IoT / 보안

실제 사례를 통해 본 IoT 도입에 필요한 3가지

Bob Violino  | Network World 2017.08.17
사물인터넷(IoT) 도입의 장점은 엄청나다. 그러나 IoT를 많이 사용하는 것은 단순히 기기를 연결해 데이터를 수집하는 차원을 넘어서 이들 기기를 수용할 수 있도록 네트워크 인프라를 수정해야 함을 의미한다.


Credit: Pixabay

이는 간단한 일이 아니다. 만일 IoT의 모든 측면에 대한 네트워크 지원이 제대로 이뤄지지 않는다면, 그 모든 데이터에 대한 활용도 어려워지고 기업이 바라던 투자 이익을 실현하지 못하게 된다. IoT 관련 프로젝트를 실행하고자 하는 기업은 IoT 초기 사용자로부터 귀중한 교훈을 얻을 수 있다. 다양한 IoT 네트워크 문제에 대처하고 있는 기업의 사례 3가지를 소개한다.

로크웰 오토메이션에서의 IoT 게이트웨이와 IoT 보안
어떤 기업에게는 IoT가 새롭지 않다. 클라우드 컴퓨팅 기술 관리자 스콧 샌들러는 "산업 자동화 기술 제공업체 로크웰 오토메이션(Rockwell Automation)은 2011년에 첫 IoT 활동을 개시했다"고 밝혔다.

IoT 계획의 목적은 로크웰 고객들이 사용하는 산업장비와 시스템을 클라우드에 연결하게 해주는 적정 기술을 제공하는 것이다. 이를 통해 운영 데이터를 더욱 효과적으로 분석하고 운영 기술과 IT 사용자의 의사결정 지원을 개선하기 위해서다.

로크웰은 안전한 산업용 IoT 플랫폼을 갖추기 위해 마이크로소프트에 의뢰했다. 이 확장 가능 플랫폼은 고객의 확장 또는 축소 요구를 충족시킬 수 있어야 하며, 다양한 분석 및 업무 프로세스가 가능하도록 기업 내 데이터 움직임을 촉진시킬 수 있어야 한다. 샌들러는 "IoT에 관한 로크웰의 비전은 고객 중심이다. 어떻게 하면 더 효과적으로 고객들을 성공을 이끌고 구체적인 결과를 달성할지 고민한다"고 설명했다.

로크웰의 IoT 솔루션 덕분에 고객들은 무인 원격 자산 감시, 장비 고장 예측, 전통적인 사내 서버 배치 비용 방지, 가동 중지시간 축소와 프로세스 최적화를 통한 성과 향상 등이 가능해졌다.

샌들러는 "네트워크 인프라와 관련해서 초기에 고려했던 것 가운데 하나는 데이터 보안이었다"고 설명했다. 로크웰의 초기 사용자들은 제조공장 내부까지 공격이 미치지 않을지 않을까 걱정했다. 이런 우려를 해소하기 위해 로크웰은 자체 IoT 서비스에 사용되는 게이트웨이 장치가 반드시 아웃바운드(outbound) 포트 443(https/TLS)만 사용하여 클라우드에 연결되도록 조치했다. 이 게이트웨이는 아웃바운드 호출만 할 수 있고 스스로 시작한 호출에 응답한 클라우드로부터의 업데이트만 수신하도록 설계되어 있다.

이 밖에도 로크웰은 정책 서버 등의 보안 조치를 취했다. 정책 서버는 인증 목적으로 게이트웨이 장치에 공유 접근 토큰과 인증서를 발급한다. 따라서 고객들이 자체 네트워크 또는 방화벽 설정을 변경할 필요가 없다. 안전한 브라우저 기반 통신이 가능하도록 포트 443이 기본적으로 설정되는 경우가 보통이기 때문이다.

샌들러는 "안전한 데이터 보호를 위한 조치를 취한 것과 프록시 구성을 제외하고는 IoT 계획 실행을 위한 네트워크 변경은 '최소한'이었다"며, "그러나 IoT 게이트웨이 개념에 접근할 때 영향을 최소화한다는 관점을 취했음을 지적하고자 한다"고 밝혔다.

로크웰은 산업 자동화에 대한 경험이 있고 게이트웨이에 연결된 기기 가운데 많은 수를 제작하고 있기 때문에 산업 장비와 클라우드 간의 끊김없는 연결을 보장한다. 이렇게 자신 있게 말할 수 있는 제조업체는 많지 않다.

샌들러는 "사실 중대한 관심을 기울여야 마땅한 분야"며, "오늘날 공장에서 가동 중인 산업 자동화 장비 중 대부분은 IoT 개념이나 클라우드보다 훨씬 오래 전에 도입되었다. 따라서 기존 기기에 추가로 연결한다거나 임의의 속도로 데이터를 요구한다면, 자동화 기기의 실제 공정 제어 능력에 타격을 줄 위험이 있다"고 말했다.

샌들러는 "IoT에 맞게 네트워크를 준비하려면 회사의 데이터 출처를 이해하는 솔루션 협력업체를 선택하라"며, "그렇지 않으면 게이트웨이와 제어 시스템 간의 네트워크에 중대한 영향을 미칠 수 있으며 자동화 자체에도 영향을 미칠 수 있다"고 조언했다.

