이 글은 보안의 본질이 어디에서 시작되고, 어떻게 유지되어야 하는지를 이해하기 위한 두 번째 이야기입니다. 많은 시스템이 암호화를 중심으로 보안을 설계하지만, 실제로 가장 위험한 공격은 초기 인증을 통과한 뒤 내부에서 이루어지는 정체성 위장과 스푸핑(Spoofing)입니다. 그래서 보안의 핵심은 ‘한 번의 인증’이 아니라 기기가 지금 이 순간에도 진짜임을 스스로 증명할 수 있는 구조, 즉 '지속적 정체성' 검증에 있습니다. 이번 포스팅에서는 이러한 지속 신뢰의 출발점이 되는 HRoT가 왜 중요한지, 그리고 왜 PUF 기반 HRoT만이 그 기준점을 완전히 충족할 수 있는지 살펴보고자 합니다.
▲ 이미지 : Deevid에서 생성
| 믿는 도끼에 발등 찍혀버린 용왕과 자라, 뛰는 자라 위에 나는 토끼
지난 편, 늑대와 일곱 마리 아기염소에 이어서
이번 편에서는 우리나라의 고전 소설을 예로 들어볼까요?
우리 전래소설인 별주부전에서 용왕은 토끼의 간이 필요하다는 말을 듣고, 토끼가 진짜 자신의 목숨을 순순히 내줄 것이라 믿고 데려오도록 명령합니다.
용궁에 들어오기 전 토끼의 ‘진짜 여부’만 확인하면 충분하다고 생각한 것이죠.
토끼는 영리하게도 순간만 모면할 ‘신뢰’를 얻습니다.
🐰 “용왕님, 제 간은 지금 뭍에 두고 와서 돌아가야 합니다.”
용왕과 자라(별주부)는 토끼가 처음에는 진짜로 협조적이었다는 이유만으로 계속 신뢰합니다.
하지만 결과는 어떻게 되었나요?
뭍으로 돌아간 토끼는 (너무나도 당연히) 용궁으로 돌아오지 않았고, 용왕과 자라는 ‘한 번 확인된 신뢰’를 끝까지 믿었기 때문에 결국 속았습니다.
바로 이 지점에서 오늘 다룰 IoT 보안의 치명적 약점이 드러납니다.
신뢰가 처음 확인됐다는 이유만으로 경계를 풀고 이 믿음이 지속될 것이라 믿는 착각.
지난 편에서 우리는 보안 침해사고의 핵심 원인이
암호화 기술의 한계가 아니라 정체성 사칭(Device Identity Spoofing) 이라고 이야기했습니다.
👉🏻 지난 Ep.1 보러가기
그렇다면 이렇게 질문해볼 수 있습니다.
“기기가 처음에 ‘진짜’라고 확인되면, 그 다음은 안전할까?”
별주부전의 교훈처럼, 답은 No입니다.
| "한 번 인증되면 끝" 구조의 위험성
대부분의 IoT 시스템은 아래와 같은 구조를 갖고 있습니다.
| 초기 등록/인증 성공 → 신뢰 부여 → 장기간 지속적 사용
한 번 정상 기기로 등록되면 그 기기는 오랜 기간 아무 의심 없이 신뢰됩니다.
문제는, 이 “신뢰의 무기한 연장”이 공격자에게 결정적 공격 포인트가 된다는 것입니다.
가장 보안이 취약한 순간은 공격자가 내부자처럼 보일 때입니다.
공격 방식 | 실제 의도 |
인증서 탈취 | 정상 장치 행세 |
소프트웨어 해킹 | 정품처럼 작동 |
펌웨어 변조 | 악성 동작을 숨김 |
클론 장치 제작 | 복제품을 비정상 장치처럼 투입 |
즉, 공격자는 "문을 따려고 하지 않습니다."
대신 집주인처럼 보이는 전략을 선택합니다.
| 초기 인증은 필요조건이지 충분조건이 아니다.
- 암호화 → 통신 내용을 숨기는 기술
- 초기 인증 → 상대가 누구인지 검증하는 절차
그러나 문제는 다음과 같습니다.
“초기 인증 시점의 ‘신원’이 이후에도 유지된다는 보장은 없다.”
장치가 내부에 잠입한 순간, 시스템은 그 장치를 “신뢰하는” 전제로 동작합니다.
