2019.09.03

'IoT 시대' 데이터 프라이버시 위험을 줄이는 4단계

Earl Duby | CSO
지난 2008년 버니 메이도프는 800억 달러 규모의 폰지(Ponzi, 다단계) 사기를 인정했다. 그러나 이 엄청난 사기 사건은 많은 투자자에게 '충분한 의심'을 심어주지 못했다. 이후에도 은퇴자 여러 명을 포함한 많은 폰지 사기 희생자가 이 위험 신호를 간과해 의심 없이 범죄에 노출됐고 재정적으로 큰 손해를 입었다. 손실액 대부분을 되찾지 못했다.
 
ⓒ Getty Images Bank

폰지 사기는 아니지만 사물인터넷(IoT) 기기도 정보 보안과 데이터 프라이버시 측면에서 일정 정도 의심이 필요해 보인다. 기업 내부에 이 기술을 적용한 소형 기기를 설치하는 것은 위험 관리 영역에 포함되지 않을 것 같지만, 허술하게 설정된 IoT 기기는 결국 범죄자가 기업을 제멋대로 드나드는 출입문이 될 수 있다.

연결된(스마트) 기기는 비즈니스 프로세스와 산업용 시스템에서 자신만의 방식으로 업무를 처리한다. 이러한 IoT 기기가 급속히 확산하면서 기업이 공격받을 수 있는 요소가 전례 없이 늘어나게 됐고, 이는 고스란히 기업 보안 팀의 어려움으로 이어졌다. 특히 프라이버시 규제 준수와 보안 취약점 관리 측면에서 상황이 심각해졌다.

IoT 위험 이해하기
기술은 언제나 기업 운영 방식의 변화를 주도해 왔다. 이러한 기술의 효과를 표현할 때는 으레 '파괴적인(disruptive)'이라는 말이 쓰이곤 했다. 그러나 이미 기업 현장에서 사용되는 IoT 기기의 수가 휴대폰과 태블릿을 빼고도 약 70억 개에 달한다. IoT 애널리틱스(IoT Analytics)는 2025년에는 210억 개에 달할 것으로 전망하고 이러한 IoT 시대로의 전환은 사전적 의미로 '파괴적인' 상황일 수도 있다고 분석했다.

이처럼 방대한 IoT 기기의 기업 운영 환경에 통합에 따른 위험을 상상하는 데는 2025년까지 기다릴 필요도 없다. 최근 포네몬 인스티튜트(Ponemon Institute)의 IoT 위험 분석 결과를 보면, 보안이 취약한 IoT 기기로 인한 데이터 유출이 2017년 이후 15%에서 26%로 증가했다. 더 심각한 것은 기업 대부분이 IoT 기기를 관리하는 중앙화된 기능이 없는 것은 물론 이들의 보안을 강화하고 유지하는 명확한 전략조차 없다는 사실이다. 보안팀 대부분에는 폭발적으로 늘어나는 IoT 기기를 관리할 수 있는 적절한 인력이 없는 상황이다. 심지어 IoT 기기 사용 현황조차 파악하지 못하기도 한다.

점점 더 많은 기업이 IoT를 도입하는 것은 경쟁 우위와 운영 효율성 때문이다. 다양한 IoT 제품과 기술이 산업용 IoT 프로세스에 대규모로 함께 사용되는 것이 일반적이다. 그러나 이들 프로세스 내부의 단일 연결 부위가 확인되지 않은 서드파티와 데이터를 주고받는다면 어떻게 될까? MFP(multi-function printers)나 디지털 보안 카메라 같은 것이 대표적이다. 이로 인한 보안에 대한 위협은 가늠할 수 없을 만큼 광범위하다.

보안팀이 직면한 어려움
보안팀은 이미 업무 시스템 패치에도 상당한 어려움을 겪어왔다. 그런데도 연결된 기기에 대한 패치는 이런 고충을 더 가중시킬 가능성이 크다. 기업 인프라 속 스마트 '기기'는 패치가 가능하다는 전제하에 모니터하고 패치해야 할 기기의 수가 급속히 늘어난다는 것을 의미하는 것일 수 있다. 보안취약점 관리 문제를 넘어 프라이버시 침해의 법적인 영향은 또 다른 중대한 문제를 보여준다. IoT는 전 세계적으로 사이버 보안 규제의 새로운 경향을 촉발할 수 있다.

