2018.05.16

'사용자 빠진 IoT 보안 대책?'··· 영국 정부의 새 정책 '논란'

Tom Macaulay | Computerworld UK
영국 정부가 사물인터넷(IoT) 보안을 강화하는 새로운 정책 초안을 내놨지만 그 실효성에 대한 논란이 커지고 있다. 사용자에 의해 발생할 수 있는 위험을 간과하고 있기 때문이다.



새 IoT 보안 정책 초안은 '계획된 보안(Secure by Design)'이라는 제목의 정책집에 실려 있다. 이 정책집에는 기기와 서비스에 대한 기본설정 암호를 피하고, 보안 취약점 공개를 의무화하며 지속적인 소프트웨어 업데이트를 제공하는 등의 가이드라인이 담겨 있다.

영국 정부는 이러한 가이드라인을 IoT 관련 모든 이해당사자에 적용한다는 구상이다. 그러나 여기에 사용자가 빠져 있는 것이 문제다. 시놉시스(Synopsys)의 수석 과학자인 새미 미게스는 "보안 당사자에서 사용자를 배제하면 기업이 자사의 기기가 일단 시장에 풀렸을 때 어떤 일이 일어날지를 고려하고 대비할 필요와 기회를 잃게 된다"라고 말했다.

일부 사용자는 IoT 기기를 구매한 후 원하는 대로 수정해 사용한다. 이렇게 수정된 기기는 자신의 기기 뿐만 아니라 이와 연결된 모든 IoT 생태계에 보안 취약점을 만들어 낸다. 이 생태계에는 기업 네트워크부터 도로에서 달리는 다른 사람의 자율주행 차량까지 포함된다. 악의적인 사용자는 이렇게 만들어진 보안 취약점을 악용해 기업의 핵심 시스템이나 국가 인프라를 공격하는 엔드포인트로 삼는다. IoT 기기가 빠르게 늘면서 이런 위험도 점점 커지고 있다.

시장조사업체 가트너는 2020년까지 전세계에서 인터넷에 연결된 기기의 수가 200억 대에 이를 것으로 전망한다. WRAP은 2020년까지 영국내 한 가정 당 스마트기기가 평균 10대 늘어나 15대에 이를 것으로 예상한다.

미게스는 "나중에 일이 발생한 후에 이런 사용자가 자신의 기기는 물론 다른 사람에게도 피해를 줬다는 것을 깨달아서는 안된다. 실제로 이들은 IoT 생태계에 막대한 영향을 주고 있다. 따라서 IoT 기기 소유자를 생태계 관련 논의에서 배제하고 이해당사자인 기업의 고려 사항 밖으로 밀어내는 것은 매우 큰 잘못이다. 사람들이 구매한 기기를 어떻게 변경해 사용할지 고려하지 않으면 오늘 날의 보안 위협에 제대로 대처할 수 없다. 일부 기기는 원래 설계했던 방식으로 작동하고 일부는 아니라면, 사용자가 IoT 기기의 보안을 더 취약하게 하는지 반대로 더 강화하는지 확인할 필요가 있다"라고 말했다.

IoT 기기의 소프트웨어 보안
이 정책의 또다른 문제는 보안 소프트웨어를 개발하는 가이드가 포함돼 있지 않다는 점이다. 이 정책의 시행 규칙을 보면 인증 방법 등 기존 소프트웨어의 보안을 강화하는 다양한 방법을 제안한다. 그러나 그 기반을 이루는 소프트웨어 코드의 보안취약점은 간과하고 있다.

미게스는 "보안 소프트웨어는 소프트웨어 보안과 다르다. 공격에 악용될 보안 취약점을 가진 소프트웨어를 작성하면 이 소프트웨어가 얼마나 많은 기능을 가졌는지는 중요하지 않다. 그냥 공격에 취약한 소프트웨어일 뿐이다. 기능은 소프트웨어를 유용하게 만들지만 소프트웨어 보안은 소프트웨어를 더 신뢰할 수 있게 만든다는 것을 분명히 이해해야 한다. 이는 높은 수준의 보증을 제공하므로, 단순히 기능이 많은 것 대신 민감하고 중요하며 안전한 것을 운영하는 분야에서 안심하고 사용할 수 있다"라고 말했다.

이어 "예를 들어 내가 쓰는 페이스메이커 기기는 더 다양한 기능보다 더 안전한 보안이 중요하다. 페이스메이커가 MP3 플레이어가 될 필요는 없는 것이다. 물론 음악도 재생한다면 매우 멋지겠지만 그 전에 소프트웨어 보안을 더 강화해야 한다. 보안 소프트웨어를 추가로 넣는 것이 아니다"라고 덧붙였다.

