스마트 글라스, 가전제품, 스마트팜 등 다양한 분야로 확대되는 IoT(사물인터넷) 기술은 우리의 삶을 스마트하고 편리하게 바꾸고 있다. 리서치펌 Transforma Insights에 따르면 2023년 기준 전 세계에는 이미 약 150억개의 디지털 기기들이 IoT로 연결되어 있으며, 이 숫자는 매년 가파르게 증가하여 2030년에는 약 300억개에 달하는 디지털 기기들이 연결될 것으로 예상되고 있다.
출처 : Transforma Insights
생성형AI 시대에 특히 주목해야 할 사실은 인공지능(AI) 기술이 발전하면서 가전제품 등 디바이스가 센서를 통해 연결된 기존의 IoT(Internet of Things)와 결합되고 있다는 것이다. 이제 IoT는 단순히 서로 연결되어 데이터를 주고받고 정해진 알고리즘에 따라 주어진 명령을 수행하는 것을 넘어 스스로 의사결정까지 할 수 있는 AIoT(AI Internet of Things)의 영역으로 빠르게 진화하고 있다.
출처 : AITimes
그러나 최첨단 기술의 결정체인 AIoT는 심각한 보안상의 문제를 노출하고 있다. 이는 AIoT가 네트워크를 통해 수많은 기기들을 연결하는 IoT의 특성과 대량의 데이터와 머신러닝/딥러닝 알고리즘에 의존하는 두가지 측면을 모두 가지고 있기 때문에 발생한다. 이 글에서는 AIoT의 핵심 개념들과 각 문제의 원인을 파악하고 AIoT 시대 보안 대비책을 마련하기 위한 방법들을 소개하겠다.
1. AI + IoT = AIoT란?
AI와 IoT의 결합어인 AIoT(Artificial Intelligence of Things)는 사물인터넷을 통해 수집된 데이터를 인공지능 알고리즘이 분석하여 스스로 판단을 내리는 융합 기술을 가리킨다. AIoT는 ‘사물지능’ 혹은 ‘사물융합지능’이라고 표현하기도 하는데, 사물들이 수집한 데이터를 바탕으로 스스로 판단하고 우리의 삶을 더욱더 편리하게 만들어줄 수 있는 무궁무진한 잠재력을 가지고 있다.
그렇다면 AIoT와 기존의 IoT의 가장 큰 차이점은 무엇일까? AIoT가 기존의 IoT와 가장 다른점은 IoT가 사전에 정의된 프로그램과 알고리즘을 기반으로 동작하는 반면, AIoT는 학습과 추론에 의한 지능형 동작을 수행한다는 점이다.
출처 : Tuya Smart and Gartner 2021
기존의 IoT 기술이 적용된 디바이스에서는 센서를 통해 데이터 수집하고 정해진 명령을 수행하는 것에 그쳤다면, AIoT를 사용한 스마트 홈은 수집한 데이터에 기기 내부에 탑재된 머신러닝 기반 인공지능 알고리즘을 적용하여 사용자 행동 및 선호도를 학습하고, 주변 환경을 감지하여 최적의 편의 및 에너지 효율성을 제공할 수 있다.
예를들어 기존의 IoT 시스템상을 활용해 사용자가 스마트폰 앱을 통해 조명을 켜고 끄는 명령을 보내는 상황을 가정해보자. IoT에 부착된 조명 센서는 빛의 강도를 감지하고, 이 정보를 중앙 서버로 전송한다. 중앙 서버에서는 정해진 규칙에 따라 조명을 제어하고 사용자에게 응답하게 되는 방식이다. 이처럼 기존 IoT 시스템은 정해진 규칙에 따라 동작하며, 사용자 습관이나 환경 변화에 대응할 능력이 제한적이다.
반면에 AIoT가 탑재된 스마트홈 시스템은 훨씬 더 똑똑하다. 사용자가 스마트폰 앱을 통해 조명을 켜고 끄는 명령을 보낼 때, 조명 센서는 빛의 강도 뿐만 아니라 사용자의 행동 패턴과 선호도도 수집할 수 있다. 뿐만 아니라 내장된 머신러닝 알고리즘이 이러한 데이터를 기반으로 사용자의 습관을 학습한다. 이를 바탕으로 사용자의 미래의 행동을 예측하기 때문에 사용자에게 최적화된 생활환경을 제공하는 것이 가능해지는 것이다.
한발 나아가 조명 제어는 중앙 서버의 명령뿐만 아니라 디바이스 내부에서도 이뤄지며, 미리 학습된 패턴에 따라 동적으로 조절된다. 이를 통해 사용자가 특정 시간에 조명을 자주 켠다면, 인공지능 알고리즘은 해당 시간에는 자동으로 조명을 켜도록 스스로 판단하고 명령한다.
2. AIoT의 확산으로 인해 초래될 수 있는 보안 이슈들
이처럼 인공지능과 IoT의 결합은 이전에 없었던 놀라운 경험과 편의성을 제공하지만, 그로 인해 발생하는 보안 문제는 기존의 IoT가 초래할 수 있는 문제를 넘어서는 한층 더 심각한 차원의 문제들을 야기할 수 있다.
- 데이터 프라이버시와 블랙박스 모델 문제
IoT 기술은 센서를 통해 다량의 개인 데이터를 수집하고 분석한다는 점에서 본질적으로 민감한 정보가 노출될 수 있으며, 이는 개인의 프라이버시 침해로 이어질 수 있다는 한계점을 가지고 있다. 특히, AIoT의 경우에는 IoT의 보안기술에 더해 인공지능 알고리즘에게 의사결정을 위탁한다는 점에서 AI 윤리와 모델의 블랙박스화 같은 문제가 발생할 수 있다.
