Can your cell phone, toy drone, or robot vacuum suddenly turn into a lethal weapon?
Cybersecurity experts around the world have hailed Israel’s pager exploit last month targeting nearly 3000 Hezbollah operatives via their electronic pagers, as a brilliant counterintelligence move. But the incident is also a grim reminder that a world built on connectivity can pose multiple threats as well as blessings-not only to our privacy but also to our safety. It’s time to make a sober assessment of what the options are for safeguarding the coming Internet of Things.
In the final analysis, the IoT revolution will benefit from another taking place at the same time: that of quantum technology.
The Internet of Things (IoT) is that vast universe of interconnected “smart” devices that includes refrigerators and air conditioners as well as industrial sensors that monitor the power grid. It includes the GPS software in our automobiles as well as traffic surveillance cameras and commercial drones. The global IoT market, which has been growing at 26.9% for several years now, shows no signs of slowing-according to Market Data Forecast, it’s projected to reach $875 billion by 2025. One highly credible estimate is that there will be over 29 billion IoT devices worldwide by 2030.
Overall, this brave new world of connectivity brings new risks we’ve only begun to understand-let alone taken serious steps to address.
 |
| Hezbollah militants rely on pagers for communication, believing that these devices are less vulnerable to hacking compared to modern smartphones. According to reports, the AR-924 models, bearing the logo of Gold Apollo, a Taiwanese pager manufacturing company, are the devices that exploded.[source: X] |
Placing limits on what IoT products come from China, as former U.S. Congressman Mike Gallagher has argued in the Wall Street Journal along with many others, seems a sensible step.
But it’s only a step. The truth is, no national cyber strategy can be complete unless it addresses the overall threat-and looks at the new technologies that can mitigate that threat.
Businesses have learned to use interconnected devices to track goods moving from inventory to customers. Factories use them for monitoring production, and farmers to automate irrigation and check on livestock. They’ve become a daily part of our lives, from “smart” heating and air-conditioning and Pelaton workout gear to robot vacuum cleaners-not to mention commercially made drones.
Since the majority of the 390,000 recreational drones used in the U.S. are made by a Chinese commercial company, DJI, Congress decided to pass a ban on DJI drones in June. Concerns about Chinese-made IoT devices include Chinese surveillance cameras operating in US shipyards, and lithium-ion batteries for EV’s manufactured in China.
A U.S. Congresswoman from West Virginia, Carol Miller (R-WV), has introduced a bill to ban Chinese components for EV’s.
 |
| At least nine people were killed and over 2,700 people including Tehran's ambassador in Beirut injured after hundreds of pagers exploded across Lebanon. [source: X] |
Until recently the concern about Chinese-made IoT components, like those in DJI drones, has centered on whether these devices could be used for snooping and gathering information and data.
Now we have to ask, whether devices like iPhones that rely on components made in China by America’s most formidable foe, could be put to a more lethal-even explosive- purpose.
The Hezbollah pager story suggests we need to take this scenario seriously.
For that reason, there are three priorities governments as well as the private sector, to deal regarding security risks posed by IoT.
The first is the most obvious: be aware of where a device is made, and where its key components came from-and not only in China. This is another reason why reshoring American electronic manufacturing, or at least “strategic reshoring,” i.e. buying from trusted allies like South Korea or Japan, is not just a good idea economically, but a national security necessity.
Even more important, however, is developing a IoT cybersecurity strategy that incorporates the most advanced technologies, including quantum technology.
Let’s be forthright: the vast majority of today’s IoT devices come with no built-in security. To correct this, an IoT cybersecurity strategy will center first on defending the networks on which those devices depend.
Those measures will have to protect against data breaches; side-channel attacks, i.e. when an attacker is able to gather information by observing the effects of a program’s execution on its hardware or other systems; or simple failures to update whatever encryption is necessary to keep those networks secure and private. But given the explosive growth of the IoT market; it’s unlikely that even a sophisticated network-based cybersecurity plan is going to keep track of every threat to every device scattered across the country, or even across the globe. Even moving the network to the Cloud won’t defeat an adversary determined to use our smart phones or automobile GPS to create havoc, or worse.
 |
| An SK Telecom employee holding a 5x5mm quantum random number generation(QRNG) chip at the 'National Quantum Cryptography Communication Test Network' located in SK Telecom's Bundang office. [Sourse : SK Telecom] |
The truth is, the biggest IT security companies like Crowdstrike and Palo Alto Networks have been far behind the curve of the IoT revolution. Above all, they’ve been slow in turning to the next generation of cybersecurity, offered by the advent of quantum technology.
