2019.08.26

칼럼 | 섀도우 IT보다 100배는 무서운 섀도우 IoT

Fredric Paul | Network World
수년 동안 IT 부서는 섀도우 IT와 BYOD의 위험성을 비난했다. 우려되는 점은 이들 승인받지 않은 프랙티스가 기업 시스템에 새로운 취약점을 가져오거나 공격 표면을 넓히는 등의 위험을 초래한다는 것이었다.
 
ⓒ GettyImagesBank

이런 IT 부서의 주장이 사실일 수도 있지만, 전부는 아니다. 필자가 오랫동안 주장해 온 것처럼 섀도우가 IT가 위험성을 높이기는 하지만, 비용을 절감하고 업무 생산성을 높이고 혁신을 가속화하는 긍정적인 면도 크다. 최종 사용자가 느리고 보수적인 IT 부서를 피해 더 강력하고 저렴한 일반 소비자 및 클라우드 기반 대안을 열망하는 것도 이 때문이다. 선도적인 IT 부서라면 이런 새로운 접근을 잘 활용해 더 민첩한 방법으로 내부 고객인 사용자에게 서비스를 제공해야 한다는 증거는 차고 넘친다.

지금까지는 그런대로 괜찮다. 하지만 이런 긍정적인 측면이 새로 떠오르는, 그래서 지난 해부터 우려가 커지고 있는 섀도우 IoT라는 프랙티스에는 전혀 적용되지 않는다. 기본적으로 문제가 되는 것은 조직 내의 사람들이 인터넷 연결 디바이스의 IT 부서 모르게 연결하는 것이다. 심지어 IoT 네트워크 전체를 연결하기도 한다.

이들 침입자는 섀도우 IT와 마찬가지의 속도와 유연성을 찾는다. 하지만 훨씬 더 적은 보상으로 훨씬 더 큰 위험을 가져온다. 섀도우 IoT는 섀도우 IT를 또 다른 수준으로 끌어올린다. 완전히 새로운 네트워크와 기술이 추가되는 것은 물론, 새로운 종류의 디바이스와 사용례, 너무나 많은 디바이스가 연결되기 때문이다. 

802 시큐어(802 Secure Inc)의 2018년 보고서에 따르면, “IoT는 새로운 운영체제와 프로토콜, 무선주파수를 가져온다. 레거시 보안 기술에 의존하는 기업은 이런 걷잡을 수 없는 IoT 위협에 까막눈이다. 기업은 이런 악당 IoT 디바이스를 식별해 내기 위해 기존의 시야를 이런 보이지 않는 디바이스와 네트워크까지 넓혀야 하며, 섀도우 IoT 네트워크에 대한 가시성을 확보하고 드론이나 스파이 카메라 같은 인근 위협을 탐지해내야 한다.”

이 보고서는 설문에 참여한 모든 조직이 로그 컨슈머 IoT 무선 디바이스가 기업 네트워크 상에 있으며, 90%는 섀도우 IoT/IioT 무선 네트워크였다는 점을 강조했다. 

마찬가지로 인포블록스의 2018년 보고서도 기업의 1/3이 1,000대 이상의 섀도우 IoT 디바이스가 자사 네트워크에 통상적으로 연결되어 있다고 밝혔다. 이런 디바이스는 피트니스 트래커부터 디지털 가상비서, 스마트 TV, 스마트 어플라이언스, 게임기까지 다양하다. 

더 나쁜 것은 이들 일반 소비자용 IoT 디바이스의 다수가 보안을 시도도 하지 않는다는 점이다. 그리고 마이크로소프트에 따르면, 미라이에 봇넷 등에서 확인된 것처럼 범죄자나 국가 지원 해커들은 이미 이들 디바이스와 네트워크를 무기화하고 있다.

