2016.08.09

무지의 대가··· IoT 보안은 '사고'를 먹고 자란다

Clint Boulton | CIO

기업 네트워크에 어떤 기기가 연결돼 있는지 명확히 하는 것이 IoT 시대 보안 아키텍처의 출발점이다. 그러나 애석하게도 CIO를 비롯한 IT 전문가 다수가 이를 놓치고 있다.


Image Credit : Getty Images Bank

오늘날 인류는 연결된 장치에게 사로잡혔다. 스마트 홈, 스마트 자동차, 스마트 TV, 스마트 냉장고 등 센서와 IP 주소를 통해 자동화 기능을 제공하는 장치를 좋아한다. 그러나 이로 인한 위험도 점점 커지고 있다. 특히 도난 당할 만한 것이 많은 기업에게 그렇다. 사물 인터넷은 위협 표면을 급증시키고, 이는 기업에 초래되는 위험을 높인다.

그러나 아직 CIO 다수는 사물 인터넷 장치가 해커의 표적이 될 수 있다는 점을 제대로 실감하지 못하고 있다. 가트너의 얼 퍼킨스 애널리스트는 "사물 인터넷의 근본적인 문제점 중 하나는 사물 인터넷에 어느 정도의 독자성(Identity)이 부여되고 있다는 것이다. 볼 수 없는 것을 관리할 수 없는 법이다"라고 말했다.

시야에 보이지 않은 기계들, BYOD 장치, 더 나아가 사무실 조명과 온도, 창 가리개를 조절하는 각종 신기술을 떠올려 보자. 네트워크에 어떤 장치들이 연결돼 있는지 조사하기란 점점 더 어려워질 것이다. 이는 분명한 사실이다.

이번 주 열린 블랙햇(Black hat) USA 컨퍼런스의 주요 주제 중 하나가 사물 인터넷 보안이었다. DARPA(미국 고등 국방연구소)에서 분사한 신생 보안 소프트웨어 회사인 카디움(Qadium)의 매트 크라닝 CTO은 간단한 예를 들어 IoT 보안 인식 문제를 설명했다.

그에 따르면 많은 CIO들은 현재 BYOD 정책 도입의 결과로 유입되어 네트워크에서 운영되는 장치를 잠그는 것에만 초점을 맞추고 있는 형국이며, 텔레컨퍼런스 시스템은 경시하고 있다. 하지만 전세계적으로 회의실에 수 많은 통합 커뮤니케이션 및 협업 시스템이 설치되어 있으며, 이들 시스템은 SIP(Session Initiation Protocol) 등 오래된 프로토콜을 이용하고 있다. 이에 암호화가 불가능하고, 제대로 패치를 하는 경우가 드물다.

사례 하나를 생각해보자. C급 경영진 전원이 참석하는 분기 경영진 회의가 소집됐다. IP로 동작하는 화상회의 시스템이 제대로 동작 하지 않는다. 그래서 IT 담당자를 불렀다. 확인 결과 기업 보안 정책에 따라, 방화벽으로 이를 차단했기 때문에 제 기능을 하지 않았다.

원칙적으로는 회의를 취소해야 한다. 그러나 경영진은 시스템이 작동을 하도록 방화벽을 해제하라고 지시했다. 그리고 IT 팀이 방화벽을 해제한 동안 큰 사건이 발생했다. 해커가 경영진 회의를 도청할 수 있게끔 시스템이 개방된 것이다.

크라닝은 임원들이 이런 시스템이 초래할 수 있는 위협을 인식하지 못하고 있다며, '전화가 그저 전화'인 시대에 성장한 사람들이기 때문이라고 설명했다. 그는 "대부분이 IoT 보안을 제대로 인식하지 못하고 있다. 제대로 동작하면 문제가 없다는 '잘못된 생각'에 사로잡혀 있다"라고 말했다. 그는 메일 서버 또한 위협 표면이 될 수 있다고 말했다.

시장 경제에 희생된 IoT 보안?
기업 분야는 사실 더 큰 세상 속의 작은 세상일 뿐이다. 단 연결된 장치의 폭증이 더 큰 위협을 초래할 수 있는 세상이다. 가트너의 추정에 따르면, 2016년에 전세계적으로 사용되는 연결된 장치의 수는 64억 개에 달할 전망이다. 그리고 2020년에는 208억 개로 증가할 것으로 예상되고 있다.

