2016.03.07

뒤죽박죽인 IoT 보안, 누구의 책임인가

Taylor Armerding | CSO
사물인터넷(Internet of Things, IoT)이 거의 모든 산업을 혼란에 빠뜨리고 있다. 하지만 각국의 법률 및 규제 시스템이 서서히 IoT로 인한 막대한 보안 및 프라이버시 위험을 따라잡고 있지만, 그동안은 그 자체가 혼란에 빠질 수 있다.

하지만 근시일 내에는 큰 문제가 없을 것이다. "진행 중(Work in progress)"은 이번 주 열린 "불타는 토스터기부터 충돌하는 자동차까지 - IoT와 집단 책임"이라는 주제의 RSA 컨퍼런스에서 진행된 한 패널 세션의 테마였다.

IoT를 중심으로 하는 법적 책임 구성 문제의 대부분은 일반적으로 성장을 '폭발적'이라고 하면서도 훨씬 많고 더욱 큰 것이 예상된다는 점이다.

패널 가운데 한 명이었던 드링커 비들 & 레스(Drinker Biddle & Reath) 변호사 제이 브루즈는 "연결된 기기의 수가 너무 기하급수적으로 증가함에 따라 사물인터넷은 이미 멍청한 표현이다. 앞으로는 모든 것이 될 것이며 인간 인터페이스를 가진 컴퓨터로서 인터넷 자체가 될 것이다"고 말했다.

또 다른 패널이자 히타치데이터시스템즈(Hitachi Data Systems) 보안 및 프라이버시 CTO 에릭 하이버드는 "IoT가 광범위해 보이는 것만큼 여전히 초기 단계다. NIST(National Institute of Standards and Technology)는 이에 관한 자료가 있지만 더욱 광범위한 자료를 준비 중이다"고 말했다.

그렇다고 해서 아무런 일도 일어나지 않고 있다는 의미는 아니다. FTC(Federal Trade Commission)의 프라이버시 및 데이터 보안 변호사 나이썬 산나파는 "FTC는 IoT 소비자 제품이나 서비스에 관심이 있다"며, 다양한 기업들이 대부분 겪는 '기업 네트워크의 불충분'에 대한 약 50개의 사례를 언급했다.

산나파는 소비자 라우터의 결함과 관련해 최근 FTC와 에이수스텍 컴퓨터(ASUSTek Computer) 사이에서 합의를 이끌어 낸 수석 변호사다.

산나파는 "에이수스텍은 고객들이 라우터를 통해 소중한 데이터를 안전하게 보관하고 접근할 수 있다고 약속했지만 FTC는 해커들이 쉽게 구할 수 있는 툴을 이용해 라우터를 찾아 침투하고 1만 2,900개 이상의 소비자용 저장 장치에 접근했다는 사실을 발견했다"고 말했다.

FTC의 권한은 "불공평하고 기만적인" 기업 활동이 발견된 기업을 처벌하는 역할에서 파생됐다. 하지만 FTC 합의에는 현재까지 무거운 재정적인 처벌이 포함된 적이 없으며, 대부분의 경우에 기업들은 보안을 개선하고 감사를 받기로 동의한다. 합의 조건을 어길 경우, 벌금을 선고받을 수 있다.

하이버드와 브루즈는 "이를 통해 다른 제조업체들이 제공하지 않는 것에 대한 허위 광고를 하지 않도록 메시지를 전달하긴 하지만 연결형 기기를 시장에 서둘러 출시하려는 움직임 속에서 보안은 뒷전일 수 밖에 없다"고 지적했다. 브루즈는 "비즈니스 모델은 제품을 출시한 후에 나중에 문제를 해결하는 것"이라고 말했다.

하이버드는 IoT가 '미래 환경의 구성요소'이기 때문에 더 큰 문제가 될 것이라고 말했다. 문제는 우리가 30년을 내다봐야 하는 경우에도 겨우 3년을 내다본다는 점이다. 이것은 현재 고속도로 시스템과도 같다. 도로를 완전히 새로 건설하면 좋겠지만 그럴 수 없다. 때우기만 가능할 뿐이다.

또 다른 문제는 대부분의 기기를 손쉽게 업데이트할 수 없기 때문에 취약점이 발견되더라도 해결되지 않는다는 점이다. 하이버드는 "그 가운데 일부는 벽 속에 있다"며, "접근성을 확보하도록 개발되지 않았다"고 말했다.