For example, one solution is adopting the kind of post-quantum cryptography exemplified by the algorithms just approved by the National Institute of Standards and Technology (NIST). These complex algorithms are designed to defeat future quantum computer hackers; but they can be just as effective at defeating present-day hackers and network intruders.
Another, potentially less cumbersome, method is using quantum-based cryptography to create unhackable communication links between devices and their operators. This has the advantage of relying on a physical component, i.e. a quantum random number generator, small enough to fit into any electronic device, through which the network can send a constantly changing quantum key for encrypted communication. (Samsung, for example, installed such a QRNG device in its 5G smart phones starting in 2021).
Companies like Canada’s Quantum eMotion are showing it’s possible to use these random-generating components to send/receive messages that are 100% unhackable and secure-while using generators that are small enough to fit into the average IoT device. Using its electron tunneling technology, Ouantum eMotion is specifically targeting the IoT as well as 56 communications market.
Meanwhile, other commercial companies are looking to stake a claim in a QRNG market that (according to a IQT research report), will grow to $14 billion by 2030.
Quantum cryptography is also the approach China is taking to protect its data and networks-a significant warning to everyone else, including the U.S. government.
Still, there is no single solution to dealing with the future security risks associated with IoT. Instead, government and industry will require a multi-layered approach, from conventional cybersecurity to DLT and quantum cryptography, in order to avoid having the IoT universe become a cyber threat that-like the Hezbollah pagers-blows up in our faces.
ARTHUR HERMAN is Senior Fellow at the Hudson Institute and author of Freedom’s Forge: How American Business Produced Victory in World War II. He is also Director of the Quantum Alliance Initiative.
‘삐삐 테러’의 섬뜩한 경종
우리의 휴대폰이나 장난감 드론, 로봇 청소기가 돌연 살상 무기로 변한다면 어떨까?
지난달 이스라엘이 헤즈볼라 조직원 약 3000명을 표적으로 무선호출기(일명 삐삐)를 폭파한 것을 두고 전 세계 사이버 보안 전문가들은 기발한 방첩 작전이라고 평가했다. 그러나 이 사건은 세상이 서로 연결되면 좋은 점도 있는 반면 사생활과 안전, 모든 면에서 여러 가지 위협이 발생할 수 있다는 섬뜩한 경종을 울린다. 확산하는 사물인터넷을 보호하려면 어떻게 해야 할지 냉정하게 평가해 볼 때다.
결국, 사물인터넷 혁명은 옆에서 일어나고 있는 다른 혁명, 즉 양자 기술 혁명의 반사이익을 얻을 것이다.
사물인터넷은 냉장고와 에어컨, 전력망을 모니터하는 산업용 센서 등 상호 연결된 “스마트” 기기들이 이루는 광활한 세계다. 차량용 GPS(위치정보 시스템) 소프트웨어, 교통 감시카메라, 상업용 드론(무인항공기)도 여기에 포함된다. 전 세계 사물인터넷 시장은 최근 몇 년간 연 26.9%씩 성장했지만, 아직 멈출 기미가 보이지 않는다. 시장조사업체 마켓 데이터 포캐스트(Market Data Forecast)는 이 시장이 2025년에 8750억 달러 규모로 커질 것으로 전망했다. 신뢰성 높은 추정치에 따르면 2030년까지 세계적으로 사물인터넷 기기는 290억 개를 넘을 것이다.
넓게 보면, 연결성이 가져온 이 멋진 신세계에는 새로운 위험이 곳곳에 도사리고 있지만, 우리는 진정성 있는 대책을 실행하기는 커녕 이제 겨우 위험을 인지하기 시작했다.
