2014.12.10

사물인터넷 보안 위협에 대처하는 5가지 방법

Colin Neagle | Network World

사물인터넷은 소비자IT기기를 더 똑똑하고 효율적으로 만들어 준다. 하지만 기업의 IT담당자와 보안전문가들에게는 골칫거리를 안겨 주기도 한다.



스마트 기기와 사물인터넷을 도입해 많은 혜택을 얻고자 하는 기업들이 많다. 그러나 이런 바램은 보안 위험 측면에서 판단을 흐리게 만들 수 있다. 사이버보안 회사인 트립와이어(Tripwire)가 IT임원과 전문가들을 대상으로 설문 조사한 결과에 따르면, 생산성과 효율성을 높이기 위해 IoT를 도입할 생각을 갖고 있다고 대답한 C-레벨 임원들이 63%에 달하지만, 보안 위험을 크게 걱정하는 비율은 27%에 그쳤다.

한편, 자신의 회사가 IoT 제품을 환경에 안전하게 배치할 수 있는지 판단할 준비가 되어 있다고 대답한 비율은 30%였다. 중견 기업과 대기업 종사자 59%는 사물인터넷이 네트워크에 가장 큰 보안 위험을 초래할 수도 있다고 믿고 있었다.

IT전문가와 보안전문가는 사물인터넷에 대비하려면 무엇이 위험하고 어떻게 이 위험을 경감시킬 지 파악해야 한다. 이들 전문가들이 출발점으로 삼을 5가지 방법을 소개한다.

첫째, IoT 보안을 과소평가하지 않는다.
이미 IoT를 표적으로 삼은 사이버공격이 발생했다. 지난 1월, 보안 업체인 프루프포인트(Proofpoint)는 스마트 가전을 대상으로 한 사이버 공격을 확인했다고 밝혔다. 10만 대의 기기를 감염시켜 악성 소프트웨어 링크가 포함된 75만 통의 이메일을 배포한 봇넷 이었다. 그런데 이 가운데 25% 이상이 컴퓨터와 스마트폰이 아닌 스마트 TV와 냉장고 등이었다.

2013년 말 타켓(Target)의 보안 침해 사고는 기업의 IoT 보안 사고를 보여주는 한 예가 될 수 있다. 이후 조사를 통해 공격자들이 타겟의 냉난방기 도급업체로부터 네트워크 크리덴셜을 훔쳐 공격했다는 사실이 밝혀졌다. 보안 전문가인 브라이언 크레브스는 관계자를 인용해 소매점들이 고객 경험을 개선하고, 에너지를 더 효율적으로 관리하기 위해 스마트 온도 조절기를 더 많이 도입한 것이 원인이라고 지적했다.

이 관계자는 "이런 형태의 솔루션을 지원하기 위해 IT업체들은 원격에서 시스템에 접속해 업데이트, 패치 등을 관리하거나, 소프트웨어로 사소한 고장과 연결성 문제를 해결해야 한다. 이는 비용 절감 문제기도 하며, 이에 많은 솔루션이 도입돼 있다. 또 인력을 줄이기 위해, IT업체가 추가 인력을 채용해 교육하도록 허락하는 경우도 있다"고 말했다.

문제의 하도급업체는 조사 과정 동안에는 원격 모니터링을 했다고 인정했다가, 나중에 이를 부인했다. 그러나 크레브스의 의혹 제기는 기업 네트워크가 IoT에 개방됐을 때의 본질적인 위험을 보여줬다. 기업 네트워크에 연결된 기기를 관리하는 써드파티 업체는 사이버 범죄자들이 중요 데이터에 접근하기 위해 악용하는 약한 연결고리가 될 수 있다. 유사한 스마트 기술을 도입하고자 하는 기업들이 많다는 점을 감안하면, IT가 각별히 유념해야 하는 시나리오다.

둘째, 스마트 기기의 구매 및 도입 시, IT와 운영 부문이 커뮤니케이션 해야 한다.
과거에는 사무실에 쓸 기기를 구입하면서 사이버보안을 걱정할 필요가 없었다. 그러나 지금은 기존의 '보통' 기기 상당수가 인터넷에 연결되기 시작한 상태다. 따라서 IT는 자신들이 처리해야 할 신기술을 상시 파악하고 있어야 한다.

가트너의 조사 담당 부사장 휴 르홍은 지난 해 네트워크 월드(Network World)와의 인터뷰에서 첨단 의료기기에서 휴게실의 자판기까지 과거에는 IT가 걱정할 필요가 없었던 기기들이 '스마트'해졌으며 IT가 관리해야 하는 대상이 됐다고 밝혔다. IT는 IoT라는 새로운 현실에 직면해있다. 새 자판기를 구입할 때도 관여해야 하는 현실이다.

르홍은 "CIO가 이런 부분을 파악해야 한다. 자판기 운영을 책임지지는 않더라도, 이를 걱정해야 한다"고 말했다. 또 "세상이 융합됐다. 이제 더 이상은 OT와 IT를 분류할 수 없다. 이런 부분에서도 거버넌스, 보안, 소프트웨어 라이선싱, 유지관리 문제를 이야기해야 한다"고 강조했다.
 




