2017.02.14

기고 | 당신의 IoT 보안은 허술하다, 왜냐면…

Bob Violino | CSO
사물인터넷(IoT)에 수반되는 본질적인 보안 위험 경고가 계속 들려온다. 여기서 그치지 않고, 실제 IoT와 관련한 사고까지 발생하고 있다. 많은 기업이 연결된 기기에서 IoT 데이터를 수집하기 시작하면서 중요한 질문 하나가 제기됐다. 바로 데이터와 네트워크를 충분히 안전하게 보호하고 있느냐다.


보안 카메라 

보안 전문가들은 모바일 기기의 성장과 디지털 엔터프라이즈의 확장 때문에 많은 일을 했다고 생각할지 모르겠다. 그렇지만 명심해야 할 점이 있다. 제품과 기업 자산, 차량, 기타 사물이 연결되면서 보안 적용 범위가 완전히 새로운 단계로 확대되고 있다는 사실이다.

미국 연방정부 기관과 민간기업들 사이의 가교 역할을 하는 ICIT(Institute for Critical Infrastructure Technology)가 2016년 12월에 발표한 보고서는 기업들이 IoT를 매개체로 삼는 디도스에 아주 취약하다고 지적했다.

이 보고서에 따르면, 사이버 범죄자의 IoT 기기 취약점에 대한 통제력이 확대되는 추세다. 이런 IoT 기기 취약점은 계층화된 공격을 위한 ‘DDoS-for-Hire’ 서비스에 악용될 수 있다.

그런데 IoT는 계속 범위가 확산되고 있다. 451리서치(451 Research)가 2016년 8~10월 전세계의 기업 IT 구매자 약 1,000여 명을 대상으로 조사한 결과, 현재 IoT 전략을 위해 데이터를 수집하고 있다는 답변은 71%에 달한다. 기업들은 앞으로 1년 동안 IoT 기술 투자를 33% 확대할 전망이다. 또한 90%는 향후 12개월 동안 IoT 투자를 늘릴 계획이다. 2016년 대비 IoT 관련 투자를 25%~50% 확대하겠다는 답변은 40%에 달했다.

하지만 보안은 여전히 우려 사항으로 남아있다. IoT 구현의 가장 큰 장애물로 보안을 꼽은 비율이 약 절반이었다.

이번 보고서의 주요 저자인 451리서치의 로라 디디오 조사 담당 이사는 "IoT 보안의 필요성과 중요성은 절대 과장이 아니라고 생각한다. 기기와 사람, 애플리케이션이 서로 연결된 IoT 환경에서 공격 표면이나 공간이 사실상 무한대로 확장될 수 있다. 곳곳에 위협이 존재한다. 기업과 산하 IT 부서가 여유를 부리지 말고 두려워해야 도움이 되는 상황이다"고 강조했다.

디디오에 따르면, 모든 IoT 애플리케이션과 프로세스, 기기가 취약하다. 그녀는 "IoT의 경우 여러 기기에서, 규칙을 따르지 않고 보안을 적용하지 않은 부주의한 사용자 한 명이 아주 튼튼하고 엄중한 보안 메커니즘과 대책들을 무력화할 수 있다"고 덧붙였다.

시들리 오스틴(Sidley Austin LLP)에서 개인정보, 데이터 보안, 정보 법무 부문 공동 책임자로 주로 IoT를 담당하는 에드 맥니콜라스는 IoT 기기의 가장 큰 보안 위협이 기기를 서로 연결해야 하는 데에서 비롯되는 본질적인 위험과 관련이 있다고 설명했다.


IoT 보안의 필요성과 중요성은 절대 과장이 아니다
맥니콜라스는 "여러 회사가 다양한 스마트 기술을 정말 다양한 사물과 통합하고 있다. 이때 신기술을 사용하는 사례가 많다. 이런 기기들의 시장화를 앞당겨야 한다는 압박감, 여러 다양한 다른 기기들과 통신할 수 있는 기능이 악용될 수 있는 '구멍'을 만들고, 조직의 공격 표면을 크게 확대한다"고 말했다.

연결된 기기의 보안 위험을 크게 높이는 요인들이 여럿 존재한다.

컨설팅업체인 프로티비티(Protiviti)에서 보안 및 개인정보 부문 글로벌 책임자 겸 매니징 디렉터로 일하는 스콧 라리버트는 "인터넷 연결 기기 같이 공격 표면이 더 넓은 기기들은 두말할 나위 없이 위험을 증가시킨다"고 말했다.

또 다른 요인은 이런 기기들이 증가하고 있다는 것이다. 라리버트는 "기기 도입이 증가하면서 악당들이 이를 표적으로 삼을 가능성도 높아질 것이다. 이론적으로 공격자들은 더 큰 영향을 초래해 더 큰 보상을 받을 수 있는 기기들에 초점을 맞출 것이다"고 말했다.