한 가지 더! 클라우드나 일반 소비자 섀도우 IT와는 달리 섀도우 IoT 구현물은 종종 추가적인 속도나 민첩성, 사용 편의성을 가져다주지 않는다. 다시 말해 기업은 높은 위험과 바꿔 얻을 만한 것이 별로 없다. 하지만 그렇다고 사람들이 기업 네트워크에서 이런 디바이스 사용을 멈추지는 않을 것이다.

다행인 것은 섀도우 IoT에 대한 대응 역시 섀도우 IT를 포함한 다른 위협을 위한 보안 베스트 프랙티스와 그렇게 다르지 않다. 

교육. IT팀이 위협을 제대로 인지하고 핵심 IoT 정책과 보안 도구를 받아들이도록 노력해야 한다. 802 시큐어의 보고서에 따르면, “미국과 영국의 IT 책임자 중 88%는 자사가 커넥티드 디바이스의 보안 위험을 완화할 효과적인 정책을 배치했다고 믿는다. 하지만 설문에 참여한 직원의 24%는 이런 정책이 있는지도 모른다고 답했다. 이런 정책을 실제로 알고 있다고 털어놓은 응답자는 20%에 불과했다.” 물론 정책을 세우고 직원들이 100% 참여할 것이라 기대하지는 않겠지만, 알지도 못하는 정책을 준수하는 것은 불가능하다.

수용. 직원들이 IT 부서의 승인과 지원을 얻어 기업 네트워크에 자신들의 디바이스나 네트워크를 쉽게 연결할 수 있는 정책을 만든다. IT 부서로서는 추가 작업이고 일부 직원은 어쨌든 몰래 연결하겠지만, 연결된 디바이스를 더 많이 알수록 좋다.

격리. 섀도우 IoT 디바이스를 지원하고 승인할 수 있는 별도의 네트워크를 구축한다. 대신 핵심 기업 네트워크를 최대한 보호할 수 있다.

모니터링. 연결된 디바이스나 네트워크를 주기적으로 점검한다. 그리고 모든 네트워크에서 알 수 없는 디바이스를 선제적으로 검색한다.  editor@itworld.co.kr



2019.08.26

칼럼 | 섀도우 IT보다 100배는 무서운 섀도우 IoT

Fredric Paul | Network World
수년 동안 IT 부서는 섀도우 IT와 BYOD의 위험성을 비난했다. 우려되는 점은 이들 승인받지 않은 프랙티스가 기업 시스템에 새로운 취약점을 가져오거나 공격 표면을 넓히는 등의 위험을 초래한다는 것이었다.
 
ⓒ GettyImagesBank

이런 IT 부서의 주장이 사실일 수도 있지만, 전부는 아니다. 필자가 오랫동안 주장해 온 것처럼 섀도우가 IT가 위험성을 높이기는 하지만, 비용을 절감하고 업무 생산성을 높이고 혁신을 가속화하는 긍정적인 면도 크다. 최종 사용자가 느리고 보수적인 IT 부서를 피해 더 강력하고 저렴한 일반 소비자 및 클라우드 기반 대안을 열망하는 것도 이 때문이다. 선도적인 IT 부서라면 이런 새로운 접근을 잘 활용해 더 민첩한 방법으로 내부 고객인 사용자에게 서비스를 제공해야 한다는 증거는 차고 넘친다.

지금까지는 그런대로 괜찮다. 하지만 이런 긍정적인 측면이 새로 떠오르는, 그래서 지난 해부터 우려가 커지고 있는 섀도우 IoT라는 프랙티스에는 전혀 적용되지 않는다. 기본적으로 문제가 되는 것은 조직 내의 사람들이 인터넷 연결 디바이스의 IT 부서 모르게 연결하는 것이다. 심지어 IoT 네트워크 전체를 연결하기도 한다.

이들 침입자는 섀도우 IT와 마찬가지의 속도와 유연성을 찾는다. 하지만 훨씬 더 적은 보상으로 훨씬 더 큰 위험을 가져온다. 섀도우 IoT는 섀도우 IT를 또 다른 수준으로 끌어올린다. 완전히 새로운 네트워크와 기술이 추가되는 것은 물론, 새로운 종류의 디바이스와 사용례, 너무나 많은 디바이스가 연결되기 때문이다. 

