2014.08.12

'만물 취약점 시대의 도래?' 사물 인터넷과 보안

Kenneth Corbin | CIO
보안 전문가들은 불충분한 보안 상태(예방)를 큰 걱정거리 중 하나로 꼽는 경우가 많다. 이들은 취약한 비밀번호와 소프트웨어 업데이트 누락 등을 걱정하며 뜬눈으로 밤을 지샌다. 그러나 써모스탯, 페이스메이커(심장박동조절기) 등의 각종 사물이 인터넷에 연결된 이후 초래될 골칫거리를 생각하면 이 정도는 아무 것도 아니다.

랜디 가렛은 사물 인터넷(IoT)이 엄청난 보안 상의 도전을 초래할 것으로 판단하는 인물이다.

미국 고등 국방연구소(DARPA: Defense Advanced Research Projects Agency)의 프로그램 매니저인 가렛은 사물의 인터넷 '후원자'들이 센서를 탑재한 수 많은 디바이스를 네트워크에 연결시킬 경우 의도치 않게 새로운 많은 무수한 위협들이 초래될까 걱정한다.

가렛은 최근 사물의 인터넷에 대한 한 컨퍼런스에서 "우리가 이미 큰 위험에 처해있다고 생각한다. 거대 인터넷에 취약점은 노출시키고 싶어하는 사람들은 없겠지만 말이다"라고 말했다.

그는 완벽하게 네트워크로 연결된 세상에서 발생할 수 있는 여러 보안 문제들을 지적했다. 이 가운데 가장 큰 문제는 과거 PC 사용자들만큼이나 나쁜 습관이다. 다시 말해, 많은 사람들이 외부의 위험을 인식하고 있음에도 불구하고, 무분별하게 스팸 링크를 클릭하거나, 비밀번호를 아주 쉽게 설정하고 있다.



데이터 수집 능력이 보안에 대한 우려를 앞설까?
다른 말로 설명하면, 사람들은 자신의 컴퓨터에 침입해 개인 정보를 훔쳐내려는 악당들이 존재한다는 사실을 이미 인식하고 있다. 그러나 자신의 토스터에 대해서도 걱정할까?

이는 근거 없는 걱정이 아니다. 지난 해 타겟(Target)에서 발생한 대형 데이터 침해 사고를 상기해보자. 타겟의 고객 정보 수백만 개가 유출되면서 CIO가 사임을 해야 했으며, 브랜드에 엄청난 피해가 초래됐다.

타겟의 냉난방 시스템 공사를 맡은 도급업체에 제공된 진입점이 아주 중요한 기밀 데이터 자산을 유출시키는 진입점이 되고 말았다. 가렛은 "이런 상황을 감안하면 인터넷 연결이 좋은 아이디어라고 말할 사람이 누가 있겠는가?"라고 반문했다.

그러나 가렛의 보안에 대한 걱정에도 불구하고, 사물을 네트워크로 연결할 경우 보다 효율적으로 배치가 가능하고 원격에서 감시를 할 수 있다는 등 이를 옹호하는 주장이 존재한다.

사물 인터넷 옹호자들은 스마트 디바이스를 네트워크로 연결하면 운영과 안전을 개선할 수 있는 분야가 많다고 주장한다. 예를 들어, 가전 제품은 부하가 정점에 달하는 시간을 피하도록 전력 소비를 조정할 수 있다. 또 철로에 센서를 설치해 온도 데이터를 전송, 철로 운영에 있어 실패나 고장을 예방할 수도 있다. 교량과 터널, 기타 국가의 오래된 사회간접자본 시설에서도 이런 방식의 활용이 가능하다.

매릴랜드 로크빌(Rockville)에서 추진되고 있는 시범 프로젝트를 예로 들 수 있다. 아파트 건물에 14개의 센서를 탑재해 연기와 열, 이산화탄소, 기타 위험 신호를 감시한 후, 이를 클라우드 서비스에 저장하고 문제가 관측되면 긴급 대응 담당자를 파견하는 프로젝트다.

