2020.03.06

“IoT 트랜잭션 83%가 평문 채널” : 지스케일러 보고서

Andy Patrizio | Network World
보안 서비스 업체 지스케일러(Zscaler)가 2,000곳 이상 기업의 IoT 트랜잭션 약 5억 건을 분석한 결과, IoT 트랜잭션의 대부분이 기본적인 보안도 사용하지 않는 것으로 나타났다. 또한 섀도우 IT 덕분에 엄청난 규모의 미승인 IoT 활동이 기업 방화벽 안에서 일어나고 있다. 200여 제조업체의 서로 다른 IoT 디바이스 553가지가 발견됐는데, 이들 중 대다수가 보안 기능을 끈 상태였다.
 
ⓒ GettyImagesBank

이번 조사는 지스케일러의 자체 보안 서비스를 통해 진행됐는데, IoT의 성장률은 폭발적이라고 해도 과언이 아니다. 2019년 5월 처음 IoT 트래픽 모니터링을 시작했을 때 지스케일러 기업 고객 기반에서 생성되는 IoT 트래픽은 월 5,600만 건 정도였다. 하지만 2020년 2월에는 일 3,300만 건으로 증가했다. 월 10억 건의 IoT 트랜잭션이 발생하는데, 무려 1,500%가 증가한 것이다.

지스케일러가 정의하는 기업용 IoT 디바이스는 폭이 좀 넓은 편인데, 데이터 수집 터미널이나 디지털 광고판의 미디어 플레이어, 산업용 제어 디바이스, 의료 기기 등은 물론, 디지털 가상비서, TV 셋톱박스, IP 카메라, 자동차용 멀티미디어 시스템 등의 비 업무용 디바이스까지 포함한다. 

지스케일러는 보고서를 통해 “이번 조사 결과는 사무실 내의 직원들이 기업 네트워크를 통해 집에 설치한 IP 카메라를 확인하고 있을지도 모른다는 것을 보여준다. 아니면 이메일을 확인하는 데 애플 워치를 사용하는 것일 수도 있다. 재택근무를 하면서 기업 네트워크에 연결한 것일 수도 있고, 정기적으로 가정용 보안 시스템을 점검하는 것일 수도 있다”고 설명했다.

이런 정도의 위반은 너무 일반적이라 “죄 없는 자 돌을 던지라”고 하면 아무도 나서지 못할 정도이다. 문제는 약 83%의 IoT 기반 트랜잭션이 평문 채널을 통해 이루어진다는 점이다. SSL을 사용하는 트랜잭션은 17%에 불고하다. 평문을 사용하는 것은 패킷 가로채기나 도청, 중간자 공격 등에 트래픽이 노출되기 때문에 위험하기 그지없다.

침해가 많은 것도 이 때문이다. 지스케일러는 매월 1만 4,000건의 IoT 기반 악성코드 침해를 탐지하는데, 지난 해와 비교해 7배가 늘어난 수치이다.

보안 리서치 담당 부사장 디펜 데사이는 블로그 포스트를 통해 “직원들의 스마트 디바이스를 금지하는 것은 해답이 될 수 없다. 해결책은 보안과 위험의 관점에서 IoT 디바이스를 생각하는 방식과 이들 디바이스의 보안성을 높이기 위해 제조업체에 거는 기대치를 바꾸는 것이다”라고 강조했다.

데사이는 “제로 트러스트 정신”을 갖추는 것이 해법이라고 말한다. 제로트러스트는 유행어에 불과할지 모르지만, “보안 담당자 네트워크에 연결되는 어떤 사람이나 디바이스도 믿어서는 안된다는 의미이다. 먼저 사용자가 누구이고, 어떤 디바이스이고, 사용자나 디바이스가 해당 애플리케이션에 대한 액세스가 허용되었는지 확인해야 한다”라고 설명했다.

