Offcanvas

IoT ������

“94%가 지난해 IIoT 또는 OT 공격 경험” 바라쿠다

산업 시스템 공격이 증가하고 있지만 이러한 시스템을 보호하기 위한 보안은 계속 뒤처지고 있다.  클라우드 보안 회사 바라쿠다(Barracuda)가 의뢰해 실시한 설문조사 결과에 따르면 전체 응답자의 94%가 지난 12개월 동안 산업용 IoT(IIoT) 또는 운영 기술(OT) 시스템 공격을 경험한 것으로 나타났다.    ‘2022 산업 보안 현황(The State of Industrial Security in 2022)’은 산업 시스템을 담당하는 고위 IT 및 보안 책임자를 대상으로 설문조사를 실시하고, 그 결과를 정리한 바라쿠다의 보고서다.  바라쿠다의 데이터 보호, 네트워크, 애플리케이션 보안 부문 수석 부사장 팀 제퍼슨은 “현 위협 환경에서 중요 인프라는 사이버 범죄자에게 매력적인 표적이다. 하지만 안타깝게도 IIoT/OT 보안 프로젝트는 다른 보안 이니셔티브에 밀리거나, 비용이나 복잡성으로 인해 실패하여 기업을 위험에 빠뜨리게 된다”라고 말했다.  지정학적 긴장 고조  솔라윈즈 공격 그리고 지난달 리투아니아를 표적으로 한 러시아의 디도스 공격 등 최근의 공격 사례는 산업 시스템을 노리는 국가 지원 공격(nation state-backed attacks)에 관한 우려를 불러일으켰다. 그 결과 전체 응답자의 89%가 현 지정학적 상황을 매우 또는 상당히 우려하고 있는 것으로 조사됐다.  콘스텔레이션 리서치의 애널리스트 리즈 밀러는 “러시아의 우크라이나 침공은, 이 전쟁이 사이버 공간으로 진입할 경우 IIoT 기기의 취약점이 주요 표적이 되리라 예상됐기 때문에 전 세계를 긴장시켰다”라고 언급했다.  뒤처진 제조 및 의료 산업  바라쿠다의 보고서에 의하면 전체 응답자의 93%는 소속 기업이 IIoT/OT 보안 프로젝트에서 실패했으며, 그 원인으로 인력과 도구의 부족을 꼽았다. 또 이번 설문조사에 참여한 기업의 18%만이 네트워크 액세스를 제한하고, MFA(다중 요소 인증...

사이버 보안 위협 환경 IIoT OT IoT 보안 산업 시스템 산업용 IoT 국가 지원 공격

2022.07.13

산업 시스템 공격이 증가하고 있지만 이러한 시스템을 보호하기 위한 보안은 계속 뒤처지고 있다.  클라우드 보안 회사 바라쿠다(Barracuda)가 의뢰해 실시한 설문조사 결과에 따르면 전체 응답자의 94%가 지난 12개월 동안 산업용 IoT(IIoT) 또는 운영 기술(OT) 시스템 공격을 경험한 것으로 나타났다.    ‘2022 산업 보안 현황(The State of Industrial Security in 2022)’은 산업 시스템을 담당하는 고위 IT 및 보안 책임자를 대상으로 설문조사를 실시하고, 그 결과를 정리한 바라쿠다의 보고서다.  바라쿠다의 데이터 보호, 네트워크, 애플리케이션 보안 부문 수석 부사장 팀 제퍼슨은 “현 위협 환경에서 중요 인프라는 사이버 범죄자에게 매력적인 표적이다. 하지만 안타깝게도 IIoT/OT 보안 프로젝트는 다른 보안 이니셔티브에 밀리거나, 비용이나 복잡성으로 인해 실패하여 기업을 위험에 빠뜨리게 된다”라고 말했다.  지정학적 긴장 고조  솔라윈즈 공격 그리고 지난달 리투아니아를 표적으로 한 러시아의 디도스 공격 등 최근의 공격 사례는 산업 시스템을 노리는 국가 지원 공격(nation state-backed attacks)에 관한 우려를 불러일으켰다. 그 결과 전체 응답자의 89%가 현 지정학적 상황을 매우 또는 상당히 우려하고 있는 것으로 조사됐다.  콘스텔레이션 리서치의 애널리스트 리즈 밀러는 “러시아의 우크라이나 침공은, 이 전쟁이 사이버 공간으로 진입할 경우 IIoT 기기의 취약점이 주요 표적이 되리라 예상됐기 때문에 전 세계를 긴장시켰다”라고 언급했다.  뒤처진 제조 및 의료 산업  바라쿠다의 보고서에 의하면 전체 응답자의 93%는 소속 기업이 IIoT/OT 보안 프로젝트에서 실패했으며, 그 원인으로 인력과 도구의 부족을 꼽았다. 또 이번 설문조사에 참여한 기업의 18%만이 네트워크 액세스를 제한하고, MFA(다중 요소 인증...

2022.07.13

“IoT가 서비스로 바뀐다”··· 2022년 사물인터넷 전망

‘사물인터넷(IoT)’이 성숙해지면서 벤더들은 애플리케이션 번들을 통해 구축을 간소화하고 있다. 하지만 보안 문제는 여전히 해결되지 않고 있다.  사물인터넷은 수년 동안 과대 광고된 기술이었지만 팬데믹과 그 여파에 따른 원격근무의 확산으로 기업에서의 실제 사용이 본격화됐다. 게다가 벤더들이 기업 자체적으로 (사물인터넷을) 구축하는 데 필요한 구성 요소뿐만 아니라 애플리케이션까지 판매하기 시작하면서 IoT가 성숙해지고 있다.    팬데믹은 이를테면 산업 부문의 예측 정비, 항구 및 운송 시설의 자동화 등 IoT가 이미 널리 쓰이고 있는 기술 유형의 급격한 성장을 주도했다. 이러한 영역에서 IoT는 작업자가 현장에서 보내는 시간을 줄인다. 시스템을 원격으로 모니터링하면 이전처럼 빈번하게 직접 유지보수할 필요가 없기 때문이다. 특정 유형의 점검, 서비스 등 일부 기능을 원격에서 처리할 수 있어 작업자가 현장에서 그리고 다른 직원과 가까이 있어야 하는 시간을 줄일 수 있다.  상업용 IoT 앱 가트너 부사장 겸 애널리스트 알 벨로사에 따르면 IoT의 다음 큰 변화는 (하드웨어 벤더가 현장의 자산에서 클라우드로 데이터를 가져오는 방법을 판매하던) 평범한 연결성에서 완전히 통합된 애플리케이션으로 향하는 것이다. 그는 “지난 2021년 대두돼 향후 지배적인 트렌드로 자리 잡으리라 보는 것은 훨씬 더 폐쇄적인 비즈니스 애플리케이션이다. 많은 기업이 IoT 플랫폼만 판매하지 않는다. 이제는 IoT와 함께 애플리케이션을 판매한다”라고 설명했다.  이는 사실상 부품 판매에서 완제품 판매로의 전환이며, IoT 시장이 성숙해지고 있다는 신호라고 벨로사는 말했다. 과거에 시그폭스(Sigfox)와 같은 회사는 연결할 엔드포인트와 사용할 클라우드 백엔드가 이미 있는 기업에 네트워크 연결을 판매할 수 있었다. 오늘날 GE, 지멘스 등은 운영 기술을 통합 서비스로 판매하고 있다. 그렇다고 이것이 독립 실행형 벤더의 끝은 아니다. 독립 실행...

사물인터넷 팬데믹 원격근무 예측 정비 지속가능성 사물인터넷 보안 IoT 보안

2022.01.13

‘사물인터넷(IoT)’이 성숙해지면서 벤더들은 애플리케이션 번들을 통해 구축을 간소화하고 있다. 하지만 보안 문제는 여전히 해결되지 않고 있다.  사물인터넷은 수년 동안 과대 광고된 기술이었지만 팬데믹과 그 여파에 따른 원격근무의 확산으로 기업에서의 실제 사용이 본격화됐다. 게다가 벤더들이 기업 자체적으로 (사물인터넷을) 구축하는 데 필요한 구성 요소뿐만 아니라 애플리케이션까지 판매하기 시작하면서 IoT가 성숙해지고 있다.    팬데믹은 이를테면 산업 부문의 예측 정비, 항구 및 운송 시설의 자동화 등 IoT가 이미 널리 쓰이고 있는 기술 유형의 급격한 성장을 주도했다. 이러한 영역에서 IoT는 작업자가 현장에서 보내는 시간을 줄인다. 시스템을 원격으로 모니터링하면 이전처럼 빈번하게 직접 유지보수할 필요가 없기 때문이다. 특정 유형의 점검, 서비스 등 일부 기능을 원격에서 처리할 수 있어 작업자가 현장에서 그리고 다른 직원과 가까이 있어야 하는 시간을 줄일 수 있다.  상업용 IoT 앱 가트너 부사장 겸 애널리스트 알 벨로사에 따르면 IoT의 다음 큰 변화는 (하드웨어 벤더가 현장의 자산에서 클라우드로 데이터를 가져오는 방법을 판매하던) 평범한 연결성에서 완전히 통합된 애플리케이션으로 향하는 것이다. 그는 “지난 2021년 대두돼 향후 지배적인 트렌드로 자리 잡으리라 보는 것은 훨씬 더 폐쇄적인 비즈니스 애플리케이션이다. 많은 기업이 IoT 플랫폼만 판매하지 않는다. 이제는 IoT와 함께 애플리케이션을 판매한다”라고 설명했다.  이는 사실상 부품 판매에서 완제품 판매로의 전환이며, IoT 시장이 성숙해지고 있다는 신호라고 벨로사는 말했다. 과거에 시그폭스(Sigfox)와 같은 회사는 연결할 엔드포인트와 사용할 클라우드 백엔드가 이미 있는 기업에 네트워크 연결을 판매할 수 있었다. 오늘날 GE, 지멘스 등은 운영 기술을 통합 서비스로 판매하고 있다. 그렇다고 이것이 독립 실행형 벤더의 끝은 아니다. 독립 실행...

