2020.02.12

IoT 보안의 표준과 규제, 누가 주도해야 하는가?

Jon Gold | Network World
IoT 디바이스의 편리함은 쉽게 침해될 수 있고 악용될 가능성도 크다. 이 때문에 법적 제도적 대응이 필요한 상황이지만, 누가 이를 맡을 적임자인지는 확실하지 않다.
 
ⓒ GettyImagesBank

IoT 디바이스 제조업체와 정부 모두 보안 문제를 인지하고 있지만, 현재까지 이를 해소할 표준화된 방안은 마련하지 못하고 있다. 포레스터의 리서치 디렉터 메리트 맥심은 “이 시장은 변화가 너무 빨라 어떤 규제라도 커넥티드 디바이스의 변화 속도를 따라잡지 못할 것”이라며, “확정적인 규제는 강화하기도 쉽고 보안에 도움이 되겠지만, 금방 구시대 규제가 되고 말 것이다”라고 지적했다.

정부기관이 추진하고 있는 최근의 규제 작업 중 영국에 적용될 예정인 제도는 IoT 디바이스 제조업체에 다음과 같은 3가지 주요 강령을 지킬 의무를 부과해 핵심적인 보안 우려를 해소하고자 한다.
 
  • 디바이스 패스워드는 유일무이한 것이어야 하고, 이를 공장 출하 기본값으로 초기화하는 것은 금지한다.
  • 디바이스 제조업체는 취약점 발견 및 공개를 위한 공개된 연락처를 제공해야 한다. 
  • 디바이스 제조업체는 해당 디바이스가 보안 업데이트를 받을 수 있는 최소한의 기간을 명시적으로 밝혀야 한다.

이 방안은 지난 달 미국 캘리포니아주에서 발표된 법과 맥락을 같이 한다. 두 규제는 사법권은 제한적이지만, IoT 디바이스 제조업체에는 전 세계적인 영향을 미칠 수 있다. 제조업체가 한 상품의 두 가지 버전을 만드는 것은 생산 단가의 상승을 의미하기 때문이다.

시장에 영향을 미칠 수 있는 것은 IoT에 특화된 규제만이 아니다. 디바이스가 처리하는 정보의 종류에 따라 세계 각국에서 만들어지고 있는 데이터 프라이버시 법의 규제 목록에 추가될 가능성이 크다. 대표적인 법안이 유럽연합의 GDPR이며, 이외에 국가별 산업별 규제도 많은 편이다.

미국 식품의약국은 특히 디바이스 보안 결함을 해결하는 데 적극 나서고 있다. 예를 들어, 지난 해 FDA는 의료 IoT 디바이스를 침해할 수 있는 11개의 취약점에 관해 보안 경보를 발령했는데, IoT 보안 전문업체 아미스(Armis)가 발견한 것이었다. 이외에 헬스케어 업체를 대상으로 벌금을 부과하기도 했다.

하지만 범용 IoT 디바이스에 대한 규제를 만드는 데는 단순히 제조업체에 베스트 프랙티스를 따르도록 하는 규정과는 다른 복잡한 문제가 있다. 특히 제조업체가 수직적으로 통합된 자사 제품군 전체를 담보하는 통합 보안 프레임워크를 보유한 경우가 문제이다. 이런 보안 프레임워크는 여러 업체의 디바이스가 혼재해 있는 IoT 세상에서는 불완전한 보안을 제공한다.

현재 범용적인 IoT 보안 표준에 가장 가까운 것은 UL(Underwriters Laboratories)이 개발 중인 IoT 보안 평가 프로그램(IoT Security Rating Program)이다. 비영리 보안 테스트 단체인 UL은 100년 된 전기 장비용 인증 프로그램으로 잘 알려져 있다. UL의 IoT 보안 평가 프로그램은 커넥티드 디바이스의 보안 순위를 다섯 단계로 나눈다.

제일 아래 단계인 브론즈(Bronze) 인증은 디바이스가 눈에 띄는 보안 결함은 대부분 해결했다는 것을 의미한다. 영국과 미국 캘리포니아 규제와 비슷하다. 등급이 높아지면, 지속적인 보안 유지보수, 개선된 액세스 제어, 알려진 위협 테스트 같은 기능이 추가된다.

정부 규제와 산업 단체의 자발적인 개선 노력은 향후 IoT 시스템의 보안을 향상하는 데 도움이 되겠지만, IoT 보안 퍼즐의 두 가지 핵심 문제는 해결하지 못한다. 바로 수백만 대의 안전하지 않은 디바이스가 이미 배치되었다는 것, 그리고 사용자가 시스템을 안전하게 만드는 데 무관심하다는 사실이다. 

맥심은 “기본값이 아닌 패스워드를 요구하는 것은 좋다. 하지만 그것만으로 사용자가 안전하지 못한 패스워드를 사용하는 것을 막지는 못한다”라며, “해결해야 할 과제는 이렇다. 고객이 신경을 쓰는가? 이런 인증을 획득한 제품에 기꺼이 더 비싼 값을 치를 것인가?”라고 덧붙였다. editor@itworld.co.kr


2020.02.12

IoT 보안의 표준과 규제, 누가 주도해야 하는가?

