보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

AIoT는 IoT와 얼마나 다를까? AI 더해져 보안위협은 더 커진다

입력 : 2022-10-26 17:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
AIoT, 인공지능과 사물인터넷의 합성어로 ‘사물지능’으로 표현
AIoT 기술 보안 미흡 시 IoT 디바이스의 라이프사이클에도 영향 미쳐
[인터뷰] 김호원 부산대 정보보호 및 사물지능 연구실 교수


[보안뉴스 김영명 기자] 사물인터넷(IoT : Internet of Things)이라는 단어가 처음 등장한 것은 무려 20세기 말이다. 비누, 샴푸, 칫솔 등 다양한 소비재를 제조·판매하는 P&G(The Procter & Gamble Company)에서 근무하던 캐빈 애시턴(Kevin Ashiton) 브랜드 매니저가 1999년에 이 용어를 처음으로 사용한 것으로 전해진다. IoT는 각종 사물에 센서와 통신 기능을 내장해 인터넷에 연결하는 기술, 즉 무선통신으로 다양한 사물을 연결하는 기술을 의미한다.

[이미지=utoimage]


‘IoT’가 등장한지 20여년 만에 AIoT(AI+IoT)가 주목받고 있다. AIoT는 ‘Artificial Intelligence of Things’의 약어다. 이러한 가운데 한국인터넷진흥원(KISA)에서 ‘지능형 IoT 사회의 보안이슈 분석’이라는 보고서가 발표됐다. 이 보고서의 메인 저자인 김호원 부산대 정보보호 및 사물지능 연구실 교수를 통해 ‘AIoT의 정의’와 함께 ‘AIoT 사회에서의 보안위협’은 무엇인지 들었다.

AIoT, IoT 디바이스에 추론 수행 기능을 내포한 신기술
김호원 교수는 “AIoT는 ‘Artificial Intellgence of Things’, 즉 인공지능(Artificial Intellgence)과 사물인터넷(IoT : Internet of Things)의 합성어로, 한국어로는 ‘사물지능’ 또는 ‘사물지능융합기술’”이라고 말했다. 그는 “사물지능융합기술은 사물인터넷 디바이스에 AI 기법이 적용된 것”이라며 “AIoT라고 말할 수 있는 IoT 디바이스로는 흔히 엣지(Edge) IoT 디바이스를 떠올리겠지만, 궁극적으로는 거의 모든 IoT 디바이스라고 볼 수 있다”고 설명했다.

AIoT는 AI가 보유한 학습 기능과 추론 기능을 기본적으로 갖춰야 한다. 하지만 학습을 위해서는 많은 컴퓨팅 파워와 대량의 데이터를 필요로 하기 때문에 IoT 디바이스에 주로 학습된 모델이 장착돼 추론이 수행되는 정도의 수준이면 ‘지능형’의 기능을 갖췄다고 볼 수 있다.

이때 ‘지능형 기능’은 IoT 디바이스에 장착된 AI 모델의 특성에 따라 다르게 구분된다. 예를 들어, 이미지 혹은 영상 정보를 수신하는 CCTV가 디바이스 수준에서 객체를 탐지 또는 추적하거나, 혹은 공장에 설치된 엣지 디바이스에서 특정 장비의 고장 유무나 공정 산출물의 결함 여부를 추론하는 기능 등을 말할 수 있다. 하지만 지능형 기능은 AIoT 디바이스에 장착된 AI 모델이 어떠한 특성을 갖고 있느냐에 따라 다를 수 있다.

▲IoT 기술 변화도[이미지=KISA]


IoT는 ‘정의된 알고리즘’ 기반, AIoT는 ‘학습과 추론 기반 지능형’ 동작
IoT와 AIoT는 모두 사물에서 센싱한 데이터의 수집과 데이터 처리 과정에서는 동일한 기능을 수행한다. 다만, IoT는 정의된 프로그램과 알고리즘 기반으로 동작하지만, AIoT는 학습과 추론에 의한 지능형 동작을 수행한다는 것이 차이점이다.

김호원 교수는 “IoT가 데이터를 수집, 저장, 전송하고 IoT에 연결된 서버 혹은 클라우드 시스템에서 지능적인 처리를 하는 경우, 사용자는 해당 IoT 장비를 지능형 AIoT 장비로 착각할 수 있다”면서도 “이런 경우 IoT 장비는 AIoT가 아닌 일반 IoT라고 구분해야 한다”고 언급했다.