2022.01.13

"2026년까지 IoT 보안 시장 연간 22.1% 성장"

IoT 보안 시장이 2026년까지 연간 22.1%의 성장률을 기록할 것이라는 전망이다. 2021년 149억 달러로 예상된 시장 규모는 2026년 403억 달러로 증가할 것으로 추정됐다. 인더스트리 4.0 추진 과정에서 IoT 보안 사고의 급격한 증가, 사이버 회복력 강화의 필요성 강조하는 IoT 보안 규정, 중요 인프라에 대한 보안 문제의 확산 등이 시장을 견인하는 주요 요인으로 지목됐다. 마켓앤마켓(MarketsandMarkets)이 '2026년까지 IoT 보안 시장 예측(IoT Security Market - Global Forecast to 2026)' 보고서를 발표했다. 보고서는 IoT 관련 보안 시장을 유형, 구성 요소, 애플리케이션, 배포 모드, 조직, 지역으로 나누어 조사 및 분석을 진행했다. 유형 부문은 네트워크 보안, 엔드포인트 보안, 애플리케이션 보안, 클라우드 보안으로 구분했고, 구성 요소는 솔루션 및 서비스, 배포 모드는 온프레미스와 클라우드로 세부 항목을 구성했다. 마켓앤마켓이 2026년까지 IoT 보안 시장 전망 보고서를 발표하고, 2021년 149억 달러로 예상한 시장 규모가 2026년 403억 달러로 성장할 것으로 전망했다. (자료 : MarketsandMarkets) 예측 기간 동안 기간 높은 시장 점유율을 차지할 것으로 예상된 부문은 '네트워크 보안'이다. 갈수록 증가하는 사이버 위협으로부터 네트워크 보안 솔루션의 필요성이 증가하고 있다. 특히, 네트워크 아키텍처가 복잡해지고 네트워크 환경이 항상 변하면서, 취약점을 찾아 악용하려는 악의적인 공격자들로부터 항상 위협을 받고 있다. 보고서는 "이러한 취약점은 장치, 데이터, 애플리케이션, 사용자 및 위치를 비롯한 많은 영역에서 발견된다. IoT 생태계 전반에 걸쳐 위협과 취약성을 해결하는 여러 네트워크 보안 도구와 애플리케이션이 있다. 네트워크 보안 부문의 성장에 기여하는 주요 추세는 다양한 산업 분야에서 IoT 애플리케이션의 채택이 증가하고 있다는 것이다"라며 네트워크...

IoT 보안 마켓앤마켓 전망 IoT 공격

2022.01.10

IoT 보안 시장이 2026년까지 연간 22.1%의 성장률을 기록할 것이라는 전망이다. 2021년 149억 달러로 예상된 시장 규모는 2026년 403억 달러로 증가할 것으로 추정됐다. 인더스트리 4.0 추진 과정에서 IoT 보안 사고의 급격한 증가, 사이버 회복력 강화의 필요성 강조하는 IoT 보안 규정, 중요 인프라에 대한 보안 문제의 확산 등이 시장을 견인하는 주요 요인으로 지목됐다. 마켓앤마켓(MarketsandMarkets)이 '2026년까지 IoT 보안 시장 예측(IoT Security Market - Global Forecast to 2026)' 보고서를 발표했다. 보고서는 IoT 관련 보안 시장을 유형, 구성 요소, 애플리케이션, 배포 모드, 조직, 지역으로 나누어 조사 및 분석을 진행했다. 유형 부문은 네트워크 보안, 엔드포인트 보안, 애플리케이션 보안, 클라우드 보안으로 구분했고, 구성 요소는 솔루션 및 서비스, 배포 모드는 온프레미스와 클라우드로 세부 항목을 구성했다. 마켓앤마켓이 2026년까지 IoT 보안 시장 전망 보고서를 발표하고, 2021년 149억 달러로 예상한 시장 규모가 2026년 403억 달러로 성장할 것으로 전망했다. (자료 : MarketsandMarkets) 예측 기간 동안 기간 높은 시장 점유율을 차지할 것으로 예상된 부문은 '네트워크 보안'이다. 갈수록 증가하는 사이버 위협으로부터 네트워크 보안 솔루션의 필요성이 증가하고 있다. 특히, 네트워크 아키텍처가 복잡해지고 네트워크 환경이 항상 변하면서, 취약점을 찾아 악용하려는 악의적인 공격자들로부터 항상 위협을 받고 있다. 보고서는 "이러한 취약점은 장치, 데이터, 애플리케이션, 사용자 및 위치를 비롯한 많은 영역에서 발견된다. IoT 생태계 전반에 걸쳐 위협과 취약성을 해결하는 여러 네트워크 보안 도구와 애플리케이션이 있다. 네트워크 보안 부문의 성장에 기여하는 주요 추세는 다양한 산업 분야에서 IoT 애플리케이션의 채택이 증가하고 있다는 것이다"라며 네트워크...

2022.01.10

2021년에도 보안 전문가 수요는 '상승세'··· 핫한 업종과 역량은?

요즘처럼 채용 시장이 얼어붙은 시기에도 보안 전문가에 대한 수요는 여전히 높다. 여기서는 현재 사이버 보안 직종 수요가 가장 뜨거운 업종과 시장을 살펴본다. 또한 고소득 일자리를 얻기 위해서는 무엇이 필요한지도 알아본다.    올해 봄, 미국은 대공황(Great Depression) 이래로 가장 높은 실업률을 기록했다. 정보 보안 전문가도 예외는 아니었다. 물론 의료, 금융서비스, 공공 부문에서 정보 보안 서비스에 대한 니즈가 증가하긴 했다. 하지만 많은 기업이 예산을 동결하거나 삭감하면서 섣불리 채용 계획을 내놓지 못했기 때문이다.  한편 구직에 있어 산업군과 관계없이 중요한 것은 보안 전문가의 경험, 역량, 마인드셋이다. 예일대학교 CISO 폴 리버스에 따르면 특정 툴을 다룰 줄 알거나 기술 경험이 있는 사람을 찾기는 쉬운 편이다. 하지만 조직의 목표를 달성하기 위해 자신의 역량을 활용할 줄 아는 사람을 찾기는 쉽지 않다.  그는 “탁월한 기술적 역량과 수준 높은 정보 보안 지식으로는 충분하지 않다. 어려운 과제에 대한 해결책을 내놓으며 조직의 목표를 성취할 줄 아는 사람이라면 언제나 수요가 높을 것”이라고 강조했다. 보안 전문가 수요가 높은 업종은?  코로나19 여파로 정리해고 바람이 확산되는 가운데 오히려 정보 보안 전문가의 수요가 명백하게 높아진 업종들이 있다. 대표적으로 은행 및 금융서비스다. 팬데믹이 시작된 이래 끊임없는 사이버 공격에 시달렸기 때문이다.  사이버 보안 및 기술 임원 전문 구인 업체인 렌즈너 그룹(Lenzner Group)의 사장 트레이시 렌즈너는 실제로 은행 및 금융서비스 부문이 정보 보안 일자리 급증에 영향을 미쳤다고 진단했다. 그는 “이러한 일자리 대다수가 대형 은행, 기술 대기업, 전문 정보 보안 기업들에 의해 생겨났다. 관련 업계 임원들의 이야기를 종합해본 결과, IT 보안 분야의 채용 수요는 4분기까지 꾸준할 것이며, 2021년 이후에도 큰 상승세를 보일 ...

보안 사이버 보안 보안 전문가 채용 구직 CISO 모바일 보안 네트워크 보안 클라우드 보안 IoT 보안 생체인식 암호화 퀀텀 컴퓨팅 블록체인

2020.07.31

요즘처럼 채용 시장이 얼어붙은 시기에도 보안 전문가에 대한 수요는 여전히 높다. 여기서는 현재 사이버 보안 직종 수요가 가장 뜨거운 업종과 시장을 살펴본다. 또한 고소득 일자리를 얻기 위해서는 무엇이 필요한지도 알아본다.    올해 봄, 미국은 대공황(Great Depression) 이래로 가장 높은 실업률을 기록했다. 정보 보안 전문가도 예외는 아니었다. 물론 의료, 금융서비스, 공공 부문에서 정보 보안 서비스에 대한 니즈가 증가하긴 했다. 하지만 많은 기업이 예산을 동결하거나 삭감하면서 섣불리 채용 계획을 내놓지 못했기 때문이다.  한편 구직에 있어 산업군과 관계없이 중요한 것은 보안 전문가의 경험, 역량, 마인드셋이다. 예일대학교 CISO 폴 리버스에 따르면 특정 툴을 다룰 줄 알거나 기술 경험이 있는 사람을 찾기는 쉬운 편이다. 하지만 조직의 목표를 달성하기 위해 자신의 역량을 활용할 줄 아는 사람을 찾기는 쉽지 않다.  그는 “탁월한 기술적 역량과 수준 높은 정보 보안 지식으로는 충분하지 않다. 어려운 과제에 대한 해결책을 내놓으며 조직의 목표를 성취할 줄 아는 사람이라면 언제나 수요가 높을 것”이라고 강조했다. 보안 전문가 수요가 높은 업종은?  코로나19 여파로 정리해고 바람이 확산되는 가운데 오히려 정보 보안 전문가의 수요가 명백하게 높아진 업종들이 있다. 대표적으로 은행 및 금융서비스다. 팬데믹이 시작된 이래 끊임없는 사이버 공격에 시달렸기 때문이다.  사이버 보안 및 기술 임원 전문 구인 업체인 렌즈너 그룹(Lenzner Group)의 사장 트레이시 렌즈너는 실제로 은행 및 금융서비스 부문이 정보 보안 일자리 급증에 영향을 미쳤다고 진단했다. 그는 “이러한 일자리 대다수가 대형 은행, 기술 대기업, 전문 정보 보안 기업들에 의해 생겨났다. 관련 업계 임원들의 이야기를 종합해본 결과, IT 보안 분야의 채용 수요는 4분기까지 꾸준할 것이며, 2021년 이후에도 큰 상승세를 보일 ...