그럼에도 불구하고 스마트 자동차, 스마트 온수기, 스마트 TV 등 연결된 장치 보안이 아직까지 큰 문제점으로 남아 있다. 보안 전문가인 브루스 슈나이어에 따르면, 이런 문제를 초래하는 이유 중 하나는 바로 ‘경제성’이다.

PC와 휴대폰의 교체 주기는 18-24개월이다. 이들 장치의 보안을 계속 개선할 (재무적) 인센티브가 충분하다. 그러나 자동차는 10년, 냉장고는 20년에 한 번 교체한다. 그리고 온도 조절기는 평생 교체하지 않을 수도 있다. 슈나이어는 "패치를 하도록 유도하는 메카니즘이 존재하지 않는다. 써드파티 입장에서 경제성이 없기 때문이다"라고 말했다.

여기에 그치지 않고 계속해서 문제가 커진다. 새로운 장치, 여기에 사용된 센서와 소프트웨어가 더 저렴해지고, 수명이 더 길어지기 때문이다. 슈나이어는 "패칭, 장치, 운영 시스템 측면에서 업그레이드 생태계가 다르다. 상황을 개선시키는 요소가 없다. 난방 보일러가 IoT이다. 2년에 한 번씩 하드웨어를 교체해야 한다. 그러나 실제 이렇게 할 사람은 없다"라고 말했다.

'잘못에 대한 책임 소재'도 복잡한 시장 역학 관계에 큰 영향을 미친다. 해커가 소프트웨어 취약점을 악용해 네트워크에 침입했을 때, 우리는 소프트웨어의 문제점을 추궁한다. 그러나 디지털 데이지 체인을 구성하는 연결된 장치의 경우 책임 소재를 파악하기 아주 힘들다.

슈나이어는 "라우터에 연결된 냉장고를 통해 구글 계정을 해킹했다고 가정하자. 이 경우, 누구의 잘못으로 해킹이 발생했는가? 한 마디로, 시장 경제성에 반하는 것이 IoT 보안이다"라고 설명했다.




2016.08.09

무지의 대가··· IoT 보안은 '사고'를 먹고 자란다

Clint Boulton | CIO

기업 네트워크에 어떤 기기가 연결돼 있는지 명확히 하는 것이 IoT 시대 보안 아키텍처의 출발점이다. 그러나 애석하게도 CIO를 비롯한 IT 전문가 다수가 이를 놓치고 있다.


Image Credit : Getty Images Bank

오늘날 인류는 연결된 장치에게 사로잡혔다. 스마트 홈, 스마트 자동차, 스마트 TV, 스마트 냉장고 등 센서와 IP 주소를 통해 자동화 기능을 제공하는 장치를 좋아한다. 그러나 이로 인한 위험도 점점 커지고 있다. 특히 도난 당할 만한 것이 많은 기업에게 그렇다. 사물 인터넷은 위협 표면을 급증시키고, 이는 기업에 초래되는 위험을 높인다.

그러나 아직 CIO 다수는 사물 인터넷 장치가 해커의 표적이 될 수 있다는 점을 제대로 실감하지 못하고 있다. 가트너의 얼 퍼킨스 애널리스트는 "사물 인터넷의 근본적인 문제점 중 하나는 사물 인터넷에 어느 정도의 독자성(Identity)이 부여되고 있다는 것이다. 볼 수 없는 것을 관리할 수 없는 법이다"라고 말했다.

시야에 보이지 않은 기계들, BYOD 장치, 더 나아가 사무실 조명과 온도, 창 가리개를 조절하는 각종 신기술을 떠올려 보자. 네트워크에 어떤 장치들이 연결돼 있는지 조사하기란 점점 더 어려워질 것이다. 이는 분명한 사실이다.

이번 주 열린 블랙햇(Black hat) USA 컨퍼런스의 주요 주제 중 하나가 사물 인터넷 보안이었다. DARPA(미국 고등 국방연구소)에서 분사한 신생 보안 소프트웨어 회사인 카디움(Qadium)의 매트 크라닝 CTO은 간단한 예를 들어 IoT 보안 인식 문제를 설명했다.

