2020.03.17

"쉐도우 IoT는 이미 일반화됐고 보안이 취약하다"

Jon Gold | Network World
사물인터넷(IoT)의 데이터 보호 실패는 부인할 수 없는 사실이다. 그러나 보안업체 지스케일러(Zscaler)의 새 연구에 따르면 가장 심각한 문제는 따로 있었다. 바로 '섀도우 IoT(shadow IoT)'의 확산과 기업 네트워크에 연결된 직원의 개인용 기기 사용 증가다.
 
ⓒ Getty Images Bank

이는 '기업 내 IoT 2020(IoT in the Enterprise 2020)' 보고서의 내용이다. 기업이 데이터 수집 터미널과 산업용 제어 기기 같은 핵심 IoT 엔드포인트를 둘러싼 보안을 강화하려 노력하고 있지만, 가정과 일터의 경계가 모호해지면서 기업 네트워크 보안이 점점 취약해지고 있다. 보고서는 그 근거로 승인되지 않은 IoT 기기에서 생성된 기업 트래픽을 제시했다. 여기에는 디지털 홈 어시스턴트, TV 셋톱 박스, IP 카메라, 스마트 홈 기기, 스마트 TV, 스마트 워치는 물론 심지어 자동으로 실행되는 멀티미디어 시스템까지 있었다.

지스케일러가 고객사의 네트워크 트래픽을 분석한 결과, 모든 온라인 IoT 트랜잭션(업체는 이를 기기 간 통신 인스턴스를 의미하는 용어로 사용했다)의 83%가 SSL을 사용하지 않은 단순 텍스트였다. 이는 일반 사용자용 IoT 기기가 기업용 기기보다 상대적으로 보안이 취약하기 때문이기도 하지만, 결과적으로 기업 네트워크 내에 보안이 취약한 트래픽이 어느 정도 되는지 짐작할 수 있는 수치다.

이 문제는 십여 년 전 BYOD 유행이 있었을 때 기업이 경험했던 위기와 비슷하다. 당시 기업의 네트워크는 '기업이 소유하지 않는' 새로운 엔드포인트의 폭증에 충분히 준비되지 않았고, 이후 우연한 혹은 편의만을 쫓은 네트워크 위험에 대응할 수 있는 새로운 보안 방법에 대한 개발이 본격화됐다.

당시에는 직원이 스마트폰을 이용해 안전하지 않은 방법으로 기업 데이터에 접근하는 것이 문제였다. 그러나 오늘날 이 이슈는 회사에서 유아용 카메라를 원격으로 확인하는 등 직원이 기업 네트워크를 이용해 보안이 취약한 기기에 접속하는 문제로 바뀌었다. 이러한 통신이 플레인 텍스트로 이뤄지면 해커가 로그인 계정 정보를 탈취할 수 있고, 이를 이용해 더 보안이 강화된 시스템에 접근하는 데 악용할 수 있다. 혹은 보안이 취약한 기기를 봇넷에 추가할 가능성도 있다.

물론 이번 보고서의 일부 내용은 적당히 걸러서 받아들여야 한다. 일반적으로 보안 업체는 자사 제품이 해결할 수 있는 문제에 대해 보고서를 내놓을 때 적절한 균형감을 잃곤 한다. 그러나 기업 네트워크에서 보안되지 않은 플레인 텍스트 트래픽이 상당 부분을 차지하고 일반 사용자용 IoT 기기가 기업 네트워크에 연결되고 있다는 것이 매우 심각한 문제임은 분명하다. editor@itworld.co.kr


2020.03.17

"쉐도우 IoT는 이미 일반화됐고 보안이 취약하다"

Jon Gold | Network World
사물인터넷(IoT)의 데이터 보호 실패는 부인할 수 없는 사실이다. 그러나 보안업체 지스케일러(Zscaler)의 새 연구에 따르면 가장 심각한 문제는 따로 있었다. 바로 '섀도우 IoT(shadow IoT)'의 확산과 기업 네트워크에 연결된 직원의 개인용 기기 사용 증가다.
 
ⓒ Getty Images Bank

이는 '기업 내 IoT 2020(IoT in the Enterprise 2020)' 보고서의 내용이다. 기업이 데이터 수집 터미널과 산업용 제어 기기 같은 핵심 IoT 엔드포인트를 둘러싼 보안을 강화하려 노력하고 있지만, 가정과 일터의 경계가 모호해지면서 기업 네트워크 보안이 점점 취약해지고 있다. 보고서는 그 근거로 승인되지 않은 IoT 기기에서 생성된 기업 트래픽을 제시했다. 여기에는 디지털 홈 어시스턴트, TV 셋톱 박스, IP 카메라, 스마트 홈 기기, 스마트 TV, 스마트 워치는 물론 심지어 자동으로 실행되는 멀티미디어 시스템까지 있었다.

지스케일러가 고객사의 네트워크 트래픽을 분석한 결과, 모든 온라인 IoT 트랜잭션(업체는 이를 기기 간 통신 인스턴스를 의미하는 용어로 사용했다)의 83%가 SSL을 사용하지 않은 단순 텍스트였다. 이는 일반 사용자용 IoT 기기가 기업용 기기보다 상대적으로 보안이 취약하기 때문이기도 하지만, 결과적으로 기업 네트워크 내에 보안이 취약한 트래픽이 어느 정도 되는지 짐작할 수 있는 수치다.

이 문제는 십여 년 전 BYOD 유행이 있었을 때 기업이 경험했던 위기와 비슷하다. 당시 기업의 네트워크는 '기업이 소유하지 않는' 새로운 엔드포인트의 폭증에 충분히 준비되지 않았고, 이후 우연한 혹은 편의만을 쫓은 네트워크 위험에 대응할 수 있는 새로운 보안 방법에 대한 개발이 본격화됐다.

당시에는 직원이 스마트폰을 이용해 안전하지 않은 방법으로 기업 데이터에 접근하는 것이 문제였다. 그러나 오늘날 이 이슈는 회사에서 유아용 카메라를 원격으로 확인하는 등 직원이 기업 네트워크를 이용해 보안이 취약한 기기에 접속하는 문제로 바뀌었다. 이러한 통신이 플레인 텍스트로 이뤄지면 해커가 로그인 계정 정보를 탈취할 수 있고, 이를 이용해 더 보안이 강화된 시스템에 접근하는 데 악용할 수 있다. 혹은 보안이 취약한 기기를 봇넷에 추가할 가능성도 있다.

물론 이번 보고서의 일부 내용은 적당히 걸러서 받아들여야 한다. 일반적으로 보안 업체는 자사 제품이 해결할 수 있는 문제에 대해 보고서를 내놓을 때 적절한 균형감을 잃곤 한다. 그러나 기업 네트워크에서 보안되지 않은 플레인 텍스트 트래픽이 상당 부분을 차지하고 일반 사용자용 IoT 기기가 기업 네트워크에 연결되고 있다는 것이 매우 심각한 문제임은 분명하다. editor@itworld.co.kr


X