2020.07.31

'센트리오' 인수하는 시스코, 목적은 IoT 보안 강화

센트리오 인수로 시스코는 산업용 사물인터넷(IIoT)에 대한 이상 징후와 실시간 위협을 탐지할 수 있는 기술을 확보할 것으로 기대된다.   자체 IoT 보안 및 관리 서비스 확장을 꾀하는 시스코가 산업용 사물인터넷(IIoT) 네트워크에 이상 탐지 및 실시간 위협 감지 서비스를 제공하는 프랑스 기반의 회사 센트리오(Sentryo)를 인수할 계획이다. 2014년에 설립된 센트리오의 제품으로는 자산 재고관리, 네트워크 감시 및 위협 인텔리전스 플랫폼인 ICS 사이버비전과 네트워크 흐름을 분석하는 사이버비전 네트워크 엣지 센서 등이 있다.  시스코 기업 개발 및 시스코 인베스트먼츠의 부사장 롭 살바뇨는 이번 인수에 대해 블로그에 다음과 같은 글을 남겼다.  “우리는 센트리오의 엣지 센서와 당사의 산업 네트워킹 하드웨어를 시스코의 IOx 애플리케이션 프레임워크로 결합했다. 우리는 연결성이 IoT 프로젝트의 기본이라고 믿는다. 네트워크의 힘을 촉발함으로써 운영 효율을 대폭 개선하고 새로운 사업 기회를 발굴할 수 있다. 시스코는 센트리오 인수로 시스템 엔지니어에게 자산에 대한 더욱 심층적인 가시성을 제공할 수 있다. 이를 통해 해당 네트워크를 최적화하고 안전을 확보하며 이상 현상을 탐지할 수 있는 것이다.” 가트너는 센트리오의 시스템을 다음과 같이 평가했다. “ICS 사이버비전 제품은 고객의 OT 네트워크에 대한 가시성을 단순히 기술 IT 직원뿐만 아니라 OT 사용자 전원이 이해할 수 있는 방식으로 제공한다. 해커들과 규제 당국이 산업 제어 시스템에 더욱 집중함에 따라, 조직의 OT에 대한 적절한 가시성 확보가 필수적이다. 많은 OT 네트워크들이 지리적으로 분산되어 있을 뿐만 아니라 복잡하고 수십만 개의 구성요소로 이루어져 있다.” 프로스트 앤 설리번(Frost & Sullivan)의 산업 애널리스트 난디니 나타라잔은 ICS 사이버비전을 통해 기업들은 운영의 연속성, 탄력성, 안전성을...

인수 센트리오 사이버비전 엣지 컴퓨팅 IoT 보안 IIoT 산업용 사물인터넷 사물인터넷 인공지능 프로스트 앤 설리번 시스코 가트너 M&A 싱귤래리티

2019.06.11

센트리오 인수로 시스코는 산업용 사물인터넷(IIoT)에 대한 이상 징후와 실시간 위협을 탐지할 수 있는 기술을 확보할 것으로 기대된다.   자체 IoT 보안 및 관리 서비스 확장을 꾀하는 시스코가 산업용 사물인터넷(IIoT) 네트워크에 이상 탐지 및 실시간 위협 감지 서비스를 제공하는 프랑스 기반의 회사 센트리오(Sentryo)를 인수할 계획이다. 2014년에 설립된 센트리오의 제품으로는 자산 재고관리, 네트워크 감시 및 위협 인텔리전스 플랫폼인 ICS 사이버비전과 네트워크 흐름을 분석하는 사이버비전 네트워크 엣지 센서 등이 있다.  시스코 기업 개발 및 시스코 인베스트먼츠의 부사장 롭 살바뇨는 이번 인수에 대해 블로그에 다음과 같은 글을 남겼다.  “우리는 센트리오의 엣지 센서와 당사의 산업 네트워킹 하드웨어를 시스코의 IOx 애플리케이션 프레임워크로 결합했다. 우리는 연결성이 IoT 프로젝트의 기본이라고 믿는다. 네트워크의 힘을 촉발함으로써 운영 효율을 대폭 개선하고 새로운 사업 기회를 발굴할 수 있다. 시스코는 센트리오 인수로 시스템 엔지니어에게 자산에 대한 더욱 심층적인 가시성을 제공할 수 있다. 이를 통해 해당 네트워크를 최적화하고 안전을 확보하며 이상 현상을 탐지할 수 있는 것이다.” 가트너는 센트리오의 시스템을 다음과 같이 평가했다. “ICS 사이버비전 제품은 고객의 OT 네트워크에 대한 가시성을 단순히 기술 IT 직원뿐만 아니라 OT 사용자 전원이 이해할 수 있는 방식으로 제공한다. 해커들과 규제 당국이 산업 제어 시스템에 더욱 집중함에 따라, 조직의 OT에 대한 적절한 가시성 확보가 필수적이다. 많은 OT 네트워크들이 지리적으로 분산되어 있을 뿐만 아니라 복잡하고 수십만 개의 구성요소로 이루어져 있다.” 프로스트 앤 설리번(Frost & Sullivan)의 산업 애널리스트 난디니 나타라잔은 ICS 사이버비전을 통해 기업들은 운영의 연속성, 탄력성, 안전성을...

2019.06.11

SK인포섹, 디지털 시큐리티 통합 관제 플랫폼 '시큐디움 IoT' 출시

SK인포섹이 디지털 시큐리티 통합 관제 플랫폼 ‘시큐디움 아이오티(이하 ‘시큐디움 IoT’)’를 출시한다. 시큐디움 IoT는 정보보안과 물리보안 시스템, 나아가 OT(Operation Technology) 시스템의 모든 데이터를 수집한다. 이 데이터 가운데 이상징후로 보이는 요소들의 상관관계를 종합적으로 분석, 위협에 대응한다. 가령, 스마트 팩토리 환경에서 악성코드에 감염된 업무용 테블릿PC가 주요 시스템에 접근하면 시큐디움 IoT를 통해 ▲악성코드 탐지 및 차단 ▲해당 기기의 소유자 등 자산 정보 파악 ▲CCTV를 통한 소유주에 대한 이동경로 확인 및 물리적 출입 통제 ▲해당 기기의 접속 로그 파악 및 추가 피해 차단 등 종합적인 대응이 가능하다. 시큐디움 IoT는 외부의 공격이나, 내부자의 행위로 촉발될 수 있는 산업 현장의 정보 유출을 차단하기 위해 여러 피해 상황을 가정한 위협 시나리오와 표준대응절차(SOP, Standard Operating Procedure)가 반영된 것이 특징이다. SK인포섹 관계자는 “여러 산업 현장의 기술∙관리적 보안 취약점을 진단해온 SK인포섹의 보안 컨설팅 사업 경험이 시큐디움 IoT에 내재화됐다”며, “산업 현장뿐 아니라, 공항, 항만, 철도, 도로 등 사회간접자본(SOC) 시스템 환경에도 적용할 수 있다”고 말했다. 시큐디움 IoT는 사이버 위협에 대한 탐지∙분석 시스템을 기본으로 영상 감시 분석 시스템, 출입통제 관리시스템 등 다양한 시스템 영역으로 구성돼 있다. 영상감시, 출입통제 등 물리보안 영역에 대해서는 전문기업인 이노뎁, 누비콤과 각각 협력해 개발을 마쳤다. 이와 함께 다양한 사물인터넷 기기와 산업 시스템에서 데이터를 수집할 수 있도록 45종 이상의 프로토콜(Protocol)과 연동할 수 있다. 더 나아가 SK인포섹은 앞으로도 다양한 보안 솔루션 업체와 협력해 시큐디움 IoT의 데이터 ...

Saas 사물인터넷 IoT 보안 SK인포섹 통합 관제 시큐디움 IoT'

2018.03.13

SK인포섹이 디지털 시큐리티 통합 관제 플랫폼 ‘시큐디움 아이오티(이하 ‘시큐디움 IoT’)’를 출시한다. 시큐디움 IoT는 정보보안과 물리보안 시스템, 나아가 OT(Operation Technology) 시스템의 모든 데이터를 수집한다. 이 데이터 가운데 이상징후로 보이는 요소들의 상관관계를 종합적으로 분석, 위협에 대응한다. 가령, 스마트 팩토리 환경에서 악성코드에 감염된 업무용 테블릿PC가 주요 시스템에 접근하면 시큐디움 IoT를 통해 ▲악성코드 탐지 및 차단 ▲해당 기기의 소유자 등 자산 정보 파악 ▲CCTV를 통한 소유주에 대한 이동경로 확인 및 물리적 출입 통제 ▲해당 기기의 접속 로그 파악 및 추가 피해 차단 등 종합적인 대응이 가능하다. 시큐디움 IoT는 외부의 공격이나, 내부자의 행위로 촉발될 수 있는 산업 현장의 정보 유출을 차단하기 위해 여러 피해 상황을 가정한 위협 시나리오와 표준대응절차(SOP, Standard Operating Procedure)가 반영된 것이 특징이다. SK인포섹 관계자는 “여러 산업 현장의 기술∙관리적 보안 취약점을 진단해온 SK인포섹의 보안 컨설팅 사업 경험이 시큐디움 IoT에 내재화됐다”며, “산업 현장뿐 아니라, 공항, 항만, 철도, 도로 등 사회간접자본(SOC) 시스템 환경에도 적용할 수 있다”고 말했다. 시큐디움 IoT는 사이버 위협에 대한 탐지∙분석 시스템을 기본으로 영상 감시 분석 시스템, 출입통제 관리시스템 등 다양한 시스템 영역으로 구성돼 있다. 영상감시, 출입통제 등 물리보안 영역에 대해서는 전문기업인 이노뎁, 누비콤과 각각 협력해 개발을 마쳤다. 이와 함께 다양한 사물인터넷 기기와 산업 시스템에서 데이터를 수집할 수 있도록 45종 이상의 프로토콜(Protocol)과 연동할 수 있다. 더 나아가 SK인포섹은 앞으로도 다양한 보안 솔루션 업체와 협력해 시큐디움 IoT의 데이터 ...

2018.03.13

2018년 IoT 기술 트렌드 방향은?