또한, 게이트웨이 보안 전략이 반드시 회사 지침과 일치해야 한다. 샌들러는 "게이트웨이에서 아웃바운드 호출만 가능하고 안전한 특정 엔드포인트에 대해서만 가능하도록 한 전략의 목적은 외부의 위협이 공장 내부로 침투하는 위험을 최대한 막기 위해서이다. 물론 다른 방식으로 처리할 수도 있고 보안 관련해 고려해야 할 다른 사항도 있지만, 전반적인 네트워크 보안 전략에 게이트웨이가 일치하는지 반드시 확인해야 한다"고 설명했다.

IoT 기기, 대역폭 확보 위해 신중한 네트워크 구성 필요
IoT 기기를 배치하기 전에 철저히 테스트하는 것 역시 좋은 생각이지만 이로 인해 네트워크 인프라에 고유한 요구사항이 생긴다.
마리스트 대학(Marist College)이 한 신생업체와 진행 중인 선행 연구는 IoT 제품 및 서비스 개발의 마지막 단계에 와 있다. 이는 건강에 일정 수준 위험이 있는 사람이 착용한 센서로부터 직접 무선 접근을 통해 생체 디지털 건강 정보를 수집하는 기술이다.

체온, 심박동수 등 한 개인의 전반적인 건강을 나타내는 정보가 센서를 통해 수집된다. 시간 경과에 따라 이러한 활력 징후 측정치에 변동이 있다면 이를 예측 알고리즘을 통해 비교한다. 어느 한 가지 징후 또는 여러 가지를 합친 징후에 변화가 생긴다면 해당 개인의 건강이 나빠지고 있다는 의미로 해석될 수 있다. 모니터링 장치는 모니터링 시스템과 의료 서비스에 계속 연계되도록 무선 프로토콜을 이용해 지속적으로 데이터를 송출해야 한다.

마리스트 대학의 IT 담당 부회장이자 CIO인 빌 써스크는 "우리의 데이터 과학 연구자들에게는 수십 억 건의 이벤트에 해당하는 빅데이터를 이용해 고급 예측 프로세스를 개발하고 입증할 수 있는 기회가 있다. 뿐만 아니라, 머신러닝을 활용하고 발명품들을 추적하며 다양한 변수의 효과를 실시간으로 관찰할 수도 있다"고 전제하고 "영향력 있는 인지 컴퓨팅을 개발할 완벽한 환경이다"고 설명했다.

마리스트 대학이 네트워크의 관점에서 IoT 기기를 다루는 방식에는 기기의 다양성과 제조 사양이 큰 역할을 한다. 이들 기기는 칩셋이 서로 다르고, 특정 프로토콜이나 특정 무선 밴드를 사용하며, 보안 모범 사례를 가끔 무시하기도 하기 때문에, 이를 지원하는 네트워크를 제대로 개발하려면 어느 정도의 발품과 테스트가 필요하다.

마리스트 대학은 브로드컴(Broadcom) 칩를 사용해 와이파이(Wi-Fi)를 통해 전송하는 기기로 작업 중이다. 이 기기는 인지니어스(EnGenious) 방송 노드와 시스코(Cisco) 방송 노드를 모두 사용해 무선으로 연결된다. 마리스트 대학은 넷기어(Netgear) 스위치를 통해 연결된 구내 서버를 이용해 데이터를 수집하여 사전 처리하며 암호화한다.

넷기어 라우터는 SSL을 통해 보호되는 데이터를 인터넷을 통해 전송한다. 그런 다음 이 데이터는 마리스트의 주니퍼(Juniper) SRX 3600 시리즈 방화벽과 A10 부하 분산장치를 통해 수신된다. 예측 분석 서버에 수신된 기기 데이터를 기반으로 모델을 구축해 분석가들이 활용한다.

써스크는 "자체 네트워크를 물리적으로 변경할 필요는 없었지만 네트워크 구성은 재설계 해야 했다. 고객 쪽에 꾸준하고 안전한 전송이 보장되어야 했기 때문이다"며, "프로토콜과 채널을 번갈아 사용하는 여러 가지 기기와 보안 없이 '공개 스트리밍'만 가능한 기기를 찾아냈다"고 말했다.

다양한 기기로 소규모 그룹을 만들어 실험해볼 것도 권장했다. 써스크는 "사용자와 고객은 이것 저것 많은 기기를 네트워크에 연결하고자 할 것이기 때문에 이를 지원해야 하는 문제에 직면할 수밖에 없다"고 경고했다. "스마트 기기로 인해 생기는 대역폭 요건, 지원 가능한 암호화 종류, 이들 기기의 안정성 및 필요에 따른 업데이트 가능성 등을 파악해야 한다"고 강조했다.

