2016.10.05

글로벌 칼럼 | 다가오는 IoT 보안 재앙

Matt Asay | InfoWorld
맥킨지 앤 컴퍼니(McKinsey & Co.)는 사물인터넷(IoT)의 시장 규모가 11조 달러(1경 2,237조 원)에 이를 것으로 추정했다. 보쉬(Bosch) 임원 스테판 퍼버 등은 IoT가 마케팅, 비즈니스, 의료를 비롯한 모든 것을 영구적으로 변화시킬 것이라고 말했다. 다만 이는 IoT가 보안 측면에서 거대한 재앙이 되지 않는다는 전제 하의 이야기다.


Credit: Getty Images Bank

아카마이(Akamai)의 최고 보안 책임자인 앤디 엘리스에 따르면, IoT는 방대한 보안 취약점을 수반한다. 보안 전문가 브라이언 크렙스를 강타한 IoT 기반의 DDoS 공격에 대한 소식을 관심있게 지켜본 사람이라면 누구나 같은 생각일 것이다.

이런 공격이 단단한 보안을 치밀하게 회피하는 방식으로 이루어졌다면 그나마 안심하겠지만 루시안 콘스탄틴이 지적했듯이 IoT 보안에 대한 우려의 근원은 "기본적인 보안 통제의 부재"에서 비롯된다. 시만텍의 연구 결과가 이런 주장을 뒷받침한다.

실제로 상황은 그 이상으로 심각하다. 엘리스는 IoT 기기와 네트워크는 투과성이 높기 때문에, 즉 최신 보안 패치로 '사물'을 최신 업데이트 상태로 유지하기가 어렵기 때문에 시간이 지날수록 더 불안정해진다고 주장했다.

달리 말하면 아무리 철저한 보안을 적용해 IoT 서비스를 시작하더라도 시간이 갈수록 보안을 계속 유지하기가 매우 어렵게 된다는 것이다.

IoT, 큰 돈이 모이면 위험도 커진다
IoT가 막대한 기회를 제공한다는 장밋빛 전망을 믿는다면 분명 해커들이 그 뒤를 따를 것이란 점도 전제해야 한다. 악의적 해커가 어떤 공격을 감행할 수 있는지 이미 시연을 통해 알려지기도 했다.

펜테스트 파트너(PenTest Partners)는 스마트 온도조절기 랜섬웨어를 시연했고, 2명의 해커는 운행 중인 지프(Jeep)를 하이재킹할 수 있음을 시연함으로써 크라이슬러가 140만 대의 차량을 리콜하도록 했다. 아기 모니터도 해킹됐다.

해커의 공격을 막기 위한 대처도 미흡하다. 최근 시만텍은 보안 공지를 통해 "많은 IoT 기기가 취약한 보안으로 인해 쉬운 목표물(soft target)이 되고 있으며, 공격을 받고 감염되었다는 사실조차 인지하지 못하는 경우가 많다. 공격자들은 현재 IoT의 보안이 허술하다는 사실을 파악하고 흔한 비밀번호, 기본 비밀번호를 사용해 공격하도록 악성코드를 프로그램하고 있다"고 밝혔다.

또한 이 보안 보고서는 "대부분의 IoT 악성코드는 PC 외의 임베디드 기기를 노린다. 많은 기기가 인터넷에 접속되지만 운영체제와 처리 성능의 제약으로 인해 고급 보안 기능은 탑재하지 않는 경우가 많기 때문"이라고 지적했다. 즉, IoT 기기의 상당수가 기본적으로 보안이 되지 않는 상태라는 것이다.

IoT 기기를 위한 더 강화된 보안 규약을 마련한다 해도 더 큰 문제가 발생한다. 이 기기들을 어떻게 보안 패치를 최신의 상태로 유지할 것인가?

패치의 어려움
엘리스는 대부분의 소비자가 업데이트 프로세스를 관리할 기술적 지식이 부족하다고 지적했다. "IoT 기기를 패치하려면 업체 웹사이트를 방문해서 해당 모델을 찾은 다음 실행 파일을 데스크톱으로 다운로드하고 실행해야 한다. 실행 파일이 네트워크 경로와 패치를 열면 기기의 펌웨어를 업그레이드한다. 이 절차를 잘 아는 소비자는 극소수고, 그렇게 해야 한다는 사실을 아는 소비자는 더 적다."

