연결된 기기와 데이터에 대한 비용 효율적인 보안 환경을 구축하는 것은 많은 기업에게 중요한 과제이다. 물론, 연결 및 통신에 대한 표준을 활용할 수도 있지만, 처음부터 해당 기기에 필요한 인증서와 키를 주입할 수 있다면 더 효과적이지 않을까?
대부분의 경우, 이러한 보안 영역은 제조 과정에서 이루어진다. 공장에는 고객이 인증기관 장비를 직접 운영할 수 있도록 안전한 공간이 마련되어 있다. 그러나 제품이 배치되는 환경에 따라 각기 다른 구성이 필요할 수 있으며, 이러한 보안 자산을 공장 현장에서 처리할 경우 새로운 과제가 발생하게 된다. 고객의 특화된 요구에 따라 맞춤형 소량 생산(Batch 단위)을 구축하는 것은 상당한 비용이 소모되고, 납기도 길어질 수 있다.
nRF 클라우드 보안 서비스(nRF Cloud Security Service)는 배포 단계에서 원격으로 기기를 네트워크에 등록할 수 있는 프로비저닝 솔루션을 제공한다. 이를 통해 일반적인 방식으로 기기를 생산할 수 있도록 제조 과정을 간소화하고, 제조 및 운영 환경에서 보안을 강화할 수 있다.
이 글에서는 nRF 클라우드 보안 서비스에 대한 개요와 이 서비스를 통해 어떻게 효율적으로 셀룰러 IoT를 개발할 수 있는지 살펴보고자 한다. 또한 실제 물품 보관함 적용 사례를 통해 이 서비스가 배포 프로세스를 어떻게 간소화하는지 알아보도록 하겠다.
nRF 클라우드 보안 서비스
노르딕 세미컨덕터(Nordic Semiconductor)의 nRF 클라우드 보안 서비스는 nRF9161 SiP를 기반으로 아이덴티티(Identity, 신원 확인) 및 프로비저닝 서비스를 제공하며, 암호화된 방식으로 사전에 생성된 기기 ID와 원격 무선(OTA) 프로비저닝 등의 독보적인 기능을 지원한다. 이러한 새로운 서비스를 이용하면, 제조 프로세스 중에 자체 클라우드 자격증명이나 기타 구성으로 기기를 프로비저닝할 필요가 없으며, 대신 기기가 배포될 때 이를 수행할 수 있다.
따라서 공장 현장에서 별도의 키를 생성할 필요가 없으며, 전 세계 어디서든 배포할 수 있는 범용 기기를 제조할 수 있게 된다. 공장에서 출고된 기기는 배포 환경에 따라 자산을 원격으로 프로비저닝할 수 있어 보다 원활한 제조 및 출하가 가능하다. 또한 일회성 적용이 아니라 필요할 때마다 기기를 다시 프로비저닝할 수 있어 제품의 수명주기 전반에 걸쳐 보안을 강화하고, 미래지향적인 환경을 구축할 수 있다.
서비스형 기기 아이덴티티
먼저, nRF 클라우드 보안 아이덴티티 서비스(nRF Cloud Secure Identity Service)에 대해 살펴보자. 이 서비스는 그 자체로 기기를 인증하는 데 사용할 수도 있지만, 보안 프로비저닝의 기초가 되기도 한다.
노르딕은 SiP 제조 과정에서 UUID(Universally Unique ID)를 SiP에 설정하고 보안 처리한다. 이러한 SiP는 내부적으로 ID 키 쌍을 생성하며, 여기에서 공개 ID 키를 내보낸 다음 아이덴티티 서비스에 저장하게 된다. 반면, 개인 ID 키는 SiP에서 실행되는 애플리케이션에서 접근할 수 없다. 기기의 신원을 확인해야 할 경우, 기기 애플리케이션은 신원 증명 토큰 또는 아이덴티티 JWT를 요청하게 되며, 이는 아이덴티티 서비스에 전달되어 공개키로 검증이 이루어진다.
따라서 자체 ID 자산 및 검증 시스템을 구축할 필요가 없다. 제조 과정에서 기기의 UUID를 저장하고, 기기의 인증서 확인을 통해 이를 검증할 수 있다. 이러한 방식으로 인증서를 일반화할 수 있으며, ID 증명을 기반으로 간단하게 기기 인증을 처리할 수 있다.
프로비저닝 서비스: 획기적인 혁신
이제 nRF 클라우드 보안 프로비저닝 서비스(nRF Cloud Secure Provisioning Service)를 살펴보자. nRF 클라우드 솔루션을 이용하면, 공장에서 기기가 출고된 이후, 선택한 클라우드에 기기를 온보딩할 수 있도록 프로비저닝을 배포 단계로 전환할 수 있다. 보안 프로비저닝은 이에 필요한 모든 기능을 제공한다. 통합을 최소화하는 사전에 구현된 nRF 디바이스(nRF Device) 프로비저닝 라이브러리와 프로비저닝 구성을 관리하고 모니터링하는 웹 UI(Web UI, nRF 클라우드 포털)를 비롯해 여러 기기에 대한 배포 구성을 자동화하는 프로비저닝 규칙, 그리고 툴 및 서비스와 통합할 수 있는 REST API 등을 지원한다.
