2021.08.25

숨겨진 IoT에 대응하는 5가지 기본 프랙티스

Ojas Rege | COMPUTERWOCHE
순진한 부서에서 구매한 수백 대의 냉장고가 네트워크에 연결되어 있는 병원을 생각해 보자. 이들 냉장고는 와이파이로 연결되어 다른 중요한 정보의 흐름을 방해한다. 와이파이로 전달되는 음성에 의존하는 의사는 더 이상 알림을 받지 못하며, 의료 모니터는 환자를 치료하는 데 필요한 최신 데이터를 보내지 않는다. 섀도우 IoT란 바로 이런 것이다. IoT 디바이스가 기업 환경으로 점점 확산되는 시점, 각 조직은 IT 부서가 이들 자원을 제대로 관리하고 보호하는지 확인해야 한다.
 
ⓒ Getty Images Bank

한때는 섀도우 IT가 대부분 기업의 골칫거리였다. 섀도우 IT는 IT 부서의 통제를 받지 않으면서 수많은 보안 문제를 유발했다. 하지만 기업 내에서 스마트폰의 사용이 증가하면서 기업의 대응 방식이 바뀌었다. 지금은 기업이 생산성을 얼마나 지원할 수 있는지, 다시 말해 혁신을 안전하게 사용하고 있는지를 나타내는 지표로 간주된다.

전통적인 IT 전술 지침서로 돌아가 새로운 기술에 무조건 반대하는 것이 더 쉬울 수도 있다. 실제로 1990년대 후반 와이파이와 10년 전의 아이폰은 이런 대접을 받았다. 하지만 새로운 IoT 디바이스는 실질적인 비즈니스 이점의 원천이 될 수도 있다. 네트워크로 연결된 냉장고 역시 제약산업 같은 분야에서 영업과 생산성을 높이는 성과를 보이기 전까지는 터무니없는 것으로 여겨질 수 있다.

IP 카메라는 실시간 동영상을 조정실에 제공해 응급 상황에서 초기 대응 인력을 배치하고 현재 상황에 대한 충분한 정보를 제공할 수 있다. 디지털 미디어 플레이어는 유통 매장에서 소비자에게 관련 콘텐츠를 보여주는 것으로 몰입감 있는 경험을 전달할 수 있다.
 
이런 시나리오는 오늘날 사용되고 있는 실질적인 사례 중 일부에 불과하다. 따라서 IT 부서가 이런 IoT 디바이스에 압도되는 것은 시간 문제이다. 해결책은 올바른 빌딩 블록을 개발해 기업이 섀도우 IoT도 조건에 따라 “예스”라고 답할 수 있도록 만드는 것이다. 섀도우 IoT를 다루는 다섯 가지 지침을 소개한다.

1. 네트워크 분할. 사용자는 중요한 인프라에 연결해서는 안되는 새로운 디바이스를 네트워크로 가져온다. 이 때문에 추가로 SSID와 VLAN을 네트워크에 추가해야 한다. 일부 기업은 기업 자원에 대한 액세스를 차단하는 게스트 네트워크를 구성하기도 한다. 하지만 이는 시작에 불과하다. IoT 디바이스는 게스트 네트워크와는 달리 일부 기업 자원에 대한 액세스가 필요할 수도 있다. IT 부서는 매번 어떤 자원을 IoT 네트워크에서 사용할 수 있는지 판단해야 한다. 결국 IoT 네트워크는 완전히 신뢰할 수 있는 기업 네트워크와 게스트 액세스용 네트워크 중간 정도의 네트워크가 적합하다.

2. PKI와 NAC. 기업은 사용자가 네트워크에 연결된 냉장고에 자격 증명을 부여하고, 이를 통해 기업 네트워크에 액세스하는 것을 원하지 않는다. 아무리 냉장고에 불과해도 악성코드에 감염되면 한 사람의 내부 인력처럼 동작할 수 있기 때문이다. PKI(Public Key Infrastructure)는 사용자가 제대로 로그인하고 IT 부서에서 신뢰할 수 있는 것으로 분류한, 승인된 엔드포인트 디바이스만 연결할 수 있도록 한다. NAC(Network Access Control)의 계층화는 디바이스가 실제로 신뢰할 수 있고 최소 보안 기준을 충족하는지 확인한다. 신뢰도가 떨어지는 IoT 디바이스는 적절한 네트워크 영역으로 격리된다.