이는 마치:
- 처음 체크인한 사람을 계속 손님으로 인정하는 호텔,
- 처음 등록된 카드만 있으면 누구든 출입할 수 있는 빌딩,
- 직원증만 있으면 아무 검증 없이 내부 서버에 접속 가능한 기업
과 동일합니다.
신뢰는 한 번으로 끝나면 안 됩니다.
지속적으로 검증되어야 합니다.
| HRoT가 지속 신뢰의 핵심인 이유
HRoT는 단순히 처음 인증받기 위한 도구가 아닙니다.
HRoT가 존재하는 기기는 스스로 다음을 수행할 수 있습니다.
역할 | 의미 |
기기의 고유 정체성 보증 | 복제∙스푸핑 차단 |
부팅∙암호화∙인증 실행 전 자기 위변조 확인 | Secure Boot/무결성 검증 |
운영 중 정체성 유지 | Continuous Trust 실현 |
즉, HRoT는 보안을 시작하는 기능이 아니라
정체성 증명의 시작점이자 지속 신뢰의 근거이고, 신뢰의 기준점(Anchor)입니다.
가장 위험한 공격은,
밖에서 문을 두드리고 암호를 깨려고 시도하는 것이 아니라 이미 내부로 들어온 공격입니다.
1회성 인증의 보안은 공격자들에게 기회를 줍니다.
반면 지속적 정체성 검증 기반 보안은 공격자를 "거짓신뢰"에 숨지 못하게 만듭니다.
암호는 보안의 일부라면, 정체성의 지속적 증명은 보안의 본질이라고 할 수 있습니다.
Zero-Trust Device의 핵심 질문은
“이 기기와 소프트웨어가 지금도 진짜인가?”이고,
이 질문에 매 순간 답하기 위해서는 처음 인증 시점이 아니라, 디바이스 안에서 신뢰가 스스로 시작되는 구조가 필요합니다.
그 역할을 수행하는 것이 앞서 지속적으로 강조한 HRoT 입니다.
그렇다면 또 다른 질문이 생깁니다.
“HRoT의 정체성 기준이 공격자에게 위조될 수 있다면 어떻게 될까?”
저장된 ID, 저장된 Key, 메모리 기반 인증 정보는 언젠가는 탈취·복제·변조될 수 있습니다.
따라서 HRoT가 진짜 역할을 하려면 정체성이 저장되는 방식이 아니라 생성되는 방식이어야 합니다. 그리고 그 정체성은 복제될 수 없어야 합니다.
이 조건을 모두 만족하는 방식인 PUF(Physically Unclonable Function) 기반 HRoT 만이
“지속적 정체성 증명”을 끝까지 완성할 수 있는 구조라고 할 수 있습니다.
다른 방식들은 모두 ‘저장된 비밀’을 보호하는 데 집중하지만,
PUF는 애초에 복제∙탈취될 비밀을 저장하지 않기 때문에 신뢰의 출발점 자체가 다릅니다. 즉, 숨겨야 할 열쇠를 만드는 것이 아니라,
복제될 수 없는 존재 자체가 열쇠가 되는 방식입니다.
다음 편에서는 이 PUF에 대해 자세히 알아보겠습니다.
🔗 다음편 보기 전, PUF 살펴보기
▲ 이미지 : Deevid에서 생성
| 믿는 도끼에 발등 찍혀버린 용왕과 자라, 뛰는 자라 위에 나는 토끼
지난 편, 늑대와 일곱 마리 아기염소에 이어서
이번 편에서는 우리나라의 고전 소설을 예로 들어볼까요?
우리 전래소설인 별주부전에서 용왕은 토끼의 간이 필요하다는 말을 듣고, 토끼가 진짜 자신의 목숨을 순순히 내줄 것이라 믿고 데려오도록 명령합니다.
용궁에 들어오기 전 토끼의 ‘진짜 여부’만 확인하면 충분하다고 생각한 것이죠.
토끼는 영리하게도 순간만 모면할 ‘신뢰’를 얻습니다.
🐰 “용왕님, 제 간은 지금 뭍에 두고 와서 돌아가야 합니다.”
용왕과 자라(별주부)는 토끼가 처음에는 진짜로 협조적이었다는 이유만으로 계속 신뢰합니다.
하지만 결과는 어떻게 되었나요?
뭍으로 돌아간 토끼는 (너무나도 당연히) 용궁으로 돌아오지 않았고, 용왕과 자라는 ‘한 번 확인된 신뢰’를 끝까지 믿었기 때문에 결국 속았습니다.
