2018.01.16

'통제 불능' IoT 보안, 이젠 백기사가 필요하다

Jon Gold | Network World
미라이(Mirai) 봇넷 공격 덕분에(?) 사물인터넷(IoT) 기기가 기업 네트워크에 심각한 위협이라는 점을 모두가 알게 됐다. 그러나 봇넷이 세상을 떠들썩하게 한지 1년여가 지났음에도 IoT 보안은 여전히 현실이 아니라 개념 수준에 머물러 있다.



프로스트 앤드 설리번의 IoT 리서치 이사 딜립 새런건은 이제 정부가 개입할 시점이라고 주장했다. 그는 "현재 IoT 보안의 책임은 기기 제조업체와 네트워크 업체, 소프트웨어 개발업체 등으로 널리 분산돼 있다. 업계가 자율적으로 이 모든 것을 아우르는 보안 표준을 만들기 어려운 이유다. 이제 최소한의 보안 기준을 실제적으로 강제할 능력을 갖춘 것은 정부 뿐이다"라고 말했다.

IoT 보안 표준을 만들기 힘든 또다른 이유는 대부분 IoT 솔루션이 방대한 수의 기기로 구성됐기 때문이다. 심지어 각 기기가 여러 업체에 의해 분산 관리되는 경우도 있다. 예를 들어 병원 전체에서 사용하는 의료기기라면 A 기업이 공급하고, B 기업이 네트워크에 연결하며, 그 소프트웨어는 C 기업이 만들고, 수집되는 데이터는 D 업체의 클라우드에 저장되는 식이다.

새런건은 "많은 IoT 보안 업체가 엔드투엔드 보안을 제공한다고 주장한다. 그러나 이런 상황에서는 실제로 엔드투엔드 보안을 구현할 방법이 없다. 결국 IoT 시스템의 많은 부분이 통제 불능 상태에 놓이는 것이다"라고 말했다.

네트워크 가시성
네트워킹 측면에서 보면 IoT 적용에 사용할 수 있는 선택 사항 대부분이 장단점이 있다. 예를 들어 셀룰러 네트워크는 와이파이, 지그비(ZigBee), 다른 WAN보다 보안이 좋다. 그러나 네트워크에서 어떤 일이 벌어지고 있는지 볼 수 있는 가시성은 다른 네트워크보다 떨어진다.

가시성은 그 자체로 보안 문제가 될 수 있다. 앞으로는 통신사가 더 강력한 기기 관리 기능을 제공하는 데 필수적이기도 하다. 새런건은 "IoT 기기 형태와 보내려는 정보의 종류, 보내려는 지역, 활용하려는 목적 등을 알지 못하면 완벽하게 보안 조치를 할 수 없다"라고 말했다.

네트워크 가시성을 높이는 것은 전력망과 인터넷 인프라에 대한 해킹 같은 최악의 경우를 예방하는 데도 매우 중요하다. 그는 "그동안 많은 해킹이 일었지만 사실 핵심 인프라에 대한 해킹은 심각하지 않았다. 이유가 있다. 스마트 그리드 같은 핵심 인프라는 프라이빗 네트워크로 구축했기 때문이다"라고 말했다.

IoT 기기의 바다
IoT 보안과 관련한 또다른 심각한 위협은 품질 관리의 부족과 IoT 네트워크 내에서 사용 중인 구형 기기다. 특히 10년 이상 된 하드웨어는 초기 설계 단계에서 인터넷 연결을 고려하지 않고 개발됐기 때문에 현대의 보안 위협에 온전히 혼자 대응해야 한다. 이런 부분에서 심각한 위협이 발생할 수 있다. 그는 "현재 전 세계에 보급된 IoT 기기가 100억 대에 달한다. 이 중 상당수가 1992년에 만들어졌다"라고 말했다.

더욱이 IoT 기기를 만드는 업체가 많이 늘어나면서 품질 관리 관련한 우려도 커지고 있다. 일반적으로 알려진 것은 아마존이나 마이크로소프트, 구글 같은 큰 기업의 스마트홈 제품이지만 전체 IoT 제품 생태계는 이보다 훨씬 더 넓다.

특히 중국에는 화웨이와 샤오미 같은 유명한 업체 외에 저가 IoT 기기를 만드는 수많은 기업이 있다. 이들은 스피커와 추적기, 냉장고, 자전거 잠금장치 같은 것을 만들어 내고 있다.

새런건은 "하드웨어를 만드는 이름 없는 중소기업이 수백 개에 달한다. 이들이 만든 기기들이 보안 되지 않은 와이파이 네트워크에 무분별하게 접속돼 있어 이미 심각한 보안 위협이 됐다. 이 제품을 구매한 미국인 대부분이 이들 라우터에 대해 보안 조치를 하지 않는다. 실제로 일부 기기에서 숨겨진 백도어가 발견되기도 했다"라고 말했다. ciokr@idg.co.kr



2018.01.16

'통제 불능' IoT 보안, 이젠 백기사가 필요하다

Jon Gold | Network World
미라이(Mirai) 봇넷 공격 덕분에(?) 사물인터넷(IoT) 기기가 기업 네트워크에 심각한 위협이라는 점을 모두가 알게 됐다. 그러나 봇넷이 세상을 떠들썩하게 한지 1년여가 지났음에도 IoT 보안은 여전히 현실이 아니라 개념 수준에 머물러 있다.