그리고 법적 책임에 영향을 끼치는 또 다른 문제점은 5, 6개의 기기를 처음부터 계획되지 않은 방식으로 호환시키는 기기 매시업(Mashup)이다. 이런 구성요소는 교각에서부터 신호등과 차량에 이르기까지 모든 것이 포함될 수 있다. 브루즈는 "법적 관점에서 흥미로운 영역이 발생한다"며, "나쁜 일이 발생할 경우 어떤 구성요소가 피해를 유발한 것인지 판가름할 수 있을까?"라고 물었다.

또한 브루즈는 법률 제도가 유출 발생 시 피해를 책임질 사람을 가려내야 한다고 말했다. 브루즈는 "에이수스 라우터의 경우, 라우터를 만든 사람의 잘못일까, 아니면 고객으로부터 정보를 훔친 사람이 문제일까"라며, "누군가 집에 침입한다면 자물쇠를 만든 사람을 고소할 수 있을까"라고 반문했다.

또한 여러 공격자들이 한 국가의 사법당국이나 법원의 손이 닿지 않는 다양한 국가 출신이라는 점때문에 상황이 더욱 복잡해진다.

산나파는 "애플(Apple), 구글(Google), 삼성 등 일부 대기업들이 전체적인 IoT 보안 표준 수립에 도움을 줄 수 있다"며, "더욱 큰 생태계를 구축해 주요 기업들이 중소기업들을 위한 지침을 구성할 수 있도록 할 수 있다. 그러면 규제 당국은 할 일을 하지 않았다고 따질 수 있게 된다"고 주장했다.

하지만 이 과정에는 시간이 소요된다는 사실을 모두가 알고 있다. 하이버드는 "표준이 완성될 때까지 적어도 3~4년이 걸릴 수 있다"며, "그리고 법률 부문에서 이 부분을 가늠하게 될 것이라고 생각한다. 규제는 제조업체와 개발자들이 불안정한 계획에 대해 조치를 취하도록 경종을 울리게 될 것이다"고 주장했다. editor@itworld.co.kr


2016.03.07

뒤죽박죽인 IoT 보안, 누구의 책임인가

Taylor Armerding | CSO
사물인터넷(Internet of Things, IoT)이 거의 모든 산업을 혼란에 빠뜨리고 있다. 하지만 각국의 법률 및 규제 시스템이 서서히 IoT로 인한 막대한 보안 및 프라이버시 위험을 따라잡고 있지만, 그동안은 그 자체가 혼란에 빠질 수 있다.

하지만 근시일 내에는 큰 문제가 없을 것이다. "진행 중(Work in progress)"은 이번 주 열린 "불타는 토스터기부터 충돌하는 자동차까지 - IoT와 집단 책임"이라는 주제의 RSA 컨퍼런스에서 진행된 한 패널 세션의 테마였다.

IoT를 중심으로 하는 법적 책임 구성 문제의 대부분은 일반적으로 성장을 '폭발적'이라고 하면서도 훨씬 많고 더욱 큰 것이 예상된다는 점이다.

패널 가운데 한 명이었던 드링커 비들 & 레스(Drinker Biddle & Reath) 변호사 제이 브루즈는 "연결된 기기의 수가 너무 기하급수적으로 증가함에 따라 사물인터넷은 이미 멍청한 표현이다. 앞으로는 모든 것이 될 것이며 인간 인터페이스를 가진 컴퓨터로서 인터넷 자체가 될 것이다"고 말했다.

또 다른 패널이자 히타치데이터시스템즈(Hitachi Data Systems) 보안 및 프라이버시 CTO 에릭 하이버드는 "IoT가 광범위해 보이는 것만큼 여전히 초기 단계다. NIST(National Institute of Standards and Technology)는 이에 관한 자료가 있지만 더욱 광범위한 자료를 준비 중이다"고 말했다.

그렇다고 해서 아무런 일도 일어나지 않고 있다는 의미는 아니다. FTC(Federal Trade Commission)의 프라이버시 및 데이터 보안 변호사 나이썬 산나파는 "FTC는 IoT 소비자 제품이나 서비스에 관심이 있다"며, 다양한 기업들이 대부분 겪는 '기업 네트워크의 불충분'에 대한 약 50개의 사례를 언급했다.