소비자가 관여할 필요가 없는 패치 방법을 IoT 업체가 고안한다면 어떨까. 물론 이 경우에도 처음 상태에 비해 보안이 더 나아질 것이 없다는 지적도 있다. '패치는 제대로만 된다면 훌륭한 아이디어다. 그러나 패치란 애초에 그 소프트웨어를 만들었을 때와 동일한 시각으로 만들어지는 경우가 대부분'이라는 말을 상기해 보자. 어쨌든 이런 패치 방법이 가능하다고 해보자.

IoT 업체들은 소비자가 관여할 필요가 없는 패치 방법을 개발할 수도 있다. 그러나 기업들이 기기 네트워크를 패치할 방법을 알아낸다 해도 해커 역시 이런 패치에 편승해 더 많은 취약점을 유발시킬 가능성이 있다. 더 레지스터(The Register)의 한 사용자는 이렇게 설명했다.

"패치라는 말은 그럴 듯하게 들린다. 그러나 공격자도 그 패칭 메커니즘을 통해 공격을 주입하기 시작한다. 그렇게 되면 코드 서명이 필요해진다. 코드 서명이 필요해지면 IoT에 더 높은 CPU/메모리 성능이 필요해진다. 그러면 모든 IoT 기기가 온전한 모바일 CPU를 사용하게 된다. 그렇게 되면 패치 프로세스는 더 어려워지고 더 많은 비용이 들게 된다."

그럼 IoT는 망할 수밖에 없다는 뜻일까? 아직은 아니다. 다양한 DDoS 공격과 교묘한 CCTV 및 기타 시스템의 해킹 사건 속에서도 사람들은 IoT의 가능성을 깨달았다. 실제로 IoT는 고객 경험을 비롯한 여러 가지를 획기적으로 변화시킬 수 있는 큰 기회다.

그러나 이 기회에는 IoT의 보안을 훨씬 더 진지하게 다루어야 할 책임도 따른다. IoT 보안 침해 사건이 계속 발생하면 소비자는 언제든 불안전한 IoT에서 등을 돌릴 것이다. editor@itworld.co.kr


2016.10.05

글로벌 칼럼 | 다가오는 IoT 보안 재앙

Matt Asay | InfoWorld
맥킨지 앤 컴퍼니(McKinsey & Co.)는 사물인터넷(IoT)의 시장 규모가 11조 달러(1경 2,237조 원)에 이를 것으로 추정했다. 보쉬(Bosch) 임원 스테판 퍼버 등은 IoT가 마케팅, 비즈니스, 의료를 비롯한 모든 것을 영구적으로 변화시킬 것이라고 말했다. 다만 이는 IoT가 보안 측면에서 거대한 재앙이 되지 않는다는 전제 하의 이야기다.


Credit: Getty Images Bank

아카마이(Akamai)의 최고 보안 책임자인 앤디 엘리스에 따르면, IoT는 방대한 보안 취약점을 수반한다. 보안 전문가 브라이언 크렙스를 강타한 IoT 기반의 DDoS 공격에 대한 소식을 관심있게 지켜본 사람이라면 누구나 같은 생각일 것이다.

이런 공격이 단단한 보안을 치밀하게 회피하는 방식으로 이루어졌다면 그나마 안심하겠지만 루시안 콘스탄틴이 지적했듯이 IoT 보안에 대한 우려의 근원은 "기본적인 보안 통제의 부재"에서 비롯된다. 시만텍의 연구 결과가 이런 주장을 뒷받침한다.

실제로 상황은 그 이상으로 심각하다. 엘리스는 IoT 기기와 네트워크는 투과성이 높기 때문에, 즉 최신 보안 패치로 '사물'을 최신 업데이트 상태로 유지하기가 어렵기 때문에 시간이 지날수록 더 불안정해진다고 주장했다.

달리 말하면 아무리 철저한 보안을 적용해 IoT 서비스를 시작하더라도 시간이 갈수록 보안을 계속 유지하기가 매우 어렵게 된다는 것이다.

IoT, 큰 돈이 모이면 위험도 커진다
IoT가 막대한 기회를 제공한다는 장밋빛 전망을 믿는다면 분명 해커들이 그 뒤를 따를 것이란 점도 전제해야 한다. 악의적 해커가 어떤 공격을 감행할 수 있는지 이미 시연을 통해 알려지기도 했다.