AIoT는 다가올 미래에 다양한 새로운 서비스를 통해 산업, 경제, 사회에 새로운 패러다임 변화를 유도하게 된다. 최근 많은 제조업체들은 스마트 제조에 큰 관심을 두고 있다. 이럴 때 AIoT를 사용하면, 각 제조공정 설비에서 발생하는 데이터에 대한 실시간 분석과 진단, 예측을 통해 공정을 최적화하거나, 고장에 대한 사전 대응 등이 가능해진다. 이는 곧 제조공정 시간의 단축과 함께 비용 절감, 공정 효율성의 증가로 이어지며, 생산품에 대한 품질도 개선할 수 있게 된다.

또 다른 사례로 자율주행 자동차는 전형적인 AIoT의 예시다. 실시간으로 센싱 데이터를 수집, 분석해 도로 상황과 운전자의 상태나 행동을 토대로 주행하는 의사결정도 할 수 있다.

김 교수는 “가정으로 들어와 보면 무선 게이트웨이(홈 게이트웨이)가 ‘인공지능 비서’라는 이름으로 AIoT의 대표 장치로 자리하고 있다”며 “현재는 클라우드와 연동된 AI 기능을 발휘하지만, 향후 게이트웨이 자체에서 지능형 추론 기능을 수행하고, 개인의 생활 정보(Lifelog)는 클라우드로 전송되지 않는 형태로 진화하게 될 것”이라고 소개했다.

이외에도 가전제품이 대표적인 AIoT 장치로 진화 중이다. 수많은 가전제품 중 실내 공기질을 실시간으로 측정해 대응하는 공기살균기나 환기시스템 등을 좋은 사례가 된다. 의료 분야에서는 AIoT를 활용해 위급 환자 식별 및 처리, 응급상황 판단으로 119 호출 등 사회 전반에 도움을 주는 형태로 발전할 수 있을 것으로 기대된다.

▲IoT 디바이스 공격 유형 분류[이미지=KISA]


AIoT 보안 이슈, IoT 보안보다 더 많고 복잡해질 것
김 교수는 “AIoT 기술은 기존 사물인터넷 기술에 AI 기술이 융합돼 진화된 개념으로 기존 IoT 기술의 보안이슈와 대응이 AIoT 기술에 공통으로 적용된다고 볼 수 있다”고 설명했다.

특히, AIoT는 IoT의 보안기술에 추가로 AI 윤리, AI 보안 취약성(Adversarial AI)과 같은 보안 이슈가 추가된다. 또한, 기존 IoT는 단순히 데이터를 센싱해 간단한 가공을 수행한 후 게이트웨이 혹은 서버로 전송하는 역할을 했다면, AIoT는 더욱 지능화된 처리를 통해 데이터로부터 정보와 지식을 추출하는 기능과 함께 학습능력이 더욱 강화되기 때문에 개인 프라이버시 이슈가 더욱 커질 것으로 예상된다.

‘IoT’에서 ‘AIoT’로 ‘지능형’ 기술을 추가하면 △프라이버시 침해 관점 △AI 윤리 관점 △AI 자체의 공격 관점이 커져 AIoT는 IoT보다 보안 및 프라이버시 이슈가 더 많아질 것이다는 얘기다.

김 교수는 “보안성 강화를 위한 기술적 방법으로 AI를 사용해 탐지 및 대응을 할 수 있다고 하는데, 이러한 관점에서 보면 AIoT 장치에서 AI 기술을 활용해 AIoT의 보안성을 높일 수도 있다”며 “AIoT에 대한 보안위협에 대응하기 위한 지능형 기술 적용이 가능하고, 이와 함께 AI 자체에 대한 보안 위협 이슈도 존재한다”고 말했다.

이어 그는 “AIoT 자체에 대한 침입과 위협을 탐지하고, 이상 탐지(Anomaly detection)를 위해 AI를 활용하는 연구가 활발히 진행되고 있는데, 이러한 지능형 기술이 AIoT 전반에 걸쳐 적용된다면 통신 프로토콜 취약점을 이용한 보안위협이나 DoS, DDoS 공격을 통한 보안위협, 공장 설비나 기관 시설물에 대한 이상 탐지와 장애에 대응할 수 있어 기존 존재했던 보안 위협이 낮아지는 효과가 있을 것으로 생각한다”고 덧붙였다.