산나파는 소비자 라우터의 결함과 관련해 최근 FTC와 에이수스텍 컴퓨터(ASUSTek Computer) 사이에서 합의를 이끌어 낸 수석 변호사다.

산나파는 "에이수스텍은 고객들이 라우터를 통해 소중한 데이터를 안전하게 보관하고 접근할 수 있다고 약속했지만 FTC는 해커들이 쉽게 구할 수 있는 툴을 이용해 라우터를 찾아 침투하고 1만 2,900개 이상의 소비자용 저장 장치에 접근했다는 사실을 발견했다"고 말했다.

FTC의 권한은 "불공평하고 기만적인" 기업 활동이 발견된 기업을 처벌하는 역할에서 파생됐다. 하지만 FTC 합의에는 현재까지 무거운 재정적인 처벌이 포함된 적이 없으며, 대부분의 경우에 기업들은 보안을 개선하고 감사를 받기로 동의한다. 합의 조건을 어길 경우, 벌금을 선고받을 수 있다.

하이버드와 브루즈는 "이를 통해 다른 제조업체들이 제공하지 않는 것에 대한 허위 광고를 하지 않도록 메시지를 전달하긴 하지만 연결형 기기를 시장에 서둘러 출시하려는 움직임 속에서 보안은 뒷전일 수 밖에 없다"고 지적했다. 브루즈는 "비즈니스 모델은 제품을 출시한 후에 나중에 문제를 해결하는 것"이라고 말했다.

하이버드는 IoT가 '미래 환경의 구성요소'이기 때문에 더 큰 문제가 될 것이라고 말했다. 문제는 우리가 30년을 내다봐야 하는 경우에도 겨우 3년을 내다본다는 점이다. 이것은 현재 고속도로 시스템과도 같다. 도로를 완전히 새로 건설하면 좋겠지만 그럴 수 없다. 때우기만 가능할 뿐이다.

또 다른 문제는 대부분의 기기를 손쉽게 업데이트할 수 없기 때문에 취약점이 발견되더라도 해결되지 않는다는 점이다. 하이버드는 "그 가운데 일부는 벽 속에 있다"며, "접근성을 확보하도록 개발되지 않았다"고 말했다.

그리고 법적 책임에 영향을 끼치는 또 다른 문제점은 5, 6개의 기기를 처음부터 계획되지 않은 방식으로 호환시키는 기기 매시업(Mashup)이다. 이런 구성요소는 교각에서부터 신호등과 차량에 이르기까지 모든 것이 포함될 수 있다. 브루즈는 "법적 관점에서 흥미로운 영역이 발생한다"며, "나쁜 일이 발생할 경우 어떤 구성요소가 피해를 유발한 것인지 판가름할 수 있을까?"라고 물었다.

또한 브루즈는 법률 제도가 유출 발생 시 피해를 책임질 사람을 가려내야 한다고 말했다. 브루즈는 "에이수스 라우터의 경우, 라우터를 만든 사람의 잘못일까, 아니면 고객으로부터 정보를 훔친 사람이 문제일까"라며, "누군가 집에 침입한다면 자물쇠를 만든 사람을 고소할 수 있을까"라고 반문했다.

또한 여러 공격자들이 한 국가의 사법당국이나 법원의 손이 닿지 않는 다양한 국가 출신이라는 점때문에 상황이 더욱 복잡해진다.

산나파는 "애플(Apple), 구글(Google), 삼성 등 일부 대기업들이 전체적인 IoT 보안 표준 수립에 도움을 줄 수 있다"며, "더욱 큰 생태계를 구축해 주요 기업들이 중소기업들을 위한 지침을 구성할 수 있도록 할 수 있다. 그러면 규제 당국은 할 일을 하지 않았다고 따질 수 있게 된다"고 주장했다.

하지만 이 과정에는 시간이 소요된다는 사실을 모두가 알고 있다. 하이버드는 "표준이 완성될 때까지 적어도 3~4년이 걸릴 수 있다"며, "그리고 법률 부문에서 이 부분을 가늠하게 될 것이라고 생각한다. 규제는 제조업체와 개발자들이 불안정한 계획에 대해 조치를 취하도록 경종을 울리게 될 것이다"고 주장했다. editor@itworld.co.kr


X