'재앙은 이제 시작이다' 사물인터넷 기기의 역습

2016.10.27 Stacy Collett | CSO

최근 도메인 서비스 업체 딘(Dyn)에 대한 디도스(DDoS) 공격은 넷플릭스와 트위터, 스포티파이 사용자 수백만명에게 아마도 세상의 종말처럼 보였을 것이다. 그러나 보안 전문가는 이 서비스 중단 사태가 수 십억 개의 안전하지 못한 사물인터넷(IoT) 기기로 인해 발생할 수 있는 잠재적인 피해에 비하면 (놀랍기는 하지만) 아무 것도 아니라고 말했다.

Image Credit: Getty Images Bank

유니시스의 부사장 겸 CTO인 니콜라스 에반스는 "정말로 빙산의 일각에 불과하다. IoT 기기가 자율 주행 자동차처럼 더 자주적이 되거나 실제로 물리적인 환경을 조작하는 공장형 기기처럼 제어할 수 있게 되면서 위협의 수준이 점점 올라가고 있다. 이 영역이야말로 위협을 받고 있는 진정한 분야라고 할 수 있다"라고 말했다.

시장조사업체 가트너에 따르면 2020년까지 약 208억 개의 사물이 인터넷에 연결된다. 저렴해지는 범용 센서와 점점 강력해지는 처리 능력, 대역폭 증가로 매일 약 550만 개의 기기가 추가된다. 또한 2020년까지 주요 신규 비즈니스 프로세스와 시스템의 절반 이상이 IoT의 일부 요소를 통합할 것으로 가트너는 내다봤다.

지난 21일 사이버 공격으로 보안 조치없이 수 십억 개의 기기가 인터넷에 연결됐을 때 어떤 일이 발생하는지에 대해 관심이 쏠렸다. 이 디도스 공격은 '미라이(Mirai)'라는 악성코드를 이용해 기업과 가정에서 사용하는 수 천만 대의 인터넷 연결 기기를 감염시켜 여러 인기 사이트의 서비스를 중단시켰다.

기가몬(Gigamon)의 보안 컨설턴트 저스틴 하비는 딘 디도스 공격의 원인이 기기 제조업체에 있다고 지적했다(대부분의 ISP가 보안을 더욱 강화해야 한다는 점도 분명히했다). 'IoT 골드 러시'가 있다는 이유로 제품을 서둘러 판매하는 IoT 업체가 문제라는 것이다. 실제로 하드웨어 업체들은 리눅스로 이용해 온도 조절 장치 제어 등의 여러 가정용 모니터링 기능을 수행하는 저렴한 기기를 더 쉽게 만들 수 있게 됐다.

하비는 "이런 업체는 보안이 아니라 시장 진입에만 연연하고 있다. (그 결과) 그들은 문제 발생 여부에 대한 감독 없이 안전하지 못한 제품을 시장에 내놓고 있다. 기기 보안이나 암호 변경은 고스란히 고객의 책임으로 미루는 것이다"라고 말했다.

에반스에 따르면, 이런 상황을 더 악화시키는 것은 보안은 뒷전이고 문제가 발생한 후에야 해결책을 찾는 관행이다. 이 때문에 IT 보안 전문가와 IT 관리자는 수 십 년 동안 과거 웹부터 모빌리티, 클라우드 컴퓨팅 그리고 지금의 IoT에 이르기까지 여러 기술 혁신과 마찬가지로 기기에 보안을 내장해야 한다고 지적해 왔다.

일부 보안 전문가는 입법부가 개입해 규정을 만들고 기기 제조업체를 감독해야 한다고 주장한다. 하비는 "국민이 사용하는 수 백만 대의 IoT 기기가 악용되고 무슨 큰 일이 발생했을 때 그 책임은 사용자에게 있을까? 아니면 ISP 혹은 제조사에 있을까? 이런 혼란과 갈등을 막기 위해서라도 의회가 이런 업체에 대한 규제와 지침을 만들어야 한다"라고 말했다.

하비는 ISP의 DNS 아키텍처에도 이의를 제기했다. ISP와 인터넷 접속을 제공하는 다른 기업 등이 더 다양한 DNS 시스템을 적용해야 한다는 것이다. 하비는 "DNS는 그 특성상 장애에 대한 대비책이 내장돼 있다. 예를 들어, 하나의 기기에 2개의 IP 주소가 할당하는 것이다. 문제는 두 IP 주소가 모두 동일한 데이터센터에 연결된 경우가 많다는 것이다. 이번에 공격을 당한 딘(Dyn)도 마찬가지이다. 디도스 위협이 만연한 상황에서 하나의 ISP를 표적으로 삼아 미국 인터넷의 절반을 다운시킬 수 있는 아키텍처를 사용하는 이유는 무엇인지 도무지 이해할 수 없다"라고 말했다.

---------------------------------------------------------------
사물인터넷 보안 인기기사
-> "새 부대가 필요하다" IoT 데이터 보안 7단계
-> 급증하는 IoT 데이터... CIO가 고민해야 할 4가지
-> '달리는 자동차 해킹' 새롭고 다양한 IoT 보안이 필요한 이유
-> IoT 보안 문제는 시한폭탄?
-> IoT가 안겨줄 3가지 보안 과제
-> "500억 연결이 망가지면?" 사물 인터넷이 풀어야 할 숙제들
-> 위험한 놈들이 몰려온다... IoT가 뒤흔들 3가지 보안 관행
-> "IoT 살인, 시간 문제일 뿐"
---------------------------------------------------------------

기업용 IoT
IoT 솔루션을 이용하는 기업의 경우 보안 조치를 취하기가 쉽지 않은 것이 분명하다. 에반스는 "기업이 연결할 수 있는 IoT 솔루션에는 애플리케이션 계층, 기기, 게이트웨이, 통신, 분석 장비 등 전체적으로 10개 이상이 관련될 수도 있다. 이러한 연결의 약한 부분에 사이버 범죄자가 개입해 기기를 조작할 수 있다"라고 말했다.

