2015.03.13

IoT가 안겨줄 3가지 보안 과제

Jennifer Lonoff Schiff | IDG News Service

HP가 2014년에 발표한 '사물인터넷 연구(Internet of Things Research Study)' 보고서에 따르면, 흔히 사용되는 IoT 장치 가운데 패스워드 보안, 승인, 암호화 측면의 취약점을 보유한 장치가 70%에 달한다.

HP의 엔터프라이즈 보안 제품인 포티파이(Fortify) 담당 부사장 겸 총괄 매니저인 마이크 아미스테드는 "사물 인터넷 기술이 무수히 많은 사물과 시스템을 연결해 통합시키겠지만, 이로 인해 공격 지형 또한 커질 것이다. 공격이 증가할 것이며 이를 방어하는 작업이 결코 쉽지 않을 것”이라고 말했다.

그렇다면 IoT와 관련해 경계해야 할 도전과제는 뭘까? 다음은 기존과는 다른 인터넷 연결 장치를 사용할 때 직면할 중대한 도전 3가지와 중요 데이터를 보호할 방법이다.



도전 1: 불법 감시/프라이버시 침해 가능성
인포섹 인스터튜트(InfoSec Institute) 다니엘 디모프 보안 연구원은 (자동차, 장난감, 가전제품 등) 여러 장치에 설치된 인터넷 연결 모듈이 불법 감시에 악용될 수 있다고 지적했다. 그는 “예를 들어 인터넷에 연결된 출입문 자물쇠를 이용해 사람들이 집에 들어가고 나간 시간을 감시할 수 있다"라며, 스마트 TV와 아이들을 돌볼 때 쓰는 모니터 장치도 감시에 악용될 수 있다고 설명했다.

디모프는 "이런 위협이 현실화된다. 자동차, 의료 기기, 장난감에 설치된 몇몇 인터넷 연결 모듈에서 취약점이 발견됐다. 이런 종류의 위험이 가능함을 알려주는 증거다"라고 덧붙였다.

사진과 비디오 편집 소프트웨어 개발사인 아크소프트(ArcSoft)의 캐롤라인 티엔-스팰딩 마케팅 수석 디렉터는 "인터넷 연결 기기를 사기에 앞서 각자 조사를 해야 한다. 데이터가 보호되고 암호화되어 있을까? 어디에 저장될까? 퍼블릭 스트림과 관련된 옵션 기능이 들어있을까? 이런 질문을 물어야 한다"라고 말했다.

클라우드용 보안, 컴플라이언스 솔루션을 공급하는 얼럿 로직(Alert Logic)의 '위협 연구(Threat Research)' 담당 스티븐 코티 디렉터는 "IoT 공격을 막을 수 있는 한 가지 방법은 네트워크를 분리시키는 것이다. 예를 들어, PC와 모바일 장치 네트워크와 IoT 장치 네트워크를 별개로 구성한다. 그러면 IoT 장치가 감염되어도 위협에 대한 노출을 줄일 수 있다"라고 조언했다.

그는 이어 "우리 집에는 3개 네트워크가 있다. IoT 장치용, 가족들의 개인 기기용, 내가 업무에 사용하는 워크스테이션과 서버용 네트워크이다"라고 덧붙였다.

시만텍(Symantec) 사물인터넷 부문 켄트 맥멀렌 시니어 디렉터는 "IoT 장치를 설치한 즉시 연결된 장치의 비밀번호를 변경해야 한다. 대다수 연결 장치는 IP 주소를 갖고 있기 때문에, 해커들이 여기에 접근할 방법을 찾을 수 있다. 기업과 소비자 모두 IoT 장치 설치 즉시 기본 사용자 이름과 비밀번호를 변경하고, 이를 정기적으로 바꿔 보안 수준을 올릴 수 있다”라고 설명했다.

네트워크 보안 회사인 포티넷(Fortinet) 산하 포티가드 위협 조사 및 대응 연구소(FortiGurard Threat Research and Response Labs)의 아미르 라크하니 보안 전략가도 유사한 조언을 전했다.

그는 "IoT 장치에는 가능한 특이하고 복잡한 비밀번호를 생성해 사용해야 한다(예, 대문자와 소문자를 섞고, 숫자와 특수문자를 포함시킨 비밀번호). 간단한 비밀번호와 인증 방법만 이용해, 공격자들이 데이터 스트림을 '도청'할 수 있는 IoT 장치가 많다"라고 말했다.

도전 2: 기업 데이터와 네트워크 보안에 위협 요소
루메타(Lumeta)의 레지 베스트 최고 제품 책임자(CPO)는 "IoT를 도입할 때 기업은 네트워크 보안을 각별히 경계해야 한다. 네트워크 연결성 기능이 탑재된 장치들은 데이터 유출에 악용될 수 있는 백도어 연결과 DDoS 등 보안 위험을 초래할 수 있는 문제를 갖고 있다"라고 강조했다.

그는 "IT 관리자가 IoT 장치의 유형과 위치한 네트워크를 파악해야 한다. 예를 들어, 스마트폰이 무선 게스트 네트워크에 연결된다면 정상적으로 간주할 수 있다. 그러나 스마트 냉장고가 카드 결제용 네트워크에 연결된다면 경계해야 하는 것"이라고 설명했다.