그에 따르면 많은 CIO들은 현재 BYOD 정책 도입의 결과로 유입되어 네트워크에서 운영되는 장치를 잠그는 것에만 초점을 맞추고 있는 형국이며, 텔레컨퍼런스 시스템은 경시하고 있다. 하지만 전세계적으로 회의실에 수 많은 통합 커뮤니케이션 및 협업 시스템이 설치되어 있으며, 이들 시스템은 SIP(Session Initiation Protocol) 등 오래된 프로토콜을 이용하고 있다. 이에 암호화가 불가능하고, 제대로 패치를 하는 경우가 드물다.

사례 하나를 생각해보자. C급 경영진 전원이 참석하는 분기 경영진 회의가 소집됐다. IP로 동작하는 화상회의 시스템이 제대로 동작 하지 않는다. 그래서 IT 담당자를 불렀다. 확인 결과 기업 보안 정책에 따라, 방화벽으로 이를 차단했기 때문에 제 기능을 하지 않았다.

원칙적으로는 회의를 취소해야 한다. 그러나 경영진은 시스템이 작동을 하도록 방화벽을 해제하라고 지시했다. 그리고 IT 팀이 방화벽을 해제한 동안 큰 사건이 발생했다. 해커가 경영진 회의를 도청할 수 있게끔 시스템이 개방된 것이다.

크라닝은 임원들이 이런 시스템이 초래할 수 있는 위협을 인식하지 못하고 있다며, '전화가 그저 전화'인 시대에 성장한 사람들이기 때문이라고 설명했다. 그는 "대부분이 IoT 보안을 제대로 인식하지 못하고 있다. 제대로 동작하면 문제가 없다는 '잘못된 생각'에 사로잡혀 있다"라고 말했다. 그는 메일 서버 또한 위협 표면이 될 수 있다고 말했다.

시장 경제에 희생된 IoT 보안?
기업 분야는 사실 더 큰 세상 속의 작은 세상일 뿐이다. 단 연결된 장치의 폭증이 더 큰 위협을 초래할 수 있는 세상이다. 가트너의 추정에 따르면, 2016년에 전세계적으로 사용되는 연결된 장치의 수는 64억 개에 달할 전망이다. 그리고 2020년에는 208억 개로 증가할 것으로 예상되고 있다.

그럼에도 불구하고 스마트 자동차, 스마트 온수기, 스마트 TV 등 연결된 장치 보안이 아직까지 큰 문제점으로 남아 있다. 보안 전문가인 브루스 슈나이어에 따르면, 이런 문제를 초래하는 이유 중 하나는 바로 ‘경제성’이다.

PC와 휴대폰의 교체 주기는 18-24개월이다. 이들 장치의 보안을 계속 개선할 (재무적) 인센티브가 충분하다. 그러나 자동차는 10년, 냉장고는 20년에 한 번 교체한다. 그리고 온도 조절기는 평생 교체하지 않을 수도 있다. 슈나이어는 "패치를 하도록 유도하는 메카니즘이 존재하지 않는다. 써드파티 입장에서 경제성이 없기 때문이다"라고 말했다.

여기에 그치지 않고 계속해서 문제가 커진다. 새로운 장치, 여기에 사용된 센서와 소프트웨어가 더 저렴해지고, 수명이 더 길어지기 때문이다. 슈나이어는 "패칭, 장치, 운영 시스템 측면에서 업그레이드 생태계가 다르다. 상황을 개선시키는 요소가 없다. 난방 보일러가 IoT이다. 2년에 한 번씩 하드웨어를 교체해야 한다. 그러나 실제 이렇게 할 사람은 없다"라고 말했다.

'잘못에 대한 책임 소재'도 복잡한 시장 역학 관계에 큰 영향을 미친다. 해커가 소프트웨어 취약점을 악용해 네트워크에 침입했을 때, 우리는 소프트웨어의 문제점을 추궁한다. 그러나 디지털 데이지 체인을 구성하는 연결된 장치의 경우 책임 소재를 파악하기 아주 힘들다.

슈나이어는 "라우터에 연결된 냉장고를 통해 구글 계정을 해킹했다고 가정하자. 이 경우, 누구의 잘못으로 해킹이 발생했는가? 한 마디로, 시장 경제성에 반하는 것이 IoT 보안이다"라고 설명했다.


X