[컴퓨터월드] 사물인터넷(IoT) 시대가 다가오면서 스마트 홈 가전, 커넥티드 카(Connected Car) 등 인간 생활에 편리함을 제공해주는 다양한 기기들이 등장하고 있다. 그러나 이를 안전하게 사용할 수 있느냐는 질문에는 선뜻 “그렇다”고 답하기가 쉽지 않은 실정이다. 이미 IoT 기기들에 대한 해킹 사례가 빈번하게 보고되고 있으며, 이로 인해 신체 및 재산상에 직접적인 영향이 미칠 수 있어 안전한 보안 대책이 요구되고 있다.

이에 하드웨어(HW) 기반 보안 기술인 ‘PUF(Physical Unclonable Function, 물리적 복제 방지)’가 주목받고 있다. 소프트웨어(SW) 기반 보안 솔루션이 가진 구조적 문제를 해결함과 동시에 IoT 기기들에도 손쉽게 적용이 가능하기 때문이다.

SW 기반 보안 방식의 구조적 한계

최근 개인정보 및 프라이버시에 대한 중요성이 높아지면서 전 분야에서 보안이 강화되고 있는 추세다. 온라인 금융거래를 보면 이전에는 공인인증서나 비밀번호(PW) 등 최소한의 인증만으로도 이용이 가능했지만, 이제는 보안카드, 일회성 비밀번호(OTP), 휴대폰 인증, 캡차(CAPTCHA) 코드 입력 등 다양한 방식으로 여러 번의 인증을 요구하고 있다. 거래를 진행할 때도 키보드 보안, 화면 캡처 방지, 백신 등 다양한 보안 솔루션들이 설치돼야만 가능하다.

기본적으로 금융정보를 포함한 이용자들의 개인정보는 암호화 과정을 거쳐 송수신되기 때문에 데이터가 유출되더라도 그 내용을 확인할 수 없다. 암호화된 데이터를 복호화하기 위해선 ‘키(Key)’가 필요하며, 해커들은 주로 이 키를 노리고 있다. 이에 키 관리가 보안에 있어서 중요한 역할을 한다.

다양한 보안 솔루션이 적용됐더라도 키를 100% 안전하게 관리한다고 장담할 수는 없다. 키는 대부분 소프트웨어(SW)에 의해 만들어지며, 생성된 키는 주로 기기의 메모리(NVM)에 저장되기 때문이다. 메모리에 저장된 키는 SW적으로 보호되고 있기 때문에, 언제든 해킹을 통해 유출될 수 있다는 위험성이 존재한다.

이 같은 SW 기반 보안 방식의 구조적인 문제점을 보완하고자 최근 HW 기반 보안 방식이 주목받고 있다. 기기에 보안 칩(Chip)을 장착해 1차적으로 안전성을 확보하고, 이후 SW들이 실행되면서 이상이 없는지를 확인하는 형태다. 이 때 키를 비롯한 주요 데이터는 HW(칩)에 보관되기 때문에 해킹이나 물리적인 도난 등으로부터 더 안전하다. 이를 이용한 제품으로는 신뢰 플랫폼 모듈(TPM), 보안토큰(HSM), 스마트카드(IC카드) 등이 있다.

복제 불가능한 PUF 기술의 등장

IC칩이 부착된 스마트카드는 마그네틱 신용카드와 달리 IC칩 내에 카드정보와 키가 보관돼 있으며, HW적으로 이를 보호하고 있어 복제나 유출이 어렵다는 장점을 갖고 있다. 이에 우리나라도 최근 마그네틱 카드를 IC칩이 부착된 스마트카드로 전환해 나가고 있는 중이다.

그러나 해킹 기술의 발달은 IC칩 역시 돌파하기에 이르렀다. 물론 정보가 단시간 내 쉽게 유출되는 것은 아니지만, 기술이 발전하면서 해킹에 걸리는 시간 역시 단축되고 있는 것이 사실이다.

이는 글로벌 해킹·보안 콘퍼런스에서도 여실히 드러났다. 지난 2010년에 열린 블랙햇 행사에서는 IC칩을 해킹해 분석하는데 약 6개월 정도가 소요됐었지만, 2015년에 열린 블랙햇 행사에서는 자동화된 반도체 역공학 기술을 이용해 3개월이면 IC칩 분석이 가능한 것으로 나타났다. 5년 사이에 해킹에 걸리는 시간은 절반으로 단축됐다. 이를 통해 유추해보면 지금 당장은 IC칩이 해킹되더라도 정보가 유출되기까지 몇 달의 시간이 필요하지만, 몇 년 뒤에는 그 시간이 수 일 또는 수 시간 이내로 줄어들 수 있다는 결론이 나온다.

