2020.11.25

“엣지 기기 보안 향상 목표”··· 美 IoT 사이버보안 개선법, 상원 통과

Cynthia Brumfield | CSO
‘사물인터넷 사이버보안 개선법(The Internet of Things Cybersecurity Improvement Act)’에 따르면 기기 제조사들은 새로운 보안 표준을 충족해야 한다. 아직까진 정부 기관과 관련된 업체에만 적용되는 법이지만, 향후 민간 부문으로 확대될 것으로 전망된다. 
 
ⓒGetty Images

전 세계가 모든 전자기기를 상호연결하는, 즉 사물인터넷(IoT) 시대로 나아가고 있다. 하지만 ‘보안’보다 시장 출시 속도와 가격만 우선시하는 기기 제조사들이 많다. 노키아(Nokia)의 최신 위협 인텔리전스 보고서(Threat Intelligence Report 2020)에 의하면 전체 모바일 및 와이파이 네트워크 감염에서 IoT 기기가 차지하는 비율은 무려 3분의 1가량에 달했다. 

IoT 기기 수가 기하급수적으로 증가하면서 이 비율 또한 많이 늘어날 것으로 예상된다. 포티넷(Fortinet)의 최근 보고서는 엣지 기기의 급속한 도입으로 공격 기회가 커질 것이라면서, “지능형 악성코드가 새로운 ‘엣지 액세스 트로이목마(edge access Trojans, EAT)’를 사용하여 민감한 데이터를 발견하고 로컬 네트워크에서 요청을 가로채 시스템을 손상시키거나 추가 공격 명령을 주입하는 등의 침입 활동을 수행할 수 있다”라고 경고했다. 

지난 9월 美 하원을 통과했고 지난주 상원에서 만장일치로 승인된 ‘사물인터넷 사이버보안 개선법’은 이러한 위협을 방지하고 IoT 기기 보안을 강화하기 위한 조치다. 이제 남은 것은 도널드 트럼프 대통령의 서명 절차뿐이다. 

처음부터 이 법안을 적극 후원했던 월 허드 하원의원과 로빈 켈리 하원의원의 말을 빌리자면, 해당 개선법의 목표는 “국가 안보와 국민의 개인정보를 보호하기 위해 미국 정부가 안전한 기기를 구매할 수 있도록 보장하는 것 그리고 기존 취약점을 차단할 수 있도록 하는 것”이다. 연방정부가 따를 수 있는 표준 및 가이드라인을 만드는 것 또한 목표다. 

이 법안은 이러한 표준 및 가이드라인이 “행정부, 산업, 학계 기관 내에서 혹은 공동으로 개발될 것으로 상정했다. 그리고 NIST 기관 간 보고서(NISTIR) 8259의 두 번째 초안에 따라 IoT를 정의했다. 이는 2020년 1월에 처음 발행된 이후 7월에 개정됐다. 

법안에 따르면 NIST는 IoT 기기와 관련된 사이버보안 위험을 관리하는 최소 정보 요건을 포함해 IoT 기기를 적절하게 사용하고 관리하는 데 필요한 표준을 제정한 후 90일 이내에 발표해야 한다. 이러한 표준과 가이드라인은 IoT 기기에 대한 NIST의 기존 지침과 호환돼야 하며, ID 관리, 패치, 구성 관리를 통합해야 한다.  

한편 이 법안이 의원들의 압도적인 지지를 받고 성공적으로 통과될 수 있었던 밑바탕에는 ‘사이버스페이스 솔라리움 위원회(Cyberspace Solarium Commission)’가 있다. 이는 디지털 보안에서 다루기 힘든 문제를 해결하고자 고안된 양당의 민관합동 이니셔티브다. 해당 위원회는 지난 5월 의회가 IoT 사이버보안 개선법을 통과해줄 것을 촉구하면서 ‘팬데믹에서 배운 사이버보안 교훈(Cybersecurity Lessons Learned From the Pandemic)’이라는 백서를 발표한 바 있다. ciokr@idg.co.kr



2020.11.25

“엣지 기기 보안 향상 목표”··· 美 IoT 사이버보안 개선법, 상원 통과

Cynthia Brumfield | CSO
‘사물인터넷 사이버보안 개선법(The Internet of Things Cybersecurity Improvement Act)’에 따르면 기기 제조사들은 새로운 보안 표준을 충족해야 한다. 아직까진 정부 기관과 관련된 업체에만 적용되는 법이지만, 향후 민간 부문으로 확대될 것으로 전망된다. 
 
