◇IoTcube 공동연구진과 개발 목적
이 자리에서 만난 이희조 교수는 “IoTcube는 한국을 중심으로 전세계 최고 전문가들이 공동연구를 통해 개발된 보안취약점 관리 플랫폼이다. IoTcube를 통해 보안전문가든 비전문가든 누구나 쉽게 IoT 기기를 개발할 때 코드내에 숨겨진 취약점을 찾고 보안성을 테스트하고 간단하게 패치까지 할 수 있다”며 “IoT 기기개발이 급증하면서 이를 활용한 해킹공격과 피해도 더욱 증가할 전망이다. IoT 보안은 개발단계에서부터 이루어져야 한다. IoTcube를 연구하게된 목적도 여기에 있다”고 설명했다.
IoTcube는 4.19혁명일에 맞춰 2016년 4월 19일 “사이버 혁명을 만들어보자”는 의미로 세상에 공개됐다. 공동연구진으로는 고려대 이희조, 오학주, 허준범, 김정현 교수를 중심으로 미국 카네기멜론대 David Brumley 교수, 영국 옥스퍼드 Sam Staton 교수, 스위스 취리히연방공과대 Adrian Perrig 교수, 한국인터넷진흥원(KISA) 김한국 팀장 등이 공동연구를 진행했다. 또 보안실무 전문가로는 세계 최고 해킹팀 CMU PPP, 국내 해킹그룹 CodeRed, 국내 12개 대학정보보호 동아리 연합 인코그니토, ETRI, 포항공대, 충남대, CONCERT, 김앤장, 스틸리언, 아이넷캅 등이 함께 연구를 진행해 만들어진 결과물이 IoTcube 플랫폼이다.
한편 학술적으로도 보안분야 최고 학술대회인 2017년 IEEE 심포지움 시큐리티&프라이버시에서 IoTcube 화이트박스 테스팅 기술의 속도와 정확도의 우수성을 인정받았다. SW 취약점을 종전의 기술보다 더 빠르고 정확하게 탐지할 수 있어 실용적 가치가 매우 높고 현대 SW 생태계에 반드시 필요한 기술이란 평가를 받은 것이다.
◇국내∙외 대기업, 중소기업 등 SW보안 위해 IoTcube 적극 활용
특히 IoTcube는 실제 현업에서 즉시 실용적으로 사용할 수 있어 눈길을 끌고 있다. 현재 4천명이 SW 개발시 취약점 분석에 활용하고 있으며 IoTcube를 통해 찾아낸 취약점만도 30만개 이상이다. 또 삼성전자는 효율적인 취약점 검증을 위해 취약점 수집방법부터 IoTcube의 알고리즘을 기반으로 코드내 CVE를 검출하는 시스템을 개발해 활용하고 있다.
삼성 리서치 시큐리티팀 황용호 랩장은 “SW 보안취약점 분석을 자동화하기 위한 기술을 연구하고 있으며 특히 오픈소스에서 공개된 취약점들을 자동으로 검출하고 대응하기 위한 시스템 개발을 통해 점차 비중이 확대되고 있는 오픈소스들을 안전하게 활용할 수 있도록 노력하고 있다”며 “삼성에서 사용되는 오픈소스들이나 삼성에서 공개한 오픈소스들의 취약점을 자동으로 검색해 주고 패치정보까지 제공해 줄 수 있는 있는 시스템을 IoTcube 알고리즘을 기반으로 구축해 활용하고 있다”고 전했다. 즉 삼성전자 제품 개발프로세스에 IoTcube가 실제로 활용되고 있다는 것이다.
또 오픈소스 전문기업 레드햇(Red Hat) 최봉환 시니어 엔지니어는 “개발 과정에서 많은 변화가 생겼다. 오픈소스를 이용해 개발하는 것이 자연스런 일이 됐고 데브옵스(DevOps)를 통해 전통적인 개발과정에서 탈피, 개발, 운영, 배포 과정을 지속적으로 통합해 개발주기를 큰 폭으로 줄이는 방향으로 변화하고 있다”며 “이런 현실에 정보보안 전문가가 단발적인 보안점검을 수행하는 방식은 더 이상 효율적이지 않고 보안을 담보할 수 없다. 이제는 개발과정 전반에 걸쳐 보안이 적용되어야 한다. 오픈소스의 알려진 취약점을 탐지하는 방법 중 IoTcube의 코드 클론 탐지 기술을 활용해 지속적 보안을 해야 한다할”고 밝혔다.
◇오픈소스 최신 버전이라도 안전하지 않아…취약점 점검 반드시 필요
이희조 교수는 “지금까지 전세계에서 서로 각자 취약점 관리 시스템을 개발해 사용해 왔다. IoTcube는 이런 파편적인 분석 시스템들을 하나로 통합한 것이다. 앱은 물론이고 OS와 커널단까지 취약점을 분석해 찾아내고 패치할 수 있게 됐다”며 “스마트기기 제조사, 오픈소스 전문기업, 통신사, 영화사, 보안기업 등 IoTcube를 활용한 IoT 보안에 동참하고 있다”고 전하고 특히 오픈소스에 대해 “최신 오픈소스를 사용한다고 해서 과연 안전할까. 기업들은 자신들이 개발한 10% 오픈소스에 대해서만 보안점검을 하고 있고 90%에 달하는 오픈소스에 대해서는 최신버전을 사용했기 때문에 안전하다고 생각한다. 하지만 최신 버전의 오픈소스 안을 들여다 보면 3개월전 혹은 5년전 코드들이 숨어있다. 또 기업들은 최신 버전은 안전성을 담보할 수 없다는 이유로 안전성이 확보된 몇 개월 전 버전을 사용하는 경우도 많다. 그 갭에서 발생하는 취약점과 위협요소는 그대로 SW에 방치되고 있는 것이다. 이를 IoTcube를 통해 쉽고 간편하고 빠르게 분석하고 취약점을 자동패치해 보다 안전한 IoT 제품을 개발할 수 있다”고 덧붙였다.
이어 그는 “앞으로 더 많은 연구를 통해 IoTcube를 업그레이드 시켜 나갈 것이다. CVE나 패치 정보를 찾는데 많은 시간과 노력이 필요하다. 대기업부터 영세한 기업의 IoT 개발자들까지 누구나 쉽고 간편하게 사용할 수 있도록 발전시켜 나가겠다”고 밝히고 “IoTcube를 한국에서 주도적으로 연구하는 목적도 국내 IoT 기기 제조사들이 IoTcube를 활용해 안전한 제품들을 출시하게 되면 글로벌 시장에서 신뢰성과 가치를 인정받게 될 것이다. 한국 IoT 제품은 안전하다는 인식이 자리잡게 되면 글로벌 경쟁력도 강화될 것이라 생각한다. 국내 정보보호 산업과 모든 IT 기업들에 도움이 될 수 있도록 IoTcube를 고도화시켜 나가겠다”고 덧붙였다.
누구나 쉽게 활용할 수 있는 IoTcube(iotcube.net)를 통해 보다 안전한 IoT 제품을 개발해서 해외 시장에서도 인정받는 한국 제품들이 많이 등장하길 바란다.
★정보보안 대표 미디어 데일리시큐!★
