영국 반도체 설계자산(IP) 기업인 ARM은 인터시드(Intercede), 솔라시아(Solacia), 시만텍(Symantec) 등과 공동으로, 산업, 홈, 의료 서비스 및 교통과 같이 다양한 분야에서 수십 억 대의 커넥티드 디바이스를 겨냥한 보안 위협 평가를 진행했다. 조사 결과에 따르면, 시스템 레벨의 RoT(Root of Trust)를 구축하지 않은 시스템은 보안 침해 공격을 받을 수 있는 것으로 밝혀졌다.
이러한 보안 위협에 대응하고자 ARM은 파트너사들과 함께 보안 아키텍처(Secure Architecture)에 신뢰할 수 있는 코드 관리를 결합한 OTrP(Open Trust Protocol)을 구축하기로 결정했다. OTrP 구축을 위해 스마트폰 및 태블릿과 같은 대중적인 디바이스상에서의 대규모 뱅킹 및 민감한 데이터 애플리케이션에 사용되어 입증된 기술들을 활용한다.
OTrP는 악의적인 공격으로부터 모바일 컴퓨팅 기기를 보호하도록 설계된 ARM TrustZone 기반 보안실행환경(TEE: Trusted Execution Environments)과 같은 보안 솔루션과 연동되는 최고 수준의 관리 프로토콜이다. 이 프로토콜은 프로토타이핑 및 테스트 목적으로 IETF 웹사이트에서 다운로드 받을 수 있다.
이 프로토콜은 중앙집권화된 데이터베이스 없이도, 기존의 e커머스 보안 아키텍처를 재사용하여 신뢰할 수 있는 소프트웨어를 관리할 수 있도록 지원하는 상호 운영 가능한 개방형 표준 구축을 위해 준비하고 있다. 해당 관리 프로토콜은 공개키 기반구조(PKI: Public Key Infrastructure)와 인증 기관(CA: Certificate Authority) 기반의 트러스트 아키텍처와 함께 사용된다.
이를 통해 통신 서비스 제공업체, 앱 개발 업체, 그리고 OEM 업체들은 자사 고유의 키(key)를 통해 신뢰할 수 있는 소프트웨어 및 자산을 인증하거나 관리할 수 있게 되었다. OTrP는 상위 레벨(High level)의 간단한 프로토콜로서 TEE나 RSA 암호화 기술을 적용한 마이크로컨트롤러 기반 플랫폼에 매우 쉽게 추가될 수 있다.
OTrP는 IETF 정보 참고용으로 접근 가능하며, 추가적인 개발은 이를 상호 운영 가능한 표준으로서 널리 채택하도록 장려할 수 있는 표준 제정 기구에 의해 추진하도록 한다는 계획이다.
ARM 보안 시스템 부문 부사장인 마크 카넬(Marc Canel)은 “IoT 세계에서 모든 디바이스 및 서비스 제공업체들은 반드시 상호간의 신뢰를 구축해야 한다. 통신 서비스 제공업체는 자사 시스템과 호환되는 디바이스의 보안을 구축해야 하는데, OTrP는 이를 간단한 방법으로 이뤄낸다. 이를 통해 e커머스 트러스트 아키텍처(e-commerce trust architecture)와 기존 플랫폼과 손쉽게 통합할 수 있는 최고 수준의 프로토콜을 제공한다”고 설명했다.
OTrP 연대 주주 협정(Joint Stakeholder Agreement)에 속한 다른 회원들로는 빈포드(Beanpod), 시퀴터 랩스(Sequitur Labs), 스프린트(Sprint), 썬더소프트(Thundersoft), 트러스트케널(Trustkernel) 및 베리매트릭스(Verimatrix)가 있다.
