미래차, IoT 보안…경량화한 하드웨어 보안으로 안전하게

시옷(CIOT)은 암호를 뜻하는 영어 Cryptography와 사물인터넷을 뜻하는 IoT를 더해 만든 이름입니다. 한글로 사물인터넷의 첫 글자인 ‘ㅅ’을 뜻하기도 합니다.

저는 그동안 계속 암호 기반의 보안 솔루션 사업을 해왔는데요. IoT 관련 사업을 수행하면서 IoT 보안 사업에 눈을 뜨게 됐습니다. 크기가 매우 작은 IoT 기기에 기존 PC나 모바일 기기에 탑재하던 보안 소프트웨어를 그대로 사용하는 것은 불가능하기에 하드웨어 타입의 경량화한 IoT 보안 솔루션을 개발하기 시작했고, 시장이 커질 것으로 전망해 2015년 시옷을 설립했습니다.

창업 초기에는 IoT 사업에 주력해 스마트 그리드, 스마트 시티, 홈 네트워크 등에 필요한 IoT 보안 솔루션을 공급해왔습니다. 저사양 IoT 장비에서도 고속의 처리가 가능한 ‘초고속, 경량화 IoT 보안 솔루션’이 시옷의 경쟁력으로, IoT 시장에서 높은 호평을 받고 있습니다. 현재는 V2X(차량사물통신), OTA(무선 소프트웨어 업데이트) 등 미래자동차 보안 분야로 자연스레 사업을 확장해 모빌리티 보안 솔루션 전문 기업으로 인지도를 높이고 있습니다.

보통 PC나 모바일 내에 소프트웨어 프로그램을 설치하고, 필요한 보안 기능을 수행하는 시스템을 소프트웨어 보안 시스템이라고 합니다. 이 경우는 컴퓨팅 성능이 뛰어나기 때문에 하나의 프로그램으로 다양한 기능을 수행할 수 있습니다.

하드웨어 보안 모듈은 임베디드 프로그램으로 제작된 작은 모듈을 칩(Chip)이나 유심카드 형태로 된 하드웨어에 탑재한 것입니다. 보통 하드웨어 보안 모듈은 소프트웨어 보안 시스템처럼 다양한 기능을 수행하지 못하고, 기기마다 단 하나의 기능만을 수행토록 디자인됩니다. 이러한 모듈은 NXP나 마이크로칩과 같이 IoT용 칩을 제조하는 글로벌 기업이 생산하는 반도체 칩에 탑재되거나 프로그래밍 가능한 하드웨어에 탑재돼 시장에 공급되고 있습니다.

대체로 성능이 낮은 IoT 디바이스들이나 차량용 장비들은 고사양을 필요로 하는 보안 모듈을 소화할 수 없습니다. 따라서 보안 전용 하드웨어를 추가해 보안 기능을 수행하게 합니다. IoT 디바이스들이 8bit, 16bit 정도로 저사양이기 때문에 하드웨어 기반의 보안 모듈을 가능한 경량화 해야 합니다. 프로그램 사이즈와 전력소모가 작아야 하고, 연산처리도 단순해야 합니다.

보안에는 여러 가지 종류가 있지만, 시옷은 데이터를 암호화해 유출이 되지 않도록 하는 것을 주력으로 하고 있습니다. 문제는 이런 암호화 기능을 가진 소프트웨어는 아무리 작게 옵티마이즈(optimize)를 해도 사이즈가 커질 수밖에 없다는 것입니다.

그래서 가능한 코드 사이즈를 작게 만드는 기술이 경쟁력이며, 시옷은 국내에서 암호화 프로그램의 사이즈를 가장 작게 줄이는 경량화 기술을 확보하고 있습니다. 프로그램의 사이즈가 작아야 더 빠른 연산도 가능하고, 배터리 소모도 줄일 수 있습니다. 디바이스 사이즈를 작게 만들 수 있기에 부품사들이 이런 경량화 제품을 매우 선호하고 있습니다.

특히, 저전력 기능은 자동차 보안에서 아주 중요합니다. 자동차는 시동이 꺼진 후에도 백업 등을 위해 일부 기기들이 작동을 하고, 전력을 사용하기 때문에, 전력을 적게 쓰는 보안 모듈이 자동차에 필요합니다. 시동이 꺼진 상태에서도 어떤 액션이 발생하면 이에 대응할 수도 있어야 하기에 더욱 중요한 것이 저전력의 보안 모듈입니다.

시옷은 이미 IoT 보안을 통해 쌓아온 기술을 바탕으로 이러한 경쟁력을 확보하고 있었습니다. 자연스레 미래 자동차 시장에서의 요구사항이 커지면서 미래차 보안 시장에 포커싱을 맞추게 됐습니다.

먼저 OTA 보안이 있습니다.

앞으로 전기차나 자율주행 자동차 등 미래차들은 다양한 전자장치로 만들어지기 때문에, 정비소가 아닌 곳에서 무선으로 펌웨어(Firmware)를 업데이트 해 문제를 해결하거나 기능을 향상시키는 OTA 시장이 활성화 할 것입니다.