2018년 내년에는 수많은 기존 기술이 'IoT화'될 전망이다. 이 밖에 엣지 컴퓨팅, 애널리틱스의 개선 및 확산을 기대할 수 있다. 451 리서치의 IoT 프랙티스 디렉터 크리스티안 르노는 IoT가 지난 수년 동안 대두되어 왔지만 2018년에는 기업 분야를 진정으로 뒤흔들게 될 것이라고 예측했다. 그는 기업들이 IoT 분석과 관련해 새로운 차원의 정교함이 나타났다고 전했다. 그에 따르면 오늘날 기업들은 캡처하는 데이터의 절반 정도를 저장하고, 그 중 절반 정도를 분석하고 있다. 르노는 "아무 작업도 하지 않을 것이라면 왜 그 수많은 센서를 위해 돈을 썼을까? 어떤 데이터를 캡처할지에 대해 사람들이 점점 더 현명해지고 있다"라고 말했다. 기업들이 입수하는 데이터를 모두 처리하는 것이 중요하다는 점을 인식하고 있으며, 이제 탐색/발견 단계를 지나 더 많은 배포가 진행되고 있다는 설명이다. 그는 업계에 따라 애널리틱스 기술에 대한 관심이 달라질 것이라고 예상했다. 예를 들어 리테일 부문에서는 기업이 여러 다른 데이터베이스에 POS 시스템을 연결해 방문수, 매장의 지역, 인구 통계 및 전화율과 POS 데이터를 연관지어갈 것이라고 르노는 설명했다. 노스웨스턴 대학의 실리콘밸리 지부에서 IoT 프로그램을 책임지고 있는 킬튼 홉킨스는 측정 트렌드가 부상하고 있으며 여기에는 하드웨어 가격 하락이 영향을 미치고 있다고 진단했다. 그는 "매년 측정치가 증가하고 있다. 센서 및 마이크로 컨트롤러 하드웨어의 지속적인 가격 하락으로 인해 더 많은 데이터를 수집할 비용 타당성이 발생하고 있다"라고 말했다. 엣지 컴퓨팅 IoT의 맥락에서 엣지 컴퓨팅은 클라우드나 데이터센터에서가 아닌, 엔드 포인트에 가까운 시스템에서 요구되는 연산 작업을 수행한다는 아이디어다. 르노는 산업 IoT 애플리케이션 유형에 따라 대기 시간을 최소화하는 것이라고 설명했다. 그는 전용 엣지 박스를 이용해 현장 장치...

IoT 보안 엣지 컴퓨팅 2018

2017.11.30

2018년 내년에는 수많은 기존 기술이 'IoT화'될 전망이다. 이 밖에 엣지 컴퓨팅, 애널리틱스의 개선 및 확산을 기대할 수 있다. 451 리서치의 IoT 프랙티스 디렉터 크리스티안 르노는 IoT가 지난 수년 동안 대두되어 왔지만 2018년에는 기업 분야를 진정으로 뒤흔들게 될 것이라고 예측했다. 그는 기업들이 IoT 분석과 관련해 새로운 차원의 정교함이 나타났다고 전했다. 그에 따르면 오늘날 기업들은 캡처하는 데이터의 절반 정도를 저장하고, 그 중 절반 정도를 분석하고 있다. 르노는 "아무 작업도 하지 않을 것이라면 왜 그 수많은 센서를 위해 돈을 썼을까? 어떤 데이터를 캡처할지에 대해 사람들이 점점 더 현명해지고 있다"라고 말했다. 기업들이 입수하는 데이터를 모두 처리하는 것이 중요하다는 점을 인식하고 있으며, 이제 탐색/발견 단계를 지나 더 많은 배포가 진행되고 있다는 설명이다. 그는 업계에 따라 애널리틱스 기술에 대한 관심이 달라질 것이라고 예상했다. 예를 들어 리테일 부문에서는 기업이 여러 다른 데이터베이스에 POS 시스템을 연결해 방문수, 매장의 지역, 인구 통계 및 전화율과 POS 데이터를 연관지어갈 것이라고 르노는 설명했다. 노스웨스턴 대학의 실리콘밸리 지부에서 IoT 프로그램을 책임지고 있는 킬튼 홉킨스는 측정 트렌드가 부상하고 있으며 여기에는 하드웨어 가격 하락이 영향을 미치고 있다고 진단했다. 그는 "매년 측정치가 증가하고 있다. 센서 및 마이크로 컨트롤러 하드웨어의 지속적인 가격 하락으로 인해 더 많은 데이터를 수집할 비용 타당성이 발생하고 있다"라고 말했다. 엣지 컴퓨팅 IoT의 맥락에서 엣지 컴퓨팅은 클라우드나 데이터센터에서가 아닌, 엔드 포인트에 가까운 시스템에서 요구되는 연산 작업을 수행한다는 아이디어다. 르노는 산업 IoT 애플리케이션 유형에 따라 대기 시간을 최소화하는 것이라고 설명했다. 그는 전용 엣지 박스를 이용해 현장 장치...

2017.11.30

GE CISO에게 일문일답으로 듣는 '산업용IoT 보안'

제조기업 GE는 전사적인 보안과 제품 보안을 통합하는 산업용 사물인터넷(IIoT) 보안에 전체론적 접근 방식을 취하고 있다. 이 회사 CISO인 나스린 르제이가 이러한 접근 방식이 왜 중요한지, 현재 GE가 어떻게 추진하고 있는지 밝혔다. 사이버보안과 관련된 대부분의 논의는 기업 IT의 역할에 초점을 맞추고 있다. 어떻게 하면 IT를 통해 기업과 고객의 데이터를 안전하게 지켜낼 수 있을 것인가에 집중한다. 그러나 다양한 장비와 제품들이 인터넷을 통해 상호 연결되는 상황에서 제조업과 다양한 산업 분야의 기업은 지금까지보다 더 넓은 접근 방식을 채택할 필요가 있다. 산업용 사물인터넷, 또는 IIoT(Industrial Internet of Things)이 빠르게 성장하는 가운데 기업이 생산하는 상품 및 생산에 활용된 자산 등이 사이버공격의 잠재적 표적이 되고 있다. IIoT 보안에 있어서 관건은 IT 및 운영 측면의 이해 관계자들을 설득하여 이들이 통합된 하나의 보안 전략 실행에 협조하도록 할 수 있는가다. 이러한 문제에 직면하고 있는 기업 중 하나가 바로 GE이다. GE사는 그 자신도 거대 제조업체이면서 동시에 타 제조사들에 생산 운용 기술을 판매하고 있다. 그리고 이러한 GE의 서비스 핵심에는 GE가 산업 인터넷 플랫폼이라고 부르는 프레딕스(Predix)가 있다. 최근 <CSO>는 GE의 최고 정보 및 제품 사이버보안 책임자인 나스린 르제이(왼쪽 사진)와 만나 IIoT 보안 문제와, 산업 분야 전반의 사이버보안 현주소에 관해 이야기를 나눴다. 르제이는 GE가 운용하는 9개 사업부의 제품과 사이버보안을 책임지고 있다. 르제이는 2년 반 전 GE 캐피털의 CISO로서 GE에서 처음 일하기 시작했다. GE에 오기 전 그녀는 HP, 시스코시스템스 등 실리콘밸리 기업에서 일했으며 스테이트 스트리트 뱅크(State Street Bank)에서 최고 테크놀로지 리스크 책임자를 역임하기도 했다. CSO : 제품 측면과 전사적인 측면의 균...

CIO 산업용IoT IoT 보안 프레딕스 IIoT 산업용 사물인터넷 생산 GE 디도스 제조 BYOD 사이버보안 CISO CSO Industrial Internet of Things

2017.10.13

제조기업 GE는 전사적인 보안과 제품 보안을 통합하는 산업용 사물인터넷(IIoT) 보안에 전체론적 접근 방식을 취하고 있다. 이 회사 CISO인 나스린 르제이가 이러한 접근 방식이 왜 중요한지, 현재 GE가 어떻게 추진하고 있는지 밝혔다. 사이버보안과 관련된 대부분의 논의는 기업 IT의 역할에 초점을 맞추고 있다. 어떻게 하면 IT를 통해 기업과 고객의 데이터를 안전하게 지켜낼 수 있을 것인가에 집중한다. 그러나 다양한 장비와 제품들이 인터넷을 통해 상호 연결되는 상황에서 제조업과 다양한 산업 분야의 기업은 지금까지보다 더 넓은 접근 방식을 채택할 필요가 있다. 산업용 사물인터넷, 또는 IIoT(Industrial Internet of Things)이 빠르게 성장하는 가운데 기업이 생산하는 상품 및 생산에 활용된 자산 등이 사이버공격의 잠재적 표적이 되고 있다. IIoT 보안에 있어서 관건은 IT 및 운영 측면의 이해 관계자들을 설득하여 이들이 통합된 하나의 보안 전략 실행에 협조하도록 할 수 있는가다. 이러한 문제에 직면하고 있는 기업 중 하나가 바로 GE이다. GE사는 그 자신도 거대 제조업체이면서 동시에 타 제조사들에 생산 운용 기술을 판매하고 있다. 그리고 이러한 GE의 서비스 핵심에는 GE가 산업 인터넷 플랫폼이라고 부르는 프레딕스(Predix)가 있다. 최근 <CSO>는 GE의 최고 정보 및 제품 사이버보안 책임자인 나스린 르제이(왼쪽 사진)와 만나 IIoT 보안 문제와, 산업 분야 전반의 사이버보안 현주소에 관해 이야기를 나눴다. 르제이는 GE가 운용하는 9개 사업부의 제품과 사이버보안을 책임지고 있다. 르제이는 2년 반 전 GE 캐피털의 CISO로서 GE에서 처음 일하기 시작했다. GE에 오기 전 그녀는 HP, 시스코시스템스 등 실리콘밸리 기업에서 일했으며 스테이트 스트리트 뱅크(State Street Bank)에서 최고 테크놀로지 리스크 책임자를 역임하기도 했다. CSO : 제품 측면과 전사적인 측면의 균...

2017.10.13

美 연방정부, IoT 보안에 관해 까다로운 요구 사항 고려

이번주 미국 상원에 제출된 법안이 IoT 보안 문제를 해결하기 위한 첫 걸음이 될 수 있으며, 연방 정부와 IoT 기기 제조사가 충족해야 할 기본적인 보안 표준이 마련될 것으로 기대된다. 이 법안은 정부 계약자가 제공하는 인터넷 연결 기기에 ‘알려진 보안 취약성이 없으며 정기적인 소프트웨어 업데이트를 받고 최신 통신 및 암호화 업계 표준을 사용할 것’을 요구한다. IoT 시장의 변화는 많은 IoT 기기가 얼마나 안전하지 않은지에 대한 척도기 때문에 이번 법안에 업계의 관심이 쏠리고 있다. IoT 기기 보호은 쉬운 일이 아니다. 이들은 보안 제품군을 실행할 수 있는 전통적인 엔드포인트가 아니며, 컴퓨팅 성능이 부족하고, 보안에 대한 표준 접근법이 실제로 적용되지 않는 수많은 유형과 모델로 생산되고 있다.  이 법안의 배경은 IoT 기기 제조사가 제품 설계에 접근하는 방식에 대한 재평가를 유도하는 것이다. 이 법안의 수석 후원자인 마크 워너 상원의원은 많은 제조사가 보안을 보완책으로 간주한다는 사실은 시장의 실패라고 주장했다. --------------------------------------------------------------- 사물인터넷 보안 인기기사 -> "새 부대가 필요하다" IoT 데이터 보안 7단계 -> 급증하는 IoT 데이터... CIO가 고민해야 할 4가지 -> '달리는 자동차 해킹' 새롭고 다양한 IoT 보안이 필요한 이유 -> IoT 보안 문제는 시한폭탄? -> IoT가 안겨줄 3가지 보안 과제 -> "500억 연결이 망가지면?" 사물 인터넷이 풀어야 할 숙제들 -> 위험한 놈들이 몰려온다... IoT가 뒤흔들 3가지 보안 관행 -> "IoT 살인, 시간 문제일 뿐" ---------------------------------------...

