BRSKI (Bootstrapping Remote Secure Key Infrastructure, RFC 8995)
개요
IoT 기기 수가 폭발적으로 증가하면서, 네트워크에 연결되는 디바이스의 **보안 온보딩(secure onboarding)**은 중요한 과제가 되었습니다. 기존 수동 방식은 확장성이 부족하고 보안 취약점이 존재합니다. 이를 해결하기 위해 IETF는 **BRSKI(Bootstrapping Remote Secure Key Infrastructure)**를 RFC 8995로 표준화하였습니다. BRSKI는 자동화된 보안 인증 절차를 통해 기기 온보딩을 단순화하고 신뢰성을 강화합니다.
1. 개념 및 정의
BRSKI는 새로운 네트워크 기기가 보안적으로 신뢰할 수 있는 방식으로 자동 등록(bootstrapping)될 수 있도록 하는 프로토콜입니다. IEEE 802.1AR의 **DevID(Device Identity)**와 PKI 기반 인증서를 활용하여 기기와 네트워크 간의 상호 신뢰를 보장합니다.
주요 목적은 IoT 및 네트워크 기기의 안전하고 자동화된 초기 등록 및 인증입니다.
2. 특징
| 특징 | 기존 수동 온보딩 | BRSKI (RFC 8995) |
| 인증 방식 | 수동 설정, 비밀번호 기반 | PKI 인증서 기반 자동 등록 |
| 확장성 | 수백~수천 기기 관리 어려움 | 대규모 IoT 환경 지원 |
| 보안성 | 취약 (MITM 공격 가능) | TLS 및 DevID 기반 강력한 보안 |
| 자동화 | 제한적 | 완전 자동화 지원 |
BRSKI는 특히 제로 터치(Zero-Touch) 프로비저닝을 지원하여, 대규모 IoT 네트워크에서 핵심 기술로 주목받고 있습니다.
3. 구성 요소
| 구성 요소 | 설명 | 역할 |
| Pledge (기기) | 새로 네트워크에 연결되는 장치 | BRSKI 절차 시작 |
| Registrar | 네트워크의 등록 서버 | 기기 인증 및 승인 |
| MASA (Manufacturer Authorized Signing Authority) | 제조사 권한 서버 | 기기 DevID 확인 및 신뢰 검증 |
| PKI | 공개키 인프라 | 인증서 발급 및 관리 |
이 구성 요소는 IoT 환경에서 **신뢰 체인(trust chain)**을 형성합니다.
4. 기술 요소
| 기술 요소 | 설명 | 관련 스택 |
| IEEE 802.1AR DevID | 고유 기기 ID 인증 | BRSKI 기초 기술 |
| PKI 인증서 | 공개키 기반 인증 | 기기·서버 간 신뢰 수립 |
| EST(Enrollment over Secure Transport) | TLS 기반 인증서 등록 프로토콜 | 보안 채널 제공 |
| RFC 8995 | BRSKI 표준 문서 | IETF 정의 |
BRSKI는 기존 네트워크 보안 표준과 긴밀히 연계되어 있습니다.
5. 장점 및 이점
| 장점 | 설명 | 기대 효과 |
| 보안 강화 | PKI·DevID 기반 인증 | 네트워크 침입 위험 감소 |
| 자동화 | 제로 터치 프로비저닝 | 운영 비용 절감 |
| 확장성 | 대규모 IoT 기기 지원 | 스마트 시티·산업 IoT 활용 |
| 표준화 | RFC 8995 기반 글로벌 표준 | 상호운용성 확보 |
BRSKI는 보안과 운영 효율성을 동시에 달성합니다.
6. 주요 활용 사례 및 고려사항
| 활용 사례 | 설명 | 고려사항 |
| 스마트 시티 | 수천 개 IoT 센서 보안 온보딩 | PKI 인프라 구축 필요 |
| 산업 IoT | PLC·게이트웨이 자동 등록 | 제조사 MASA 서버 신뢰 확보 |
| 기업 네트워크 | 신규 장비 보안 등록 | 기존 인증 시스템과 통합 |
도입 시, PKI 운영, MASA 서버 신뢰성, 네트워크 인프라 통합을 고려해야 합니다.
7. 결론
**BRSKI(RFC 8995)**는 IoT 및 네트워크 기기 보안 온보딩을 위한 핵심 표준으로, 자동화·보안성·확장성을 동시에 제공합니다. 스마트 시티, 산업 IoT, 기업 환경 등 다양한 분야에서 보안 강화를 위한 필수 기술로 자리잡고 있습니다.