글로벌 가정용 전자제품 제조업체 월풀(Whirlpool)은 이미 공장 중 한곳에 5G를 구축하는 과정에 착수했다. 이 기업은 지금도 기존 로컬 영역 와이파이 네트워크를 통해 예측 정비, 환경 제어, 공정 모니터링에 IoT 디바이스를 사용하고 있지만 5G를 도입함으로써 와이파이로는 불가능한 자율 지게차 및 기타 차량을 구현할 수 있게 된다.
월풀의 북미 지역 IT 및 OT 제조 인프라 애플리케이션 관리자인 더글라스 반스는 “공장에는 금속이 많이 사용된다. 와이파이는 금속에 반사된다. 공장에 메시 와이파이를 구축했지만 금속이 너무 많은 점은 어쩔 수 없다. 그러나 5G는 벽을 통과하며 금속에 반사되지도 않는다”고 말했다.
반스는 5G가 공장에 구축되면 월풀은 획기적인 변화를 맞이하게 된다면서 “정비와 배달을 비롯해 제조 운영을 지원하는 모든 부분을 포괄한 설비 전반에서 진정한 자율 차량을 도입할 수 있게 된다. 이 비즈니스 사례는 큰 의미를 지니며 상당한 비용 절감이 가능하다. 5G가 주는 보상은 크다”고 말했다.
반스는 자율 차량의 정상 작동을 확인하기 위한 테스트를 이미 완료했다고 말했다. 이번 달부터 예산이 할당되고, 연말이면 5G를 기반으로 차량이 운행될 예정이다. 반스는 “결과가 좋다면 자율 차량 비즈니스 사례는 다른 모든 곳에서도 효과를 발휘할 것”이라고 말했다.
반스는 IoT로 인해 기업에 이미 발생하고 있는 사이버보안 문제, 그리고 5G로의 전환에 따라 이러한 모든 문제가 어느 정도의 범위로 증폭될 지에 대해 잘 인지하고 있다. 월풀은 우려 사항을 해결하기 위해 5G 파트너인 AT&T와 협력했다. 반스는 “매일 보안 문제와 씨름한다. 시작에 앞서 AT&T와 가장 먼저 한 이야기는 어떻게 안전한 네트워크를 구축할 것인지였다”고 말했다.
다음은 월풀과 같은 기업이 5G 구현 계획을 수립할 때 고려해야 할 7가지 핵심 영역이다.
1. 5G 네트워크 트래픽 암호화 및 보호
5G에서는 네트워크에 연결되는 지능형 디바이스의 수와 함께 이러한 네트워크를 흐르는 트래픽 양도 대폭 증가한다. 가트너에 따르면 기업 및 차량 IoT 디바이스의 수는 올해 예상되는 IoT 엔드포인트의 총 수인 48억 개에서 내년에는 21% 증가한 58억 개에 이를 전망이다. 그만큼 공격자에게는 지금보다 목표물이 더욱 풍부한 네트워크라는 의미다.반스에 따르면, 월풀은 이 문제를 해결하기 위해 모든 5G 트래픽을 암호화하고 승인된 트래픽만 수락하도록 5G 안테나를 구성할 예정이다. 반스는 “디바이스를 추가할 때 5G에서 수락 가능한 디바이스로 구성한다. 화이트리스트에 포함되지 않은 디바이스의 트래픽은 수신하지 않는다. 또한 트래픽이 암호화되므로 걱정할 필요가 없다. 누군가 신호를 포착하더라도 할 수 있는 일이 거의 없기 때문이다”고 말했다.
반스는 트래픽이 로컬 네트워크를 떠나 퍼블릭 5G 또는 인터넷을 통해 전송되면 통신 내용이 보안 VPN 터널을 통해 보호된다면서 “5G를 사용해 외부와 통신해야 하는 경우에 대비해 미리 이렇게 구성했다”고 말했다.