연방정부 엔드포인트 사물인터넷 시큐어오쓰 웹루트 취약성 IoT 보안 의료 기기 상원의원

2017.08.04

이번주 미국 상원에 제출된 법안이 IoT 보안 문제를 해결하기 위한 첫 걸음이 될 수 있으며, 연방 정부와 IoT 기기 제조사가 충족해야 할 기본적인 보안 표준이 마련될 것으로 기대된다. 이 법안은 정부 계약자가 제공하는 인터넷 연결 기기에 ‘알려진 보안 취약성이 없으며 정기적인 소프트웨어 업데이트를 받고 최신 통신 및 암호화 업계 표준을 사용할 것’을 요구한다. IoT 시장의 변화는 많은 IoT 기기가 얼마나 안전하지 않은지에 대한 척도기 때문에 이번 법안에 업계의 관심이 쏠리고 있다. IoT 기기 보호은 쉬운 일이 아니다. 이들은 보안 제품군을 실행할 수 있는 전통적인 엔드포인트가 아니며, 컴퓨팅 성능이 부족하고, 보안에 대한 표준 접근법이 실제로 적용되지 않는 수많은 유형과 모델로 생산되고 있다.  이 법안의 배경은 IoT 기기 제조사가 제품 설계에 접근하는 방식에 대한 재평가를 유도하는 것이다. 이 법안의 수석 후원자인 마크 워너 상원의원은 많은 제조사가 보안을 보완책으로 간주한다는 사실은 시장의 실패라고 주장했다. --------------------------------------------------------------- 사물인터넷 보안 인기기사 -> "새 부대가 필요하다" IoT 데이터 보안 7단계 -> 급증하는 IoT 데이터... CIO가 고민해야 할 4가지 -> '달리는 자동차 해킹' 새롭고 다양한 IoT 보안이 필요한 이유 -> IoT 보안 문제는 시한폭탄? -> IoT가 안겨줄 3가지 보안 과제 -> "500억 연결이 망가지면?" 사물 인터넷이 풀어야 할 숙제들 -> 위험한 놈들이 몰려온다... IoT가 뒤흔들 3가지 보안 관행 -> "IoT 살인, 시간 문제일 뿐" ---------------------------------------...

2017.08.04

IoT 보안에 대한 전문가들의 관점은?

오늘날의 사물인터넷 분야는 그야말로 흥미롭다. 불안정성이 가득하지만 지속적으로 확산되고 있는 동시에 피할 수 없는 존재다. 퓨 리서치 센터가 기술 분야 저명인을 대상으로 조사한 결과에서 언급된 관점들이다. 전문가들이 특히 공통적으로 언급한 주제는 IoT 보안이었다. 이들은 또 IoT 보안이 미래에 미칠 영향에 대해 집중하는 모습을 보였다. 필수 인프라에 연결된 장치를 통합하는 추세로 인해 향후 더욱 파괴적인 공격의 가능성이 대두되고 있다는 지적이었다. 보잉 보잉의 미래학자이자 공동 주주, 보안 블로그인 코리 닥터로우는 정부가 지금까지보다 더 많은 일을 해야 한다고 주장했다. 여기엔느 보안 강화를 위한 인센티브 정책이 포함된다. 그는 "현재 신용카드 기록이 누출되면 기업은 건당 0.35달러의 비용과 모니터링 서비스를 위한 추가 지출을 부담해야 한다. 그러나 이러한 데이터는 다른 데이터와 결합돼 숨막힐 정도의 다른 범죄로 이어진다. 만약 회사가 데이터 누출로 인한 평생 손실을 모두 부담해야 한다면, 어떤 보험사도 비용을 책정할 수 없을 정도로 비용 부담이 치솟게 될 것"이라고 말했다. 인터넷의 아버지로 불리는 빈트 서프는 보안 문제가 사용자들로 하여금 연결형 장치로부터 멀어지는 결과를 초래할 수 있다고 지적했다. 그는 "제조업체가 사용자의 이익을 보호하기 위해 부단히 노력하지 않는 한 신뢰성과 안정성 문제는 고조될 수밖에 없다. 지난 10년 동안 구글 지도와 같은 앱에의 의존도가 얼마나 올라갔는지 보라. 신뢰성이 핵심이다. 시스템이 신뢰할 수 없다고 판단한다면 사용자들은 떠날 것이다"이라고 말했다. 코리 닥터로우(좌)는 정부의 역할을 강조했다. 다이나 보이드는 IoT의 불가피성과 잠재적 피해 가능성을 언급했다. 그러나 소프트웨어 기업 포그 크릭의 CEO 아닐 대시는 연결된 세상의 속성 상 사용자들이 대규모로 이탈하는 상황은 예상하기 어렵다고 주장했다. 그는 "필연적으로 사람들은...

데이터 누출 IoT 보안

2017.06.07

오늘날의 사물인터넷 분야는 그야말로 흥미롭다. 불안정성이 가득하지만 지속적으로 확산되고 있는 동시에 피할 수 없는 존재다. 퓨 리서치 센터가 기술 분야 저명인을 대상으로 조사한 결과에서 언급된 관점들이다. 전문가들이 특히 공통적으로 언급한 주제는 IoT 보안이었다. 이들은 또 IoT 보안이 미래에 미칠 영향에 대해 집중하는 모습을 보였다. 필수 인프라에 연결된 장치를 통합하는 추세로 인해 향후 더욱 파괴적인 공격의 가능성이 대두되고 있다는 지적이었다. 보잉 보잉의 미래학자이자 공동 주주, 보안 블로그인 코리 닥터로우는 정부가 지금까지보다 더 많은 일을 해야 한다고 주장했다. 여기엔느 보안 강화를 위한 인센티브 정책이 포함된다. 그는 "현재 신용카드 기록이 누출되면 기업은 건당 0.35달러의 비용과 모니터링 서비스를 위한 추가 지출을 부담해야 한다. 그러나 이러한 데이터는 다른 데이터와 결합돼 숨막힐 정도의 다른 범죄로 이어진다. 만약 회사가 데이터 누출로 인한 평생 손실을 모두 부담해야 한다면, 어떤 보험사도 비용을 책정할 수 없을 정도로 비용 부담이 치솟게 될 것"이라고 말했다. 인터넷의 아버지로 불리는 빈트 서프는 보안 문제가 사용자들로 하여금 연결형 장치로부터 멀어지는 결과를 초래할 수 있다고 지적했다. 그는 "제조업체가 사용자의 이익을 보호하기 위해 부단히 노력하지 않는 한 신뢰성과 안정성 문제는 고조될 수밖에 없다. 지난 10년 동안 구글 지도와 같은 앱에의 의존도가 얼마나 올라갔는지 보라. 신뢰성이 핵심이다. 시스템이 신뢰할 수 없다고 판단한다면 사용자들은 떠날 것이다"이라고 말했다. 코리 닥터로우(좌)는 정부의 역할을 강조했다. 다이나 보이드는 IoT의 불가피성과 잠재적 피해 가능성을 언급했다. 그러나 소프트웨어 기업 포그 크릭의 CEO 아닐 대시는 연결된 세상의 속성 상 사용자들이 대규모로 이탈하는 상황은 예상하기 어렵다고 주장했다. 그는 "필연적으로 사람들은...

2017.06.07

강은성의 보안 아키텍트 | 사물인터넷과 사물인터넷 보안(2)

오랜 만에 쓰다 보니 독자들 중 앞의 칼럼과 연결되지 않는 분이 많이 계실 것 같다. 궁금하신 분들은 다음 관련 칼럼을 읽어 보시기 바란다. ->강은성의 보안 아키텍트 | 소프트웨어 보안과 보안 개발프로세스(1) ->강은성의 보안 아키텍트 | 소프트웨어 보안과 보안 개발프로세스(2) ->강은성의 보안 아키텍트 | 사물인터넷과 사물인터넷 보안(1) 사물인터넷(Internet of Things, IoT) 보안이 IoT 시대가 순항할 수 있는 핵심 요인으로 등장하면서 각 나라와 주요 단체, 업계 등에서 이에 관한 IoT 보안에 관한 문서를 앞다퉈 내고 있다. 대표적인 걸 몇 개 꼽으면 다음과 같다.  Open Web Application Security Project(OWASP), Internet of Things Top Ten, 2014.  Cloud Security Alliance(CSA), Security Guidance for Early Adopters of the Internet of Things, 2015.4.  일본 정보처리추진기구(IPA), 연결되는 세계의 개발지침(2016.3.), IoT 개발의 보안설계 지침(2016.5.)  GSM Alliance(GSMA), IoT Security Guidelines, 2016.  Industrial Internet Consortium, Industrial Internet of Things Volume G4: Security Framework, 2016.9.  Open Connectivity Foundation(OCF), OIC Security Specification V1.1.0, 2016.10.  IoT 보안 얼라이언스, IoT 공통보안 가이드, 2016.9. 위 자료 중 가장 쉽게 읽을 수 있는 자료는 역시 우리 말로 작성된 ‘IoT 공통보안 가이드’이다. 이것은 여러 자료를 참고해서 작성했기 때문에 위 목록에 있는 일부 ...