의료와 소매 부문에 변화를 가져올(그리고 도전을 초래할) 사물 인터넷
많은 센서들로 구성된 네트워크를 도입했을 때 유망한 부문 중 하나는 의료 부문이다. 의료 분야는 이미 환자의 혈당, 혈압, 심장 박동 상태 등을 모니터하고, 여러 진단 절차를 도입했으며 의료 기관에 환자에 대한 정보를 전송하는 디바이스와 애플리케이션을 구축해 나가고 있다.

맥킨지 글로벌 인사이트(McKinsey Global Institute)의 파트너이자 선임 연구원인 마이클 추이는 "질병 진단과 관리에 이용할 좋은 데이터가 많다"라고 말했다.

그러면서도 추이는 사물의 인터넷이 구현될 때 초래될 보안 등 미지의 문제들이 많음을 인정했다. 무인 자동차가 사고를 일으켰을 때의 책임 소재 등을 예로 들 수 있다.

그는 최소한 조직 구조, 전통적인 역할과 절차를 재고했을 때 일부 도전의 경우 해결책을 찾을 수 있을 것이라고 말했다.

예를 들어, 소매 환경에서는 CIO의 상점 운영에 대한 관여를 현금 등록기, POS 시스템, 백 오피스(지원) 운영 기능으로 제한되곤 한다. 그러나 모바일 결제가 실현되고, 진열대에 진열된 상품이 쇼핑객의 디바이스와 대화를 하는 세상에서는 기술팀의 역할이 증가할 수 있다.

지방 정부의 CIO를 역임하기도 한 추이는 "이런 경우, IT를 관리하는 사람들이 상품에 직접 접촉해야 할 수 있다"라며, “군대도 마찬가지다. 군의 CIO들이 탱크를 직접 만져야 할까?"라고 반문했다.

그는 이어 "실제 세계와 가상 세계를 통합하기 시작하면 조직적인 변화 측면에서 많은 도전이 발생할 것이다. 사물 인터넷을 효과적으로 활용하기 위해서는 의사결정 방식을 바꿔야만 하는 상황이 도래할 것이다"라고 진단했다. ciokr@idg.co.kr



2014.08.12

'만물 취약점 시대의 도래?' 사물 인터넷과 보안

Kenneth Corbin | CIO
보안 전문가들은 불충분한 보안 상태(예방)를 큰 걱정거리 중 하나로 꼽는 경우가 많다. 이들은 취약한 비밀번호와 소프트웨어 업데이트 누락 등을 걱정하며 뜬눈으로 밤을 지샌다. 그러나 써모스탯, 페이스메이커(심장박동조절기) 등의 각종 사물이 인터넷에 연결된 이후 초래될 골칫거리를 생각하면 이 정도는 아무 것도 아니다.

랜디 가렛은 사물 인터넷(IoT)이 엄청난 보안 상의 도전을 초래할 것으로 판단하는 인물이다.

미국 고등 국방연구소(DARPA: Defense Advanced Research Projects Agency)의 프로그램 매니저인 가렛은 사물의 인터넷 '후원자'들이 센서를 탑재한 수 많은 디바이스를 네트워크에 연결시킬 경우 의도치 않게 새로운 많은 무수한 위협들이 초래될까 걱정한다.

가렛은 최근 사물의 인터넷에 대한 한 컨퍼런스에서 "우리가 이미 큰 위험에 처해있다고 생각한다. 거대 인터넷에 취약점은 노출시키고 싶어하는 사람들은 없겠지만 말이다"라고 말했다.

그는 완벽하게 네트워크로 연결된 세상에서 발생할 수 있는 여러 보안 문제들을 지적했다. 이 가운데 가장 큰 문제는 과거 PC 사용자들만큼이나 나쁜 습관이다. 다시 말해, 많은 사람들이 외부의 위험을 인식하고 있음에도 불구하고, 무분별하게 스팸 링크를 클릭하거나, 비밀번호를 아주 쉽게 설정하고 있다.



데이터 수집 능력이 보안에 대한 우려를 앞설까?
다른 말로 설명하면, 사람들은 자신의 컴퓨터에 침입해 개인 정보를 훔쳐내려는 악당들이 존재한다는 사실을 이미 인식하고 있다. 그러나 자신의 토스터에 대해서도 걱정할까?