2. 취약한 디바이스 보호 및 격리
그 다음의 잠재적인 약점은 디바이스 자체다. 반스는 “업계 전반적으로 보안에 대한 의식이 취약하다”고 말했다. 특히 산업용 장비의 경우 독자적인 운영체제를 사용하며 패치를 설치하는 기능이 없거나 라이선스에 따라 패치가 금지되는 경우가 많다. 반스는 “처음부터 패치를 염두에 두고 설계되지 않는다”고 말했다.바라쿠다 네트웍스(Barracuda Networks)의 선임 보안 연구원인 조나단 태너는 실제로 IoT 보안 실수의 대다수는 수정되지 않았다면서 일부 디바이스에는 펌웨어 업데이트로 수정할 수 없는 문제가 있거나 펌웨어를 업데이트할 메커니즘 자체가 없다고 말했다. 디바이스 제조업체가 다음 세대의 디바이스에 보안 기능을 추가하더라도 안전하지 않은 이전 디바이스는 여전히 그대로 사용된다.
태너는 이런 부분에 대해 무신경하고 취약점을 지적하는 보안 연구원을 무시하는 기업도 있다면서 “취약한 디바이스를 제조한 기업이 폐업한 사례도 있다. 이 경우 취약점을 가진 디바이스가 그대로 방치된다”고 말했다.
안전하지 않은 IoT 디바이스를 사용 중인 기업은 어떻게 해야 할까? 월풀의 반스는 다른 네트워크 보안 기술과 함께 네트워크 격리를 사용하면 도움이 된다고 말했다. 반스는 “월풀은 2계층 방식을 사용한다. 첫 번째 계층은 모든 트래픽을 모니터링하는 네트워크 보안, 두 번째 계층은 심층 패킷 검사를 통해 프로토콜에 내장된 악의적 활동을 찾는, 프로토콜 기반 보안이다”고 말했다.
또한 이 계층 위에 가능한 즉시 패치하기, 모든 디바이스에 대한 정기적인 보안 감사, 네트워크에 있는 모든 디바이스의 인벤토리 확보 등 일반적인 보안 위생도 적용된다.
3. 더 큰 규모의 DDoS 공격에 대비
일반적으로 5G가 이전 세대의 무선 기술에 비해 보안이 더 약한 것은 아니다. 노키아 위협 인텔리전스 연구소 책임자인 케빈 맥나미는 “5G의 경우 실제로 4G나 3G에서는 사용할 수 없는 새로운 보안 기능이 구현된다. 5G에서는 전체 제어 면이 웹 서비스 유형의 환경으로 이전되며 이 환경은 강력히 인증되고 매우 안전하다. 이전에 비해 더 개선된 것이다"고 말했다.그러나 맥나미는 이와 같은 보안 개선이 봇넷을 위한 기회의 증가로 인해 상쇄된다면서 “5G에서는 디바이스가 사용할 수 있는 대역폭이 상당히 증가한다. 대역폭이 증가하면 IoT 봇이 사용할 수 있는 대역폭도 당연히 증가한다”고 말했다.
늘어난 대역폭은 취약한 디바이스를 더 많이 찾아서 감염을 확산시키는 데 사용될 수 있으며, 봇넷이 찾을 수 있는 취약한 디바이스의 수도 더 증가한다. 소비자는 빠른 속도로 스마트 홈 디바이스를 구매하고 있다. 월풀이 그렇듯이 기업 역시 IoT 디바이스를 많이 사용한다. 정부 기관을 비롯한 다른 유형의 조직도 마찬가지다.
5G가 구축되면 유지보수가 어려운 원격지에 디바이스를 배치할 수 있게 된다. ESET 보안 연구원이자 오리건주 무선 인터넷 서비스 제공업체 연합의 공동 회장인 카메론 캠프는 “수많은 센서가 날씨부터 공기의 질, 비디오 피드에 이르기까지 온갖 것을 기록하게 된다. 그만큼 해킹되어 봇넷화될 가능성이 있는 새로운 기계가 많아진다. 이와 같은 센서는 대부분 무인으로 운영되므로 해킹을 찾아서 대응하기도 어려울 것이다”고 말했다.
또한 IoT 디바이스는 대체로 장기간 사용된다. 사용자는 목적한 기능을 잘 수행하는 디바이스를 굳이 교체하지 않는다. 공격자들은 주의를 끌지 않기 위해 은밀한 접근 방식을 선호한다. 패치가 나오거나 제조업체가 업데이트된, 더 안전한 버전의 디바이스를 출시하더라도 고객이 변화를 원치 않으면 무용지물이다.
