[아이뉴스24 성지은 기자] "사물인터넷(IoT) 시대엔 제품을 개발할 때부터 보안을 고려해야 한다. 그렇지 않다면 대규모 리콜 사태를 불러올 수 있다."
방혁준 쿤텍 대표는 최근 서울 강남구 대치동에 위치한 본사에서 기자와 만나 IoT 보안을 강조하고 위험성을 경고했다.
지난 2016년 설립된 쿤텍은 임베디드 보안에 전문성을 지닌 기업이다. 임베디드 솔루션 기업 한컴MDS에서 임베디드·보안 분야를 맡아 10년 가까이 전문성을 쌓은 방 대표가 팬택 출신의 IT 전문가 2명과 의기투합해 회사를 설립했다. 임베디드 보안과 관련된 솔루션과 컨설팅 서비스를 제공하며, 임베디드 개발 도구도 지원한다.
방 대표는 IoT 시대에 융합보안이 필수가 될 것이라고 판단해 창업전선에 뛰어들었다. 스마트 카 부터 스마트 의료, 스마트 팩토리, 스마트 시티까지 각 산업에 ICT 기술이 접목되는 융합산업이 확대되면서 신종 보안 위협이 늘고, 융합보안이 필수가 될 것이라고 내다봤다.
방 대표는 "기존엔 제품을 출시하고 문제가 생기면 업데이트했다"면서 "그러나 IoT 제품은 저전력·저비용·경량화를 특징으로 하기 때문에 보안을 위해 백신을 설치하거나 후속적인 보안 조치를 취하기 어렵다"고 설명했다.
이어 "그러나 보안조치를 취하지 않을 경우 경제적·신체적 손해가 막심하기 때문에 제품을 대규모로 리콜할 수밖에 없을 것"이라고 우려했다.
가령 스마트 팩토리에 들어가는 IoT 기기에 보안 상 허점이 있으면, 해커가 이를 공격해 공장을 멈출 수 있다. 이 경우 공장 가동이 중지돼 상품 생산이 중단되고 기업은 수십억원대 피해를 볼 수 있다. 스마트 의료기기, 스마트 카의 경우 오작동으로 신체적 피해까지 입힐 수 있어 위험하다.
방 대표는 새로운 시대의 보안을 우려하며 "IoT 시대엔 애초부터 보안을 고려해 제품을 개발하고 기능 업데이트 과정까지 고려해 제작해야 한다"고 말했다. 또 "IoT 기기를 위한 전용 보안 운영체제(OS)를 접목하고 애플리케이션 소프트웨어(SW)의 역공학을 방지하는 기술 등을 접목해야 한다"고 조언했다.
◆"IoT 시대, 오픈소스 보안 관리는 필수" 그가 생각하는 IoT 시대 또 다른 보안 키워드는 '오픈소스'다. IoT 제품을 개발할 때 대부분의 요소는 소스코드가 공개돼 누구자 자유롭게 사용할 수 있는 오픈소스를 기반으로 만들어진다. 그러나 오픈소스에 대한 관리가 허술해 보안 취약점이 방치되는 경우가 허다하다.
그는 "현재는 90% 이상의 제품에 오픈소스 구성요소가 들어갈 정도로 오픈소스 사용이 흔해졌다"며 "그러나 오픈소스 관리가 허술해 보안에 심각한 문제가 우려되는 경우가 많다"고 설명했다.
실제 한 의료기기 제조업체는 5년 전후로 업데이트가 이뤄지지 않은 오픈소스 구성요소를 제품에 사용하고 있었다. 오픈소스는 커뮤니티 참가자들의 기여로 소스코드 개선이 이뤄지는데, 업데이트가 5년 전후로 끊겼다. 소스코드가 개선되지 않은 해당 오픈소스는 보안 허점을 그대로 노출하고 있었다.
방 대표는 "애초부터 어떤 오픈소스 구성요소를 제품에 사용했는지 파악하고 보안 조치를 취할 수 있도록 지속적으로 관리해야 한다"며 "그렇지 않을 경우 제품을 모두 리콜하는 상황이 벌어질 수 있다"고 예측했다.
쿤텍은 현재 화이트소스·임페라스 등 글로벌 기업의 임베디드 보안 솔루션과 개발 도구를 유통·판매하고 이를 사용한 컨설팅 서비스로 대부분의 매출을 벌어들이고 있다. IoT 환경이 확대되면서 쿤텍을 찾는 기업도 늘고 있다. 설립 3년 차밖에 안 됐지만 매출은 이미 10억원을 돌파했다. 올해는 20억~30억원의 매출을 목표로 세우고 있다.
그러나 궁극적으로는 자체 서비스로 융합보안 분야에서 경쟁력을 강화한다는 목표다. 올 하반기 이기종 환경에서 악성코드를 검출할 수 있는 클라우드 기반의 악성코드 분석 서비스 '몰리브(malware+live)'를 선보일 계획이다.
그에 따르면, 임베디드 시스템에서 악성코드 위협이 증가하고 있지만 다양한 CPU(ARM·MIPS·파워PC 등)와 OS(리눅스 등)를 사용하기 때문에 기존의 솔루션은 해당 환경에서 악성코드를 검출하지 못한다.
이와 반대로 몰리브는 다양한 CPU와 OS를 지원하는 임베디드 전용 악성코드 분석 서비스다. 패턴을 기반으로 악성코드를 분석하는 정적분석 서비스와 행위를 감지하고 악성코드 여부를 판별하는 동적분석 서비스를 모두 지원할 예정이다.
방 대표는 "올 연말에 몰리브 서비스를 시작하며 자체 보안 서비스에 집중할 예정"이라며 "올해 15~20명까지 확대 채용하고 자체 경쟁력 강화에 집중하겠다"고 강조했다.
성지은기자 buildcastle@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기