이는 근거 없는 걱정이 아니다. 지난 해 타겟(Target)에서 발생한 대형 데이터 침해 사고를 상기해보자. 타겟의 고객 정보 수백만 개가 유출되면서 CIO가 사임을 해야 했으며, 브랜드에 엄청난 피해가 초래됐다.

타겟의 냉난방 시스템 공사를 맡은 도급업체에 제공된 진입점이 아주 중요한 기밀 데이터 자산을 유출시키는 진입점이 되고 말았다. 가렛은 "이런 상황을 감안하면 인터넷 연결이 좋은 아이디어라고 말할 사람이 누가 있겠는가?"라고 반문했다.

그러나 가렛의 보안에 대한 걱정에도 불구하고, 사물을 네트워크로 연결할 경우 보다 효율적으로 배치가 가능하고 원격에서 감시를 할 수 있다는 등 이를 옹호하는 주장이 존재한다.

사물 인터넷 옹호자들은 스마트 디바이스를 네트워크로 연결하면 운영과 안전을 개선할 수 있는 분야가 많다고 주장한다. 예를 들어, 가전 제품은 부하가 정점에 달하는 시간을 피하도록 전력 소비를 조정할 수 있다. 또 철로에 센서를 설치해 온도 데이터를 전송, 철로 운영에 있어 실패나 고장을 예방할 수도 있다. 교량과 터널, 기타 국가의 오래된 사회간접자본 시설에서도 이런 방식의 활용이 가능하다.

매릴랜드 로크빌(Rockville)에서 추진되고 있는 시범 프로젝트를 예로 들 수 있다. 아파트 건물에 14개의 센서를 탑재해 연기와 열, 이산화탄소, 기타 위험 신호를 감시한 후, 이를 클라우드 서비스에 저장하고 문제가 관측되면 긴급 대응 담당자를 파견하는 프로젝트다.

의료와 소매 부문에 변화를 가져올(그리고 도전을 초래할) 사물 인터넷
많은 센서들로 구성된 네트워크를 도입했을 때 유망한 부문 중 하나는 의료 부문이다. 의료 분야는 이미 환자의 혈당, 혈압, 심장 박동 상태 등을 모니터하고, 여러 진단 절차를 도입했으며 의료 기관에 환자에 대한 정보를 전송하는 디바이스와 애플리케이션을 구축해 나가고 있다.

맥킨지 글로벌 인사이트(McKinsey Global Institute)의 파트너이자 선임 연구원인 마이클 추이는 "질병 진단과 관리에 이용할 좋은 데이터가 많다"라고 말했다.

그러면서도 추이는 사물의 인터넷이 구현될 때 초래될 보안 등 미지의 문제들이 많음을 인정했다. 무인 자동차가 사고를 일으켰을 때의 책임 소재 등을 예로 들 수 있다.

그는 최소한 조직 구조, 전통적인 역할과 절차를 재고했을 때 일부 도전의 경우 해결책을 찾을 수 있을 것이라고 말했다.

예를 들어, 소매 환경에서는 CIO의 상점 운영에 대한 관여를 현금 등록기, POS 시스템, 백 오피스(지원) 운영 기능으로 제한되곤 한다. 그러나 모바일 결제가 실현되고, 진열대에 진열된 상품이 쇼핑객의 디바이스와 대화를 하는 세상에서는 기술팀의 역할이 증가할 수 있다.

지방 정부의 CIO를 역임하기도 한 추이는 "이런 경우, IT를 관리하는 사람들이 상품에 직접 접촉해야 할 수 있다"라며, “군대도 마찬가지다. 군의 CIO들이 탱크를 직접 만져야 할까?"라고 반문했다.

그는 이어 "실제 세계와 가상 세계를 통합하기 시작하면 조직적인 변화 측면에서 많은 도전이 발생할 것이다. 사물 인터넷을 효과적으로 활용하기 위해서는 의사결정 방식을 바꿔야만 하는 상황이 도래할 것이다"라고 진단했다. ciokr@idg.co.kr

X