바로 이 지점에서 오늘 다룰 IoT 보안의 치명적 약점이 드러납니다.
신뢰가 처음 확인됐다는 이유만으로 경계를 풀고 이 믿음이 지속될 것이라 믿는 착각.
지난 편에서 우리는 보안 침해사고의 핵심 원인이
암호화 기술의 한계가 아니라 정체성 사칭(Device Identity Spoofing) 이라고 이야기했습니다.
👉🏻 지난 Ep.1 보러가기
그렇다면 이렇게 질문해볼 수 있습니다.
“기기가 처음에 ‘진짜’라고 확인되면, 그 다음은 안전할까?”
별주부전의 교훈처럼, 답은 No입니다.
| "한 번 인증되면 끝" 구조의 위험성
대부분의 IoT 시스템은 아래와 같은 구조를 갖고 있습니다.
| 초기 등록/인증 성공 → 신뢰 부여 → 장기간 지속적 사용
한 번 정상 기기로 등록되면 그 기기는 오랜 기간 아무 의심 없이 신뢰됩니다.
문제는, 이 “신뢰의 무기한 연장”이 공격자에게 결정적 공격 포인트가 된다는 것입니다.
가장 보안이 취약한 순간은 공격자가 내부자처럼 보일 때입니다.
즉, 공격자는 "문을 따려고 하지 않습니다."
대신 집주인처럼 보이는 전략을 선택합니다.
| 초기 인증은 필요조건이지 충분조건이 아니다.
그러나 문제는 다음과 같습니다.
“초기 인증 시점의 ‘신원’이 이후에도 유지된다는 보장은 없다.”
장치가 내부에 잠입한 순간, 시스템은 그 장치를 “신뢰하는” 전제로 동작합니다.
이는 마치:
과 동일합니다.
신뢰는 한 번으로 끝나면 안 됩니다.
지속적으로 검증되어야 합니다.
| HRoT가 지속 신뢰의 핵심인 이유
HRoT는 단순히 처음 인증받기 위한 도구가 아닙니다.
HRoT가 존재하는 기기는 스스로 다음을 수행할 수 있습니다.
즉, HRoT는 보안을 시작하는 기능이 아니라
정체성 증명의 시작점이자 지속 신뢰의 근거이고, 신뢰의 기준점(Anchor)입니다.
가장 위험한 공격은,
밖에서 문을 두드리고 암호를 깨려고 시도하는 것이 아니라 이미 내부로 들어온 공격입니다.
1회성 인증의 보안은 공격자들에게 기회를 줍니다.
반면 지속적 정체성 검증 기반 보안은 공격자를 "거짓신뢰"에 숨지 못하게 만듭니다.
암호는 보안의 일부라면, 정체성의 지속적 증명은 보안의 본질이라고 할 수 있습니다.
Zero-Trust Device의 핵심 질문은
“이 기기와 소프트웨어가 지금도 진짜인가?”이고,
이 질문에 매 순간 답하기 위해서는 처음 인증 시점이 아니라, 디바이스 안에서 신뢰가 스스로 시작되는 구조가 필요합니다.
그 역할을 수행하는 것이 앞서 지속적으로 강조한 HRoT 입니다.
그렇다면 또 다른 질문이 생깁니다.
“HRoT의 정체성 기준이 공격자에게 위조될 수 있다면 어떻게 될까?”
저장된 ID, 저장된 Key, 메모리 기반 인증 정보는 언젠가는 탈취·복제·변조될 수 있습니다.
따라서 HRoT가 진짜 역할을 하려면 정체성이 저장되는 방식이 아니라 생성되는 방식이어야 합니다. 그리고 그 정체성은 복제될 수 없어야 합니다.
이 조건을 모두 만족하는 방식인 PUF(Physically Unclonable Function) 기반 HRoT 만이
“지속적 정체성 증명”을 끝까지 완성할 수 있는 구조라고 할 수 있습니다.
다른 방식들은 모두 ‘저장된 비밀’을 보호하는 데 집중하지만,
PUF는 애초에 복제∙탈취될 비밀을 저장하지 않기 때문에 신뢰의 출발점 자체가 다릅니다. 즉, 숨겨야 할 열쇠를 만드는 것이 아니라,
복제될 수 없는 존재 자체가 열쇠가 되는 방식입니다.
다음 편에서는 이 PUF에 대해 자세히 알아보겠습니다.
🔗 다음편 보기 전, PUF 살펴보기