2014.08.29

위험한 놈들이 몰려온다... IoT가 뒤흔들 3가지 보안 관행

Jonathan Lampe | CSO

필자는 휴대폰과 태블릿에 아무 이상이 없는 상태로 데프콘(DEFCON)에서 돌아왔다. 그러나 조명 전구를 가져가지 않았던 것을 다행으로 생각하고 있다. 리눅스가 탑재된 스마트 LED 전구를 가져갔더라면, 지금쯤이면 누군가의 소프트웨어가 실행되고 있을지도 모른다.

오늘날 IoT 디바이스를 가능한 빨리 출시하기 위해 박차를 가하는 회사들이 수백 곳에 달한다. 이런 회사 중에는 '예산'문제에 시달리고, IoT 구성요소의 잠재력을 완벽하게 이해하지 못하며, 보안에는 크게 신경을 쓰지 않는 회사들이 적지 않다.

그 결과, 십수 년 전 구축된 네트워크와 웹, 물리적 보안 환경만을 염두에 둔 채 출시된 기기가 수백 만 대에 달한다. 다음과 같은 특징을 가진 IoT 디바이스가 출현을 하고 있는 것이다.

- 기본값으로 설정된 비밀번호가 '1234'와 같이 단순하다.
- 텔넷(Telnet) 등과 같이 취약한 서비스가 탑재돼 있다.
- 펌웨어는 (스푸핑이 쉬운) HTTP 호출에 의지한다.
- 웹 애플리케이션은 사용자가 쉽게 인증을 회피할 수 있도록 되어 있다.
- 기타 보안 업계가 십여 년 전에 다루었던 취약성이 존재한다.



이를 해결해 줄 '도움'이 있을까?
일부 회사와 조직은 자신들의 보안에 위협이 될 수 있는 IoT 디바이스가 많다는 사실을 깨닫기 시작했다. 이들 일부 조직들은 안전하지 못한 수많은 IoT 디바이스에 맞서 싸울 선견지명과 용기를 갖고 있다. 그러나 여전히 그렇지 못한 회사가 대다수다. 참조할 만한 가이드는 다음과 같다.

- 현재 개발자와 IoT 벤더들은 'IoT 취약점 10가지(Top 10 IoT Vulnerability)'라는 가이드를 입수해 참조할 수 있다. 이는 과거 '웹 취약점 10가지'라는 리스트를 발표한 OWASP와 빌트IT시큐어(BuiltItSecure.ly)라는 리소스 사이트가 일부 인기 IoT 플랫폼을 대상으로 한 보안 베스트 프랙티스를 깊이 조사해 개발한 가이드다.

- 또 소비자와 사업체의 경우 IoT 보안 연구소(Internet of Things Security Laboratory) 등의 단체가 기기 구매와 관련해 의사결정을 내릴 수 있도록 '해커빌리티(hackability)를 기준으로 디바이스를 평가한 리스트를 제시하고 있다.

기존의 보안 관행에는 어떤 영향을 미칠까?
보안을 우려하는 IT 분야의 종사자라면 '고가치' 환경에서 이미 오랜 기간 수백 만 차례 검증이 된 보안 베스트 프랙티스에 친숙할 것이다. 이 중 3가지 보안 베스트 프랙티스를 꼽자면 다음과 같다.

- 내부 자원을 튼튼한 방화벽 내부에서 보호한다.
- 인터넷과 통신을 하는 애플리케이션을 DMZ 내부에 위치시켜, 아웃바운드 웹 트래픽을 프록시 처리하고, 이메일을 릴레이 한다.
- 크리덴셜 관리를 중앙화하고, 공유 인증 서비스를 이용한다 (SSO 또는 통합 로그인).

IoT 기술에서 가장 흔한 특징 중 하나는 '파괴성(Disrputive)'이다. '파괴성'이라는 용어를 접하면 흔히 기존 회사의 시장점유율 위협이나, 유사한 목적의 다른 애플리케이션 대체재를 떠올릴 것이다. 그러나 IoT에 적용되는 파괴성이란 기존에 잘 정립된 보안 관행 다수를 위협한다는 의미다. 다음은 IoT가 위협을 초래할 수 있는 보안 관행 3가지다.