또한, 미게스는 이 정책이 자칫 방대한 개인 정보를 수집하는 IoT 개발로 이어질 가능성도 고려하지 않고 있다고 지적했다. 그는 "우리가 IoT 기기에 우려하는 이유는 이들 기기가 서로 통신하고 백엔드에서 연결돼 개인식별정보(PII)의 새로운 저장소를 만들기 때문이다. 이들 저장소는 현존하는 어떤 법에도 적용을 받지 않거나 어떤 윤리적인 기준에 따라 논의되지 않을 가능성이 높다. 이렇게 되면 한 기업이 고객의 이름과 주소, 전화번호를 지운다고 해도 그들이 간 곳, 구매한 것, 말한 모든 것이 온라인에 메타데이터로 남게 된다. 그러면 해당 기업은 법 조항을 지킨 것이 될 수 있지만, 이 메타 데이터를 수집한 누군가는 그에게 법적으로 허용된 것보다 훨씬 더 많은 정보를 갖게 된다"라고 말했다


정부 IoT 보안 계획의 다음 단계
정부는 지난 2017년 초부터 IoT 보안 규정을 재검토하기 시작했다. 몇달 후 미라이 악성코드가 IoT 기기 수십 만대를 감염시켰고 DDoS 공격의 플랫폼으로 악용됐다. 당시 세계에서 가장 유명한 웹사이트 몇 곳은 접속이 차단되기도 했다. 이 공격의 피해업체 중 하나였던 클라우드 컴퓨팅 업체 OVH의 분석에 따르면, 이 공격은 역대 최대 규모의 DDoS 공격이었다.

이 정부 계획 초안은 지난 3월 공개됐다. 정부는 현재 이해관계자의 의견을 받아 시행 규칙을 다듬는 작업을 진행중이다. 최종 버전은 올해 여름 경 나올 예정이다.

미게스는 이 제안이 공식 정책이 되기 전에 개선할 시간이 충분하다고 보고 있다. 그는 "가장 바람직한 것은 정부에서 이 정책 초안을 만든 담당자가 더 다양한 의견을 듣고 반영하는 것이다. IoT 기술에 해박한 사람과 업체부터, IoT가 초래할 결과를 감내해야 할 사용자 모두로부터 받아야 한다. 무엇보다 이것은 수집된 개인정보에 대한 것이기 때문이다. 사람들은 지난 시대보다 자신의 정보에 대해 훨씬 더 많은 관심을 갖고 있다. 그리고 개인정보가 수집되는 것에 대해 본격적으로 우려하기 시작했다"라고 말했다. ciokr@idg.co.kr 
2018.05.16

'사용자 빠진 IoT 보안 대책?'··· 영국 정부의 새 정책 '논란'

Tom Macaulay | Computerworld UK
영국 정부가 사물인터넷(IoT) 보안을 강화하는 새로운 정책 초안을 내놨지만 그 실효성에 대한 논란이 커지고 있다. 사용자에 의해 발생할 수 있는 위험을 간과하고 있기 때문이다.



새 IoT 보안 정책 초안은 '계획된 보안(Secure by Design)'이라는 제목의 정책집에 실려 있다. 이 정책집에는 기기와 서비스에 대한 기본설정 암호를 피하고, 보안 취약점 공개를 의무화하며 지속적인 소프트웨어 업데이트를 제공하는 등의 가이드라인이 담겨 있다.

영국 정부는 이러한 가이드라인을 IoT 관련 모든 이해당사자에 적용한다는 구상이다. 그러나 여기에 사용자가 빠져 있는 것이 문제다. 시놉시스(Synopsys)의 수석 과학자인 새미 미게스는 "보안 당사자에서 사용자를 배제하면 기업이 자사의 기기가 일단 시장에 풀렸을 때 어떤 일이 일어날지를 고려하고 대비할 필요와 기회를 잃게 된다"라고 말했다.

일부 사용자는 IoT 기기를 구매한 후 원하는 대로 수정해 사용한다. 이렇게 수정된 기기는 자신의 기기 뿐만 아니라 이와 연결된 모든 IoT 생태계에 보안 취약점을 만들어 낸다. 이 생태계에는 기업 네트워크부터 도로에서 달리는 다른 사람의 자율주행 차량까지 포함된다. 악의적인 사용자는 이렇게 만들어진 보안 취약점을 악용해 기업의 핵심 시스템이나 국가 인프라를 공격하는 엔드포인트로 삼는다. IoT 기기가 빠르게 늘면서 이런 위험도 점점 커지고 있다.

시장조사업체 가트너는 2020년까지 전세계에서 인터넷에 연결된 기기의 수가 200억 대에 이를 것으로 전망한다. WRAP은 2020년까지 영국내 한 가정 당 스마트기기가 평균 10대 늘어나 15대에 이를 것으로 예상한다.