Jon Gold | Network World
IoT 디바이스의 편리함은 쉽게 침해될 수 있고 악용될 가능성도 크다. 이 때문에 법적 제도적 대응이 필요한 상황이지만, 누가 이를 맡을 적임자인지는 확실하지 않다.
 
ⓒ GettyImagesBank

IoT 디바이스 제조업체와 정부 모두 보안 문제를 인지하고 있지만, 현재까지 이를 해소할 표준화된 방안은 마련하지 못하고 있다. 포레스터의 리서치 디렉터 메리트 맥심은 “이 시장은 변화가 너무 빨라 어떤 규제라도 커넥티드 디바이스의 변화 속도를 따라잡지 못할 것”이라며, “확정적인 규제는 강화하기도 쉽고 보안에 도움이 되겠지만, 금방 구시대 규제가 되고 말 것이다”라고 지적했다.

정부기관이 추진하고 있는 최근의 규제 작업 중 영국에 적용될 예정인 제도는 IoT 디바이스 제조업체에 다음과 같은 3가지 주요 강령을 지킬 의무를 부과해 핵심적인 보안 우려를 해소하고자 한다.
 
  • 디바이스 패스워드는 유일무이한 것이어야 하고, 이를 공장 출하 기본값으로 초기화하는 것은 금지한다.
  • 디바이스 제조업체는 취약점 발견 및 공개를 위한 공개된 연락처를 제공해야 한다. 
  • 디바이스 제조업체는 해당 디바이스가 보안 업데이트를 받을 수 있는 최소한의 기간을 명시적으로 밝혀야 한다.

이 방안은 지난 달 미국 캘리포니아주에서 발표된 법과 맥락을 같이 한다. 두 규제는 사법권은 제한적이지만, IoT 디바이스 제조업체에는 전 세계적인 영향을 미칠 수 있다. 제조업체가 한 상품의 두 가지 버전을 만드는 것은 생산 단가의 상승을 의미하기 때문이다.

시장에 영향을 미칠 수 있는 것은 IoT에 특화된 규제만이 아니다. 디바이스가 처리하는 정보의 종류에 따라 세계 각국에서 만들어지고 있는 데이터 프라이버시 법의 규제 목록에 추가될 가능성이 크다. 대표적인 법안이 유럽연합의 GDPR이며, 이외에 국가별 산업별 규제도 많은 편이다.

미국 식품의약국은 특히 디바이스 보안 결함을 해결하는 데 적극 나서고 있다. 예를 들어, 지난 해 FDA는 의료 IoT 디바이스를 침해할 수 있는 11개의 취약점에 관해 보안 경보를 발령했는데, IoT 보안 전문업체 아미스(Armis)가 발견한 것이었다. 이외에 헬스케어 업체를 대상으로 벌금을 부과하기도 했다.

하지만 범용 IoT 디바이스에 대한 규제를 만드는 데는 단순히 제조업체에 베스트 프랙티스를 따르도록 하는 규정과는 다른 복잡한 문제가 있다. 특히 제조업체가 수직적으로 통합된 자사 제품군 전체를 담보하는 통합 보안 프레임워크를 보유한 경우가 문제이다. 이런 보안 프레임워크는 여러 업체의 디바이스가 혼재해 있는 IoT 세상에서는 불완전한 보안을 제공한다.

현재 범용적인 IoT 보안 표준에 가장 가까운 것은 UL(Underwriters Laboratories)이 개발 중인 IoT 보안 평가 프로그램(IoT Security Rating Program)이다. 비영리 보안 테스트 단체인 UL은 100년 된 전기 장비용 인증 프로그램으로 잘 알려져 있다. UL의 IoT 보안 평가 프로그램은 커넥티드 디바이스의 보안 순위를 다섯 단계로 나눈다.

제일 아래 단계인 브론즈(Bronze) 인증은 디바이스가 눈에 띄는 보안 결함은 대부분 해결했다는 것을 의미한다. 영국과 미국 캘리포니아 규제와 비슷하다. 등급이 높아지면, 지속적인 보안 유지보수, 개선된 액세스 제어, 알려진 위협 테스트 같은 기능이 추가된다.

정부 규제와 산업 단체의 자발적인 개선 노력은 향후 IoT 시스템의 보안을 향상하는 데 도움이 되겠지만, IoT 보안 퍼즐의 두 가지 핵심 문제는 해결하지 못한다. 바로 수백만 대의 안전하지 않은 디바이스가 이미 배치되었다는 것, 그리고 사용자가 시스템을 안전하게 만드는 데 무관심하다는 사실이다. 

맥심은 “기본값이 아닌 패스워드를 요구하는 것은 좋다. 하지만 그것만으로 사용자가 안전하지 못한 패스워드를 사용하는 것을 막지는 못한다”라며, “해결해야 할 과제는 이렇다. 고객이 신경을 쓰는가? 이런 인증을 획득한 제품에 기꺼이 더 비싼 값을 치를 것인가?”라고 덧붙였다. editor@itworld.co.kr


X