예를 들어, 마리스트 대학은 라스베리 파이(Raspberry Pi)와 같이 비싸지 않은 소규모 기기들로 실험을 해 왔다. 다양한 USB 기반 네트워크 인터페이스 카드와 무선 어댑터, 블루투스(Bluetooth) 어댑터 등이 있는 시스템에서 어떻게 작동하는지 확인하기 위해서다. 기기에 필요한 대역폭 양과 얼마나 많은 간섭이 생기는지에 대한 정보를 수집하는 것이 목적이다.

기기 등록 역시 중요하다. 써스크는 "우리의 네트워크 팀은 ID 서비스와 통합되는 자체 포털 페이지를 제작했다"고 밝혔다. 사용자가 먼저 기기를 '등록'하면 접근이 허용되는 통제 집단 내에 배치된다. 그 후 마리스트 대학에서 생성한 SSID로 연결되도록 기기 설정이 가능하다. 보안 요건이 서로 다른 보호된 네트워크로부터 여러 종류의 기기를 따로 구분하기 위해 별도의 VLAN이 필요할 수도 있다.
써스크는 "많은 기기가 표준화되어 있지 않기 때문에 자체 식별 기능이 없다면 네트워크 상에서 식별하기 어려울 수 있다"고 설명했다.

IoT가 어느 정도 성공을 거두고 나면 물밀듯이 늘어날 연결 장치에 대비해야 한다. 써스크는 "기기 및 집단 가시성을 구축해야 한다. 그래야만 기기의 상태 파악과 보안 유지가 가능하며 기기 존재와 가치를 계속 확장할 수 있기 때문이다"고 설명했다.

IoT와 와이파이의 결합, 환자 추적에 도움
IoT 계획을 한 곳에 도입하는 것도 어려운데 동시에 여러 곳에 도입하려면 더욱 많은 테스트와 준비가 필요하다. 캐나다 온타리오 주 전역에 16곳의 장기 요양 및 은퇴자 입주 시설을 운영하는 슐레겔 빌리지(Schlegel Villages)는 최근 자체 네트워크를 전체적으로 정비했다. 아루바(Aruba) 기가비트 무선 접근점과 IoT 기기를 이용해 입주자들에게 POC(Point-of-Care) 서비스와 자동화된 음식 서비스를 제공하기 위해서다.

이 업체는 보안 카메라, 간호사 호출 시스템, 공조 시스템 등의 연결을 지원할 수 있도록 네트워크를 준비 중이다. 이러한 움직임의 일환으로 슐레겔은 노벨 이디렉토리(Novell eDirectory) 복수 지역 서버 배치에서 한 곳의 데이터센터에 있는 마이크로소프트 액티브 디렉토리(Microsoft Active Directory) 환경으로 이주하고 있다.

슐레겔의 정보기술 책임자 크리스 카르드는 "향후에는 아루바 접근점의 GPS 위치파악 기술을 활용 가능할 것으로 기대하고 있다. 분실된 장비의 위치를 파악할 수도 있고 건물 밖으로 나간 입주자들에 대해 통지를 받을 수도 있다"며, "이는 사람 목숨을 구하는 데 도움이 될 것이다"고 말했다.

슐레겔은 네트워크 업데이트의 일환으로 자체 스위치와 와이파이 접근점 일체를 업그레이드하고 있다. 구형 장비를 HPE 5130 스위치와 아루바 300 시리즈 접근점(대부분 아루바 AP 315s)으로 대체하는 것이다.

카르드는 "프로젝트가 끝날 때쯤이면 약 1,500개의 접근점, 16개의 컨트롤러, 50개의 스위치가 설치될 것"고 설명했다. "인터넷 접속에 장애가 있으면 내부 속도는 아무 의미가 없다. 따라서 당사는 기본 업무 회선에서 전용 광통신망으로 대규모 인터넷 서비스제공업체(IPS) 업그레이드를 진행 중이다. 16곳 사업장 전체를 오가는 데이터는 150Mbps, 당사 데이터센터에서는 1,000Mbps의 속도를 갖게 된다. 새 인프라를 통해 지원될 IoT로 입주민과 관리 직원들에게 보다 나은 보호와 서비스를 제공할 수 있게 될 것이다."

카르드는 "이와 더불어 아이패드(iPad) 기반의 새로운 임상 소프트웨어도 구현 중인데 안정적인 와이파이 연결과 성능이 필요하다"고 설명했다. 프로젝트가 완료되면 약 600대의 아이패드가 배치될 것이다. 또한, 슐레겔의 전 사업장에서 모니터를 통해 메뉴, 뉴스, 날씨를 표시해 주는 스케일라(Scala)라는 멀티미디어 제품을 도입 중이다. 카르드는 "IoT 전략을 세우고자 하는 조직이라면 어떤 종류의 기기를 연결해야 할 것인지 장기적으로 생각해 봐야 한다"고 조언했다.

카르드는 "인프라는 향후 수요를 충족할 수 있도록 쉽게 확장 가능해야 한다"며, "새로운 네트워크 인프라로 장애를 자초하는 것보다 더 답답한 것은 없다. 계획을 제대로 갖춘다면 튼튼하고 확장 가능한 네트워크를 설계할 수 있을 것이다"고 덧붙였다. editor@itworld.co.kr  
 Tags IOT

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.