2014.08.29

위험한 놈들이 몰려온다... IoT가 뒤흔들 3가지 보안 관행

Jonathan Lampe | CSO

필자는 휴대폰과 태블릿에 아무 이상이 없는 상태로 데프콘(DEFCON)에서 돌아왔다. 그러나 조명 전구를 가져가지 않았던 것을 다행으로 생각하고 있다. 리눅스가 탑재된 스마트 LED 전구를 가져갔더라면, 지금쯤이면 누군가의 소프트웨어가 실행되고 있을지도 모른다.

오늘날 IoT 디바이스를 가능한 빨리 출시하기 위해 박차를 가하는 회사들이 수백 곳에 달한다. 이런 회사 중에는 '예산'문제에 시달리고, IoT 구성요소의 잠재력을 완벽하게 이해하지 못하며, 보안에는 크게 신경을 쓰지 않는 회사들이 적지 않다.

그 결과, 십수 년 전 구축된 네트워크와 웹, 물리적 보안 환경만을 염두에 둔 채 출시된 기기가 수백 만 대에 달한다. 다음과 같은 특징을 가진 IoT 디바이스가 출현을 하고 있는 것이다.

- 기본값으로 설정된 비밀번호가 '1234'와 같이 단순하다.
- 텔넷(Telnet) 등과 같이 취약한 서비스가 탑재돼 있다.
- 펌웨어는 (스푸핑이 쉬운) HTTP 호출에 의지한다.
- 웹 애플리케이션은 사용자가 쉽게 인증을 회피할 수 있도록 되어 있다.
- 기타 보안 업계가 십여 년 전에 다루었던 취약성이 존재한다.



이를 해결해 줄 '도움'이 있을까?
일부 회사와 조직은 자신들의 보안에 위협이 될 수 있는 IoT 디바이스가 많다는 사실을 깨닫기 시작했다. 이들 일부 조직들은 안전하지 못한 수많은 IoT 디바이스에 맞서 싸울 선견지명과 용기를 갖고 있다. 그러나 여전히 그렇지 못한 회사가 대다수다. 참조할 만한 가이드는 다음과 같다.

- 현재 개발자와 IoT 벤더들은 'IoT 취약점 10가지(Top 10 IoT Vulnerability)'라는 가이드를 입수해 참조할 수 있다. 이는 과거 '웹 취약점 10가지'라는 리스트를 발표한 OWASP와 빌트IT시큐어(BuiltItSecure.ly)라는 리소스 사이트가 일부 인기 IoT 플랫폼을 대상으로 한 보안 베스트 프랙티스를 깊이 조사해 개발한 가이드다.

- 또 소비자와 사업체의 경우 IoT 보안 연구소(Internet of Things Security Laboratory) 등의 단체가 기기 구매와 관련해 의사결정을 내릴 수 있도록 '해커빌리티(hackability)를 기준으로 디바이스를 평가한 리스트를 제시하고 있다.

기존의 보안 관행에는 어떤 영향을 미칠까?
보안을 우려하는 IT 분야의 종사자라면 '고가치' 환경에서 이미 오랜 기간 수백 만 차례 검증이 된 보안 베스트 프랙티스에 친숙할 것이다. 이 중 3가지 보안 베스트 프랙티스를 꼽자면 다음과 같다.

- 내부 자원을 튼튼한 방화벽 내부에서 보호한다.
- 인터넷과 통신을 하는 애플리케이션을 DMZ 내부에 위치시켜, 아웃바운드 웹 트래픽을 프록시 처리하고, 이메일을 릴레이 한다.
- 크리덴셜 관리를 중앙화하고, 공유 인증 서비스를 이용한다 (SSO 또는 통합 로그인).

IoT 기술에서 가장 흔한 특징 중 하나는 '파괴성(Disrputive)'이다. '파괴성'이라는 용어를 접하면 흔히 기존 회사의 시장점유율 위협이나, 유사한 목적의 다른 애플리케이션 대체재를 떠올릴 것이다. 그러나 IoT에 적용되는 파괴성이란 기존에 잘 정립된 보안 관행 다수를 위협한다는 의미다. 다음은 IoT가 위협을 초래할 수 있는 보안 관행 3가지다.


X