2015.03.13

IoT가 안겨줄 3가지 보안 과제

Jennifer Lonoff Schiff | IDG News Service

HP가 2014년에 발표한 '사물인터넷 연구(Internet of Things Research Study)' 보고서에 따르면, 흔히 사용되는 IoT 장치 가운데 패스워드 보안, 승인, 암호화 측면의 취약점을 보유한 장치가 70%에 달한다.

HP의 엔터프라이즈 보안 제품인 포티파이(Fortify) 담당 부사장 겸 총괄 매니저인 마이크 아미스테드는 "사물 인터넷 기술이 무수히 많은 사물과 시스템을 연결해 통합시키겠지만, 이로 인해 공격 지형 또한 커질 것이다. 공격이 증가할 것이며 이를 방어하는 작업이 결코 쉽지 않을 것”이라고 말했다.

그렇다면 IoT와 관련해 경계해야 할 도전과제는 뭘까? 다음은 기존과는 다른 인터넷 연결 장치를 사용할 때 직면할 중대한 도전 3가지와 중요 데이터를 보호할 방법이다.



도전 1: 불법 감시/프라이버시 침해 가능성
인포섹 인스터튜트(InfoSec Institute) 다니엘 디모프 보안 연구원은 (자동차, 장난감, 가전제품 등) 여러 장치에 설치된 인터넷 연결 모듈이 불법 감시에 악용될 수 있다고 지적했다. 그는 “예를 들어 인터넷에 연결된 출입문 자물쇠를 이용해 사람들이 집에 들어가고 나간 시간을 감시할 수 있다"라며, 스마트 TV와 아이들을 돌볼 때 쓰는 모니터 장치도 감시에 악용될 수 있다고 설명했다.

디모프는 "이런 위협이 현실화된다. 자동차, 의료 기기, 장난감에 설치된 몇몇 인터넷 연결 모듈에서 취약점이 발견됐다. 이런 종류의 위험이 가능함을 알려주는 증거다"라고 덧붙였다.

사진과 비디오 편집 소프트웨어 개발사인 아크소프트(ArcSoft)의 캐롤라인 티엔-스팰딩 마케팅 수석 디렉터는 "인터넷 연결 기기를 사기에 앞서 각자 조사를 해야 한다. 데이터가 보호되고 암호화되어 있을까? 어디에 저장될까? 퍼블릭 스트림과 관련된 옵션 기능이 들어있을까? 이런 질문을 물어야 한다"라고 말했다.

클라우드용 보안, 컴플라이언스 솔루션을 공급하는 얼럿 로직(Alert Logic)의 '위협 연구(Threat Research)' 담당 스티븐 코티 디렉터는 "IoT 공격을 막을 수 있는 한 가지 방법은 네트워크를 분리시키는 것이다. 예를 들어, PC와 모바일 장치 네트워크와 IoT 장치 네트워크를 별개로 구성한다. 그러면 IoT 장치가 감염되어도 위협에 대한 노출을 줄일 수 있다"라고 조언했다.

그는 이어 "우리 집에는 3개 네트워크가 있다. IoT 장치용, 가족들의 개인 기기용, 내가 업무에 사용하는 워크스테이션과 서버용 네트워크이다"라고 덧붙였다.

시만텍(Symantec) 사물인터넷 부문 켄트 맥멀렌 시니어 디렉터는 "IoT 장치를 설치한 즉시 연결된 장치의 비밀번호를 변경해야 한다. 대다수 연결 장치는 IP 주소를 갖고 있기 때문에, 해커들이 여기에 접근할 방법을 찾을 수 있다. 기업과 소비자 모두 IoT 장치 설치 즉시 기본 사용자 이름과 비밀번호를 변경하고, 이를 정기적으로 바꿔 보안 수준을 올릴 수 있다”라고 설명했다.

네트워크 보안 회사인 포티넷(Fortinet) 산하 포티가드 위협 조사 및 대응 연구소(FortiGurard Threat Research and Response Labs)의 아미르 라크하니 보안 전략가도 유사한 조언을 전했다.

그는 "IoT 장치에는 가능한 특이하고 복잡한 비밀번호를 생성해 사용해야 한다(예, 대문자와 소문자를 섞고, 숫자와 특수문자를 포함시킨 비밀번호). 간단한 비밀번호와 인증 방법만 이용해, 공격자들이 데이터 스트림을 '도청'할 수 있는 IoT 장치가 많다"라고 말했다.

도전 2: 기업 데이터와 네트워크 보안에 위협 요소
루메타(Lumeta)의 레지 베스트 최고 제품 책임자(CPO)는 "IoT를 도입할 때 기업은 네트워크 보안을 각별히 경계해야 한다. 네트워크 연결성 기능이 탑재된 장치들은 데이터 유출에 악용될 수 있는 백도어 연결과 DDoS 등 보안 위험을 초래할 수 있는 문제를 갖고 있다"라고 강조했다.

그는 "IT 관리자가 IoT 장치의 유형과 위치한 네트워크를 파악해야 한다. 예를 들어, 스마트폰이 무선 게스트 네트워크에 연결된다면 정상적으로 간주할 수 있다. 그러나 스마트 냉장고가 카드 결제용 네트워크에 연결된다면 경계해야 하는 것"이라고 설명했다.


X