정형기법 기반 IoT 보안 프로토콜 기술 개발

국내 연구진이 IoT 서비스의 보안성과 신뢰성을 높이기 위해 정형기법(Formal Method)을 적용한 보안 프로토콜 기술 개발에 나섰다. 이 기술은 통신 시스템, 재난 안전 통신망, 항공기 운항 관제 시스템 등 높은 신뢰성이 요구되는 IoT 서비스에 적용돼 안전하고 안정적인 운용에 기여할 것으로 기대되고 있다.

한국전자통신연구원(ETRI)은 30일 포항공대, 국민대학교와 협력해 국내 최초로 정형기법을 기반으로 한 IoT 보안 프로토콜 기술을 개발 중이라고 밝혔다. 정형기법을 적용한 보안성 검증(이하 정형검증)은 시스템 설계 단계에서부터 오류나 보안 취약점을 철저히 검증할 수 있는 기술이다. 기존 보안성 검증이 이미 개발된 소프트웨어(SW)를 대상으로 이루어진 반면, 정형검증은 설계 단계에서부터 보안성을 확인할 수 있어 시스템 내 오류 발생 가능성을 최소화할 수 있다.

ETRI 연구진은 정형기법을 코드 수준까지 확장해, 정형검증 기반의 TLS 솔루션 ‘HASP’를 개발하고 있다. 특히, HASP는 요구사항 정의와 설계 단계부터 엄격한 보안성 검증을 수반하는 모델 검증(Model-Checking)을 적용해, 검증된 범위 내에서 시스템 오류와 보안 취약점이 없음을 보장하는 높은 수준의 검증 결과를 제공할 수 있다.

또한, 연구진은 정형검증의 범위를 기존 설계 단계에서 SW 개발(코드 구현) 단계까지 확장해 모델 기반 테스팅(Model-based Testing) 기법을 도입했다. 이를 통해 설계와 구현 단계에서의 불일치 가능성을 사전에 제거하고, 구현된 코드의 오류나 보안 위협을 없앴다. 이러한 기술은 기존 정형검증이 주로 설계 단계까지만 적용됐던 것과 달리, 실제 동작하는 SW 단계까지 정형기법을 적용한 국내 최초 사례로 평가받고 있다.

ETRI는 올해 11월까지 정형기법 기반의 자동화 검증 도구 프로토타입 개발을 완료하고, 자체 개발한 TLS v1.2 솔루션에 이를 적용해 높은 수준의 신뢰도를 보장하는 HASP v1.0 개발을 마무리할 예정이다. 또한, 올해 12월부터 관련 업체와 기술이전을 추진해 본격적인 상용화에 나설 계획이다.

ETRI 사이버보안연구본부 임재덕 책임연구원은 “정형기법을 활용한 이번 연구는 IoT 서비스의 보안성과 신뢰성을 기존보다 한층 더 보장할 수 있는 중요한 기술적 토대를 제공할 것”이라며, “향후 국내 IoT 보안 시장의 경쟁력 제고와 사고 발생 시 파급효과가 큰 미션 크리티컬 서비스의 신뢰도를 높이는 데 기여할 수 있도록 노력하겠다”고 밝혔다.

이번 연구는 과학기술정보통신부와 정보통신기획평가원(IITP)이 지원하는 ‘정보보호핵심원천기술개발사업’의 일환으로 진행됐다. ‘IoT/IIoT 디바이스 안전성 보장을 위한 취약점 보안검증 기술 개발’(주관: 라온시큐리티) 과제를 통해 2025년까지 ETRI, 포항공대, 국민대, 한국정보통신기술협회(TTA), LG U+ 등과 공동으로 수행할 예정이다.

ETRI는 향후 정형기법 기반 자동화 검증 도구의 검증 범위를 확장하고 기능 안정화와 성능 개선 등 기술의 완성도를 제고해 나갈 예정이다. 더 나아가 수요기업인 LG U+의 5G 이동 통신망 테스트베드에 실증 적용해 상용화 가능성을 검증할 계획이다.

이번에 개발 중인 HASP 솔루션은 국제표준(ISO/IEC 29128:2011) 기준 암호 프로토콜 보증 수준 3단계에 해당하는 기술로, 연구진은 국민대와 협력해 4단계 수준의 검증 기술 확보를 목표로 연구를 지속하고 있다. 이를 통해 글로벌 IoT 보안 기술 시장에서 국내 IoT 보안 기술의 산업 경쟁력을 높이는 데 크게 기여할 것으로 기대된다.