사물인터넷(Iots)과 국가 안보

이스라엘이 헤즈볼라를 공격해 3000명 이상의 사상자를 발생시킨 무기는 다름 아닌 휴대용 호출기(pagers) 및 무선기(워키토키)이다. 이는 원격조정을 통해 살해를 할 수도 있고 부상자를 발생시킬 수도 있다.

의심할 여지없이 도덕이나 양심을 배제하면 이스라엘로서는 훌륭한 방첩 활동을 한 셈이다. 그러난 이는 연결성으로 구축된 세계의 위협인 동시에 냉엄한 경고음이기도 하다. 개인의 사생활은 물론 안전, 심지어 국가 안보에도 위협이 될 수 있다. 연결성은 이러한 양면성을 가지고 있다.

호출기와 휴대전화는 다가올 사물 인터넷 (IoTs)의 일부에 불과하다. 사물인터넷은 냉장고와 에어컨을 포함한 상호 연결된 "스마트" 기기와 전력망을 모니터링하는 산업용 센서의 세계이다. 여기에는 자동차의 GPS 소프트웨어, 교통 감시 카메라, 상업용 드론이 포함된다. 전반적으로 사물인터넷은 우리가 막 이해하기 시작한 새로운 위험을 가져오고 있어, 억제하고 예방하기 위한 조치를 취해야 할 과제가 놓여있다.

허드슨연구소(Hudson Institute)의 선임 연구원이며 자유의 위조 : 미국 기업이 2차 세계대전에서 승리를 거둔 방법(Freedom's Forge: How American Business Produced Victory in World War II)의 저자인 아서 헤르만(Arthur Herman)은 과연 사물인터넷이 인간의 친구가 될 것인가 아니면 적대적 관계에 놓일 것인가에 눈길을 주고 있다.

미국의 마이크 갤러거(Mike Gallagher)의원과 다른 의원들이 촉구했듯이, 사물인터넷 제조에서 중국의 역할을 파악하고, 중국에서 생산되는 이러한 기기의 수를 제한하는 것은 올바른 방향으로 나아가는 현명한 조치이지만 그것은 단지 첫걸음에 불과하다. 진실은 어떤 국가적 사이버 전략도 전반적인 위협을 다루고, 그 위협을 완화할 수 있는 새로운 기술을 검토하지 않는 한 완벽할 수 없다는 것이다. 아서 헤르만은 “2030년까지 전 세계적으로 321억 개가 넘는 IoT 기기가 있을 것”이라고 추정했다.

기업은 재고 상태에서 고객으로 이동하는 상품을 추적하기 위해 상호 연결된 장치를 사용하는 법을 배웠다. 공장은 이를 사용하여 생산을 모니터링하고, 농부는 이를 사용하여 관개를 자동화하고 가축을 확인한다. ‘스마트’ 난방 및 에어컨, 펠라톤이라는 운동기구에서 로봇 진공청소기에 이르기까지, 상업적으로 제작된 드론은 말할 것도 없고, 이는 우리 삶의 일상적인 부분이 됐다.

중국의 DJI가 대부분의 ‘드론’을 만든다는 사실로 인해 미국 하원은 6월에 DJI 드론 금지법을 통과시켰다. 최근 미국 조선소에서 운영되는 중국 감시 장비에 대한 우려로 인해 중국이 IoT의 주요 공급업체로 자리매김한 방식에 대한 인식이 높아졌다. 여기에는 중국에서 제조된 전기차(EV)용 리튬 이온 배터리에 대한 우려도 포함된다. 사실, 캐럴 밀러(Carol Miller) 의원은 EV용 중국 부품을 금지하는 법안을 도입했다.

우려는 미국에만 있는 것이 아니다. 중국 전략위험연구소(CSRI= China Strategic Risks Institute)와 영국의 보안 기술 연합이 발표한 새로운 보고서에 따르면 “중국 군수 산업 단지와 관련이 있는 것으로 의심되는 공급업체는 내장 무선 구성 요소가 ‘무기화될(weaponised) 가능성’이 있어, 영국 거리에 교통 체증을 일으킬 수 있어 주요 위험을 초래한다”고 경고했다.

지금까지 드론과 같은 중국산 부품에 대한 우려는 그것이 감시와 정보 및 데이터 수집에 사용될 수 있는지 여부였다. 이제, 미국의 가장 강력한 적이 만든 부품에 의존하는 아이폰(iPhone)과 같은 상호 연결된 장치가 더 치명적인, 심지어 폭발적인 목적으로 사용될 수 있는지 여부에 대한 의문이 제기되어야 한다고 아서 헤르만은 지적하고 있다.

최근 헤즈볼라 호출기 폭발은 이 시나리오가 그렇게 터무니없는 것은 아니라는 것을 시사한다. 새로운 행정부와 민간 부문은 IoT가 제기하는 보안 위험의 새로운 경계를 다루기 위해 세 가지 우선순위를 다루어야 한다는 조언이다.