이러한 법적인 반작용의 신호 중 하나는 'SB 327, 정보 프라이버시: 연결된 기기들'이라고 알려진 캘리포니아 법안이다. 특히 보안 기능을 지원하도록 IoT 기기를 설계하도록 규정한다. 이런 보안 기능은 기기는 물론 인증되지 않은 접속과 삭제, 사용, 수정, 공개으로부터 그 안에 포함한 모든 정보까지 보호해야 한다. SB 327은 다른 캘리포니아 규제 법안인 AB 375 CCPA(California Consumer Privacy Act)의 일부다. 이 법에 따라 사용자는 기업에 사용자에게서 수집한 데이터 자체는 물론 이 데이터를 구매했을 가능성이 있는 다른 기업의 이름까지 밝히도록 요구할 권리를 갖는다.

IoT 시대에 기업은 자신도 모른 채 연결된 기기를 통해 사용자와 직원의 데이터를 수집할 가능성이 있다. 회사가 이를 파악하기 전에 직원이 이들 데이터 수집 사실을 알아차렸을 때 어떤 일이 벌어지게 될까? 새로운 프라이버시와 법안과 보안 취약점 관리의 위험을 피하려면 보안팀에 엄청난 부담이 될 수 있다.
 
IoT 위험을 낮추는 4단계
따라서 기업은 직장 내 IoT가 프라이버시와 데이터 보호 법안을 위반할 수 있는지 세심하게 검토할 필요가 있다. 이런 위험을 줄이기 위해 다음과 같은 4단계를 참고하는 것이 좋다.

- 데이터 프라이버시 계약에 IoT 관련 내용을 추가하라
- IoT 기기를 별도의 논리적 네트워크로 분리하라
- 데이터 흐름을 모니터하고 예상을 벗어나는 이례적인 트래픽 패턴에 주시하라
- IoT 구매 결정이 보안 관점에서 주도되도록 분명히 하라. IoT 기기의 기본 패스워드를 수정하는 기능, 패치를 받아 적용하는 것, 불필요한 서비스를 비활성화하는 것 등이다.

앞으로 보안팀과 법률팀 간의 전략적 협업이 GDPR 컴플라이언스 대응을 위한 긴밀한 공동 작업 수준을 넘어설 것이다. 더구나  IoT 시장의 성장 수준을 보면 기업 경영진은 이제라도 간단한 물음부터 시작할 필요가 있다. 바로 "현재의 IoT 전략이 우리 회사를 보호하는데 충분히 회의적인가? 충분히 의심했는가?"라는 질문이다. ciokr@idg.co.kr


2019.09.03

'IoT 시대' 데이터 프라이버시 위험을 줄이는 4단계

Earl Duby | CSO
지난 2008년 버니 메이도프는 800억 달러 규모의 폰지(Ponzi, 다단계) 사기를 인정했다. 그러나 이 엄청난 사기 사건은 많은 투자자에게 '충분한 의심'을 심어주지 못했다. 이후에도 은퇴자 여러 명을 포함한 많은 폰지 사기 희생자가 이 위험 신호를 간과해 의심 없이 범죄에 노출됐고 재정적으로 큰 손해를 입었다. 손실액 대부분을 되찾지 못했다.
 
ⓒ Getty Images Bank

폰지 사기는 아니지만 사물인터넷(IoT) 기기도 정보 보안과 데이터 프라이버시 측면에서 일정 정도 의심이 필요해 보인다. 기업 내부에 이 기술을 적용한 소형 기기를 설치하는 것은 위험 관리 영역에 포함되지 않을 것 같지만, 허술하게 설정된 IoT 기기는 결국 범죄자가 기업을 제멋대로 드나드는 출입문이 될 수 있다.

연결된(스마트) 기기는 비즈니스 프로세스와 산업용 시스템에서 자신만의 방식으로 업무를 처리한다. 이러한 IoT 기기가 급속히 확산하면서 기업이 공격받을 수 있는 요소가 전례 없이 늘어나게 됐고, 이는 고스란히 기업 보안 팀의 어려움으로 이어졌다. 특히 프라이버시 규제 준수와 보안 취약점 관리 측면에서 상황이 심각해졌다.

IoT 위험 이해하기
기술은 언제나 기업 운영 방식의 변화를 주도해 왔다. 이러한 기술의 효과를 표현할 때는 으레 '파괴적인(disruptive)'이라는 말이 쓰이곤 했다. 그러나 이미 기업 현장에서 사용되는 IoT 기기의 수가 휴대폰과 태블릿을 빼고도 약 70억 개에 달한다. IoT 애널리틱스(IoT Analytics)는 2025년에는 210억 개에 달할 것으로 전망하고 이러한 IoT 시대로의 전환은 사전적 의미로 '파괴적인' 상황일 수도 있다고 분석했다.

