2018.04.23

IoT 보안 취약점을 줄이는 기본 팁 10가지

Jon Gold | Network World
사물인터넷(IoT) 기기를 기업 네트워크에 연결할 때 많은 보안 취약점이 발생한다는 것은 이미 널리 알려져 있다. 여기 이런 실수 대부분을 피할 수 있는 간단한 팁을 제시한다.



OTA(Online Trust Alliance)가 조언하는 이 10가지 팁은 기업이 IoT 기술을 이용할 때 유용하다. 보안 위협에 더 안전한 기업 인프라를 만들 수 있다. 이 팁은 주로 보안이 취약한 기기를 인식하고 이에 대한 접속을 최소화하는 데 초점을 맞추고 있다. 성공적인 IoT 보안 전략을 수립하는 핵심은 실제 기업 네트워크에 접속해 사용되는 기기가 무엇인지, 이들 기기가 어떤 권한을 가졌는지, 초기부터 이들 기기의 보안을 강화하는 방법이 무엇인지 정확히 아는 것이다. 주요 내용은 다음과 같다.

1. 모든 기기의 암호는 기본값에서 변경해야 한다. 기본 암호를 그대로 유지한 기기는 절대 사용해선 안되며 그 권한은 기기가 역할을 할 수 있는 범위 내에서 최소한으로 해야 한다.
2. 홈네트워크를 사용하라. 백엔드와 클라우드를 포함해 이들 네트워크로 가는 모든 것은 실제 기업 환경에서 사용하기에 앞서 충분히 검토돼야 한다.
3. IoT 기기를 위한 별도 네트워크를 사용하는 것이 좋다. 방화벽 뒤에 두고 세심하게 모니터링이 가능해야 한다. 이렇게 하면 보안이 허술한 기기가 기업의 핵심 네트워크와 리소스에 접근할 가능성을 차단할 수 있다.
4. 필요 없는 기능은 사용하지 마라. OTA는 스마트 TV를 화면으로만 사용하는 사례를 들었다. 이 경우 확실하게 마이크와 외부 연결 기능을 차단해야 한다.
5. 물리적인 위험에 대비하라. 공장 초기화 스위치가 달린 모든 기기에 대한 것이다. 오픈 포트 또는 기본 암호는 보안에 취약하다.

6. 와이파이 네트워크를 자동으로 제공하는 것은 좋은 생각이 아니다. 혹시 이런 방식으로 작동하는 기기가 있는지 점검하라.
7. IoT 기기로 들어오는 트래픽을 모두 막을 수 없다면 소프트웨어 포트가 열려 있지 않도록 확실히 해야 한다. 해커가 이를 이용해 기기를 장악할 수 있기 때문이다.
8. 암호화는 항상 옳다. IoT 기기가 주고 받는 데이터를 암호화하는 기능을 지원한다면 바로 사용하라.
9. 업데이트의 중요성은 두말하면 잔소리다. 매달 직접 확인하거나 기기가 자동으로 업데이트하든 상관없다. 패치를 계속해서 적용해야 한다. 업데이트를 받을 수 없는 기기는 사용하지 않는 것이 좋다.
10. 가장 중요한 것은 제조업체가 더이상 기술지원을 하지 않는 기기를 사용하지 않는 것이다. 보안을 제공하지 않는 기기도 마찬가지다.

OTA는 지난 2005년 업계의 이익단체로 출범했다. 주로 이메일 기반 보안 위협과 스팸에 대한 대응 작업을 담당했다. 이후 이 단체의 목표는 계속 변화해 현재는 IoT를 포함해 매우 다양한 기술 관련 업무를 담당하고 있다. 2012년 501(c)3 비영리조직으로 인정받은 후에는 대형 표준화 기구인 인터넷 협회(Internet Society)에 흡수됐고 2017년 10월 인터넷 협회의 하부 조직으로 편입됐다. ciokr@idg.co.kr 
2018.04.23

IoT 보안 취약점을 줄이는 기본 팁 10가지

Jon Gold | Network World
사물인터넷(IoT) 기기를 기업 네트워크에 연결할 때 많은 보안 취약점이 발생한다는 것은 이미 널리 알려져 있다. 여기 이런 실수 대부분을 피할 수 있는 간단한 팁을 제시한다.



