2017.08.04

美 연방정부, IoT 보안에 관해 까다로운 요구 사항 고려

Jon Gold | Network World
이번주 미국 상원에 제출된 법안이 IoT 보안 문제를 해결하기 위한 첫 걸음이 될 수 있으며, 연방 정부와 IoT 기기 제조사가 충족해야 할 기본적인 보안 표준이 마련될 것으로 기대된다.

이 법안은 정부 계약자가 제공하는 인터넷 연결 기기에 ‘알려진 보안 취약성이 없으며 정기적인 소프트웨어 업데이트를 받고 최신 통신 및 암호화 업계 표준을 사용할 것’을 요구한다.

IoT 시장의 변화는 많은 IoT 기기가 얼마나 안전하지 않은지에 대한 척도기 때문에 이번 법안에 업계의 관심이 쏠리고 있다. IoT 기기 보호은 쉬운 일이 아니다. 이들은 보안 제품군을 실행할 수 있는 전통적인 엔드포인트가 아니며, 컴퓨팅 성능이 부족하고, 보안에 대한 표준 접근법이 실제로 적용되지 않는 수많은 유형과 모델로 생산되고 있다. 

이 법안의 배경은 IoT 기기 제조사가 제품 설계에 접근하는 방식에 대한 재평가를 유도하는 것이다. 이 법안의 수석 후원자인 마크 워너 상원의원은 많은 제조사가 보안을 보완책으로 간주한다는 사실은 시장의 실패라고 주장했다.


안전 기기 부족
"IoT 기기가 발 빠르게 나올 혁신과 생산성에 대해 대단히 기쁘게 생각하지만, 적절한 보호 장치와 보호 장치없이 너무 많은 인터넷 연결 장치가 판매되고 있다는 것에 오랫동안 우려 해왔다"고 성명서.

웹루트(Webroot)의 사이버보안 및 엔지니어링 부문 수석인 데비드 듀푸어 등의 전문가에 따르면, 많은 기기 제조사가 자사 제품을 안전하게 지키려고 하지 않는다는 결론을 피하기가 어렵다.

듀푸어는 "가장 실망스러운 부분은 공격자가 매우 기본적인 보안 구멍이나 잘못된 구성을 이용하여 이러한 장치에 침입하는 경우가 종종 있다는 점"이라며 "이러한 일상적인 IoT 해킹은 예방할 수 있다. 그렇지만 광범위한 폐허가 될 수 있는 잠재력은 엄청나다"고 말했다. 

보안 우선
하루 아침에 IoT 분야의 큰 변화가 일어나지는 않을 것이다. IoT 기기 제조사는 종종 연결된 하드웨어를 만들 때 경험이 없다. HPE나 마이크로소프트가 컴퓨터화 된 냉장고를 만드는 것이 아니며, 냉장고 제조사가 현재 IoT 기기를 만드는데, 이들에게는 기술력이 부족하다.

시큐어오쓰(SecureAuth)의 정보 보안 책임자인 다니엘 잭슨은 이 법안이 IoT 기술의 중요한 교차점이라고 밝혔다.

잭슨은 "IoT 기기 제조사와 혁신가는 보안을 최우선으로 고려해야 한다"며 "보안은 너무 자주 제품의 의사 결정 및 구축에서 동등한 위치가 아니라 후방으로 밀려난다”고 지적했다.

비욘드시큐리티(BeyondSecurity)의 글로벌 개발 사업부 부회장 인 하미드 카리미에 따르면, 의료 기기 제조사 같은 기업은 법이 바뀌기 전까지는 자사의 제조 방식을 변경하지 않을 것이다.