한편 많은 스마트 IoT 디바이스는 임베디드 리눅스와 같은 종합적인 운영체제를 실행하며 덕분에 거의 일반 컴퓨터와 같이 작동할 수 있다. 따라서 감염된 디바이스를 사용해서 불법 콘텐츠, 악성코드, 지휘통제 데이터를 비롯해 기타 공격자에게 유용한 시스템과 서비스를 호스팅하는 것도 가능하다. 사용자들은 이러한 디바이스를 안티바이러스, 패치, 업데이트가 필요한 컴퓨터로 여기지 않는다. 많은 IoT 디바이스는 인바운드 및 아웃바운드 트래픽에 대한 로그를 유지하지 않는다. 공격자들이 발각되지 않고 계속 활동할 수 있으므로 봇넷을 제거하기도 더 어렵다.
결국 악용 가능성을 지닌 디바이스의 수, 봇넷 확산에 사용할 수 있는 대역폭, 디바이스가 DDoS 공격을 감행하는 데 사용할 수 있는 대역폭, 이 3가지 위협이 모두 증가한다. 상당수 디바이스가 여전히 보호되지 않고 일부는 아예 패치가 불가하므로 5G 환경에서 기업은 지금보다 훨씬 더 큰 규모의 DDoS 공격에 대비해야 한다.
4. IPv6으로 전환할 경우 사설 인터넷 주소가 공용 주소로 바뀔 수 있음
디바이스의 수가 급증하고 통신 속도가 개선됨에 따라 기업은 현재 보편적으로 사용되는 IPv4 대신 IPv6을 사용하고자 할 수 있다. 더 긴 IP 주소를 사용할 수 있는 IPv6은 2017년부터 인터넷 표준이 됐다.IPv4 주소로 사용 가능한 주소의 수는 최대 43억 개이므로 충분하지 않다. 일부 등록 기관은 2011년부터 주소 부족에 직면했고 조직은 2012년부터 IPv6으로의 전환 작업을 시작했다. 그러나 인터넷 소사이어티(The Internet Society)의 데이터에 따르면 현재 구글 사용자 중에서 IPv6을 통해 구글 플랫폼에 액세스하는 비율은 30% 미만이다.
노키아의 맥나미는 많은 조직, 그리고 거의 모든 가정용 디바이스와 다수의 휴대폰 네트워크는 IPv6 대신 사설 IPv4 주소를 사용한다면서 “사설 IPv4 주소는 인터넷에 노출되지 않으므로 공격으로부터 자연스러운 보호 기능을 제공한다”고 말했다.
세계가 5G로 옮겨가는 상황에 통신사업자도 수십억 개의 새로운 디바이스를 지원하기 위해 IPv6으로 전환할 수밖에 없다. 그러나 통신사업자가 사설이 아닌 공용 IPv6 주소를 선택한다면 해당 디바이스는 인터넷에 노출된다. 맥나미는 이것은 IPv6이나 5G의 문제는 아니지만 이로 인해 디바이스를 IPv4에서 IPv6으로 전환하는 기업이 본의 아니게 디바이스를 공개 주소 영역에 두는 상황이 발생할 수 있다고 말했다.
5. 엣지 컴퓨팅으로 인해 늘어나는 공격 표면
고객 또는 분산된 자체 인프라를 위해 지연을 줄이고 성능을 개선하고자 하는 기업 사이에서 엣지 컴퓨팅에 대한 관심이 높아지는 중이다. 5G가 구축되면 엔드포인트 디바이스의 통신 역량이 강화되므로 엣지 컴퓨팅의 이점이 더욱 커진다.동시에 엣지 컴퓨팅은 잠재적인 공격 표면도 비약적으로 늘린다. 제로 트러스트(zero-trust) 네트워크 아키텍처로의 전환을 아직 시작하지 않은 기업은 엣지 컴퓨팅 인프라에 막대한 비용을 투자하기 전에 지금 이 아키텍처를 살펴봐야 한다. 제로 트러스트 네트워크 아키텍처를 실제로 구축한다면 보안을 사후 대책이 아니라 가장 중요한 고려 사항으로 다뤄야 한다.