이러한 문제는 AIoT의 작동방식과도 밀접한 연관이 있다. 위에서 살펴보았던 것 처럼 AIoT는 기존의 IoT와는 다르게 머신러닝 알고리즘에 의존하여 사용자의 행동을 추론한다. 특히 심층신경망(DNN, Deep Neural Network)에 기반해 대량의 데이터 속에서 패턴을 찾아내는 딥러닝 알고리즘을 적용하는 경우 AIoT 시스템이 사용자 데이터를 기반으로 학습하고 의사결정을 내릴 때 사용자가 그 근거를 알 수 없으며 따라서 해결할 수 없는 모델의 블랙박스 문제가 발생하게 되는 것이다.
- 디바이스 및 시스템에 대한 사이버 공격
기존의 IoT와 마찬가지로 AIoT는 사이버 공격자에게 노출된 공격 표적이 될 수 있다. 이러한 문제는 연결된 디바이스들 간의 인증 시스템 부재로 발생할 가능성이 있는데, 이러한 빈틈을 노리는 공격자들이 가짜 디바이스를 시스템에 통합시켜 시스템이 정상적으로 발생하지 않게 방해하는 일도 발생할 수 있다.
예를들어 AIoT에서 시스템 리소스를 계획대로 사용하지 못하게 하는 DDos(Distributed Denial-of-service) 공격이 발생하는 경우 갑작스러운 기기의 오류로 불편함 뿐 아니라 안전사고까지 발생할 위협이 있다. 기기가 네트워크를 통해 연결되어 서로 데이터를 주고받는다는 IoT의 특성상 해커들의 바이러스나 악성코드 등을 통한 악의적인 사이버 공격의 타겟이 되었을 때 그 피해의 규모가 매우 커질 수 있기 때문에 각별한 주의가 필요하다.
- 데이터 변조 및 조작
해커가 수집된 데이터를 변조하거나 조작하여 인공지능 시스템을 혼란시킬 수도 있다. 학습된 데이터에 의해 의사결정을 내리는 지도학습(supervised-learning) 기반 인공지능 알고리즘의 특성을 고려하면, 데이터 조작에 대한 위험은 결과적으로 인공지능 모델의 혼란을 야기하여 사용자들에게 불편을 초래하거나 한발 나아가서 위험에 빠뜨릴 가능성이 있다.
3. AIoT 관련 보안 이슈를 해결하려면?
- 데이터 및 디바이스 보안 강화
사용자의 프라이버시와 안전을 위해서는 데이터에 대한 보안이 중요하다. 민감한 개인 정보가 수집되는 경우에 사용자 동의를 받아 데이터를 수집하고 활용하는 정책을 명확히 하고 준수해야 하는 것은 물론, 강력한 데이터 암호화 기술을 도입하여 데이터의 안전성을 보장해야 한다.
마찬가지로 사용자의 안전을 위해서는 디바이스 간의 안전한 통신을 위해 강력한 인증 및 암호화 기술을 도입하고 디바이스에 대한 정기적인 보안 업데이트 및 패치를 제공하여 보안 취약점을 최소화하려는 시도 역시 중요하다.
센스톤의 OTAC를 통한 디바이스 인증 시스템 구축
데이터 및 디바이스 보안 강화를 위한 해결책 중 하나로써 OTAC(One-Time Authentication Code)의 도입을 검토해볼 수 있다. OTAC를 개발한 보안 전문업체 센스톤은 지금까지 전혀 찾아볼 수 없었던 새로운 인증 방식인 OTAC를 바탕으로 기존 인증 방법의 한계를 뛰어 넘는 새로운 인증 보안의 기준을 제시하고 있는 회사다.
OTAC의 특징(출처 : 센스톤)
센스톤이 자체 개발한 OTAC(One-Time Authentication Code)는 세계 최초의 단방향 다이내믹 인증 기술로, 비통신 환경에서도 실시간으로 매번 변경되는 일회성 인증 방식을 통해 사용자 또는 기기 식별과 인증을 동시에 지원한다. 특히, 생성된 코드는 다른 사용자와 절대 중복되지 않기 때문에 한층 강화된 인증 보안 환경 구현이 가능한 구조로 되어있다.
센스톤의 OTAC 기술은 ID와 비밀번호, 인증 코드 생성 RSA 하드웨어 및 소프트웨어, 토큰화(Tokenization) 등 가장 보편적으로 사용되는 3가지 인증 시스템의 장점을 모두 제공한다. 개별 시스템들이 제공하는 기능이 모두 결합되어 있어 더욱 효율적이고 보다 효과적인 인증 프로세스를 보장하며, 통신 네트워크가 없거나 불안정한 환경에서도 사용자 및 기기 간 식별 및 인증을 동시에 지원하는 단방향 다이내믹 코드를 생성할 수 있다.
생성된 코드는 일회성으로 특정 시간대에 특정 사용자만이 사용하도록 허용되어, 다른 사용자가 사용하거나 재사용할 수 없다는 점도 큰 장점이다. OTAC를 통해 가짜 디바이스의 통제를 막기 위해 강력한 디바이스 인증 시스템을 구축할 수 있으며, 불법 접근을 차단하고 시스템의 안전성을 유지하기 위해 디바이스의 신원 확인을 강화하는 것 또한 가능해진다.
*본 기고는 인증 보안 기술 기업 센스톤으로부터 소정의 원고료를 지급 받아 작성하였습니다.