지스케일러가 관련 솔루션을 판매하는 곳이지만, 데사이의 말은 일리가 있다. 사실 오래 전부터 반복되는 문제이기도 한데, 새로운 기술이 떠오르면 모든 사람이 기술 도입에 나서지만, 정작 보안은 그 이후에 생각한다. IoT 역시 마찬가지다. 어떤 디바이스를 사용하든, 최소한 SSL을 설정하기 바란다. editor@itworld.co.kr


2020.03.06

“IoT 트랜잭션 83%가 평문 채널” : 지스케일러 보고서

Andy Patrizio | Network World
보안 서비스 업체 지스케일러(Zscaler)가 2,000곳 이상 기업의 IoT 트랜잭션 약 5억 건을 분석한 결과, IoT 트랜잭션의 대부분이 기본적인 보안도 사용하지 않는 것으로 나타났다. 또한 섀도우 IT 덕분에 엄청난 규모의 미승인 IoT 활동이 기업 방화벽 안에서 일어나고 있다. 200여 제조업체의 서로 다른 IoT 디바이스 553가지가 발견됐는데, 이들 중 대다수가 보안 기능을 끈 상태였다.
 
ⓒ GettyImagesBank

이번 조사는 지스케일러의 자체 보안 서비스를 통해 진행됐는데, IoT의 성장률은 폭발적이라고 해도 과언이 아니다. 2019년 5월 처음 IoT 트래픽 모니터링을 시작했을 때 지스케일러 기업 고객 기반에서 생성되는 IoT 트래픽은 월 5,600만 건 정도였다. 하지만 2020년 2월에는 일 3,300만 건으로 증가했다. 월 10억 건의 IoT 트랜잭션이 발생하는데, 무려 1,500%가 증가한 것이다.

지스케일러가 정의하는 기업용 IoT 디바이스는 폭이 좀 넓은 편인데, 데이터 수집 터미널이나 디지털 광고판의 미디어 플레이어, 산업용 제어 디바이스, 의료 기기 등은 물론, 디지털 가상비서, TV 셋톱박스, IP 카메라, 자동차용 멀티미디어 시스템 등의 비 업무용 디바이스까지 포함한다. 

지스케일러는 보고서를 통해 “이번 조사 결과는 사무실 내의 직원들이 기업 네트워크를 통해 집에 설치한 IP 카메라를 확인하고 있을지도 모른다는 것을 보여준다. 아니면 이메일을 확인하는 데 애플 워치를 사용하는 것일 수도 있다. 재택근무를 하면서 기업 네트워크에 연결한 것일 수도 있고, 정기적으로 가정용 보안 시스템을 점검하는 것일 수도 있다”고 설명했다.

이런 정도의 위반은 너무 일반적이라 “죄 없는 자 돌을 던지라”고 하면 아무도 나서지 못할 정도이다. 문제는 약 83%의 IoT 기반 트랜잭션이 평문 채널을 통해 이루어진다는 점이다. SSL을 사용하는 트랜잭션은 17%에 불고하다. 평문을 사용하는 것은 패킷 가로채기나 도청, 중간자 공격 등에 트래픽이 노출되기 때문에 위험하기 그지없다.

침해가 많은 것도 이 때문이다. 지스케일러는 매월 1만 4,000건의 IoT 기반 악성코드 침해를 탐지하는데, 지난 해와 비교해 7배가 늘어난 수치이다.

보안 리서치 담당 부사장 디펜 데사이는 블로그 포스트를 통해 “직원들의 스마트 디바이스를 금지하는 것은 해답이 될 수 없다. 해결책은 보안과 위험의 관점에서 IoT 디바이스를 생각하는 방식과 이들 디바이스의 보안성을 높이기 위해 제조업체에 거는 기대치를 바꾸는 것이다”라고 강조했다.

데사이는 “제로 트러스트 정신”을 갖추는 것이 해법이라고 말한다. 제로트러스트는 유행어에 불과할지 모르지만, “보안 담당자 네트워크에 연결되는 어떤 사람이나 디바이스도 믿어서는 안된다는 의미이다. 먼저 사용자가 누구이고, 어떤 디바이스이고, 사용자나 디바이스가 해당 애플리케이션에 대한 액세스가 허용되었는지 확인해야 한다”라고 설명했다.

지스케일러가 관련 솔루션을 판매하는 곳이지만, 데사이의 말은 일리가 있다. 사실 오래 전부터 반복되는 문제이기도 한데, 새로운 기술이 떠오르면 모든 사람이 기술 도입에 나서지만, 정작 보안은 그 이후에 생각한다. IoT 역시 마찬가지다. 어떤 디바이스를 사용하든, 최소한 SSL을 설정하기 바란다. editor@itworld.co.kr


X