첫 번째는 중국 뿐만 아니라, 장치가 어디에서 만들어졌고, 주요 구성 요소가 어디에서 왔는지 평가하는 것이다. 이것이 미국 전자 제조를 적어도“전략적 리쇼어링”(strategic reshoring) 즉, 한국이나 일본과 같은 신뢰할 수 있는 동맹국에서 구매하는 것이 경제적으로 좋은 생각일 뿐만 아니라 국가 안보에 필수적인 이유이다.

그러나 더욱 중요한 것은 강력한 IoT 사이버 보안 전략을 개발하는 것이다.

오늘날 IoT 기기에는 내장된 보안 기능이 없다. 이를 바로잡기 위해 IoT 사이버 보안 전략은 먼저 해당 기기가 의존하는 네트워크를 방어하는 데 중점을 둔다. 사이버 보안 조치는 데이터 침해, 사이드 채널 공격(공격자가 하드웨어나 다른 시스템에서 프로그램 실행의 영향을 관찰하여 정보를 수집할 수 있는 경우) 또는 보안 및 개인 정보 보호를 위한 암호화 업데이트의 간단한 실패로부터 보호해야 한다.

그러나 IoT 시장의 폭발적인 성장을 감안할 때, 정교한 네트워크 기반 사이버 보안 계획조차도 전국 또는 전 세계에 분산된 모든 기기에 대한 모든 위협을 추적할 수 없을 것이다. 네트워크를 클라우드로 옮기더라도 스마트폰이나 자동차 GPS를 사용하여 혼란을 일으키거나 더 나쁜 일을 하려는 적을 물리칠 수 없다.

또 다른 접근 방식은 암호화폐가 네트워크 전체에 대한 모든 공격으로부터 개별 사용자를 보호하는 데 사용하는 분산원장기술 (DLT= Distributed Ledger Technology) 암호화를 살펴보는 것이다. 문제는 암호화폐가 사용하는 DLT 암호화의 크기가 수백 GB에 달한다는 것이다. 대부분의 IoT 노드는 DLT 기반 사이버 보안을 지원하는 데 필요한 스토리지(storage)가 없다.

그 대신, 가장 좋은 답은 양자 기술(quantum technolog)의 출현으로 제공되는 새로운 종류의 사이버 보안을 활용하는 것일 수 있다.

한 가지 해결책은 포스트 양자 암호(post-quantum cryptography)이다. 미국 국립표준기술원(NIST= National Institute of Standards and Technology)에서 승인한 알고리즘은 미래의 양자 컴퓨터 해커들과 싸우는 데 도움이 될 것이다. 이들은 오늘날의 해킹을 물리치는 데도 매우 효과적이다.

또 다른 방법은 양자 기반 암호화(quantum-based cryptography)를 사용하여 장치와 운영자 간에 해킹할 수 없는 통신 링크를 만드는 것이다. 이는 물리적 구성 요소, 즉 모든 전자 장치에 들어갈 만큼 작은 양자 난수 생성기(quantum random number generator)에 의존한다는 장점이 있다. 이를 통해 네트워크는 암호화된 통신을 위해 끊임없이 변화하는 양자 키(quantum key)를 보낼 수 있다. 예를 들어 한국 삼성은 2021년 5G 스마트폰에 이러한 장치를 설치했다.

미국, 캐나다, 호주의 회사들은 양자 역학을 사용하여 메시지를 보내거나 받는 것이 100% 해킹 불가능하고 안전하다는 것을 증명했다. 중국도 데이터와 네트워크를 보호하기 위해 이러한 접근 방식을 취하고 있다. 이는 미국이 주의를 기울여야 할 중요한 경고이다.

사실, IoT와 관련된 미래의 보안 위험을 다루는 단일 솔루션은 없다. 대신 정부와 산업은 IoT 세계가 사이버 악몽이 되는 것을 피하기 위해, 기존 사이버 보안에서 DLT 및 양자 암호화에 이르기까지 다층적 접근 방식이 필요하다.

인터넷 시대의 연결성은 축복이지만, 동시에 위험이기도 하다. 헤즈볼라의 호출기처럼 우리 눈앞에서 그 위험이 폭발하는 것을 원치 않는다.

이 같은 위험성을 미리 인지하고 예방하는 방법을 찾는 것이 중요하다. 프라이버시 문제, 보안 위협, 의존성 증가 즉 기술에 대한 의존도가 높아지면, 시스템 장애나 기술적 문제 발생 시 큰 불편을 겪을 수 있으며, 다양한 기기와 플랫폼이 서로 연결되면서 기술적 이해가 필요하고, 문제 발생 시 해결이 복잡할 수 있고, 방대한 양의 데이터가 생성되면서 이를 관리하고 분석하는 데 어려움이 있을 수 있음에 대한 대비책을 정부 차원에서 치밀하게 마련해야 한다.