이때 가장 중요한 것은 업데이트 과정 및 이후에 디바이스 자체에 탑재된 펌웨어가 위조나 변조되지 않아야 합니다. 펌웨어를 안전하게 보호하며, 원격으로 전장 부품 내 소프트웨어를 업데이트 할 수 있도록 보장하는 기능이 OTA 보안 솔루션이 하는 일입니다.

OTA 보안은 올해 7월부터 적용된 자동차 사이버 보안 국제 기준에 의무적인 부분으로 포함됐습니다. 시옷의 OTA 보안 모듈은 글로벌 OEM 보안 규격과 WP.29 R155, R156을 준수해 글로벌 판매 차량에 적용하고 있습니다.

이 밖에도 자율주행 시대 안전한 주행을 위한 자동차와 자동차(V2V), 자동차와 인프라(V2I), 자동차와 보행자(V2P), 자동차와 네트워크(V2X)등 자동차와 도로주변기기(RSU)간 통신을 하는 V2X 보안 솔루션과 차량의 데이터를 수집·관리하는 차량 데이터 모니터링 디바이스 등이 시옷의 사업분야 입니다.

아직 시장이 열리는 단계이기 때문에 정량적 데이터로 비교할 수는 없지만, 국내는 이제 시작을 하는데 해외에는 이미 규모가 큰 자동차 보안 기업들이 많이 있습니다. 자동차 보안은 글로벌 표준을 기반으로 하는 것이기에 기술적으로는 별 차이가 없지만, 환경적인 영향으로 인해 한국의 자동차 보안 기업들이 글로벌에 비해 차이가 많이 난다는 생각이 들게 하는 것 같습니다.

자동차 보안을 하기 위해서는 실제 적용 테스트를 많이 해야 하는데, 한국에서는 좀처럼 테스트를 할 수 있는 기회가 많지 않습니다. 때문에 유럽 같이 테스트도 유리하고, OEM 기업들이 보안 업체를 직접 M&A해 함께 연구 할 수 있는 환경이 갖추어진 나라의 기술이나 사업이 더 발전할 수밖에 없는 것이죠.

비록 어려운 환경이지만 시옷의 보안 솔루션은 이미 한국의 전장 부품 업체와 상용차에 다수 탑재됐고, 다양한 레퍼런스와 경험도 가지고 있어 결코 해외 기술력보다 뒤처지지 않는다고 생각합니다.

초기 시옷의 사무실은 판교에 있었지만 지난해 강남역 부근으로 이전했습니다. 그 이유 중 하나는 인력을 확보하기 위해서였습니다. 교통이 편리한 서울 중심지에 있는 회사가 선호도가 높기 때문이죠.

인력충원을 위해 계속 노력하고 있지만 필요한 만큼 충원하기는 어려운 상황입니다. 지금은 보안 인력수요가 많아, 시장에 보안인력 자체도 많지 않을뿐더러, 임베디드라는 분야의 특수성 때문에 인력을 구하기 더 어려운 부분도 있습니다.

임베디드 분야에 필요한 인력은 일반 C프로그램(특히 Native C Programming) 개발역량 뿐만 아니라, 해외 중심으로 만들어진 각종 자동차 사이버 보안관련 규정을 이해하기 위해서는 영어 역량도 필요합니다. 이에 실제 채용할 수 있는 인력 풀 자체가 제한적일 수 밖에 없습니다.

그나마 있는 인력은 대기업이 먼저 좋은 조건으로 흡수해버리니 중소기업은 정말 얼굴 한번 구경하기 힘든 상황입니다. 국가의 소프트웨어 인력 양성 사업에 의해 배출된 임베디드 개발자들이 중소기업에까지 고르게 배치될 수 있도록 좀 더 준비와 지원을 해야 하지 않을까 생각합니다.

시옷의 비즈니스 전략은 ‘파트너 전략’입니다. 기존 소프트웨어 보안 솔루션은 사용자가 직접 사업자에게 솔루션을 구매해 사용하면 되지만, IoT의 경우는 하드웨어 디바이스에 보안을 적용하기 때문에 솔루션 기업보다는 보안 기능이 탑재되어 있는 칩 제조기업에 연락하는 사례가 많습니다.

이처럼 비즈니스 프로세스가 소프트웨어 보안과는 다르기 때문에 칩 제조기업과 파트너십을 구축해 함께 사업을 진행하고 있습니다. 시옷은 최근에 글로벌 칩 제조기업 중 가장 시장점유율이 높은 NXP, 마이크로칩사와 파트너십을 체결했습니다.

시옷이 제공하는 OTA 보안, 자율주행 보안(V2X), 차량 데이터 모니터링 등의 솔루션을 모두 종합하면 ‘모빌리티 데이터 종합 케어’ 솔루션이라고 정의할 수 있습니다.

현재는 경량화한 디바이스를 위한 보안 모듈을 제공하는 형태의 사업이 대부분이지만, 향후 시옷은 자사의 디바이스를 통해 직접 데이터를 모으고, 이를 바탕으로 플릿 매니지먼트(Fleet Management), 차량 관제(vSOC) 등 데이터를 기반으로 하는 모빌리티 데이터 전문 리더가 되고자 합니다.

이를 위한 우선은 국내 시장에서 좀 더 준비를 하고, 이후 글로벌 시장에 단계적으로 진출할 계획입니다.