이처럼 IC칩 역시 완벽한 보안을 담보해주지 못하자 이를 대체할 기술로 떠오른 것이 ‘PUF(Physical Unclonable Function: 물리적 복제 방지 기능)’ 기술이다. PUF는 동일한 제조공정에서 생산되는 반도체의 미세구조 차이를 이용해 보안 키를 생성하고, 이를 활용하는 기술이다. 나노 단위의 반도체의 미세구조는 외부 난수값 주입(RNG) 없이 자체적으로 랜덤하게 생성되며, 사람의 지문처럼 고유성을 지니기 때문에 ‘반도체 칩 지문’으로도 불린다.

PUF의 가장 큰 특징은 랜덤하게 발생하는 반도체 미세구조의 특징상 복제가 불가능하다는 점이다. 미세구조 차이를 키 값으로 사용하기에 기기에 키 값이 저장되지 않아 해킹 당할 염려가 없으며, 고유 키 값을 사용한 전자서명 구조를 통해 부인 방지 기능이 강화돼 기기 인증에도 활용될 수 있다.

빠른 속도 및 저전력 특성으로 RFID, IoT 등 활용분야 다양

PUF 기술은 안전성 및 고유성으로 인해 인증 및 복제방지를 위한 장치로 활용되며, 이미 해외에서는 적용 사례들도 등장한 상태다.

미국 벤처기업 베라요(Verayo)는 MIT에서 개발한 PUF 기술을 토대로 복제가 불가능한 RFID 칩을 개발해 마약류나 독극물 등 철저한 유통관리가 필요한 의약품들에 이를 적용한 사례가 있으며, 네덜란드에서는 인트린직아이디(Intrinsic-ID)가 개발한 SRAM PUF 기술을 토대로 스마트폰을 인증 기기로 활용할 수 있도록 추진하기도 했다. NXP 반도체도 SRAM PUF 기술을 적용한 스마트카드와 보안 칩을 출시한다는 계획을 발표했었다. 또한, 자동차 업계에서는 최근 개발이 한창인 자율주행차량의 V2X를 위한 하드웨어 보안 모듈 구현과 시큐어 스토리지(Secure Storage) 및 키 보안을 위해 PUF 기술을 적용하고 있다.

이처럼 다양한 분야에 PUF 기술이 적용될 수 있는 이유는 PUF 기술이 펌웨어나 OS, 프로토콜, 앱 등과 SW 기반 솔루션들과 달리 HW 기반 보안 기술로서 해킹이나 복제의 위험이 없기 때문이다.

뿐만 아니라 PUF 기술은 칩 기반 알고리즘으로 CPU를 거치지 않고 처리가 이뤄져 속도가 빠르며, 저전력으로도 구동이 가능해 저전력 블루투스(BLE), 통신 모듈, 센서 및 각종 소형 기기들에도 쉽게 적용이 가능하다.

해외 기술 주도 속 국내 기술 선전

앞선 적용 사례에서도 볼 수 있듯이 미국과 유럽 등 해외에서는 일찌감치 PUF 기술을 다양한 분야에 활용하려는 시도를 해왔지만, 국내에서는 뚜렷한 진전이 없는 상태였다. 2000년대 후반 들어 RFID 보안을 위해 PUF 기술이 조명된 적은 있었으나 실제로 도입되지는 못했다.

그러나 최근 ICTK(대표 김동현)가 PUF 기술을 개발, 상용화를 앞두고 있어 전 세계의 주목을 받고 있다. 후발주자였지만 독자적인 기술력을 바탕으로 해외 기업들조차 해내지 못한 보안 칩 양산에 성공하면서 당당히 세계 시장에 도전하겠다는 각오다.

ICTK가 2009년부터 한양대학교 SOC연구센터와 함께 개발한 VIA PUF는 반도체 공정 중 VIA Hole(적층 연결 반도체 홀)이 랜덤하게 생성되는 조건을 이용해 구현된다. 회로를 임의로 연결하는 방식으로 설계상으로는 모든 회로가 뚫려야(Open) 하지만, 실제로 뚫릴 수도(Open) 있고 뚫리지 않을 수도(Short) 있다. 이 모든 것은 반도체의 미세구조 편차에 따라 랜덤하게 결정되며, 동일 공정에서 저마다 고유한 마스터 키를 갖고 태어난다. 칩을 설계한 ICTK조차 그 결과를 미리 알 수 없다.

