사물인터넷(IoT)은 인터넷을 통해 사람과 사물 그리고 사물과 사물을 상호 연결하는 초 연결 네트워크를 구축하고, 구축된 네트워크 기반으로 편리하고 친숙한 지능형 서비스를 제공하여 사람에게 보다 편리한 생활환경과 서비스를 제공하는 확장형 및 개방형 기술이다. 일반적인 인터넷 연결 장치 대비 낮은 사양과 저 전력으로 운영되는 사물인터넷 환경은 연결 장치에 내재된 취약점과 장치 간 암호화되지 않은 데이터 전송 등의 취약점에 대한 대응 방안으로, 하드웨어 중심의 데이터 암호화, 출시 전 보안 진단 그리고 국가적 차원의 정책 수립 등이 제시되고 있다.
미국 GE사에서 제시되었으며 사물인터넷(IoT) 기술을 근간으로 기계-사람-데이터를 상호 연동하여 에너지 생산, 제조, 농업, 의료, 소매업, 운송, 물류, 항공과 같은 다양한 산업 분야에 적용하는 산업용 사물인터넷(IIoT)은, 산업 현장에서 설치 및 운용되는 각종 센서 장치와 연동 장치들을 네트워크를 통해 상호 연결한 후, 센서를 통해 입수된 정보를 분석 및 활용하여 산업 현장의 효율성 향상을 추구하는 기업 내 인터넷 환경을 말하며, 최근 스마트 팩토리 분야에도 확대 적용되고 있다.
사물인터넷 환경에서 사용되는 TCP(Transmission Control Protocol) 기반의 경량화된 표준 프로토콜인 MQTT(Message Queue Telemetry Transport)는, 산업용 사물인터넷에도 변경 없이 적용되면서 그 사용이 확대되고 있지만, 산업용 사물인터넷에 MQTT를 적용할 경우 사물인터넷과 동일한 평문 전송으로 인한 정보 노출, 데이터 정합성의 제한, 사용자 및 장치 인증 정보 노출 등 산업 현장의 위험이 더욱 심각하게 초래될 수 있어, 국제 인터넷 표준화 기구인 IETF는 TCP 표준 보안 프로토콜인 SSL(Security Socket Layer)/TLS(Transport Layer Security) 이용을 권고하고 있지만, 산업용 사물인터넷 장치의 저사양과 성능 제한으로 인해, 고도의 암호화 연산을 필요로 하는 SSL/TLS의 확대 적용에 어려움이 제기되고 있는 실정이다.
MQTT 프로토콜의 표준 통신 방식인 전 구간 평문 통신 방식과 SSL/TLS를 사용하는 전 구간 암호문 통신 방식의 장점을 부분 결합하여, MQTT 프로토콜의 토픽은 평문으로, 메시지는 SSL/TLS 대신에 경량 암호 알고리즘인 타원곡선 암호 기술을 사용하여, 저 사양 장치에 적용 가능한 종단 간 메시지 암호문 통신 방식을 제안하였다.
TCP 에코 통신 프로그램을 벤치마킹하여 2홉 및 4홉 기반으로 2가지 표준 통신 방식을 지원하는 MQTT 클라이언트 프로그램을 구현하여 표준 통신 방식의 동작을 확인하였으며, 타원곡선 암호 기술을 사용하는 공유키 관리 모듈과 종단 간 메시지 암호문 통신 모듈을 추가 구현한 MQTT 클라이언트 프로그램의 실행을 통해 제안한 종단 간 암호문 통신 방식의 타당성도 검증하였으며, 검증된 구현 프로그램을 사용하여 2가지 표준 동작 방식과 제안한 동작 방식 등 3가지 통신 방식의 세션 유지 시간을 각각 측정 및 비교하여, 제안한 종단 간 메시지 암호문 통신 방식의 세션 유지 시간이 SSL/TLS를 사용하는 전 구간 암호문 통신 방식 대비 20 ~ 30% 수준으로 감소하는 것을 확인하였다.
제안한 종단 간 메시지 암호문 통신 방식의 현장 적용 타당성을 검증하기 위하여 타원곡선 암호 기술을 사용하여 생성된 공개키를 클라이언트로부터 전달받아 저장하고 클라이언트 요청 시 제공할 수 있는 공개키 관리자 도입을 추가 제안하였으며, 구현된 공개키 관리자의 실행을 통해 4홉 기반의 MQTT 클라이언트인 피어 에코 서버와 피어 에코 클라이언트 간에 통신 상대방의 공개키 입수 후 타원곡선 디피-헬먼 알고리즘을 적용하여 공유키를 각각 생성하고 생성된 공유키를 비밀 키로 활용함으로써, 종단 간 메시지 암호화 통신의 동작을 최종 검증하였다.
MQTT 프로토콜로 연결된 산업용 사물인터넷에서 브로커를 경유하여 클라이언트 간에 Publish와 Subscribe 절차를 통해 송수신되는 평문 토픽과 메시지를 실시간으로 모니터링하고 출력하기 위한 MQTT 클라이언트 형식의 토픽 모니터링 프로그램을 CLI(Command Line Interface)와 웹으로 표시될 수 있도록 각각 구현하였으며, 구현한 CLI 프로그램을 실행하거나 또는 웹 브라우저 실행 후 웹 서버에 접속하여, 토픽과 메시지의 연속적인 출력을 통해 구현된 프로그램과 웹 서비스의 동작을 확인하였으며, 구현된 프로그램과 웹 서비스는 종단 간 메시지 암호문 통신 방식의 동작 검증과 외부에서 산업용 사물인터넷으로 접근하는 유입 패킷을 생성하도록 하고, 침입방지시스템에서 해당 패킷을 탐지하고 차단하는 동작의 검증에도 활용하였다.
기업 네트워크 일부로 운영되는 산업용 사물인터넷은 외부 네트워크와 연결될 경우 네트워크를 경유한 정보 유출 위험이 발생할 수 있으므로, 산업용 사물인터넷 내부에서 운영하는 주요 자원에 접근하는 외부 장치의 접근 제어가 필요하다. 외부 장치의 접근을 선택적으로 탐지 및 차단할 수 있도록 산업용 사물인터넷과 기업 네트워크 연결 지점에 침입방지시스템을 설치하고, 산업용 사물인터넷의 주요 자원에 접근하는 외부 패킷의 내용과 흐름을 분석하여, MQTT의 경우 토픽 기반으로, HTTP의 경우 접근 경로 기반으로 접근 제어 가능한 룰 셋을 각각 구현 후 적용하여, 지정된 장치·프로토콜·토픽·경로로 접근하는 외부 패킷을 탐지하고 차단하는 동작을 검증하였다.
MQTT 프로토콜을 사용하는 산업용 사물인터넷에서 제안한 전 구간 암호문 통신 방식을 적용함으로써 메시지 보안성과 전송 성능 향상이 가능하고, 외부에서 산업용 사물인터넷으로 유입되는 패킷의 내용과 흐름 분석을 기반으로 생성된 룰 셋을 활용한 접근 제어를 통해, 산업용 사물인터넷의 네트워크 보안성 향상도 가능할 것으로 판단된다.