펜테스트 파트너(PenTest Partners)는 스마트 온도조절기 랜섬웨어를 시연했고, 2명의 해커는 운행 중인 지프(Jeep)를 하이재킹할 수 있음을 시연함으로써 크라이슬러가 140만 대의 차량을 리콜하도록 했다. 아기 모니터도 해킹됐다.

해커의 공격을 막기 위한 대처도 미흡하다. 최근 시만텍은 보안 공지를 통해 "많은 IoT 기기가 취약한 보안으로 인해 쉬운 목표물(soft target)이 되고 있으며, 공격을 받고 감염되었다는 사실조차 인지하지 못하는 경우가 많다. 공격자들은 현재 IoT의 보안이 허술하다는 사실을 파악하고 흔한 비밀번호, 기본 비밀번호를 사용해 공격하도록 악성코드를 프로그램하고 있다"고 밝혔다.

또한 이 보안 보고서는 "대부분의 IoT 악성코드는 PC 외의 임베디드 기기를 노린다. 많은 기기가 인터넷에 접속되지만 운영체제와 처리 성능의 제약으로 인해 고급 보안 기능은 탑재하지 않는 경우가 많기 때문"이라고 지적했다. 즉, IoT 기기의 상당수가 기본적으로 보안이 되지 않는 상태라는 것이다.

IoT 기기를 위한 더 강화된 보안 규약을 마련한다 해도 더 큰 문제가 발생한다. 이 기기들을 어떻게 보안 패치를 최신의 상태로 유지할 것인가?

패치의 어려움
엘리스는 대부분의 소비자가 업데이트 프로세스를 관리할 기술적 지식이 부족하다고 지적했다. "IoT 기기를 패치하려면 업체 웹사이트를 방문해서 해당 모델을 찾은 다음 실행 파일을 데스크톱으로 다운로드하고 실행해야 한다. 실행 파일이 네트워크 경로와 패치를 열면 기기의 펌웨어를 업그레이드한다. 이 절차를 잘 아는 소비자는 극소수고, 그렇게 해야 한다는 사실을 아는 소비자는 더 적다."

소비자가 관여할 필요가 없는 패치 방법을 IoT 업체가 고안한다면 어떨까. 물론 이 경우에도 처음 상태에 비해 보안이 더 나아질 것이 없다는 지적도 있다. '패치는 제대로만 된다면 훌륭한 아이디어다. 그러나 패치란 애초에 그 소프트웨어를 만들었을 때와 동일한 시각으로 만들어지는 경우가 대부분'이라는 말을 상기해 보자. 어쨌든 이런 패치 방법이 가능하다고 해보자.

IoT 업체들은 소비자가 관여할 필요가 없는 패치 방법을 개발할 수도 있다. 그러나 기업들이 기기 네트워크를 패치할 방법을 알아낸다 해도 해커 역시 이런 패치에 편승해 더 많은 취약점을 유발시킬 가능성이 있다. 더 레지스터(The Register)의 한 사용자는 이렇게 설명했다.

"패치라는 말은 그럴 듯하게 들린다. 그러나 공격자도 그 패칭 메커니즘을 통해 공격을 주입하기 시작한다. 그렇게 되면 코드 서명이 필요해진다. 코드 서명이 필요해지면 IoT에 더 높은 CPU/메모리 성능이 필요해진다. 그러면 모든 IoT 기기가 온전한 모바일 CPU를 사용하게 된다. 그렇게 되면 패치 프로세스는 더 어려워지고 더 많은 비용이 들게 된다."

그럼 IoT는 망할 수밖에 없다는 뜻일까? 아직은 아니다. 다양한 DDoS 공격과 교묘한 CCTV 및 기타 시스템의 해킹 사건 속에서도 사람들은 IoT의 가능성을 깨달았다. 실제로 IoT는 고객 경험을 비롯한 여러 가지를 획기적으로 변화시킬 수 있는 큰 기회다.

그러나 이 기회에는 IoT의 보안을 훨씬 더 진지하게 다루어야 할 책임도 따른다. IoT 보안 침해 사건이 계속 발생하면 소비자는 언제든 불안전한 IoT에서 등을 돌릴 것이다. editor@itworld.co.kr


X