이 때문에 심지어 공공 부문도 경계를 높이고 있다. 정부기관 대부분은 내부적으로 상용 IoT 기기를 사용하지 않지만 정부 직원은 재택 근무 프로그램의 적용을 받고 있고 이들은 가정용 광대역 연결을 이용한다.

국방부 및 기타 정부 기관과 협력하고 있는 네트워크 보안 시스템 업체 NSS플러스의 사이버 보안 부사장 겸 CTO인 새디그 카림은 "연방정부는 직원이 VPN을 이용한다 하더라도 (기본 비밀번호 변경을 포함해) 집에서 사용해야 하는 것에 대한 더 많은 표준과 지침을 만들었다. 그러나 IT 전문가가 아닌 이상 이런 보안 조치를 할 수 있는 사람이 많지 않다는 것이 문제다. 개인이 스스로 할 수도 있지만 배워야 할 것이 많고 어렵다"라고 말했다.

보안 프레임워크
IoT 부문의 대기업으로 구성된 IIC(Industrial Internet Consortium)에 따르면, 최근의 IoT 기기 강탈 사건 대부분은 산업용 기기가 아닌, 소비자용 기기를 표적으로 삼고 있다. 이 단체는 지난 9월 개발자와 사용자가 위험을 평가하고 스스로를 보호하는 데 도움이 되는 일련의 우수 사례인 IISF(Industrial Internet Security Framework)를 발표했다.

이 프레임워크는 IoT에서 보안을 강화하는 체계적인 방법을 제시하며 이와 관련된 통일된 개념과 용어를 제공한다. 컨소시엄 측은 "장기적으로 보안을 모든 IoT 시스템과 구축의 필수적인 부분으로 포함시키는 것이 목표이다"라고 말했다. IIC 보안 작업 그룹의 공동 의장이자 인텔의 IoT 보안 솔루션 수석 설계자 스벤 슈레커는 "이것이 중요하다는 사실은 늘 알고 있었다. 단지 우리가 실제로 어떤 조치를 하는지가 더 중요했다. 이 프레임워크에는 우리는 여러 부문에서 해야 할 일이 정리돼 있다"라고 말했다.

IIC는 산업용 장비 소유자가 보안에 대한 책임을 지는 것이 아니라 기기 제조사와 부품 제조사, 칩 제조사, 소프트웨어 업체에 의지할 수 있는 시스템 통합업체가 보안을 맡아야 한다는 입장이다. 슈레커는 "이 모든 것이 아래에서 위로 진행될 때 관리가 훨씬 용이한 보안 솔루션이 된다. 우리가 공개한 새로운 프레임워크는 공개 이후 '상당한 반향'을 불러 일으키고 있다"라고 말했다.

반면 일부 IoT 기기 업체는 보안이 공동의 책임이라고 주장한다. 10년 이상 인터넷 연결 건축물 제어, 보안, 화재 기술을 제공해 온 존슨 컨트롤즈(Johnson Controls)의 글로벌 제품 보안 이사 제이슨 로셀롯은 "IoT 기기 업체는 사이버 보안 디자인, 개발, 배치에 집중해야 한다. 업데이트와 패치가 제공되는 즉시 배치하고 공장 기본 비밀번호를 복잡한 비밀번호로 변경하는 것을 포함해 IoT 기기 소비자가 반드시 이런 기기의 보안을 우선시 하는 것이 중요하다"라고 말했다.

스스로 보호하는 방법?
에반스는 "기업이 현재 보유하고 있는 인터넷 연결 기기, 취약성, 해결 방법을 점검해야 한다"고 말했다. 가트너는 IoT 기기를 4개 범주로 분류하는데, RFID 태그 등의 수동적이고 식별 가능한 것은 위협 위험이 낮다. 압력 센서 등 스스로에 정보를 통신하는 센서는 위협 위험이 중간이다. HVAC 시스템과 자율 주행 자동차 등 원격으로 제어, 조작할 수 있는 기기는 민감한 데이터 손실과 악성코드, 방해 행위 등에 노출될 위험이 가장 크다.

따라서 가장 기본적인 것은 IoT 기기의 기본 사용자 이름과 IP 주소를 변경하는 것이다. 또한 유출로 인한 피해를 최소화하는 예방 조치를 하고, 일단 침투한 사이버 범죄자도 쉽게 기기를 악용할 수 없도록 해야 한다고 전문가는 지적한다. 에반스는 "보안 통제를 기기가 아닌 클라우드에 배치하고 인공 지능을 이용해 제어하는 것도 방법이다. '전자레인지를 100분 동안 켜라' 같은 동작 지시가 들어 왔을 때 이것이 적절한 것인지 판단하는 '인지 방화벽' 기능을 이용할 수도 있다"라고 말했다.

슈레커는 이번 딘 디도스 공격이 미래의 공격을 위한 전초전이자 IoT 기기에 표준을 도입하는 노력의 첫걸음이 될 수 있다고 보고 있다. 그는 "2년 전이라면 IoT 보안을 위한 표준을 만드는 것이 무의미하다고 했겠지만 이제는 이 문제와 미래의 문제를 해결하기 위한 업체간 협업 움직임이 가시화되고 있다. 이 문제를 해결하기 의한 희망이 있다"라고 말했다. ciokr@idg.co.kr

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기

보안 사물인터넷 IoT

“유료 VPN, 분명한 가치 있다” VPN 선택 가이드

VPN (가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인 정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.

평점 - 댓글 -개

평점