OTA(Online Trust Alliance)가 조언하는 이 10가지 팁은 기업이 IoT 기술을 이용할 때 유용하다. 보안 위협에 더 안전한 기업 인프라를 만들 수 있다. 이 팁은 주로 보안이 취약한 기기를 인식하고 이에 대한 접속을 최소화하는 데 초점을 맞추고 있다. 성공적인 IoT 보안 전략을 수립하는 핵심은 실제 기업 네트워크에 접속해 사용되는 기기가 무엇인지, 이들 기기가 어떤 권한을 가졌는지, 초기부터 이들 기기의 보안을 강화하는 방법이 무엇인지 정확히 아는 것이다. 주요 내용은 다음과 같다.

1. 모든 기기의 암호는 기본값에서 변경해야 한다. 기본 암호를 그대로 유지한 기기는 절대 사용해선 안되며 그 권한은 기기가 역할을 할 수 있는 범위 내에서 최소한으로 해야 한다.
2. 홈네트워크를 사용하라. 백엔드와 클라우드를 포함해 이들 네트워크로 가는 모든 것은 실제 기업 환경에서 사용하기에 앞서 충분히 검토돼야 한다.
3. IoT 기기를 위한 별도 네트워크를 사용하는 것이 좋다. 방화벽 뒤에 두고 세심하게 모니터링이 가능해야 한다. 이렇게 하면 보안이 허술한 기기가 기업의 핵심 네트워크와 리소스에 접근할 가능성을 차단할 수 있다.
4. 필요 없는 기능은 사용하지 마라. OTA는 스마트 TV를 화면으로만 사용하는 사례를 들었다. 이 경우 확실하게 마이크와 외부 연결 기능을 차단해야 한다.
5. 물리적인 위험에 대비하라. 공장 초기화 스위치가 달린 모든 기기에 대한 것이다. 오픈 포트 또는 기본 암호는 보안에 취약하다.

6. 와이파이 네트워크를 자동으로 제공하는 것은 좋은 생각이 아니다. 혹시 이런 방식으로 작동하는 기기가 있는지 점검하라.
7. IoT 기기로 들어오는 트래픽을 모두 막을 수 없다면 소프트웨어 포트가 열려 있지 않도록 확실히 해야 한다. 해커가 이를 이용해 기기를 장악할 수 있기 때문이다.
8. 암호화는 항상 옳다. IoT 기기가 주고 받는 데이터를 암호화하는 기능을 지원한다면 바로 사용하라.
9. 업데이트의 중요성은 두말하면 잔소리다. 매달 직접 확인하거나 기기가 자동으로 업데이트하든 상관없다. 패치를 계속해서 적용해야 한다. 업데이트를 받을 수 없는 기기는 사용하지 않는 것이 좋다.
10. 가장 중요한 것은 제조업체가 더이상 기술지원을 하지 않는 기기를 사용하지 않는 것이다. 보안을 제공하지 않는 기기도 마찬가지다.

OTA는 지난 2005년 업계의 이익단체로 출범했다. 주로 이메일 기반 보안 위협과 스팸에 대한 대응 작업을 담당했다. 이후 이 단체의 목표는 계속 변화해 현재는 IoT를 포함해 매우 다양한 기술 관련 업무를 담당하고 있다. 2012년 501(c)3 비영리조직으로 인정받은 후에는 대형 표준화 기구인 인터넷 협회(Internet Society)에 흡수됐고 2017년 10월 인터넷 협회의 하부 조직으로 편입됐다. ciokr@idg.co.kr 
X