앞서 언급했던 것처럼 지능형 기술이 추가되면서 전에 없던 새로운 보안위협도 증가할 수 있다. 이 새로운 보안위협은 AI 모델에 대한 적대적 공격을 통해 잘못된 결과값을 유도하거나, 인공지능 모델에 특정 패턴에 반응하는 백도어를 학습시키는 공격 등 이미 다양한 사례가 보고되고 있다. 지능형 기술에 대한 공격은 AIoT 기술의 큰 보안 위협이 될 것으로 예상된다.

마지막으로는 지능형 기술을 이용한 프라이버시 유출 및 새로운 보안위협의 발생 가능성을 말할 수 있다. 예를 들어, 스마트홈 디바이스를 이용해 현재 상황에 따른 서비스를 제공하는 지능형 기술이 공격자에 의해 센서 데이터를 이용해 사용자의 현재 상황 혹은 민감한 프라이버시 정보를 추론하는데 사용될 수 있다. 기존 프라이버시 위협이 민감 데이터 유출과 같은 직접적인 방법을 통해 이뤄졌다면, 지능형 기술을 통한 프라이버시 유출의 경우 상대적으로 덜 민감하다고 생각하던 데이터를 이용해 민감한 정보를 추론할 수도 있다.

현재 기술로는 지능형 기술에 대한 보안위협은 탐지하기가 힘들고, IoT 기술이 산업계와 기간망으로 확대됨에 따라 광범위한 규모로 피해가 커질 가능성도 있다.

▲IoT 보안위협 구조도[이미지=KISA]


AIoT 활용 기업, 보안 없이는 디바이스 결함 심각한 영향 예상
김호원 교수는 “국내외 기업들은 이미 AIoT 시장에 대응하기 위해 준비를 하고 있으며, 국내에서는 주로 AI 기능을 포함한 가전제품과 함께 자율주행 자동차 등의 관점에서 AIoT 도입에 속도를 내고 있다”고 말했다.

올해부터 본격적으로 적용될 IoT 표준인 ‘매터(Matter)’ 표준의 경우 현재 삼성, 아마존, 구글, 애플과 같은 글로벌 기업이 참여하고 있으며, 다양한 제조업체에서 해당 표준 인증을 받은 IoT 디바이스 출시를 예고하고 있다. 이 표준은 아직 본격적으로 시장에 적용되지는 않아 해당 표준의 성공 유무를 이야기할 수는 없지만 매터가 지향하는 단순성, 상호 연동성, 신뢰성, 안전성의 경우 AIoT의 요구사항과 맞닿아 있다.

특히, 최근 스마트시티 및 기간 인프라, 스마트 공장에 활용되는 IoT 디바이스는 일반 개인용 디바이스와 달리 긴 생명주기를 고려한 생태계 구축이 필요하지만, 현재 설치되고 활용되는 디바이스는 이러한 요구사항에 대한 고려가 미비해 신속한 대응책 마련이 요구되고 있다.

김 교수는 “AIoT의 활성화는 AI 기능을 얼마나 효율적이고 경량으로 IoT 장치에 구현하고 의미 있는 서비스를 제공하느냐가 가장 중요한 부분”이라며 “AIoT 관련 보안 이슈는 기존 IoT 보안 이슈보다 더욱 복잡한 양상이 될 수 있기 때문에, AIoT의 활성화를 위해서는 보안관점에서 고려해야 할 사항이 더 많다”고 우려했다.

이에 김 교수는 “현재 국내 대부분 기업들은 이러한 디바이스 보안에 대해 고려하지 않은 상태로 IoT 디바이스를 출시하고 있어 AIoT 기술 확대에 따른 보안 요구사항을 만족하지 못할 뿐만 아니라 현재 적용되고 있는 IoT 디바이스들의 라이프사이클에도 큰 영향을 줄 것”이라며 AIoT 제품 개발 기업에 대해 우려의 목소리와 함께 보다 강력한 보안조치를 강조했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)