예를 들어 미국은 사물인터넷을 구성하는 기기를 중국이 주도적으로 제조한다는 사실에 점점 더 경계심을 드러내고 있다. 2020년 차이나 텔레콤 미국법인(China Telecom Americas)의 모회사인 차이나텔레콤은 향후 5년 이내에 중국이 이런 기기의 95%를 제조하게 될 것으로 추정했다. 이런 기기에 어떤 소프트웨어나 악성 코드가 몰래 설치될 수 있는지, 혹은 중국 제조사, 중국 정부 혹은 정보기관에 어떻게 은밀히 연결될 수 있는지는 정부나 사이버보안 업계 모두 아직 제대로 파악하지 못했다.
다른 이들을 비롯해 마이크 갤러거 전 미국 하원의원이 월스트리트저널에서 주장한 것처럼, 중국산 사물인터넷 제품에 대한 제재는 합리적인 듯 하다.
|
| 헤즈볼라 무장 세력은 무선 호출기가 최신 스마트폰에 비해 해킹에 덜 취약하다고 믿고 통신을 위해 무선 호출기에 의존하고 있다. 보도에 따르면 대만의 호출기 제조 회사인 골드 아폴로의 로고가 새겨진 AR-924 모델이 지난 17일(현지시간) 폭발한 기기다. [X캡처] |
기업은 상호 연결된 기기를 활용하는 법을 익혀 상품이 창고에서 고객에게 전달되는 과정을 추적한다. 공장은 이 기기들을 이용해 생산 과정을 모니터링하며, 농업 종사자들은 관개를 자동화하고 가축을 확인한다. 상용 드론은 물론이고 “스마트” 난방·공조 시스템, 운동기구, 로봇 청소기 할 것 없이 이런 연결된 기기들은 이미 우리 일상 깊숙히 들어와 있다.
미국에서 사용되는 레저용 드론 39만 대 대부분이 중국 사기업인 DJI에서 제조된다. 그러자 지난 6월 미 의회는 DJI 드론에 대한 사용 금지 법안을 처리했다. 미국이 걱정하는 중국산 사물인터넷 기기에는 미국 조선소에서 사용되는 중국산 감시 카메라와 중국에서 제조된 전기차용 리튬이온 배터리도 있다. 미국 공화당 소속 캐럴 밀러 하원의원(웨스트버지니아)은 중국산 전기차 부품을 금지하는 법안을 발의했다.
우려하고 있는 곳은 미국만이 아니다. 중국전략위험연구소(CSRI)와 영국의 코얼리션 온 시큐어 테크놀로지(Coalition on Secure Technology)는 공동 연구 결과를 통해 중국산 전기차 부품이 매우 위험할 수 있다고 경고했다. 그들은 “중국의 군산복합체와 관계가 있다고 의심되는 공급업체들의 경우, 영국 도로에서 정체를 일으키는 등 내장형 무선 부품이 ‘무기화’될 소지가 있어,특히 위험하다”고 밝혔다.
|
| 지난 17일(현지시간) 레바논 거점 지역 헤즈볼라 테러의 표적이 된 무선호출기(왼쪽 사진)와 테러 직후 파괴된 무선 호출기 잔해 [X 캡처] |
이제는 아이폰처럼 미국의 최대 적국 중국에서 만든 부품을 사용하는 기기가 더 큰 살상과 폭파에 동원될 가능성을 염려해야 한다.
헤즈볼라 삐삐 폭발 사건을 계기로 우리는 이 가능성을 본격적으로 검토해야 한다.
그런 이유로, 정부와 민간 부문 모두 사물인터넷에 따른 보안 위험과 관련해 세 가지 사항을 중점적으로 다뤄야 한다.
첫째, 당연한 말이지만, 중국이 아니더라도 기기와 그 핵심 부품이 어디에서 제조되는지 알고 있어야 한다. 따라서 미국이 해외로 나간 전자제품 제조업을 국내로 불러들이거나 “전략적 리쇼어링(Strategic Reshoring)”을 통해 한국, 일본 등 신뢰할 수 있는 우방에서 전자제품을 구입하는 것은 경제적으로도, 국가 안보 차원에서도 필수적이다.