미게스는 "나중에 일이 발생한 후에 이런 사용자가 자신의 기기는 물론 다른 사람에게도 피해를 줬다는 것을 깨달아서는 안된다. 실제로 이들은 IoT 생태계에 막대한 영향을 주고 있다. 따라서 IoT 기기 소유자를 생태계 관련 논의에서 배제하고 이해당사자인 기업의 고려 사항 밖으로 밀어내는 것은 매우 큰 잘못이다. 사람들이 구매한 기기를 어떻게 변경해 사용할지 고려하지 않으면 오늘 날의 보안 위협에 제대로 대처할 수 없다. 일부 기기는 원래 설계했던 방식으로 작동하고 일부는 아니라면, 사용자가 IoT 기기의 보안을 더 취약하게 하는지 반대로 더 강화하는지 확인할 필요가 있다"라고 말했다.

IoT 기기의 소프트웨어 보안
이 정책의 또다른 문제는 보안 소프트웨어를 개발하는 가이드가 포함돼 있지 않다는 점이다. 이 정책의 시행 규칙을 보면 인증 방법 등 기존 소프트웨어의 보안을 강화하는 다양한 방법을 제안한다. 그러나 그 기반을 이루는 소프트웨어 코드의 보안취약점은 간과하고 있다.

미게스는 "보안 소프트웨어는 소프트웨어 보안과 다르다. 공격에 악용될 보안 취약점을 가진 소프트웨어를 작성하면 이 소프트웨어가 얼마나 많은 기능을 가졌는지는 중요하지 않다. 그냥 공격에 취약한 소프트웨어일 뿐이다. 기능은 소프트웨어를 유용하게 만들지만 소프트웨어 보안은 소프트웨어를 더 신뢰할 수 있게 만든다는 것을 분명히 이해해야 한다. 이는 높은 수준의 보증을 제공하므로, 단순히 기능이 많은 것 대신 민감하고 중요하며 안전한 것을 운영하는 분야에서 안심하고 사용할 수 있다"라고 말했다.

이어 "예를 들어 내가 쓰는 페이스메이커 기기는 더 다양한 기능보다 더 안전한 보안이 중요하다. 페이스메이커가 MP3 플레이어가 될 필요는 없는 것이다. 물론 음악도 재생한다면 매우 멋지겠지만 그 전에 소프트웨어 보안을 더 강화해야 한다. 보안 소프트웨어를 추가로 넣는 것이 아니다"라고 덧붙였다.

또한, 미게스는 이 정책이 자칫 방대한 개인 정보를 수집하는 IoT 개발로 이어질 가능성도 고려하지 않고 있다고 지적했다. 그는 "우리가 IoT 기기에 우려하는 이유는 이들 기기가 서로 통신하고 백엔드에서 연결돼 개인식별정보(PII)의 새로운 저장소를 만들기 때문이다. 이들 저장소는 현존하는 어떤 법에도 적용을 받지 않거나 어떤 윤리적인 기준에 따라 논의되지 않을 가능성이 높다. 이렇게 되면 한 기업이 고객의 이름과 주소, 전화번호를 지운다고 해도 그들이 간 곳, 구매한 것, 말한 모든 것이 온라인에 메타데이터로 남게 된다. 그러면 해당 기업은 법 조항을 지킨 것이 될 수 있지만, 이 메타 데이터를 수집한 누군가는 그에게 법적으로 허용된 것보다 훨씬 더 많은 정보를 갖게 된다"라고 말했다


정부 IoT 보안 계획의 다음 단계
정부는 지난 2017년 초부터 IoT 보안 규정을 재검토하기 시작했다. 몇달 후 미라이 악성코드가 IoT 기기 수십 만대를 감염시켰고 DDoS 공격의 플랫폼으로 악용됐다. 당시 세계에서 가장 유명한 웹사이트 몇 곳은 접속이 차단되기도 했다. 이 공격의 피해업체 중 하나였던 클라우드 컴퓨팅 업체 OVH의 분석에 따르면, 이 공격은 역대 최대 규모의 DDoS 공격이었다.

이 정부 계획 초안은 지난 3월 공개됐다. 정부는 현재 이해관계자의 의견을 받아 시행 규칙을 다듬는 작업을 진행중이다. 최종 버전은 올해 여름 경 나올 예정이다.

미게스는 이 제안이 공식 정책이 되기 전에 개선할 시간이 충분하다고 보고 있다. 그는 "가장 바람직한 것은 정부에서 이 정책 초안을 만든 담당자가 더 다양한 의견을 듣고 반영하는 것이다. IoT 기술에 해박한 사람과 업체부터, IoT가 초래할 결과를 감내해야 할 사용자 모두로부터 받아야 한다. 무엇보다 이것은 수집된 개인정보에 대한 것이기 때문이다. 사람들은 지난 시대보다 자신의 정보에 대해 훨씬 더 많은 관심을 갖고 있다. 그리고 개인정보가 수집되는 것에 대해 본격적으로 우려하기 시작했다"라고 말했다. ciokr@idg.co.kr 
X