6. 신규 IoT 업체, 보안이 아닌 시장 선점에 집중
IoT 골드 러시가 시작되면 신규 업체가 시장에 유입되고 기존 업체는 새로운 디바이스를 앞다퉈 출시하게 된다. 바라쿠다의 태너는 이미 취약점을 찾는 보안 연구원보다 IoT 디바이스의 수가 더 많다면서 새로운 제조업체가 가세함에 따라 새로운 보안 실수 주기도 뒤따를 것이라고 말했다.태너는 같은 실수가 계속 반복되면서 IoT 디바이스에서 보고되는 취약점의 수는 줄어드는 것이 아니라 늘어나고 있다면서 “업계의 다른 기업에서 발생하는 사건으로부터 충분한 학습이 이뤄지지 않고 있다”고 지적했다.
얼라인 컴플라이언스 앤 시큐리티(A-lign Compliance and Security)에서 침투 테스트를 이끌면서 기업 네트워크 침입을 주 업무로 하는 조 코테스는 “업체는 보안에 신경을 쓰지 않는다. 올해 초에 전등을 켜고 끄는 기능과 관련된 디바이스 5개를 구매했는데, 집 밖에서 이 중 4개에 접근할 수 있었다. 디바이스 내에 내장된 테스트 모드를 업체에서 삭제하지 않고 출시한 것이다”고 말했다.
코테스는 모든 업체가 가장 먼저 시장에 진출하기를 원한다고 말했다. 많은 업체는 최대한 빠르게 디바이스를 출시하기 위해 임베디드 리눅스와 같은 준비된 플랫폼을 사용한다. 코테스는 “최근 7줄짜리 코드로 디바이스를 다운시킬 수 있는 IoT 맬웨어를 입수했다”고 말했다. 코테스는 디바이스의 보안을 강화하지 않는 제조업체는 이 공격에 취약하다고 말했다.
예를 들어 공격자는 이 악성코드를 사용해 공장 또는 핵심 인프라 가동을 중단시키거나 회사 시스템을 인질로 붙잡고 몸값을 요구할 수 있다. 코테스는 “아직 그런 사건이 발생하지 않은 것은 5G가 광범위하게 구축되지 않았기 때문이다. 5G 도입이 늘고 IoT가 증가하면 제조 업계와 같은 산업 시스템의 악용이 크게 증가할 가능성이 높다”고 말했다.
7. 누군가 IoT 보안을 책임져야 한다
IoT 보안에서 가장 큰 장애물은 기술이 아니라 심리적 장애물이다. 누구도 책임을 지려고 하지 않는다. 모두 다른 누군가에게 떠넘기고 싶어한다. 구매자는 업체가 디바이스를 안전하게 만들지 않는다고 탓한다. 업체는 무조건 값싼, 보안이 부실한 제품만 찾는다고 구매자를 탓한다. 5G 세계에서 IoT 보안에 대한 책임 회피는 훨씬 더 큰 파장으로 이어진다.지난해 라드웨어(Radware)의 설문에서 응답자의 34%는 IoT 보안 책임이 디바이스 제조업체에 있다고 답했으며 11%는 서비스 제공업체, 21%는 개인 소비자, 35%는 비즈니스 조직에 있다고 답했다. 라드웨어의 전략 담당 부사장 마이크 오말리는 “달리 말하자면 의견 일치가 이뤄지지 않는 것”이라고 말했다. 오말리는 또한 소비자에게는 지식이나 기술이 없다고 말했다. 기업은 충분한 인력을 채용하지 않는다. 제조업체는 그 수가 너무 많고 제각각이라서 통제가 어렵다.
기업은 서비스 제공업체를 고용해 책임 부담을 일부 넘길 수 있지만 이것으로는 보호되지 않는 소비자 디바이스, 변화에 소극적인 제조업체, 일관적인 글로벌 규정과 법시행의 부재라는 문제는 해결되지 않는다.
모두가 IoT 보안을 책임져야 한다. 구매자는 자신이 구매하는 제품에 기본 비밀번호나 테스트 모드가 사용되지 않는지, 통신이 암호화되고 인증되는지, 디바이스가 정기적으로 패치와 업데이트를 받는지 확인해야 한다. 업체는 보호되지 않는 디바이스 판매를 중단하고, 보안을 나중에, 뉴스 헤드라인이 등장한 이후에 덧붙이는 기능이 아니라 제품 설계 과정의 시작부터 고려해야 한다. editor@itworld.co.kr