2017.02.14

기고 | 당신의 IoT 보안은 허술하다, 왜냐면…

Bob Violino | CSO
사물인터넷(IoT)에 수반되는 본질적인 보안 위험 경고가 계속 들려온다. 여기서 그치지 않고, 실제 IoT와 관련한 사고까지 발생하고 있다. 많은 기업이 연결된 기기에서 IoT 데이터를 수집하기 시작하면서 중요한 질문 하나가 제기됐다. 바로 데이터와 네트워크를 충분히 안전하게 보호하고 있느냐다.


보안 카메라 

보안 전문가들은 모바일 기기의 성장과 디지털 엔터프라이즈의 확장 때문에 많은 일을 했다고 생각할지 모르겠다. 그렇지만 명심해야 할 점이 있다. 제품과 기업 자산, 차량, 기타 사물이 연결되면서 보안 적용 범위가 완전히 새로운 단계로 확대되고 있다는 사실이다.

미국 연방정부 기관과 민간기업들 사이의 가교 역할을 하는 ICIT(Institute for Critical Infrastructure Technology)가 2016년 12월에 발표한 보고서는 기업들이 IoT를 매개체로 삼는 디도스에 아주 취약하다고 지적했다.

이 보고서에 따르면, 사이버 범죄자의 IoT 기기 취약점에 대한 통제력이 확대되는 추세다. 이런 IoT 기기 취약점은 계층화된 공격을 위한 ‘DDoS-for-Hire’ 서비스에 악용될 수 있다.

그런데 IoT는 계속 범위가 확산되고 있다. 451리서치(451 Research)가 2016년 8~10월 전세계의 기업 IT 구매자 약 1,000여 명을 대상으로 조사한 결과, 현재 IoT 전략을 위해 데이터를 수집하고 있다는 답변은 71%에 달한다. 기업들은 앞으로 1년 동안 IoT 기술 투자를 33% 확대할 전망이다. 또한 90%는 향후 12개월 동안 IoT 투자를 늘릴 계획이다. 2016년 대비 IoT 관련 투자를 25%~50% 확대하겠다는 답변은 40%에 달했다.

하지만 보안은 여전히 우려 사항으로 남아있다. IoT 구현의 가장 큰 장애물로 보안을 꼽은 비율이 약 절반이었다.

이번 보고서의 주요 저자인 451리서치의 로라 디디오 조사 담당 이사는 "IoT 보안의 필요성과 중요성은 절대 과장이 아니라고 생각한다. 기기와 사람, 애플리케이션이 서로 연결된 IoT 환경에서 공격 표면이나 공간이 사실상 무한대로 확장될 수 있다. 곳곳에 위협이 존재한다. 기업과 산하 IT 부서가 여유를 부리지 말고 두려워해야 도움이 되는 상황이다"고 강조했다.

디디오에 따르면, 모든 IoT 애플리케이션과 프로세스, 기기가 취약하다. 그녀는 "IoT의 경우 여러 기기에서, 규칙을 따르지 않고 보안을 적용하지 않은 부주의한 사용자 한 명이 아주 튼튼하고 엄중한 보안 메커니즘과 대책들을 무력화할 수 있다"고 덧붙였다.

시들리 오스틴(Sidley Austin LLP)에서 개인정보, 데이터 보안, 정보 법무 부문 공동 책임자로 주로 IoT를 담당하는 에드 맥니콜라스는 IoT 기기의 가장 큰 보안 위협이 기기를 서로 연결해야 하는 데에서 비롯되는 본질적인 위험과 관련이 있다고 설명했다.


IoT 보안의 필요성과 중요성은 절대 과장이 아니다
맥니콜라스는 "여러 회사가 다양한 스마트 기술을 정말 다양한 사물과 통합하고 있다. 이때 신기술을 사용하는 사례가 많다. 이런 기기들의 시장화를 앞당겨야 한다는 압박감, 여러 다양한 다른 기기들과 통신할 수 있는 기능이 악용될 수 있는 '구멍'을 만들고, 조직의 공격 표면을 크게 확대한다"고 말했다.

연결된 기기의 보안 위험을 크게 높이는 요인들이 여럿 존재한다.

컨설팅업체인 프로티비티(Protiviti)에서 보안 및 개인정보 부문 글로벌 책임자 겸 매니징 디렉터로 일하는 스콧 라리버트는 "인터넷 연결 기기 같이 공격 표면이 더 넓은 기기들은 두말할 나위 없이 위험을 증가시킨다"고 말했다.

또 다른 요인은 이런 기기들이 증가하고 있다는 것이다. 라리버트는 "기기 도입이 증가하면서 악당들이 이를 표적으로 삼을 가능성도 높아질 것이다. 이론적으로 공격자들은 더 큰 영향을 초래해 더 큰 보상을 받을 수 있는 기기들에 초점을 맞출 것이다"고 말했다.

X