2016.09.30

칼럼 | '테슬라 해킹 이후···' 보안이 자동차 산업의 미래를 결정한다

Adrian Davis | Computerworld UK
테슬라 자동차가 20Km 떨어진 곳에서 해킹 당했다는 소식은 폭발적인 성장세의 자동차 연결성이 자동차 보안을 앞질렀다는 것을 말해준다. 이는 수많은 커넥티드 산업에서 지속적으로 이슈가 되어 온 2개의 문제에 대한 실제 사례다.

이 2개의 문제는 바로 새로운 소프트웨어에서 취약점의 지속적인 확산과 사이버보안이 제품 컨셉, 디자인, 엔지니어링, 그리고 생산과는 별개의 것이라고 잘못 이해하는 관점이다.

'불난 곳에 불을 끄는' 소방대 접근 방법은 하드웨어 또는 소프트웨어의 디자인 단계에서 보안을 포함하지 않는 이유가 되며, 취약점들은 제품이 시장에 나간 이후에 사이버보안 전문가들에 의해 발견된다.

이 2개의 문제들은 테슬라 사건과 폭스바겐에 의해 완벽하게 사실로 입증됐다.

현재 여러 개의 취약점들을 안고 도로 주행중인 차량들을 해결하기 위해 각 제조업체들은 상당히 번거롭고 많은 비용이 들어가는 리콜을 하거나 업데이트를 해야 한다. 자동차 제조업체들은 처음부터 탄탄하고 탄력성있는 소프트웨어를 디자인하고 테스트하는 대신, 결함을 발견하고 해결하는 데 외부 보안 연구원들에게 많이 의존하고 있다.

더 심각한 것은 오래되고 잘 알려진 소프트웨어 취약점이 새로운 기술에 다시 나타나는 문제가 갈수록 부각되고 있다는 점이다. 20년 전 소프트웨어 결함이 1억 대의 폭스바겐 차량들에게서 최근 발견된 것이다.



이 2개의 사건은 같은 문제로 귀결된다. 만약 소프트웨어 개발 팀들이 그들 스스로 사이버보안에 대한 전문적인 의견을 받아들이고 지식을 얻었다면 소프트웨어 디자인에서 보안을 지나치는 일도, 지속적인 중복 실수는 없었을 것이다.

이는 오래된 문제다. 10년 전, (ISC)2는 전세계 정보 보안 담당자들을 대상으로 설문조사를 한 적이 있는데, 당시 꼽았던 소프트웨어 취약점은 여전히 오늘날의 톱 10 보안 문제로 남아있다.

이 문제를 풀기 위해서는 우리는 사이버보안 역량 격차라는 의미를 재정의할 필요가 있다. 실제 수많은 사이버보안 문제가 정보보안 전문가의 부족으로 인한 것이 아니라 소프트웨어 디자인과 같은 다른 분야의 전문가들에 대한 정보보안 훈련과 경고의 부족에 의한 것이다.

사이버보안 전문가라는 새로운 전문 계층을 두는 것이 필요한 것이 아니라 모든 디자이너, 엔지니어, 그리고 인터넷과 연결되는 제품의 제조업체들 간의 '디자인에 의한 보안 문화'를 구축하는 것이 필요하다.

이 2개의 사건은 디자인 단계에서부터의 사이버보안이 자동차 산업에서 꼭 필요한 것임을 보여줬다. 또한 이는 사이버보안이 더 이상 독자적인 영역이 아니라 모든 컴퓨팅 영역에서 한 부분이 될 것이라는 것을 의미한다. 그래서 소프트웨어 엔지니어에서부터 게임 개발자에 이르기까지 모든 이들이 사이버보안 지식을 기반으로 업무를 해야 한다.

앞으로 보안을 모든 기술적인 혁신의 핵심 분야로 인정하는 문화가 자리잡게 될 것이다. editor@itworld.co.kr



2016.09.30

칼럼 | '테슬라 해킹 이후···' 보안이 자동차 산업의 미래를 결정한다

Adrian Davis | Computerworld UK
테슬라 자동차가 20Km 떨어진 곳에서 해킹 당했다는 소식은 폭발적인 성장세의 자동차 연결성이 자동차 보안을 앞질렀다는 것을 말해준다. 이는 수많은 커넥티드 산업에서 지속적으로 이슈가 되어 온 2개의 문제에 대한 실제 사례다.

이 2개의 문제는 바로 새로운 소프트웨어에서 취약점의 지속적인 확산과 사이버보안이 제품 컨셉, 디자인, 엔지니어링, 그리고 생산과는 별개의 것이라고 잘못 이해하는 관점이다.

'불난 곳에 불을 끄는' 소방대 접근 방법은 하드웨어 또는 소프트웨어의 디자인 단계에서 보안을 포함하지 않는 이유가 되며, 취약점들은 제품이 시장에 나간 이후에 사이버보안 전문가들에 의해 발견된다.

이 2개의 문제들은 테슬라 사건과 폭스바겐에 의해 완벽하게 사실로 입증됐다.

현재 여러 개의 취약점들을 안고 도로 주행중인 차량들을 해결하기 위해 각 제조업체들은 상당히 번거롭고 많은 비용이 들어가는 리콜을 하거나 업데이트를 해야 한다. 자동차 제조업체들은 처음부터 탄탄하고 탄력성있는 소프트웨어를 디자인하고 테스트하는 대신, 결함을 발견하고 해결하는 데 외부 보안 연구원들에게 많이 의존하고 있다.

더 심각한 것은 오래되고 잘 알려진 소프트웨어 취약점이 새로운 기술에 다시 나타나는 문제가 갈수록 부각되고 있다는 점이다. 20년 전 소프트웨어 결함이 1억 대의 폭스바겐 차량들에게서 최근 발견된 것이다.



이 2개의 사건은 같은 문제로 귀결된다. 만약 소프트웨어 개발 팀들이 그들 스스로 사이버보안에 대한 전문적인 의견을 받아들이고 지식을 얻었다면 소프트웨어 디자인에서 보안을 지나치는 일도, 지속적인 중복 실수는 없었을 것이다.

이는 오래된 문제다. 10년 전, (ISC)2는 전세계 정보 보안 담당자들을 대상으로 설문조사를 한 적이 있는데, 당시 꼽았던 소프트웨어 취약점은 여전히 오늘날의 톱 10 보안 문제로 남아있다.

이 문제를 풀기 위해서는 우리는 사이버보안 역량 격차라는 의미를 재정의할 필요가 있다. 실제 수많은 사이버보안 문제가 정보보안 전문가의 부족으로 인한 것이 아니라 소프트웨어 디자인과 같은 다른 분야의 전문가들에 대한 정보보안 훈련과 경고의 부족에 의한 것이다.

사이버보안 전문가라는 새로운 전문 계층을 두는 것이 필요한 것이 아니라 모든 디자이너, 엔지니어, 그리고 인터넷과 연결되는 제품의 제조업체들 간의 '디자인에 의한 보안 문화'를 구축하는 것이 필요하다.

이 2개의 사건은 디자인 단계에서부터의 사이버보안이 자동차 산업에서 꼭 필요한 것임을 보여줬다. 또한 이는 사이버보안이 더 이상 독자적인 영역이 아니라 모든 컴퓨팅 영역에서 한 부분이 될 것이라는 것을 의미한다. 그래서 소프트웨어 엔지니어에서부터 게임 개발자에 이르기까지 모든 이들이 사이버보안 지식을 기반으로 업무를 해야 한다.

앞으로 보안을 모든 기술적인 혁신의 핵심 분야로 인정하는 문화가 자리잡게 될 것이다. editor@itworld.co.kr

X