ⓒGetty Images

전 세계가 모든 전자기기를 상호연결하는, 즉 사물인터넷(IoT) 시대로 나아가고 있다. 하지만 ‘보안’보다 시장 출시 속도와 가격만 우선시하는 기기 제조사들이 많다. 노키아(Nokia)의 최신 위협 인텔리전스 보고서(Threat Intelligence Report 2020)에 의하면 전체 모바일 및 와이파이 네트워크 감염에서 IoT 기기가 차지하는 비율은 무려 3분의 1가량에 달했다. 

IoT 기기 수가 기하급수적으로 증가하면서 이 비율 또한 많이 늘어날 것으로 예상된다. 포티넷(Fortinet)의 최근 보고서는 엣지 기기의 급속한 도입으로 공격 기회가 커질 것이라면서, “지능형 악성코드가 새로운 ‘엣지 액세스 트로이목마(edge access Trojans, EAT)’를 사용하여 민감한 데이터를 발견하고 로컬 네트워크에서 요청을 가로채 시스템을 손상시키거나 추가 공격 명령을 주입하는 등의 침입 활동을 수행할 수 있다”라고 경고했다. 

지난 9월 美 하원을 통과했고 지난주 상원에서 만장일치로 승인된 ‘사물인터넷 사이버보안 개선법’은 이러한 위협을 방지하고 IoT 기기 보안을 강화하기 위한 조치다. 이제 남은 것은 도널드 트럼프 대통령의 서명 절차뿐이다. 

처음부터 이 법안을 적극 후원했던 월 허드 하원의원과 로빈 켈리 하원의원의 말을 빌리자면, 해당 개선법의 목표는 “국가 안보와 국민의 개인정보를 보호하기 위해 미국 정부가 안전한 기기를 구매할 수 있도록 보장하는 것 그리고 기존 취약점을 차단할 수 있도록 하는 것”이다. 연방정부가 따를 수 있는 표준 및 가이드라인을 만드는 것 또한 목표다. 

이 법안은 이러한 표준 및 가이드라인이 “행정부, 산업, 학계 기관 내에서 혹은 공동으로 개발될 것으로 상정했다. 그리고 NIST 기관 간 보고서(NISTIR) 8259의 두 번째 초안에 따라 IoT를 정의했다. 이는 2020년 1월에 처음 발행된 이후 7월에 개정됐다. 

법안에 따르면 NIST는 IoT 기기와 관련된 사이버보안 위험을 관리하는 최소 정보 요건을 포함해 IoT 기기를 적절하게 사용하고 관리하는 데 필요한 표준을 제정한 후 90일 이내에 발표해야 한다. 이러한 표준과 가이드라인은 IoT 기기에 대한 NIST의 기존 지침과 호환돼야 하며, ID 관리, 패치, 구성 관리를 통합해야 한다.  

한편 이 법안이 의원들의 압도적인 지지를 받고 성공적으로 통과될 수 있었던 밑바탕에는 ‘사이버스페이스 솔라리움 위원회(Cyberspace Solarium Commission)’가 있다. 이는 디지털 보안에서 다루기 힘든 문제를 해결하고자 고안된 양당의 민관합동 이니셔티브다. 해당 위원회는 지난 5월 의회가 IoT 사이버보안 개선법을 통과해줄 것을 촉구하면서 ‘팬데믹에서 배운 사이버보안 교훈(Cybersecurity Lessons Learned From the Pandemic)’이라는 백서를 발표한 바 있다. ciokr@idg.co.kr

X