이처럼 방대한 IoT 기기의 기업 운영 환경에 통합에 따른 위험을 상상하는 데는 2025년까지 기다릴 필요도 없다. 최근 포네몬 인스티튜트(Ponemon Institute)의 IoT 위험 분석 결과를 보면, 보안이 취약한 IoT 기기로 인한 데이터 유출이 2017년 이후 15%에서 26%로 증가했다. 더 심각한 것은 기업 대부분이 IoT 기기를 관리하는 중앙화된 기능이 없는 것은 물론 이들의 보안을 강화하고 유지하는 명확한 전략조차 없다는 사실이다. 보안팀 대부분에는 폭발적으로 늘어나는 IoT 기기를 관리할 수 있는 적절한 인력이 없는 상황이다. 심지어 IoT 기기 사용 현황조차 파악하지 못하기도 한다.

점점 더 많은 기업이 IoT를 도입하는 것은 경쟁 우위와 운영 효율성 때문이다. 다양한 IoT 제품과 기술이 산업용 IoT 프로세스에 대규모로 함께 사용되는 것이 일반적이다. 그러나 이들 프로세스 내부의 단일 연결 부위가 확인되지 않은 서드파티와 데이터를 주고받는다면 어떻게 될까? MFP(multi-function printers)나 디지털 보안 카메라 같은 것이 대표적이다. 이로 인한 보안에 대한 위협은 가늠할 수 없을 만큼 광범위하다.

보안팀이 직면한 어려움
보안팀은 이미 업무 시스템 패치에도 상당한 어려움을 겪어왔다. 그런데도 연결된 기기에 대한 패치는 이런 고충을 더 가중시킬 가능성이 크다. 기업 인프라 속 스마트 '기기'는 패치가 가능하다는 전제하에 모니터하고 패치해야 할 기기의 수가 급속히 늘어난다는 것을 의미하는 것일 수 있다. 보안취약점 관리 문제를 넘어 프라이버시 침해의 법적인 영향은 또 다른 중대한 문제를 보여준다. IoT는 전 세계적으로 사이버 보안 규제의 새로운 경향을 촉발할 수 있다.

이러한 법적인 반작용의 신호 중 하나는 'SB 327, 정보 프라이버시: 연결된 기기들'이라고 알려진 캘리포니아 법안이다. 특히 보안 기능을 지원하도록 IoT 기기를 설계하도록 규정한다. 이런 보안 기능은 기기는 물론 인증되지 않은 접속과 삭제, 사용, 수정, 공개으로부터 그 안에 포함한 모든 정보까지 보호해야 한다. SB 327은 다른 캘리포니아 규제 법안인 AB 375 CCPA(California Consumer Privacy Act)의 일부다. 이 법에 따라 사용자는 기업에 사용자에게서 수집한 데이터 자체는 물론 이 데이터를 구매했을 가능성이 있는 다른 기업의 이름까지 밝히도록 요구할 권리를 갖는다.

IoT 시대에 기업은 자신도 모른 채 연결된 기기를 통해 사용자와 직원의 데이터를 수집할 가능성이 있다. 회사가 이를 파악하기 전에 직원이 이들 데이터 수집 사실을 알아차렸을 때 어떤 일이 벌어지게 될까? 새로운 프라이버시와 법안과 보안 취약점 관리의 위험을 피하려면 보안팀에 엄청난 부담이 될 수 있다.
 
IoT 위험을 낮추는 4단계
따라서 기업은 직장 내 IoT가 프라이버시와 데이터 보호 법안을 위반할 수 있는지 세심하게 검토할 필요가 있다. 이런 위험을 줄이기 위해 다음과 같은 4단계를 참고하는 것이 좋다.

- 데이터 프라이버시 계약에 IoT 관련 내용을 추가하라
- IoT 기기를 별도의 논리적 네트워크로 분리하라
- 데이터 흐름을 모니터하고 예상을 벗어나는 이례적인 트래픽 패턴에 주시하라
- IoT 구매 결정이 보안 관점에서 주도되도록 분명히 하라. IoT 기기의 기본 패스워드를 수정하는 기능, 패치를 받아 적용하는 것, 불필요한 서비스를 비활성화하는 것 등이다.

앞으로 보안팀과 법률팀 간의 전략적 협업이 GDPR 컴플라이언스 대응을 위한 긴밀한 공동 작업 수준을 넘어설 것이다. 더구나  IoT 시장의 성장 수준을 보면 기업 경영진은 이제라도 간단한 물음부터 시작할 필요가 있다. 바로 "현재의 IoT 전략이 우리 회사를 보호하는데 충분히 회의적인가? 충분히 의심했는가?"라는 질문이다. ciokr@idg.co.kr


X