그러나 이보다 훨씬 중요한 사항은 사물인터넷 사이버보안 전략을 세울 때 양자 기술을 비롯한 최첨단 기술을 반영하는 것이다.
솔직히 말하면, 오늘날 대부분의 사물인터넷 기기에는 보안 기능이 내장되어 있지 않다. 이 문제를 바로잡으려면 사물인터넷 사이버 보안 전략을 수립할 때 먼저 그런 기기가 사용되는 네트워크를 어떻게 방어할 것인지부터 고민해야 한다.
이를 통해 데이터 침해, 부채널 공격(프로그램이 실행될 때 하드웨어나 기타 시스템이 받는 영향을 관찰해 정보를 수집하는 경우), 단순하게는 네트워크의 보안과 개인정보 보호에 필요한 암호화 업데이트 실패 등을 막아야 한다. 그러나 사물인터넷 시장이 폭발적으로 성장하는 지금, 제아무리 정교한 네트워크 기반의 사이버 보안 계획이라도 전국 혹은 전 세계에 흩어져 있는 모든 장치의 모든 위협을 추적하기는 어렵다. 네트워크를 클라우드로 옮긴다 해도, 상대가 스마트폰이나 차량용 GPS를 이용해 혼란을 일으키거나 더 나쁜 일을 자행하려고 마음먹으면 물리치지 못할 것이다.
|
| SK텔레콤 분당사옥에 위치한 ‘양자암호통신 국가시험망’에서 SK텔레콤 직원이 5x5mm 크기의 양자난수생성(QRNG) 칩을 들고 있다. [SK텔레콤 제공] |
사실 크라우드스트라이크, 팰로앨토 네트웍스 등 세계 최대 IT 보안 기업들은 사물인터넷 혁명에서 한참 뒤처져 있다. 무엇보다 이들은 아직도 양자 기술과 함께 등장한 차세대 사이버보안 기술로 완전히 전환하지 못했다.
예컨대, 한 가지 해결책은 미국 국립표준기술연구소(NIST)가 최근 승인한 알고리즘과 같이 양자내성암호를 채택하는 것이다. 이런 복잡한 알고리즘의 목적은 앞으로 나타날 양자 컴퓨터 해커를 막는 것이지만, 지금 존재하는 해커와 네트워크 침입자도 그만큼 효과적으로 방어할 수 있다.
이보다 비교적 간단할 수도 있는 다른 해결책은 양자 기반 암호화를 적용해 기기와 운영자 간에 해킹 이 불가능한 통신 링크를 구성하는 것이다. 이 방법의 장점은 전자기기에 작은 하드웨어 부품인 양자난수생성기를 탑재하고 네트워크가 이 전자기기를 통해 계속 변경된 양자 키를 전송하기 때문에 암호화된 통신이 가능하다는 것이다(가령 삼성은 2021년부터 5G 스마트폰에 양자난수생성(QRNG) 칩을 탑재했다.)
캐나다의 퀀텀 이모션(Quantum eMotion) 같은 기업은 일반적인 사물인터넷 기기에 들어갈 만큼 작은 난수생성기를 이용해 100% 해킹 불가능하고 안전하게 메시지를 송수신할 수 있음을 보여준다. 퀀텀 이모션은 자체적인 전자 터널링 기술을 이용해 사물인터넷과 5G 및 6G 통신 시장을 겨냥하고 있다.
한편, QRNG 시장을 공략하려는 민간 기업들도 있다. IQT의 연구에 따르면, QRNG 시장은 2030년에 140억 달러까지 성장할 전망이다.
중국 역시 자국의 데이터와 네트워크를 보호하기 위해 양자 암호화를 사용한다. 미국 정부를 비롯한 다른 이들이 경각심을 느낄 만한 대목이다.
그러나 한 가지 방법만 가지고는 사물인터넷을 둘러싼 미래의 보안 위험을 전부 해결할 수 없다. 사물인터넷 세상이 헤즈볼라 삐삐 테러처럼 우리 눈앞에서 폭발하는 사이버 위협이 되지 않게 막으려면 정부와 산업계가 전통적인 사이버 보안 기술부터 분산원장기술, 양자 암호화까지 여러 방법을 동원해다각적으로 문제에 접근해야 한다.