3. 텔넷 비활성화. 가능하다면 네트워크 내에서 텔넷 트래픽을 완전히 비활성화하는 것이 좋다. 그렇지 않다면, 최소한 외부에서의 텔넷 액세스를 차단해야 한다. 텔넷과 같이 안전하지 않은 연결은 기본값 패스워드로 설정된 디바이스와 결합해 악성코드를 퍼뜨리기 쉽다.

4. 트래픽 셰이핑 고려. 대역폭을 조절하는 트래픽 셰이핑은 특히 의심스러운 데이터 스트림에 대해 인터넷으로부터의 공격 효과를 둔화하고 중요한 서비스의 연결성을 개선한다.

5. 관리의 극대화. EMM(Enterprise Mobility Management)이나 기타 보안 프레임워크를 이용해 직원이 네트워크 연결 디바이스를 사용할 수 있도록 한다. 기업이 자체적으로 IoT 디바이스를 개발하고 테스트할 때는 윈도우 10이나 안드로이드 같은 플랫폼을 이용하는 것이 좋다. 이들 플랫폼은 자체 개발 플랫폼보다 좀 더 정교한 보안 툴을 제공하기 때문이다. 만약 중앙 플랫폼으로 구성할 수 없는 디바이스는 사용자와 함께 설정해야 한다. 이를 통해 과거에 악용되었던 취약점이나 기본 환경 구성을 막을 수 있다.

이상의 다섯 가지 보안 프랙티스는 기업 내에 IoT 디바이스를 사용하는 기본에 해당한다. 또한 이를 통해 현재의 보안은 물론, 향후 네트워크 연결 디바이스를 보안 요구사항을 마련할 수 있을 것이다. editor@itworld.co.kr



2021.08.25

숨겨진 IoT에 대응하는 5가지 기본 프랙티스

Ojas Rege | COMPUTERWOCHE
순진한 부서에서 구매한 수백 대의 냉장고가 네트워크에 연결되어 있는 병원을 생각해 보자. 이들 냉장고는 와이파이로 연결되어 다른 중요한 정보의 흐름을 방해한다. 와이파이로 전달되는 음성에 의존하는 의사는 더 이상 알림을 받지 못하며, 의료 모니터는 환자를 치료하는 데 필요한 최신 데이터를 보내지 않는다. 섀도우 IoT란 바로 이런 것이다. IoT 디바이스가 기업 환경으로 점점 확산되는 시점, 각 조직은 IT 부서가 이들 자원을 제대로 관리하고 보호하는지 확인해야 한다.
 
ⓒ Getty Images Bank

한때는 섀도우 IT가 대부분 기업의 골칫거리였다. 섀도우 IT는 IT 부서의 통제를 받지 않으면서 수많은 보안 문제를 유발했다. 하지만 기업 내에서 스마트폰의 사용이 증가하면서 기업의 대응 방식이 바뀌었다. 지금은 기업이 생산성을 얼마나 지원할 수 있는지, 다시 말해 혁신을 안전하게 사용하고 있는지를 나타내는 지표로 간주된다.

전통적인 IT 전술 지침서로 돌아가 새로운 기술에 무조건 반대하는 것이 더 쉬울 수도 있다. 실제로 1990년대 후반 와이파이와 10년 전의 아이폰은 이런 대접을 받았다. 하지만 새로운 IoT 디바이스는 실질적인 비즈니스 이점의 원천이 될 수도 있다. 네트워크로 연결된 냉장고 역시 제약산업 같은 분야에서 영업과 생산성을 높이는 성과를 보이기 전까지는 터무니없는 것으로 여겨질 수 있다.