CISO 사물인터넷 강은성 OWASP CISO Lab IoT 보안 SSDL 소프트웨어 개발보안 생명주기

2017.02.09

오랜 만에 쓰다 보니 독자들 중 앞의 칼럼과 연결되지 않는 분이 많이 계실 것 같다. 궁금하신 분들은 다음 관련 칼럼을 읽어 보시기 바란다. ->강은성의 보안 아키텍트 | 소프트웨어 보안과 보안 개발프로세스(1) ->강은성의 보안 아키텍트 | 소프트웨어 보안과 보안 개발프로세스(2) ->강은성의 보안 아키텍트 | 사물인터넷과 사물인터넷 보안(1) 사물인터넷(Internet of Things, IoT) 보안이 IoT 시대가 순항할 수 있는 핵심 요인으로 등장하면서 각 나라와 주요 단체, 업계 등에서 이에 관한 IoT 보안에 관한 문서를 앞다퉈 내고 있다. 대표적인 걸 몇 개 꼽으면 다음과 같다.  Open Web Application Security Project(OWASP), Internet of Things Top Ten, 2014.  Cloud Security Alliance(CSA), Security Guidance for Early Adopters of the Internet of Things, 2015.4.  일본 정보처리추진기구(IPA), 연결되는 세계의 개발지침(2016.3.), IoT 개발의 보안설계 지침(2016.5.)  GSM Alliance(GSMA), IoT Security Guidelines, 2016.  Industrial Internet Consortium, Industrial Internet of Things Volume G4: Security Framework, 2016.9.  Open Connectivity Foundation(OCF), OIC Security Specification V1.1.0, 2016.10.  IoT 보안 얼라이언스, IoT 공통보안 가이드, 2016.9. 위 자료 중 가장 쉽게 읽을 수 있는 자료는 역시 우리 말로 작성된 ‘IoT 공통보안 가이드’이다. 이것은 여러 자료를 참고해서 작성했기 때문에 위 목록에 있는 일부 ...

2017.02.09

AT&T·IBM·노키아 등 단체 결성··· IoT 취약성 공동 연구

사물인터넷(IoT)의 취약성을 연구하고 소비자와 기업에 자신을 방어하는 방법을 교육하기 위해 AT&T, IBM, 노키아 등이 함께 나섰다. 보안 및 인터넷의 일부 대형 업체들은 여러 영역에서 IoT를 취약하게 만드는 문제를 해결하기 위해 IoT 사이버시큐리티 얼라이언스(IoT Cybersecurity Alliance)를 결성했으며, 여기에는 IBM, 시만텍, 팔로알토 네트웍스, 모바일 보안 업체인 트러스토닉(Trustonic)이 참여했다. 이 단체는 표준을 만들지는 않지만, 공동 조사하고 소비자와 기업을 교육하며 표준과 정책에 영향을 미칠 것으로 알려졌다. IoT 기술이 구체화되면서 여러 영역에서 새로운 취약점이 생성될 위험이 있다. 작년에 디도스 공격과 같은 보안 사고로 소비자 기기가 공격 대상으로 부상했으며, 보안이 취약한 셋톱박스와 DVR이 봇넷으로 바뀌기도 했다. 이 단체는 보도자료에서 “네트워크, 클라우드, 애플리케이션 단에 이르는 잠재적인 약점이 IoT에서 훨씬 더 광범위하다”고 밝혔다. AT&T는 지난 3년 동안 IoT 기기를 찾는 공격자가 약 3,000% 이상 증가했음을 발견했다. AT&T에 따르면, 기업들은 자사의 기기가 안전하다고 확신하지 않는다. 펀드-IT 애널리스트인 찰스 킹은 이메일을 통해 "공격자의 관심과 고객의 관심사가 결합되면 대부분의 공급 업체가 사물인터넷에서 볼 수 있는 장밋빛 미래가 망가질 수 있다”고 경고했다. IoT 사이버시큐리티 얼라이언스는 연결된 모든 분야의 문제와 연결된 자동차, 의료, 산업 IoT, 이른바 스마트 도시 같은 주요 IoT 사례를 공동으로 조사하겠다고 약속했다. --------------------------------------------------------------- 사물인터넷 보안 인기기사 -> "새 부대가 필요하다" IoT 데이터 보안 7단계 -> ...

IBM 트러스토닉 IoT 보안 팔로알토 네트웍스 봇넷 디도스 시만텍 노키아 AT&T IoT 사이버시큐리티 얼라이언스

2017.02.09

사물인터넷(IoT)의 취약성을 연구하고 소비자와 기업에 자신을 방어하는 방법을 교육하기 위해 AT&T, IBM, 노키아 등이 함께 나섰다. 보안 및 인터넷의 일부 대형 업체들은 여러 영역에서 IoT를 취약하게 만드는 문제를 해결하기 위해 IoT 사이버시큐리티 얼라이언스(IoT Cybersecurity Alliance)를 결성했으며, 여기에는 IBM, 시만텍, 팔로알토 네트웍스, 모바일 보안 업체인 트러스토닉(Trustonic)이 참여했다. 이 단체는 표준을 만들지는 않지만, 공동 조사하고 소비자와 기업을 교육하며 표준과 정책에 영향을 미칠 것으로 알려졌다. IoT 기술이 구체화되면서 여러 영역에서 새로운 취약점이 생성될 위험이 있다. 작년에 디도스 공격과 같은 보안 사고로 소비자 기기가 공격 대상으로 부상했으며, 보안이 취약한 셋톱박스와 DVR이 봇넷으로 바뀌기도 했다. 이 단체는 보도자료에서 “네트워크, 클라우드, 애플리케이션 단에 이르는 잠재적인 약점이 IoT에서 훨씬 더 광범위하다”고 밝혔다. AT&T는 지난 3년 동안 IoT 기기를 찾는 공격자가 약 3,000% 이상 증가했음을 발견했다. AT&T에 따르면, 기업들은 자사의 기기가 안전하다고 확신하지 않는다. 펀드-IT 애널리스트인 찰스 킹은 이메일을 통해 "공격자의 관심과 고객의 관심사가 결합되면 대부분의 공급 업체가 사물인터넷에서 볼 수 있는 장밋빛 미래가 망가질 수 있다”고 경고했다. IoT 사이버시큐리티 얼라이언스는 연결된 모든 분야의 문제와 연결된 자동차, 의료, 산업 IoT, 이른바 스마트 도시 같은 주요 IoT 사례를 공동으로 조사하겠다고 약속했다. --------------------------------------------------------------- 사물인터넷 보안 인기기사 -> "새 부대가 필요하다" IoT 데이터 보안 7단계 -> ...

2017.02.09

기고 | 제조사와 개발자가 IoT 보안을 해결할 방법

* 본 기고문은 벤더가 작성한 것으로 네트워크 월드 편집진의 수정을 거쳤지만 일부 벤더의 시각이 남아 있을 수 있다. IoT 기기 제조사는 기기를 안전하게 보호해야 하는 부담을 늘 안고 있다. 취약점이 악용될 때 수정 프로그램을 찾아야 하는 책임은 제품 제조사와 개발자에 있다. 이런 일이 발생하면, 제조사와 개발자는 어떻게 해결해야 할까? 지난 몇 년간 IoT 기술이 급성장했다. 새로운 솔루션들이 등장했고, 전례 없이 빠른 속도로 기술이 도입되었다. 가트너는 올해 말까지 IoT 기기 수가 40억 개를 넘어서고, 2020년에는 200억 개로 늘어난다고 전망했다. 올 한 해에만 대기업은 연결 기기에 8,680억 달러 이상을 투자해 이 성장을 견인하고 있다. 이런 가운데 IoT의 영향과 위험도 명백해지고 있다. 아직 초창기이기는 하지만, IoT는 이미 보안과 관련된 평판이 나쁘다. 악성코드에 감염된 수백만 대의 IoT 기기들로 구성된 봇넷이 DNS 공급업체인 Dyn과 수백 웹사이트를 붕괴시킨 DDoS 공격 사고가 발생하기 전부터, 보안 전문가들은 보안에 문제가 많은 연결된 기기가 증가하는 것을 크게 걱정했었다. 이런 공격은 공급업체들이 스마트 기기에 대한 수요 폭증을 충족하기 위해 시장화를 서두르면서 보안을 덜 중요하게 여긴 결과다. 소비자들은 IoT 제품에 열광하고 있지만, 이들 제품이 초래할 수 있는 보안 위험은 잘 모른다. 연결된 기기를 안전하게 만들어야 하는 책임, 즉 취약점이 노출됐을 때 이를 바로잡을 책임은 제품 제조사와 소프트웨어 개발자에게 있다. IoT 기술을 개발하는 조직은 제품이 최종 사용자의 보안이나 개인정보 보호에 어떠한 위험도 초래하지 않도록 만들어야 한다. 다음은 이들 기업이 사용자 위험을 최소화하고, 보안을 강화하기 위해 주력해야 할 부분이다. • 물리적 안전(보안) – 연결된 기기는 물리적 안전(보안)이 매우 중요하다. 개발자는 처음부터 기기 부품을 조작하지 못하도록 만드는 기법을 ...

가트너 백도어 PII 사물인터넷 물리적 보안 코딩 봇넷 디도스 침해 취약점 DDoS 암호화 개인정보 보호 프라이버시 IoT 보안

2016.12.27

* 본 기고문은 벤더가 작성한 것으로 네트워크 월드 편집진의 수정을 거쳤지만 일부 벤더의 시각이 남아 있을 수 있다. IoT 기기 제조사는 기기를 안전하게 보호해야 하는 부담을 늘 안고 있다. 취약점이 악용될 때 수정 프로그램을 찾아야 하는 책임은 제품 제조사와 개발자에 있다. 이런 일이 발생하면, 제조사와 개발자는 어떻게 해결해야 할까? 지난 몇 년간 IoT 기술이 급성장했다. 새로운 솔루션들이 등장했고, 전례 없이 빠른 속도로 기술이 도입되었다. 가트너는 올해 말까지 IoT 기기 수가 40억 개를 넘어서고, 2020년에는 200억 개로 늘어난다고 전망했다. 올 한 해에만 대기업은 연결 기기에 8,680억 달러 이상을 투자해 이 성장을 견인하고 있다. 이런 가운데 IoT의 영향과 위험도 명백해지고 있다. 아직 초창기이기는 하지만, IoT는 이미 보안과 관련된 평판이 나쁘다. 악성코드에 감염된 수백만 대의 IoT 기기들로 구성된 봇넷이 DNS 공급업체인 Dyn과 수백 웹사이트를 붕괴시킨 DDoS 공격 사고가 발생하기 전부터, 보안 전문가들은 보안에 문제가 많은 연결된 기기가 증가하는 것을 크게 걱정했었다. 이런 공격은 공급업체들이 스마트 기기에 대한 수요 폭증을 충족하기 위해 시장화를 서두르면서 보안을 덜 중요하게 여긴 결과다. 소비자들은 IoT 제품에 열광하고 있지만, 이들 제품이 초래할 수 있는 보안 위험은 잘 모른다. 연결된 기기를 안전하게 만들어야 하는 책임, 즉 취약점이 노출됐을 때 이를 바로잡을 책임은 제품 제조사와 소프트웨어 개발자에게 있다. IoT 기술을 개발하는 조직은 제품이 최종 사용자의 보안이나 개인정보 보호에 어떠한 위험도 초래하지 않도록 만들어야 한다. 다음은 이들 기업이 사용자 위험을 최소화하고, 보안을 강화하기 위해 주력해야 할 부분이다. • 물리적 안전(보안) – 연결된 기기는 물리적 안전(보안)이 매우 중요하다. 개발자는 처음부터 기기 부품을 조작하지 못하도록 만드는 기법을 ...

