시통합운영센터로 전달하는 역할을 한다. 해당 부분은 기반시설 보호법에 적용이 되는 부분이 있으므로 보안 점검 사항 역시 동일하게 적용된다.

스마트시티의 보안 위협
스마트시티의 특성은 ‘정보의 융복합’이다. 단일 정보만 전송하는 기존 장비들의 정보 운용 형태를 벗어났기 때문이다. 우리는 기존 전통적인 보안위협 관점에서 단순한 공격에 대응 하는 방식을 벗어나 복합적으로 어우러져서 공격이 발생하면 방어하기가 힘들어지는 상황을 몇 번이나 경험했다. 각 장비나 전송 구간별 보안 점검 항목들이 존재하기는 하지만 우리는 아직도 정보 수집 센서와 정보 집합체인 게이트웨이의 보안은 단순 시그널로 취급해 보안 사항에 넣지는 않고 있다.

게이트웨이에서부터 보안은 시작되는 것이 일반적이다. 센서는 너무나 단순한 시그널 0.1로 구성된 정보만이 전송되므로 굳이 보안할 상황은 아니라고 판단하고 있다. 그러나 최근 들어 미국에서는 기반시설 강화를 위한 일환으로 센서에 대한 보안 기능 강화 방안들이 지속적으로 검토되고 있고, 예산 지원 및 기반 시설 보호 조치 방안들이 쏟아져 나오고 있다. 우리도 스마트시티 선진국처럼 이에 대한 준비와 대비가 필요하다.

<표3>은 스마트시티에서의 위협이 발생 가능한 요소를 필자가 2012년부터 조사한 것으로 이를 토대로 다양한 기술적 보안과 대응 조치가 구성되기도 했다. 이를 근거로 스마트도시협회 산하의 표준화 포럼에 보안 전송 구간 등 2건의 단체 표준을 제시하기도 했다. 앞에서 설명한 <그림1>은 전체 도시형 구조를 표현한 것이고 <표3>은 인프라 측면 즉 정보 전달 구간에 대한 구간 별 혹은 정보의 흐름별 내용에서 위협 가능성에 대한 부분을 제시한 것이다.


이를 보면 구분된 인프라 구조에서 기존 전통적 단위보안 점검 사항과 별반 다르지 않음을 확인할 수 있다. 스마트시티에서도 개인정보보호에 관한 법률이 적용돼 개인 정보 취급과 절차가 상당히 민감하다. 스마트시티는 사용자인 시민 대상 서비스가 많고 다양한 앱들이 공존하면서 개인정보가 내부망과 외부망을 넘나들며 일방적 전달과 소통 형식의 송수신 등 양방향 서비스를 동시에 지원해야 하는 경우가 빈번하게 발생한다.

이처럼 정보가 오가는 스마트시티에서는 개인정보를 어떻게 활용하느냐에 따라 부적절한 정보 저장과 유통 경로 모니터링, 개인 성향 분석 등 개인의 프로파일링도 가능하다. 이를 방지하기 위해서는 정확한 공지와 정보의 재사용, 명확한 근거 제시가 필요할 수도 있다. <표4>는 이러한 개인 정보의 침해 유형을 구분한 것이다.


스마트시티에서의 대시민 신뢰 향상과 역기능 방지를 위한 다양한 대응 방안이 필요한 것은 분명하다. 스마트시티가 시민과 기관들의 편의를 제공하고 다양한 정보들을 가공·유통을 통해 전달하기 위해서는 정보 유출과 해킹 사고를 예방하기 위한 노력이 필요하고, 시민들의 빅브라더 즉, 정보를 통한 감시 사회가 되지 않도록 하는 제도적 장치 마련이 시급하다.

정보는 단순하게 정보라고 칭할 수 있으나 여러 정보가 상관관계를 통해 재정립되는 순간 그 정보는 단순 정보가 아니라 한 사람이나 기관 혹은 대상을 직접적으로 조정이 가능하고 통제도 가능한 상태가 된다. 우리는 이러한 정보의 재사용에 대한 분명한 보호조치와 규정 그리고 재사용에 대한 엄격한 잣대가 필요한 시점이 됐다.

단순하게 개인 정보나 기관 정보의 통제만을 위협의 대상이나 문제점이라고 치부하기에는 너무나 많은 기관과 시설물, 개인정보들이 한곳에서 유통되기 때문에 해당 정보들은 도시의 마비와 국가의 마비로도 확산될 가능성이 높다. 따라서 우리는 이러한 정보의 통제와 관리 규정, 그리고 보안 적용에 대해서 심각하게 고민을 해야만 한다.

모든 지자체는 스마트시티의 서비스와 편의성에만 고려한 설계, 기획 구축을 염두에 두고 보안은 국가정보원이나 기반시설 보호법, 정보통신망법, 개인정보보호법이라는 단순한 준거성만의 논리로 해당 공무원들에게 검토를 강요하고 있다. 공무원들이 좀 더 유연하게 스마트시티를 운용하기 위해서는 보다 구체적이면서 일관된 스마트시티 보안 적용 가이드라인이 필요하다.

국가정보원의 보안 적합성 평가는 당연하다. 그러나 해당 법률들을 한데 묶어서 획일적인 점검 항목과 보안성 체크, 단위보안 후 연동 문제에 대한 명확한 규정과 지침 등이 마련된다면 해당 공무원들도 좀 더 적극적인 자세로 업무를 맡을 수 있을 것이다. 지금과 같은 구조는 CCTV 관제나 유사한 보안 문제가 발생하면 담당 공무원이 모든 책임을 지도록 구성돼 있어 현실적 괴리가 있다는 점도 주요한 보안 점검 요소다. 다음 편에서는 보다 안정적 운용을 위한 보안 강화 방안을 제시함으로써 보다 효율적인 관리와 책임, 운용이 될 수 있도록 제안하겠다.
[글_ 류동주 비트레스 대표이사(ryu@btress.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

이노뎁
VMS

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

쿠도커뮤니케이션
스마트 관제 솔루션

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

한국씨텍
PTZ CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

링크플로우
이동형 CCTV 솔루션

엔토스정보통신
DVR / NVR / CCTV

트루엔
IP 카메라

다민정보산업
기업형 스토리지

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

디비시스
CCTV토탈솔루션

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

옵티언스
IR 투광기

옵텍스코리아
실내 실외 센서

구네보코리아
보안게이트

엑사비스
사이보 보안 CCTV

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

수퍼락
출입통제 시스템

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

파이브지티
얼굴인식 시스템

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

다원테크
CCTV / POLE / 브라켓

티에스아이솔루션
출입 통제 솔루션

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

금성보안
CCTV / 출입통제 / NVR

지와이네트웍스
CCTV 영상분석

이후커뮤니케이션
CCTV / DVR

지에스티엔지니어링
게이트 / 스피드게이트

넷플로우
IP인터폰 / 방송시스템

아이유플러스
레이더 / 카메라

DK솔루션
메트릭스 / 망전송시스템

두레옵트로닉스
카메라 렌즈

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

KPN
안티버그 카메라

싸이닉스
스피드 돔 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

창우
폴대

유진시스템코리아
팬틸트 / 하우징

브이유텍
플랫폼 기반 통합 NVR

글로넥스
카드리더 / 데드볼트

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향