802 시큐어(802 Secure Inc)의 2018년 보고서에 따르면, “IoT는 새로운 운영체제와 프로토콜, 무선주파수를 가져온다. 레거시 보안 기술에 의존하는 기업은 이런 걷잡을 수 없는 IoT 위협에 까막눈이다. 기업은 이런 악당 IoT 디바이스를 식별해 내기 위해 기존의 시야를 이런 보이지 않는 디바이스와 네트워크까지 넓혀야 하며, 섀도우 IoT 네트워크에 대한 가시성을 확보하고 드론이나 스파이 카메라 같은 인근 위협을 탐지해내야 한다.”

이 보고서는 설문에 참여한 모든 조직이 로그 컨슈머 IoT 무선 디바이스가 기업 네트워크 상에 있으며, 90%는 섀도우 IoT/IioT 무선 네트워크였다는 점을 강조했다. 

마찬가지로 인포블록스의 2018년 보고서도 기업의 1/3이 1,000대 이상의 섀도우 IoT 디바이스가 자사 네트워크에 통상적으로 연결되어 있다고 밝혔다. 이런 디바이스는 피트니스 트래커부터 디지털 가상비서, 스마트 TV, 스마트 어플라이언스, 게임기까지 다양하다. 

더 나쁜 것은 이들 일반 소비자용 IoT 디바이스의 다수가 보안을 시도도 하지 않는다는 점이다. 그리고 마이크로소프트에 따르면, 미라이에 봇넷 등에서 확인된 것처럼 범죄자나 국가 지원 해커들은 이미 이들 디바이스와 네트워크를 무기화하고 있다.

한 가지 더! 클라우드나 일반 소비자 섀도우 IT와는 달리 섀도우 IoT 구현물은 종종 추가적인 속도나 민첩성, 사용 편의성을 가져다주지 않는다. 다시 말해 기업은 높은 위험과 바꿔 얻을 만한 것이 별로 없다. 하지만 그렇다고 사람들이 기업 네트워크에서 이런 디바이스 사용을 멈추지는 않을 것이다.

다행인 것은 섀도우 IoT에 대한 대응 역시 섀도우 IT를 포함한 다른 위협을 위한 보안 베스트 프랙티스와 그렇게 다르지 않다. 

교육. IT팀이 위협을 제대로 인지하고 핵심 IoT 정책과 보안 도구를 받아들이도록 노력해야 한다. 802 시큐어의 보고서에 따르면, “미국과 영국의 IT 책임자 중 88%는 자사가 커넥티드 디바이스의 보안 위험을 완화할 효과적인 정책을 배치했다고 믿는다. 하지만 설문에 참여한 직원의 24%는 이런 정책이 있는지도 모른다고 답했다. 이런 정책을 실제로 알고 있다고 털어놓은 응답자는 20%에 불과했다.” 물론 정책을 세우고 직원들이 100% 참여할 것이라 기대하지는 않겠지만, 알지도 못하는 정책을 준수하는 것은 불가능하다.

수용. 직원들이 IT 부서의 승인과 지원을 얻어 기업 네트워크에 자신들의 디바이스나 네트워크를 쉽게 연결할 수 있는 정책을 만든다. IT 부서로서는 추가 작업이고 일부 직원은 어쨌든 몰래 연결하겠지만, 연결된 디바이스를 더 많이 알수록 좋다.

격리. 섀도우 IoT 디바이스를 지원하고 승인할 수 있는 별도의 네트워크를 구축한다. 대신 핵심 기업 네트워크를 최대한 보호할 수 있다.

모니터링. 연결된 디바이스나 네트워크를 주기적으로 점검한다. 그리고 모든 네트워크에서 알 수 없는 디바이스를 선제적으로 검색한다.  editor@itworld.co.kr

X