Offcanvas

IoT / 디지털 디바이스 / 보안 / 소비자IT / 악성코드

"홈 IoT 기기에 자동 업데이트 툴 필요" BITAG 제안

2016.11.24 Stephen Lawson   |  IDG News Service
IoT 기기를 사용하는 소비자 중에 보안 소프트웨어를 직접 업데이트하는 사람이 얼마나 될까? 인터넷 자문 그룹인 BITAG는 사용자 스스로 IoT 기기를 안전하게 관리할 것이라는 생각을 버리라고 조언했다. 

IoT 업계에 관한 인터넷 자문 그룹 BITAG의 보고서에 따르면, 소비자들이 IoT 기기의 소프트웨어를 업데이트하지 않을 것으로 조사됐다.

22일 발간된 보고서에서 BITAG는 "대부분 최종 사용자가 스스로 소프트웨어를 업데이트하지 않을 것이라고 가정하는 것이 안전하다”고 밝혔다. BITAG는 자동 보안 업데이트를 위한 메커니즘을 구축하라고 권고했다.

이러한 인간의 본성은 BITAG가 보고서에서도 인정한 가혹한 현실의 하나일 뿐이다. BITAG는 일부 소비자 IoT 기기가 ‘운영자’와 ‘암호’ 같은 사용자 이름이 기본으로 장착된 취약한 상태로 출하되고, 인증이나 암호화를 실행할 수 있거나, 봇으로 전환될 수 있는 악성코드를 쉽게 감염될 수 있다고 지적했다.

후자의 사실은 올해 초 미라이 봇넷(Mirai botnet)이 취약한 보안 카메라와 여러 기기에 발견됐던 사건에서도 명확하게 드러났다. 하지만 BITAG가 보고서를 위한 연구를 시작한 시점은 그보다 몇 개월 전이었다.

BITAG는 홈 IoT 소프트웨어 및 하드웨어 공급 업체를 위한 몇 가지 조언을 제시했다. 시스코 시스템즈, 구글, AT&T, 컴캐스트 등의 대표적인 업체들에게 이 조언은 향후 제품 및 서비스 개발에 도움이 될 수 있다.

가장 기본적인 것 중 하나는 IoT 공급 업체가 무엇을 구축하든 기본적으로 버그와 취약점이 있다고 가정해야 한다는 점이다. 바로 그 때문에 자동 업데이트 툴이 필요하다고 BITAG는 전했다.

보고서는 기기 제조사가 모든 통신을 인증하고, 기기에 저장된 데이터를 암호화하며, 손상되었을 때 인증서를 해지할 방법을 제공하는 등 보안을 위한 모범 사례 목록을 따를 것을 권고했다.

BITAG에 따르면, 기본적으로 IoT 기기는 외부 공격을 받아 손상될 수 있기 때문에 인바운드 네트워크 연결을 통해 연결될 수 없으며, 같은 집에 있는 기기와도 연결될 수 없다. 보고서는 안전하지 않은 통신을 차단하는데 방화벽만으로는 부족하다고 지적했다.


이 보고서는 최신 IoT 기기가 인터넷 프로토콜의 최신 버전인 IPv6를 사용하라고도 권고했다. IPv6는 인터넷을 통해 기기 간 엔드투엔드 연결을 허용하며, 구형 IPv4에 없는 몇 가지 보안 기능을 담고 있다. 다른 전문가들은 예상되는 수십억 대의 IoT 기기에 고유 IP 주소를 부여하려면 IPv6가 필요할 것이라고 밝힌 바 있다. 그러나 네트워크에서 새 프로토콜을 구현하는 것은 위험하지 않은 어려운 프로세스일 수 있다.

그밖에 다른 BITAG 권고사항은 보안을 직접 다루지는 않지만, 일부 소비자가 홈 IoT로 겪었던 골칫거리들에 대한 것이다. 이 보고서는 제조사가 자체 오류와 특정 종류의 공격으로 집 안의 인터넷을 차단할 수도 있기 때문에 오프라인으로 작동할 수 있는 기기를 만들어야 한다고 강조했다. 또한, 함께 제공된 클라우드 서비스가 작동하지 않을 경우에도 작업을 수행할 수 있어야 한다.

BITAG는 공급 업체가 자사 IoT 제품에 대해 얼마나 오랫동안 서비스를 지원할지도 소비자에게 알려야 한다고 요구했다. 올해 초 네스트(Nest)의 리볼브(Revolv) 스마트홈 허브 비활성화는 네스트가 리볼브를 2014년에 인수하기 전에 이 기기를 299달러에 구입한 일부 소비자들의 기기에서 발생했다. 

그렇다면, 가정용 IoT 기기가 안전한지 신속하게 알 수 있는 방법이 있을까? 아마도 있을 것이다. BITAG는 업계 권고사항을 준수하는 제품에 이를 알리는 로고를 넣거나 별도로 표기해 소비자가 각 기기의 사양을 확인하면서 모를 수 없도록 하라고 전했다. 하지만, 아직은 이러한 프로그램 자체가 없다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.