2016.12.27

소매기업 IoT 주의보 '양날의 검이다'

지난 10월 21일 DNS 업체 딘(Dyn)에 대한 디도스 공격은 사이버보안 전문가에게는 그다지 새롭지도 특별할 것도 없는 사건이었다. 하지만 전문가들에 따르면, 연말 쇼핑 시즌을 맞이한 소매 및 유통사들에 경종을 울리는 일이었다. Credit: GettyImages  잇시(Etsy), 에어비앤비, 넷플릭스, 트위터 등 주요 웹사이트 로딩을 방해했던 디도스 공격은 특히 소프트웨어가 설치된 카메라, 모니터, 라우터 같은 IoT 기기들을 감염시켜 엄청난 양의 트래픽을 쏟아붓는 경로로 발생했다는 점에서 주목할 만하다. 운영 효율과 고객 충성도를 높이기 위해 IoT에 투자해 온 소매기업들은 최근의 디도스 공격을 걱정할 수밖에 없다. 악산(Arxan)의 CMO 맨딥 키라는 비콘과 모바일 기술을 이용한 인-스토어 개인화 마케팅부터 고객 아이템을 위한 원격 인벤토리까지 모두 IoT를 이용해 충성 고객을 얻기 위한 전략들이었다고 말했다. 키라에 따르면, 엔드포인트 기기나 카메라, 게이트웨이, 모바일 애플리케이션을 비롯한 대부분 IoT 기기는 해커의 손쉬운 먹잇감이 될 수 있다. 그는 “각종 센서나 어댑터를 쇼핑카트, 심지어 자동차 같은 소비자 가전에 게이트웨이 단에서 연결할 수 있게 된다. 해커는 이러한 게이트웨이를 통해 데이터가 전송되는 백엔드 서버로 진입할 수 있다”고 설명했다. 소매업자들은 갈등할 수밖에 없다. 이들에게 IoT 기기는 좀 더 개별화되고 고객 상황에 맞는 경험을 제공해 고객 충성도를 높이고 아마존 같은 온라인 거물들과 싸울 수 있는 유용한 무기였다. 그러나 다른 한편으로는 소매기업들의 온라인 웹사이트나 모바일 앱에서 접근을 차단하는 취약점으로도 악용될 수 있다. 캡제미니(Capgemini)의 빌 루이스는 그 결과가 생각보다 치명적이라고 지적했다. 이어서 “소매기업들에게 온라인 판매 경로는 수익 창출과 성장뿐 아니라 고객 유치, 경쟁력 유지, 그리고 비즈니스 성장 동력 유지를 위한...

CIO 연말 게이트웨이 사물인터넷 엔드포인트 쇼핑 캡제미니 소매 디도스 CMO 취약점 DDoS IT예산 IoT 보안

2016.11.30

지난 10월 21일 DNS 업체 딘(Dyn)에 대한 디도스 공격은 사이버보안 전문가에게는 그다지 새롭지도 특별할 것도 없는 사건이었다. 하지만 전문가들에 따르면, 연말 쇼핑 시즌을 맞이한 소매 및 유통사들에 경종을 울리는 일이었다. Credit: GettyImages  잇시(Etsy), 에어비앤비, 넷플릭스, 트위터 등 주요 웹사이트 로딩을 방해했던 디도스 공격은 특히 소프트웨어가 설치된 카메라, 모니터, 라우터 같은 IoT 기기들을 감염시켜 엄청난 양의 트래픽을 쏟아붓는 경로로 발생했다는 점에서 주목할 만하다. 운영 효율과 고객 충성도를 높이기 위해 IoT에 투자해 온 소매기업들은 최근의 디도스 공격을 걱정할 수밖에 없다. 악산(Arxan)의 CMO 맨딥 키라는 비콘과 모바일 기술을 이용한 인-스토어 개인화 마케팅부터 고객 아이템을 위한 원격 인벤토리까지 모두 IoT를 이용해 충성 고객을 얻기 위한 전략들이었다고 말했다. 키라에 따르면, 엔드포인트 기기나 카메라, 게이트웨이, 모바일 애플리케이션을 비롯한 대부분 IoT 기기는 해커의 손쉬운 먹잇감이 될 수 있다. 그는 “각종 센서나 어댑터를 쇼핑카트, 심지어 자동차 같은 소비자 가전에 게이트웨이 단에서 연결할 수 있게 된다. 해커는 이러한 게이트웨이를 통해 데이터가 전송되는 백엔드 서버로 진입할 수 있다”고 설명했다. 소매업자들은 갈등할 수밖에 없다. 이들에게 IoT 기기는 좀 더 개별화되고 고객 상황에 맞는 경험을 제공해 고객 충성도를 높이고 아마존 같은 온라인 거물들과 싸울 수 있는 유용한 무기였다. 그러나 다른 한편으로는 소매기업들의 온라인 웹사이트나 모바일 앱에서 접근을 차단하는 취약점으로도 악용될 수 있다. 캡제미니(Capgemini)의 빌 루이스는 그 결과가 생각보다 치명적이라고 지적했다. 이어서 “소매기업들에게 온라인 판매 경로는 수익 창출과 성장뿐 아니라 고객 유치, 경쟁력 유지, 그리고 비즈니스 성장 동력 유지를 위한...

2016.11.30

"홈 IoT 기기에 자동 업데이트 툴 필요" BITAG 제안

IoT 기기를 사용하는 소비자 중에 보안 소프트웨어를 직접 업데이트하는 사람이 얼마나 될까? 인터넷 자문 그룹인 BITAG는 사용자 스스로 IoT 기기를 안전하게 관리할 것이라는 생각을 버리라고 조언했다.  IoT 업계에 관한 인터넷 자문 그룹 BITAG의 보고서에 따르면, 소비자들이 IoT 기기의 소프트웨어를 업데이트하지 않을 것으로 조사됐다. 22일 발간된 보고서에서 BITAG는 "대부분 최종 사용자가 스스로 소프트웨어를 업데이트하지 않을 것이라고 가정하는 것이 안전하다”고 밝혔다. BITAG는 자동 보안 업데이트를 위한 메커니즘을 구축하라고 권고했다. 이러한 인간의 본성은 BITAG가 보고서에서도 인정한 가혹한 현실의 하나일 뿐이다. BITAG는 일부 소비자 IoT 기기가 ‘운영자’와 ‘암호’ 같은 사용자 이름이 기본으로 장착된 취약한 상태로 출하되고, 인증이나 암호화를 실행할 수 있거나, 봇으로 전환될 수 있는 악성코드를 쉽게 감염될 수 있다고 지적했다. 후자의 사실은 올해 초 미라이 봇넷(Mirai botnet)이 취약한 보안 카메라와 여러 기기에 발견됐던 사건에서도 명확하게 드러났다. 하지만 BITAG가 보고서를 위한 연구를 시작한 시점은 그보다 몇 개월 전이었다. BITAG는 홈 IoT 소프트웨어 및 하드웨어 공급 업체를 위한 몇 가지 조언을 제시했다. 시스코 시스템즈, 구글, AT&T, 컴캐스트 등의 대표적인 업체들에게 이 조언은 향후 제품 및 서비스 개발에 도움이 될 수 있다. 가장 기본적인 것 중 하나는 IoT 공급 업체가 무엇을 구축하든 기본적으로 버그와 취약점이 있다고 가정해야 한다는 점이다. 바로 그 때문에 자동 업데이트 툴이 필요하다고 BITAG는 전했다. 보고서는 기기 제조사가 모든 통신을 인증하고, 기기에 저장된 데이터를 암호화하며, 손상되었을 때 인증서를 해지할 방법을 제공하는 등 보안을 위한 모범 사례 목록을 따를...

암호 스마트홈 사물인터넷 IoT 보안 홈 IoT 미라이 봇넷 BITAG 브로드밴드 인터넷 테크놀로지 어드바이저리 그룹 Broadband Internet Technology Advisory Group

2016.11.24

IoT 기기를 사용하는 소비자 중에 보안 소프트웨어를 직접 업데이트하는 사람이 얼마나 될까? 인터넷 자문 그룹인 BITAG는 사용자 스스로 IoT 기기를 안전하게 관리할 것이라는 생각을 버리라고 조언했다.  IoT 업계에 관한 인터넷 자문 그룹 BITAG의 보고서에 따르면, 소비자들이 IoT 기기의 소프트웨어를 업데이트하지 않을 것으로 조사됐다. 22일 발간된 보고서에서 BITAG는 "대부분 최종 사용자가 스스로 소프트웨어를 업데이트하지 않을 것이라고 가정하는 것이 안전하다”고 밝혔다. BITAG는 자동 보안 업데이트를 위한 메커니즘을 구축하라고 권고했다. 이러한 인간의 본성은 BITAG가 보고서에서도 인정한 가혹한 현실의 하나일 뿐이다. BITAG는 일부 소비자 IoT 기기가 ‘운영자’와 ‘암호’ 같은 사용자 이름이 기본으로 장착된 취약한 상태로 출하되고, 인증이나 암호화를 실행할 수 있거나, 봇으로 전환될 수 있는 악성코드를 쉽게 감염될 수 있다고 지적했다. 후자의 사실은 올해 초 미라이 봇넷(Mirai botnet)이 취약한 보안 카메라와 여러 기기에 발견됐던 사건에서도 명확하게 드러났다. 하지만 BITAG가 보고서를 위한 연구를 시작한 시점은 그보다 몇 개월 전이었다. BITAG는 홈 IoT 소프트웨어 및 하드웨어 공급 업체를 위한 몇 가지 조언을 제시했다. 시스코 시스템즈, 구글, AT&T, 컴캐스트 등의 대표적인 업체들에게 이 조언은 향후 제품 및 서비스 개발에 도움이 될 수 있다. 가장 기본적인 것 중 하나는 IoT 공급 업체가 무엇을 구축하든 기본적으로 버그와 취약점이 있다고 가정해야 한다는 점이다. 바로 그 때문에 자동 업데이트 툴이 필요하다고 BITAG는 전했다. 보고서는 기기 제조사가 모든 통신을 인증하고, 기기에 저장된 데이터를 암호화하며, 손상되었을 때 인증서를 해지할 방법을 제공하는 등 보안을 위한 모범 사례 목록을 따를...