ICTK의 VIA PUF는 외국에서 개발한 PUF 기술 대비 장점이 분명하다. VIA Hole의 특성상 확실한 ‘Open’과 ‘Short’의 결과를 나타내주며, 온도 및 습도 등의 환경이나 시간에 경과에 따라 변하지 않는다. 국제반도체표준협의기구(JEDEC) 표준의 신뢰성도 만족하는 등 우수한 반복성을 보유하고 있다. 이로 인해 에러 교정 코드(ECC)를 필요로 하지 않아 칩의 설계 부담이 줄어들며, 테스트 시간도 짧아져 칩 생산 비용도 낮아지는 효과가 있다.

이미 ICTK는 삼성, 동부하이텍, TSMC 등 주요 반도체 파운드리에서 샘플 제품을 생산하는 등 칩 양산을 위한 준비도 마쳤다. 이 때문에 ICTK의 PUF 기술은 해외에서 개발된 PUF 기술보다 더 우수한 것으로 평가되고 있으며, 글로벌 기업들로부터 협력 제안도 꾸준히 받고 있다.

IoT 확산으로 성장 가능성 높아

최근 전 세계는 드론과 자율주행차량 등 IoT가 접목된 기술 개발에 열을 올리고 있다. 이러한 신기술들은 인간 생활을 좀 더 편리하고 윤택하게 만들어줄 수 있지만, 한편으로는 신체 및 재산상에 직접적인 피해를 줄 수 있어 안전한 보안 대책을 필요로 하고 있다.

전 세계 IoT 보안 지출 전망 (단위: 백만 달러) 

IT자문기관 가트너는 보고서를 통해 올해 전 세계 IoT 보안 지출 규모가 전년보다 23.7% 증가한 3억 4,800만 달러에 이를 것으로 전망했다. 이러한 추세는 향후 몇 년 간 지속적으로 이어져 2018년에 이르러서는 5억 4,700만 달러에 달할 것으로 내다봤다. 특히, 커넥티드 카뿐만 아니라, 대형 트럭, 민간 항공기, 농기구 및 건설 장비와 같은 기타 복합 기계 및 차량이 향후 엔드포인트(endpoint) 보안 지출을 주도할 것으로 예상했다.

PUF 기술은 물리적인 복제가 불가능하다는 점과 안전한 키 관리를 가능케 해준다는 점에서 해킹 등의 보안 문제를 근본적으로 해결해줄 수 있는 방안으로 주목받고 있다. 특히, 작은 칩으로도 높은 보안성을 달성할 수 있어 IoT 등 기기 보안을 위한 최적화된 솔루션이라는 평가도 받고 있다.

이에 외국에서는 그동안 다이오드나 SRAM 등 액티브 소자를 사용해 PUF 기술의 항상성을 확보하는데 어려움을 겪어왔지만, 최근에는 여러 업체들이 컨소시엄이나 포럼의 형태로 협력하면서 더 나은 기술 개발을 위해 나서고 있다. 뿐만 아니라 아직까지 정해지지 않은 PUF 기술의 표준을 주도하고자 힘을 모으고 있는 추세이기도 하다.

현재 PUF 기술 특허와 관련된 비공식 자료를 살펴보면 2010년을 전후로 PUF 기술 연구 및 특허 출원이 활발해지고 있으며, 전체 특허 출원의 50%가 미국특허인 것으로 집계됐다. 지역별로 살펴보면 유럽지역의 특허도 비중이 높으며, 한국의 특허는 상대적으로 낮게 나타났다. 이를 토대로 유추해보면 머지않아 미국과 유럽에서 PUF 기술 및 관련 시장을 주도할 수 있을 것이라는 해석도 가능하다.

IoT는 점차 확산되고 있으며, 이를 위한 보안이 필요한 것은 분명하다. PUF 기술은 IoT 기기를 위한 보안 방안 중 하나에 불과하지만, 그 효과는 결코 무시할 수 없는 수준이다. 아직까지 개척되지 않은 시장을 선점하기 위해서는 특정 기업의 활동도 중요하지만 국가적으로 좀 더 많은 관심이 필요할 것으로 보인다.