"제조사는 비용 편익 분석을 보는데, 지금까지 이들에게는 막중한 책임이 없었다"고 그는 말했다. 이어서 "위임 받거나 선례로 사용될 법원 판결이 없다면, 소비자는 할 수 있는 게 아무 것도 없다"고 덧붙였다. ciokr@idg.co.kr
 



2017.08.04

美 연방정부, IoT 보안에 관해 까다로운 요구 사항 고려

Jon Gold | Network World
이번주 미국 상원에 제출된 법안이 IoT 보안 문제를 해결하기 위한 첫 걸음이 될 수 있으며, 연방 정부와 IoT 기기 제조사가 충족해야 할 기본적인 보안 표준이 마련될 것으로 기대된다.

이 법안은 정부 계약자가 제공하는 인터넷 연결 기기에 ‘알려진 보안 취약성이 없으며 정기적인 소프트웨어 업데이트를 받고 최신 통신 및 암호화 업계 표준을 사용할 것’을 요구한다.

IoT 시장의 변화는 많은 IoT 기기가 얼마나 안전하지 않은지에 대한 척도기 때문에 이번 법안에 업계의 관심이 쏠리고 있다. IoT 기기 보호은 쉬운 일이 아니다. 이들은 보안 제품군을 실행할 수 있는 전통적인 엔드포인트가 아니며, 컴퓨팅 성능이 부족하고, 보안에 대한 표준 접근법이 실제로 적용되지 않는 수많은 유형과 모델로 생산되고 있다. 

이 법안의 배경은 IoT 기기 제조사가 제품 설계에 접근하는 방식에 대한 재평가를 유도하는 것이다. 이 법안의 수석 후원자인 마크 워너 상원의원은 많은 제조사가 보안을 보완책으로 간주한다는 사실은 시장의 실패라고 주장했다.


안전 기기 부족
"IoT 기기가 발 빠르게 나올 혁신과 생산성에 대해 대단히 기쁘게 생각하지만, 적절한 보호 장치와 보호 장치없이 너무 많은 인터넷 연결 장치가 판매되고 있다는 것에 오랫동안 우려 해왔다"고 성명서.

웹루트(Webroot)의 사이버보안 및 엔지니어링 부문 수석인 데비드 듀푸어 등의 전문가에 따르면, 많은 기기 제조사가 자사 제품을 안전하게 지키려고 하지 않는다는 결론을 피하기가 어렵다.

듀푸어는 "가장 실망스러운 부분은 공격자가 매우 기본적인 보안 구멍이나 잘못된 구성을 이용하여 이러한 장치에 침입하는 경우가 종종 있다는 점"이라며 "이러한 일상적인 IoT 해킹은 예방할 수 있다. 그렇지만 광범위한 폐허가 될 수 있는 잠재력은 엄청나다"고 말했다. 

보안 우선
하루 아침에 IoT 분야의 큰 변화가 일어나지는 않을 것이다. IoT 기기 제조사는 종종 연결된 하드웨어를 만들 때 경험이 없다. HPE나 마이크로소프트가 컴퓨터화 된 냉장고를 만드는 것이 아니며, 냉장고 제조사가 현재 IoT 기기를 만드는데, 이들에게는 기술력이 부족하다.

시큐어오쓰(SecureAuth)의 정보 보안 책임자인 다니엘 잭슨은 이 법안이 IoT 기술의 중요한 교차점이라고 밝혔다.

잭슨은 "IoT 기기 제조사와 혁신가는 보안을 최우선으로 고려해야 한다"며 "보안은 너무 자주 제품의 의사 결정 및 구축에서 동등한 위치가 아니라 후방으로 밀려난다”고 지적했다.

비욘드시큐리티(BeyondSecurity)의 글로벌 개발 사업부 부회장 인 하미드 카리미에 따르면, 의료 기기 제조사 같은 기업은 법이 바뀌기 전까지는 자사의 제조 방식을 변경하지 않을 것이다.

"제조사는 비용 편익 분석을 보는데, 지금까지 이들에게는 막중한 책임이 없었다"고 그는 말했다. 이어서 "위임 받거나 선례로 사용될 법원 판결이 없다면, 소비자는 할 수 있는 게 아무 것도 없다"고 덧붙였다. ciokr@idg.co.kr
 

X