2016.11.24

보안 전문가들, 미 의회에 IoT 규제 마련 요구

IoT 기기의 보안 취약성으로 사람들이 피해를 보기 전에 미국 정부가 보안 조치를 의무화하는 규제를 통과시켜야 한다는 주장이 제기됐다. 사이버보안 연구원 브루스 슈나이어가 2016년 11월 16일 하원의원의 공청회에서 출석해 IoT의 위험에 대해 증언하고 있다. Credit: Grant Gross 베테랑 사이버 보안 연구원이자 하버드대학교 강사인 브루스 슈나이어는 “지난 10월 IoT 기기를 이용한 대규모 디도스 공격은 일부 웹사이트만 피해를 줬기 때문에 그나마 나았다. 하지만 다음 공격은 훨씬 더 위험할 수 있다”고 경고했다. 슈나이어는 16일 하원의원 소위원회에서 “자동차, 비행기, 온도 조절기, 가전제품이 인터넷에 연결되면서 실제 우리 생활과 재산이 위험해질 수도 있고, 실제 재앙으로 닥칠 수도 있다"고 말했다. 일부 공화당 하원의원들이 IoT 보안 규제의 필요성을 질문했고, 슈나이어는 정부의 아무런 제제 없다면 IoT 기기 판매자와 소비자가 이 문제를 해결할 이유가 없다고 답했다. 슈나이어와 다른 보안 전문가들에 따르면, 많은 IoT 기기는 보안 기능이 없는 저가 제품이며, 취약성을 패치하기가 쉽지 않고, 고객은 기기가 손상됐다는 사실을 알 방법이 없다. 슈나이어는 또 “사용자가 18개월마다 스마트폰을 교체하지만, 보안 공격을 받은 DVR은 5년 정도 사용하고, 자동차는 10년 정도 탄다. 온도 조절기는 아마 거의 교체하지 않을 것이다”고 지적하며 다음과 같이 말했다. “규제가 필요한 시장은 발목잡힐 수 있다. 하지만, 시장은 스스로 문제를 해결할 수 없다. 구매자와 판매자는 이 문제에 신경 쓰지도 않는다.” 그러나 슈나이어의 IoT 규제에 관한 요구는 공화당의 반대에 부딪힐 가능성이 크다. 오레곤 주 공화당 하원의원인 그레그 월든은 “규제를 완전히 배제하겠다는 것은 아니지만 미국은 세계를 규제할 수는 없다"고...

정부 온도 조절기 IoT 보안 사물인터넷 법안 비행기 의회 규제 자동차 가전 제품

2016.11.17

IoT 기기의 보안 취약성으로 사람들이 피해를 보기 전에 미국 정부가 보안 조치를 의무화하는 규제를 통과시켜야 한다는 주장이 제기됐다. 사이버보안 연구원 브루스 슈나이어가 2016년 11월 16일 하원의원의 공청회에서 출석해 IoT의 위험에 대해 증언하고 있다. Credit: Grant Gross 베테랑 사이버 보안 연구원이자 하버드대학교 강사인 브루스 슈나이어는 “지난 10월 IoT 기기를 이용한 대규모 디도스 공격은 일부 웹사이트만 피해를 줬기 때문에 그나마 나았다. 하지만 다음 공격은 훨씬 더 위험할 수 있다”고 경고했다. 슈나이어는 16일 하원의원 소위원회에서 “자동차, 비행기, 온도 조절기, 가전제품이 인터넷에 연결되면서 실제 우리 생활과 재산이 위험해질 수도 있고, 실제 재앙으로 닥칠 수도 있다"고 말했다. 일부 공화당 하원의원들이 IoT 보안 규제의 필요성을 질문했고, 슈나이어는 정부의 아무런 제제 없다면 IoT 기기 판매자와 소비자가 이 문제를 해결할 이유가 없다고 답했다. 슈나이어와 다른 보안 전문가들에 따르면, 많은 IoT 기기는 보안 기능이 없는 저가 제품이며, 취약성을 패치하기가 쉽지 않고, 고객은 기기가 손상됐다는 사실을 알 방법이 없다. 슈나이어는 또 “사용자가 18개월마다 스마트폰을 교체하지만, 보안 공격을 받은 DVR은 5년 정도 사용하고, 자동차는 10년 정도 탄다. 온도 조절기는 아마 거의 교체하지 않을 것이다”고 지적하며 다음과 같이 말했다. “규제가 필요한 시장은 발목잡힐 수 있다. 하지만, 시장은 스스로 문제를 해결할 수 없다. 구매자와 판매자는 이 문제에 신경 쓰지도 않는다.” 그러나 슈나이어의 IoT 규제에 관한 요구는 공화당의 반대에 부딪힐 가능성이 크다. 오레곤 주 공화당 하원의원인 그레그 월든은 “규제를 완전히 배제하겠다는 것은 아니지만 미국은 세계를 규제할 수는 없다"고...

2016.11.17

"매년 모든 시스템의 보안 유지보수 예산 편성해야" 전문가 조언

심포지엄 2016(SIMposium 2016)에 참가한 전문가들이 IoT를 통한 대규모 디도스 공격에 관해 의견을 공유했다. "금요일에 인터넷 접속에 문제가 있었던 사람이 몇 명이나 될까?" 지난 10월 25일, 코네티컷(Connecticut)의 모히건 선(Mohegan Sun) 리조트에서 2016 심포지엄(SIMposium)이 열렸고, 여기에 참가한 CIO 및 IT 임원들은 ‘의도하지 않은 사물인터넷의 결과’에 관해 의견을 나눴다. 이 행사의 발표 연사인 사이버 보안 컨설턴트 브라이스 오스틴은 이렇게 운을 뗐다. 이후 불편한 웃음이 이어졌다. 오스틴은 자신의 세션이 원래 프로그램에 없었지만 그렇다고 최근에 발생한 악명 높은 IoT 익스플로잇 Dyn DDoS 공격 때문에 발표 내용에 갑작스럽게 추가된 것은 아니라고 밝혔다. SIM(Society for Information Management)의 구성원들이 이 주제를 숨겼던 것은 아니었다. 올해 초 SIM은 사이버 보안 특수 이익 그룹을 출범했으며 최근 SIM의 연례 IT 트렌드 연구가 공개되면서 사이버 보안이 큰 관심을 얻게 되었다. 자신의 집에서는 인터넷에 연결된 온도 조절 장치를 사용하지 않는다고 밝힌 오스틴은 해커들이 이런 장치를 조작하여 온도를 낮춤으로써 수도배관을 동파시키거나 높여서 애완동물을 죽일 수 있는 끔찍한 시나리오에 대해 설명했다. 예전에 그의 발표 세션에 참가한 바 있는 가자 중 한 사람은 더욱 끔찍한 사례를 들었다. 도시에 수십 억 달러짜리 발전소를 건설하려는 기업이 여러 개의 온도 조절 장치로 온도를 떨어뜨려 부분적인 전압을 낮추고 유권자들에게 불필요한 시설을 위해 세금을 지불하도록 한다면 어떨까? 오스틴은 "꽤 우울한 생각이다"며 "누가 그렇게 할까? 엔론(Enron)이면 가능하다!”고 말했다. TCE 스트래터지(TCE Strategy)의 브라이스 오스틴은 IoT...

CIO 2016 심포지엄 Dyn Mirai 미라이 IoT 보안 익스플로잇 봇넷 디도스 공격 DDoS CISO AT&T CSO SIMposium

2016.10.31

심포지엄 2016(SIMposium 2016)에 참가한 전문가들이 IoT를 통한 대규모 디도스 공격에 관해 의견을 공유했다. "금요일에 인터넷 접속에 문제가 있었던 사람이 몇 명이나 될까?" 지난 10월 25일, 코네티컷(Connecticut)의 모히건 선(Mohegan Sun) 리조트에서 2016 심포지엄(SIMposium)이 열렸고, 여기에 참가한 CIO 및 IT 임원들은 ‘의도하지 않은 사물인터넷의 결과’에 관해 의견을 나눴다. 이 행사의 발표 연사인 사이버 보안 컨설턴트 브라이스 오스틴은 이렇게 운을 뗐다. 이후 불편한 웃음이 이어졌다. 오스틴은 자신의 세션이 원래 프로그램에 없었지만 그렇다고 최근에 발생한 악명 높은 IoT 익스플로잇 Dyn DDoS 공격 때문에 발표 내용에 갑작스럽게 추가된 것은 아니라고 밝혔다. SIM(Society for Information Management)의 구성원들이 이 주제를 숨겼던 것은 아니었다. 올해 초 SIM은 사이버 보안 특수 이익 그룹을 출범했으며 최근 SIM의 연례 IT 트렌드 연구가 공개되면서 사이버 보안이 큰 관심을 얻게 되었다. 자신의 집에서는 인터넷에 연결된 온도 조절 장치를 사용하지 않는다고 밝힌 오스틴은 해커들이 이런 장치를 조작하여 온도를 낮춤으로써 수도배관을 동파시키거나 높여서 애완동물을 죽일 수 있는 끔찍한 시나리오에 대해 설명했다. 예전에 그의 발표 세션에 참가한 바 있는 가자 중 한 사람은 더욱 끔찍한 사례를 들었다. 도시에 수십 억 달러짜리 발전소를 건설하려는 기업이 여러 개의 온도 조절 장치로 온도를 떨어뜨려 부분적인 전압을 낮추고 유권자들에게 불필요한 시설을 위해 세금을 지불하도록 한다면 어떨까? 오스틴은 "꽤 우울한 생각이다"며 "누가 그렇게 할까? 엔론(Enron)이면 가능하다!”고 말했다. TCE 스트래터지(TCE Strategy)의 브라이스 오스틴은 IoT...

2016.10.31

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.5.0.5