Offcanvas

How To / IoT / 보안 / 통신|네트워크

IoT 보안을 강화하는 7가지 보안 프랙티스

2019.06.27 Bob Violino  |  Network World


이 때문에 기업과 보안 및 IT 부서는 기업이 커뮤니케이션하는 IoT 장비의 ID를 검증해야 하고, 중대한 통신, 소프트웨어 업데이트 및 다운로드에 적합함을 보장해야 한다. 디디오는 모든 IoT 기기가 고유 ID를 가져야 한다고 강조했다. 고유 ID가 없다면, 마이크로컨트롤러 수준으로부터 네트워크의 끝에 있는 엔드포인트 기기, 애플리케이션 및 전송 계층가지 스푸핑과 해킹 위험이 높아진다고 지적했다. 

IoT 기기에 대한 단방향 연결 구축 

피론티는 IoT 기기가 네트워크 접속을 시작하는 기능을 제한해야 하고, 대신 네트워크 방화벽 및 액세스 제어 목록을 통해서만 이들로 연결되어야 한다고 말했다. 피론티는 “단방향 신뢰 원칙을 확립하면 IoT 기기는 내부 시스템으로의 접속을 절대로 시작할 수 없을 것이고, 따라서 공격자가 이를 도약점으로 활용해 네트워크 세그먼트를 탐색하고 공격하는 능력을 제한할 수 있다”고 말했다. 이는 시스템에 직접적으로 접속한 공격을 차단할 수는 없지만, 네트워크 내에서 횡적 이동을 제한하는 효과를 가져다 준다.

아울러 IoT 기기로의 접속이 점프 호스트 또는 네트워크 프록시를 경유하도록 만들 수 있다. 피론티는 “퍼널 포인트에 프록시를 설정한다면 IoT 기기를 오가는 네트워크 트래픽을 사전에 한층 효과적으로 조사할 수 있다”고 설명했다. 이를 통해 의해 트래픽과 이에 수반된 페이로드를 해당 IoT 기기가 수신 또는 전송하는 것이 적절한지 판단할 수 있다.  
 

격리된 네트워크 사용

여러 유형의 제어 장치들, 예를 들어 온도조절기나 조명 컨트롤 등은 무선으로 접속된다. 한편 전기 하도급 업체인 로젠딘 일렉트릭(Rosendin Electric)의 사이버 보안 및 컴플라이언스 총괄 책임자인 제임스 맥깁니는 많은 기업 무선 네트워크가 WPA2-엔터프라이즈/802.1x 프로토콜을 요구한다고 말했다. 

맥깁니는 “대다수 기기는 WPA2-엔터프라이즈를 지원하지 않는다”며, “보다 안전한 장비를 개발하는 것은 이상적이다. 그러나 실무 네트워크와 격리되고 인터넷 액세스만 허용되는 장비들 자체 간의 무선 네트워크 상에 장비를 배치할 수 있다”고 설명했다. 

이를 위해서는 SSID와 VLAN이 필요하고, 트래픽이 방화벽을 통과하도록 하는 기능이 있어야 한다. 이렇게 격리된 격리된 무선 네트워크는 중앙집중화된 위치에서 구성하고 관리할 수 있다. 맥깁니는 “예를 들어 우리가 제어하지 않는 인터넷 액세스를 요구하는 자판기 등 일부 장치에 대해 격리 네트워크를 구현한 적이 있다. 실무 네트워크와는 별개인 게스트 네트워크에 이들을 배치했다. 동일한 하드웨어에서 실행되지만 별개의 VLAN 상에 배치된 것이다”고 설명했다. 
 

보안 기능을 공급망 자체에 배치

IoT 프로젝트는 공급망 내의 다수의 협력업체, 예컨대, 기술업체, 공급업체, 고객 등이 관여하는 것이 일반적이고, 보안을 반드시 고려해야 한다. 톨은 “이미 그렇게 한 것이 아니라면 조직 내에서 공급망을 관리하는 부서들과 접촉해야 한다. 그리고 보안팀이 동의하지 않는다면, 어떤 IoT 장비의 구매도 승인되지 않도록 해야 한다”고 말했다. 또 보안팀이 분석 작업의 부담을 진다면, 이들 부서는 이에 적극 동의할 것이라고 덧붙였다.

공급망 업체 선정 프로세스를 최고 수준으로 강화하는 것은 개별 조직이 알아서 할 문제이다. 그러나 톨은 독립적 검증을 허용하는 제조업체를 고려하고, 회사가 알지 못한 상태에서 펌웨어가 업데이트될 수 없도록 디바이스 측면 상의 쓰기-보호 스위치를 지원하고, 복제 제품보다는 순정 제품을 조달할 것을 권고했다. editor@itworld.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.