IP 카메라는 실시간 동영상을 조정실에 제공해 응급 상황에서 초기 대응 인력을 배치하고 현재 상황에 대한 충분한 정보를 제공할 수 있다. 디지털 미디어 플레이어는 유통 매장에서 소비자에게 관련 콘텐츠를 보여주는 것으로 몰입감 있는 경험을 전달할 수 있다.
 
이런 시나리오는 오늘날 사용되고 있는 실질적인 사례 중 일부에 불과하다. 따라서 IT 부서가 이런 IoT 디바이스에 압도되는 것은 시간 문제이다. 해결책은 올바른 빌딩 블록을 개발해 기업이 섀도우 IoT도 조건에 따라 “예스”라고 답할 수 있도록 만드는 것이다. 섀도우 IoT를 다루는 다섯 가지 지침을 소개한다.

1. 네트워크 분할. 사용자는 중요한 인프라에 연결해서는 안되는 새로운 디바이스를 네트워크로 가져온다. 이 때문에 추가로 SSID와 VLAN을 네트워크에 추가해야 한다. 일부 기업은 기업 자원에 대한 액세스를 차단하는 게스트 네트워크를 구성하기도 한다. 하지만 이는 시작에 불과하다. IoT 디바이스는 게스트 네트워크와는 달리 일부 기업 자원에 대한 액세스가 필요할 수도 있다. IT 부서는 매번 어떤 자원을 IoT 네트워크에서 사용할 수 있는지 판단해야 한다. 결국 IoT 네트워크는 완전히 신뢰할 수 있는 기업 네트워크와 게스트 액세스용 네트워크 중간 정도의 네트워크가 적합하다.

2. PKI와 NAC. 기업은 사용자가 네트워크에 연결된 냉장고에 자격 증명을 부여하고, 이를 통해 기업 네트워크에 액세스하는 것을 원하지 않는다. 아무리 냉장고에 불과해도 악성코드에 감염되면 한 사람의 내부 인력처럼 동작할 수 있기 때문이다. PKI(Public Key Infrastructure)는 사용자가 제대로 로그인하고 IT 부서에서 신뢰할 수 있는 것으로 분류한, 승인된 엔드포인트 디바이스만 연결할 수 있도록 한다. NAC(Network Access Control)의 계층화는 디바이스가 실제로 신뢰할 수 있고 최소 보안 기준을 충족하는지 확인한다. 신뢰도가 떨어지는 IoT 디바이스는 적절한 네트워크 영역으로 격리된다.

3. 텔넷 비활성화. 가능하다면 네트워크 내에서 텔넷 트래픽을 완전히 비활성화하는 것이 좋다. 그렇지 않다면, 최소한 외부에서의 텔넷 액세스를 차단해야 한다. 텔넷과 같이 안전하지 않은 연결은 기본값 패스워드로 설정된 디바이스와 결합해 악성코드를 퍼뜨리기 쉽다.

4. 트래픽 셰이핑 고려. 대역폭을 조절하는 트래픽 셰이핑은 특히 의심스러운 데이터 스트림에 대해 인터넷으로부터의 공격 효과를 둔화하고 중요한 서비스의 연결성을 개선한다.

5. 관리의 극대화. EMM(Enterprise Mobility Management)이나 기타 보안 프레임워크를 이용해 직원이 네트워크 연결 디바이스를 사용할 수 있도록 한다. 기업이 자체적으로 IoT 디바이스를 개발하고 테스트할 때는 윈도우 10이나 안드로이드 같은 플랫폼을 이용하는 것이 좋다. 이들 플랫폼은 자체 개발 플랫폼보다 좀 더 정교한 보안 툴을 제공하기 때문이다. 만약 중앙 플랫폼으로 구성할 수 없는 디바이스는 사용자와 함께 설정해야 한다. 이를 통해 과거에 악용되었던 취약점이나 기본 환경 구성을 막을 수 있다.

이상의 다섯 가지 보안 프랙티스는 기업 내에 IoT 디바이스를 사용하는 기본에 해당한다. 또한 이를 통해 현재의 보안은 물론, 향후 네트워크 연결 디바이스를 보안 요구사항을 마련할 수 있을 것이다. editor@itworld.co.kr

X