기기를 배포할 때, 프로비저닝 규칙의 타깃 조건으로 사용할 수 있는 하나 이상의 태그를 설정할 수 있다. 이 규칙에는 서비스에서 설정한 명령을 실행하는 구성도 포함되어 있다. 기기가 연결되면, 해당 기기를 위해 특별히 설정한 단일 구성을 적용하거나 타깃으로 설정한 규칙을 적용할 수 있다. 또한 nRF 디바이스 프로비저닝 라이브러리를 이용해 해당 애플리케이션에서 기기의 구성 및 규칙을 확인하는 빈도를 설정할 수도 있다. 이외에도, 보안 관리를 위해 순환 키 사용과 같은 구성을 적용할 수 있다.
보안 프로비저닝을 통해 미래지향적인 시스템을 구축할 수 있다. 특히, 원활한 비즈니스 성장을 위해 기기를 새로운 지역으로 리디렉션하거나 자격증명을 제거하여 사용이 종료된 기기를 안정적으로 폐기할 수도 있다.
사후 프로비저닝 프로세스: 물품 보관함 구축 사례
물품 보관함 사례를 통해 이 서비스의 기술적 측면을 좀 더 살펴보도록 하겠다. 물품 보관함은 일정 기간 물품을 보관할 수 있도록 제공되는 자동화된 사물함으로, 보통 식료품점이나 쇼핑센터 등에서 이용할 수 있다. 일반적으로 택배 물품과 같은 상품이 보관함으로 배송되면, 수령자는 코드를 이용해 물건을 찾을 수 있다.
이러한 사례의 경우, 제조업체는 여러 국가의 우체국이나 택배회사에 판매되는 물품 보관함을 제작해야 한다. 따라서 제조사가 공장에서 물품 보관함의 모듈을 생산하더라도, 납품되는 지역을 정확히 알기 어렵다.
이러한 프로비저닝 프로세스는 기기에서 생성된 신원 증명 토큰을 이용해 기기의 소유권을 확인하는 것에서 시작되어야 한다. 이러한 소유권 확인을 통해 해당 nRF 클라우드 팀에 기기를 연결하여 다른 사람이 기기의 소유권을 주장하거나 프로비저닝하는 것을 방지할 수 있다.
만약 여러분이 핀란드 우편국과 물품 보관함 공급 계약을 체결했다고 가정해 보자. 신규 고객의 온보딩 작업의 일환으로, 핀란드 우편국 네트워크에 배포되는 기기에 대한 특정 프로비저닝 규칙, 즉 인증서와 서비스 주소 및 자격증명을 정의해야 할 것이다. 또한 식료품점과 같은 장소에 물품 보관함을 설치한 후, 현장의 엔지니어가 태그를 지정하게 된다. 이 태그는 배치된 기기의 운영 방식에 따라 보관함 위치, 매장 주소, 기기 모델 등이 될 수 있다.
마지막으로, 현장 엔지니어가 기기에 플러그를 연결하면 보관함이 부팅된다. 보관함이 nRF 클라우드 프로비저닝 서비스에 연결되고, 태그를 기반으로 프로비저닝 규칙이 트리거되면 기기의 프로비저닝 구성에 새로운 명령이 추가된다. 이 명령이 실행되면, 해당 기기는 핀란드 우편국 서비스에 연결하는 데 필요한 모든 보안 자산을 갖추게 된다. 또한 보안 프로비저닝을 통해 키 값 구성을 설정할 수도 있다. 예를 들어, ‘localization’:‘FIN’을 정의하여 UI가 우편 서비스 브랜딩과 일치하도록 만들 수 있다.
결론
nRF 클라우드 보안 서비스는 직접적으로 데이터를 보호하는 것은 아니지만, 간단한 방법으로 보안을 구축할 수 있도록 지원한다. 이는 인증서 서명 및 키를 즉각적으로 처리할 필요 없이, 대량생산 이후 각 배포 환경에 따라 자산을 프로비저닝할 수 있도록 한다. 이러한 새로운 기능은 타깃 클라우드 변경 및 키 순환을 통해 기기의 수명주기 전반에 걸쳐 탁월한 유연성을 제공하고, 보안을 강화할 수 있도록 지원한다.
![[위클리 스마트] "보청기에 청력검사까지"…난청인 위한 휴대전화의 진화](https://stock.mk.co.kr/photos/20241102/AKR20241101070700017_02_i_P4.jpg)
![배달도 인명구조도 하늘길로… 中 ‘저고도 경제’ 높이 난다 [세계는 지금]](https://img.segye.com/content/image/2024/10/31/20241031515716.jpg)