사물인터넷도 대기업의 몫인가
IoT 보안에 있어 사물 그리고 사용자를 인증하는 일은 가장 먼저 일어나고 또 가장 중요하다. 그리고 그 중요성은 앞으로 IoT 기술이 점차 발전해 사람:사물 연결을 넘어 사물:사물 연결로 향해 갈수록 더욱 커질 것이다.
웹 검색기에 IoT, 스타트업, 사물인터넷, 창업 등 검색어 넣어 보면 온갖 화려한 미사여구로 치장한 글이 엄청 뜬다. 사물인터넷으로 스타트업 육성, IoT 스타트업 이렇게 시작하라, 뜨거운 사물인터넷 창업 열기 등, 아주 뜨겁다. 정부도 마찬가지다. 사물인터넷이야말로 소자본 창업이 용이한 미래산업이므로 우리 모두 창조적으로 뭐 어쩌고저쩌고.. 그런데,
결론부터 말하자면, 지금은 그렇지 않다. 그래선 안 된다.
IoT는 삼위일체
어플리케이션이란 말은 그냥 '인터넷'으로 바꿔 읽어도 무방하다. 요즘 어플리케이션은 거의 전부가 웹 어플리케이션이니까. 이름부터 '사물인터넷'이니 사물도 있고 인터넷도 있어야 하니 1)과 2)는 당연해 보인다. '사물'이 '인터넷'보다 먼저 나오고 실물이 눈에 딱 보이는 구체성까지 더해져 더 중요해 보이지만 실은 '인터넷'이 더 중요하다.
그럼 1과 2)는 그렇다 치고, 3)클라우드는? 그 또한 필수 요소다. 사물로부터 수집한 정보를 클라우드를 통해 취합해 종합하고 분석함으로써 제품의 성능을 개선하고 사용자에게 필요한 서비스를 제공한다. 그게 없다면 사물인터넷이란 고작 어떤 물건에다 전화기를 통해서 켜고 끌 수 있는 원격 스위치를 붙이는 일에 불과할 테니까. 그 스위치마저도 안전이 필수적인 스위치라면 함부로 막 붙일 수도 없고.
IoT 보안도 삼위일체
1)디바이스 보안, 2)어플리케이션 보안, 3)클라우드 보안 또한 IoT 보안의 필수요소다.
IoT는 정말 소자본 스타트업에 어울리는 사업일까?
1)디바이스 보안, 2)어플리케이션 보안, 3)클라우드 보안 등, IoT 보안의 삼위일체의 어느 한 요소도 절대 허술해선 안 된다. 그런데도 쉽게 "IoT는 소규모 창업!" 떠드는 어수선한 풍토가 정말 우려스럽다. 그 와중에 인터넷 카메라 등 아직은 고작 태동기 수준에 머물러 있는 IoT 사물들은 온갖 사고를 터뜨리고 있다. 정말 위험한 상황이다.
IoT 개발은, IoT 플랫폼
말하자면 산업공학적 합리의 흐름에 따라 정착된 용어인데, 대량생산을 위한 절차 그리고 절차의 자동화를 고민하는 과정을 통해 개념이 각각의 분야에서 점차 구체화되었다. 이에 따라 요즘은 윈도우, macOS, 안드로이드, iOS 등 운영체제나 인터넷 익스플로러, 크롬 등 브라우저까지 플랫폼이라 불리고 있고, 개발 편리를 위해 어떤 언어를 위한 환경을 제공해 주는 보조 어플리케이션도 개발 플랫폼이라 불린다.
그럼 작은 회사도 IoT 플랫폼 이용해 간편하게 개발하면 될 일 아닌가. 문제는,
IoT 보안은, IoT 보안 플랫폼
상업용 IoT 플랫폼들이 제공하는 IoT 보안은 그 자체만으로는 충분하지 않다. 특히 IoT 보안의 가장 기본이라 할 수 있는 인증서 운영 정책의 단순함에서부터 우려가 크다. IoT 사물에 있어 인증서는 여권과 같다. 사물은 인증서를 여권처럼 지닌 채 인터넷 세계를 여행한다. 그리고 그 여권을 검사하는 일은 인증기관(CA)이 맡는데, 그 체계가 전반적으로 부실한 것이다.
IoT 보안에 있어 사물 그리고 사용자를 인증하는 일은 가장 먼저 일어나고 또 가장 중요하다. 그리고 그 중요성은 앞으로 IoT 기술이 점차 발전해 사람:사물 연결을 넘어 사물:사물 연결로 향해 갈수록 더욱 커질 것이다. 인터넷 사용 과정에 사람이 끼면 그 사람의 주의 집중을 강제해 사고를 예방하고 경고에 따르지 않았다는 이유로 문제의 상당한 책임이 사용자에게 있다고 우길 수도 있지만 '사물:사물' 연결은 책임을 떠넘길 사람도 없으니, 이는 IoT 사업자 입장에서는 전에 비해 훨씬 더 커진 사업적 리스크다. 그래서라도 더욱, 선보안-후연결.
이 글은 IT&보안 잡지 'decodr'에도 올렸습니다.