2014.12.10

사물인터넷 보안 위협에 대처하는 5가지 방법

Colin Neagle | Network World

사물인터넷은 소비자IT기기를 더 똑똑하고 효율적으로 만들어 준다. 하지만 기업의 IT담당자와 보안전문가들에게는 골칫거리를 안겨 주기도 한다.



스마트 기기와 사물인터넷을 도입해 많은 혜택을 얻고자 하는 기업들이 많다. 그러나 이런 바램은 보안 위험 측면에서 판단을 흐리게 만들 수 있다. 사이버보안 회사인 트립와이어(Tripwire)가 IT임원과 전문가들을 대상으로 설문 조사한 결과에 따르면, 생산성과 효율성을 높이기 위해 IoT를 도입할 생각을 갖고 있다고 대답한 C-레벨 임원들이 63%에 달하지만, 보안 위험을 크게 걱정하는 비율은 27%에 그쳤다.

한편, 자신의 회사가 IoT 제품을 환경에 안전하게 배치할 수 있는지 판단할 준비가 되어 있다고 대답한 비율은 30%였다. 중견 기업과 대기업 종사자 59%는 사물인터넷이 네트워크에 가장 큰 보안 위험을 초래할 수도 있다고 믿고 있었다.

IT전문가와 보안전문가는 사물인터넷에 대비하려면 무엇이 위험하고 어떻게 이 위험을 경감시킬 지 파악해야 한다. 이들 전문가들이 출발점으로 삼을 5가지 방법을 소개한다.

첫째, IoT 보안을 과소평가하지 않는다.
이미 IoT를 표적으로 삼은 사이버공격이 발생했다. 지난 1월, 보안 업체인 프루프포인트(Proofpoint)는 스마트 가전을 대상으로 한 사이버 공격을 확인했다고 밝혔다. 10만 대의 기기를 감염시켜 악성 소프트웨어 링크가 포함된 75만 통의 이메일을 배포한 봇넷 이었다. 그런데 이 가운데 25% 이상이 컴퓨터와 스마트폰이 아닌 스마트 TV와 냉장고 등이었다.

2013년 말 타켓(Target)의 보안 침해 사고는 기업의 IoT 보안 사고를 보여주는 한 예가 될 수 있다. 이후 조사를 통해 공격자들이 타겟의 냉난방기 도급업체로부터 네트워크 크리덴셜을 훔쳐 공격했다는 사실이 밝혀졌다. 보안 전문가인 브라이언 크레브스는 관계자를 인용해 소매점들이 고객 경험을 개선하고, 에너지를 더 효율적으로 관리하기 위해 스마트 온도 조절기를 더 많이 도입한 것이 원인이라고 지적했다.

이 관계자는 "이런 형태의 솔루션을 지원하기 위해 IT업체들은 원격에서 시스템에 접속해 업데이트, 패치 등을 관리하거나, 소프트웨어로 사소한 고장과 연결성 문제를 해결해야 한다. 이는 비용 절감 문제기도 하며, 이에 많은 솔루션이 도입돼 있다. 또 인력을 줄이기 위해, IT업체가 추가 인력을 채용해 교육하도록 허락하는 경우도 있다"고 말했다.

문제의 하도급업체는 조사 과정 동안에는 원격 모니터링을 했다고 인정했다가, 나중에 이를 부인했다. 그러나 크레브스의 의혹 제기는 기업 네트워크가 IoT에 개방됐을 때의 본질적인 위험을 보여줬다. 기업 네트워크에 연결된 기기를 관리하는 써드파티 업체는 사이버 범죄자들이 중요 데이터에 접근하기 위해 악용하는 약한 연결고리가 될 수 있다. 유사한 스마트 기술을 도입하고자 하는 기업들이 많다는 점을 감안하면, IT가 각별히 유념해야 하는 시나리오다.

둘째, 스마트 기기의 구매 및 도입 시, IT와 운영 부문이 커뮤니케이션 해야 한다.
과거에는 사무실에 쓸 기기를 구입하면서 사이버보안을 걱정할 필요가 없었다. 그러나 지금은 기존의 '보통' 기기 상당수가 인터넷에 연결되기 시작한 상태다. 따라서 IT는 자신들이 처리해야 할 신기술을 상시 파악하고 있어야 한다.

가트너의 조사 담당 부사장 휴 르홍은 지난 해 네트워크 월드(Network World)와의 인터뷰에서 첨단 의료기기에서 휴게실의 자판기까지 과거에는 IT가 걱정할 필요가 없었던 기기들이 '스마트'해졌으며 IT가 관리해야 하는 대상이 됐다고 밝혔다. IT는 IoT라는 새로운 현실에 직면해있다. 새 자판기를 구입할 때도 관여해야 하는 현실이다.

르홍은 "CIO가 이런 부분을 파악해야 한다. 자판기 운영을 책임지지는 않더라도, 이를 걱정해야 한다"고 말했다. 또 "세상이 융합됐다. 이제 더 이상은 OT와 IT를 분류할 수 없다. 이런 부분에서도 거버넌스, 보안, 소프트웨어 라이선싱, 유지관리 문제를 이야기해야 한다"고 강조했다.
 


X