프로스트 앤드 설리번의 IoT 리서치 이사 딜립 새런건은 이제 정부가 개입할 시점이라고 주장했다. 그는 "현재 IoT 보안의 책임은 기기 제조업체와 네트워크 업체, 소프트웨어 개발업체 등으로 널리 분산돼 있다. 업계가 자율적으로 이 모든 것을 아우르는 보안 표준을 만들기 어려운 이유다. 이제 최소한의 보안 기준을 실제적으로 강제할 능력을 갖춘 것은 정부 뿐이다"라고 말했다.

IoT 보안 표준을 만들기 힘든 또다른 이유는 대부분 IoT 솔루션이 방대한 수의 기기로 구성됐기 때문이다. 심지어 각 기기가 여러 업체에 의해 분산 관리되는 경우도 있다. 예를 들어 병원 전체에서 사용하는 의료기기라면 A 기업이 공급하고, B 기업이 네트워크에 연결하며, 그 소프트웨어는 C 기업이 만들고, 수집되는 데이터는 D 업체의 클라우드에 저장되는 식이다.

새런건은 "많은 IoT 보안 업체가 엔드투엔드 보안을 제공한다고 주장한다. 그러나 이런 상황에서는 실제로 엔드투엔드 보안을 구현할 방법이 없다. 결국 IoT 시스템의 많은 부분이 통제 불능 상태에 놓이는 것이다"라고 말했다.

네트워크 가시성
네트워킹 측면에서 보면 IoT 적용에 사용할 수 있는 선택 사항 대부분이 장단점이 있다. 예를 들어 셀룰러 네트워크는 와이파이, 지그비(ZigBee), 다른 WAN보다 보안이 좋다. 그러나 네트워크에서 어떤 일이 벌어지고 있는지 볼 수 있는 가시성은 다른 네트워크보다 떨어진다.

가시성은 그 자체로 보안 문제가 될 수 있다. 앞으로는 통신사가 더 강력한 기기 관리 기능을 제공하는 데 필수적이기도 하다. 새런건은 "IoT 기기 형태와 보내려는 정보의 종류, 보내려는 지역, 활용하려는 목적 등을 알지 못하면 완벽하게 보안 조치를 할 수 없다"라고 말했다.

네트워크 가시성을 높이는 것은 전력망과 인터넷 인프라에 대한 해킹 같은 최악의 경우를 예방하는 데도 매우 중요하다. 그는 "그동안 많은 해킹이 일었지만 사실 핵심 인프라에 대한 해킹은 심각하지 않았다. 이유가 있다. 스마트 그리드 같은 핵심 인프라는 프라이빗 네트워크로 구축했기 때문이다"라고 말했다.

IoT 기기의 바다
IoT 보안과 관련한 또다른 심각한 위협은 품질 관리의 부족과 IoT 네트워크 내에서 사용 중인 구형 기기다. 특히 10년 이상 된 하드웨어는 초기 설계 단계에서 인터넷 연결을 고려하지 않고 개발됐기 때문에 현대의 보안 위협에 온전히 혼자 대응해야 한다. 이런 부분에서 심각한 위협이 발생할 수 있다. 그는 "현재 전 세계에 보급된 IoT 기기가 100억 대에 달한다. 이 중 상당수가 1992년에 만들어졌다"라고 말했다.

더욱이 IoT 기기를 만드는 업체가 많이 늘어나면서 품질 관리 관련한 우려도 커지고 있다. 일반적으로 알려진 것은 아마존이나 마이크로소프트, 구글 같은 큰 기업의 스마트홈 제품이지만 전체 IoT 제품 생태계는 이보다 훨씬 더 넓다.

특히 중국에는 화웨이와 샤오미 같은 유명한 업체 외에 저가 IoT 기기를 만드는 수많은 기업이 있다. 이들은 스피커와 추적기, 냉장고, 자전거 잠금장치 같은 것을 만들어 내고 있다.

새런건은 "하드웨어를 만드는 이름 없는 중소기업이 수백 개에 달한다. 이들이 만든 기기들이 보안 되지 않은 와이파이 네트워크에 무분별하게 접속돼 있어 이미 심각한 보안 위협이 됐다. 이 제품을 구매한 미국인 대부분이 이들 라우터에 대해 보안 조치를 하지 않는다. 실제로 일부 기기에서 숨겨진 백도어가 발견되기도 했다"라고 말했다. ciokr@idg.co.kr

X