2016.10.14

글로벌 칼럼 | IoT 보안, 기업의 구매 프로세스도 바꾼다

Evan Schuman | Computerworld
사물인터넷(IoT) 기기들로 인한 위협이 실제 일어나고 있고, 문제를 해결하기 위해서는 기업 내 조직적인 변화가 필요하다.


Credit: GettyImage


IoT 기기를 경로한 대규모 DDoS 공격이 발생한 것으로 파악됐다. 따라서 IoT로 인해 엄청난 보안 위협이 발생한다는 사실을 의심할 수 없게 되었다. 하지만 아직 많은 기업은 사내의 IoT 관련 기기를 구매하고 관리하는 프로세스에 IT 부서와 IT 임원진을 참여시켜야 한다는 점을 인지하지 못하고 있다.

IoT 보안 위협은 전혀 다른 새로운 종류의 것으로, 기존의 방식으로는 효과적으로 대처할 수 없다. 기업 관점에서 IoT 위협에는 다음의 3가지 측면이 존재한다.

- 전 세계 IoT 군대로부터 공격
- 기업 소유 IoT 기기가 타인에 대한 공격에 가담할 수 있도록 허용
- IoT 기기가 자사를 공격할 수 있도록 허용


기업의 조직적 변화는 첫 번째 시나리오를 방어하는 데 도움이 되지 않겠지만, 공격 시나리오 2번과 3번을 차단하는 데에서는 엄청난 차이를 보일 수 있다.

구조적인 IoT 문제는, 많은 기기를 구매하고 승인하는 과정에서 IT나 보안 팀이 배제된다는 점이다. 가령 시설 관리부에서 구매한 도어록(Door Lock)과 전구 그리고 운영 또는 마케팅부에서 구매한 비콘(Beacon)을 생각해 보자.

사이버 도둑이 진짜 공격에 앞서 시험 삼아 네트워크에 침투해 도어룩을 공격했는데 의도치 않게 IoT 도어록이 풀렸다는 사례가 여러 번 보고되었다. IoT 전구도 깜빡임으로 창문을 바라보고 있는 사람에게 메시지를 전달할 수 있다.

회사 물품을 구입할 때, 과거에는 IT의 승인이 필요하지 않았다. 하지만 IoT 터치 기능이 있는 물품이라면 얘기가 달라진다. 필자는 다음의 2가지 임무를 제안한다.

- 임무 1: 제조업체들은 모든 부서의 모든 직원에게 IoT 기기가 무엇으로 구성돼 있는 지를 교육한다.
- 임무 2: IT나 보안 팀에서 예외없이 모든 물품의 구매 과정에 관여한다.


IoT 기기의 문제점은 작은 안테나 등의 일부 내부 통신 기능이 내장되어 있어 기기로 집에 전화를 걸어 펌웨어 업데이트를 받을 수 있다는 점이다. 자동 업데이트 기능은 시설 관리자에게 좋아 보일 수 있지만 모든 네트워크 보안 모니터링 통제를 우회할 수 있는 양방향 통신을 가능하게 한다는 점에서 보안 취약점이 있다.

그렇다. 어떤 모니터가 기업 내 아무 곳에서 감지되는 모든 독립적인 무선 신호를 추적할 수 있다. 하지만 이는 스마트폰, 태블릿, 웨어러블, 무선 노트북이 넘쳐나는 상황에서는 그다지 실용적인 대비책이 아닐 수 있다.

관리와 관련해 또 다른 문제가 있다. 일반 기기에서 IoT 기기로 옮겨가면서 비용도 크게 상승한다는 점이다. 그리고 분명 추가적인 관리(일명 ‘마이크로 관리(Micromanaging)’)가 필요하지만 보안이 아닌 비용 측면의 관리다. 기업의 사업부 관리자, 회계 담당자 또는 기타 현업 관리자는 보통 보안을 고려하지 않는 경향이 있는데, 우선 이러한 관행부터 바꿔야 한다.

사고 대응 전문 보안 업체 플릭서(Plixer)의 IT 서비스 이사 토마스 포어는 "과거에는 55센트짜리 전구를 구입했지만 IoT 전구로 교체하면서 40달러짜리를 구매하고 있다"고 이야기했다. 이어서 "하지만 이 과정에서 보안은 고려 대상이 아니다"고 말했다.

포어는 IoT 기기의 보안 취약점에 대해 임원들을 교육하려는 변화가 보인다고 밝혔다. 하지만 아직은 미흡한 상태다. 포어는 "기기에 자체 안테나가 있는 경우 상자 이곳 저곳에 4G 라벨을 붙이게 된다. 하지만 기기가 위성 통신을 사용한다면 어떨까? OK, 위성 기반? 아무 것도 보이지 않는다"고 설명했다.

프린터와 스캐너에 자체 IP 주소가 붙기 시작했을 때 보안을 변경할 수 없었던 방식과 마찬가지로 IoT에 대응하려면 구매와 관리 프로세스를 변경해야 한다. 프로세스를 바꾸는 것은 CIO나 CISO가 직접 할 수 없는 일이며, 많은 임원들은 이러한 움직임을 주도권 싸움으로 생각할 수 있다. 이러한 변화는 CEO가 시작해야 한다. 아니면 최소한 궁극적으로 모든 구매의 승인을 통제하는 CFO가 해야 한다.

승인 과정을 바꾸고 비용이 많이 드는 교육을 추가하는 일은 절대로 쉽지 않은 부분이다. 하지만 직원들이 사용하는 전구와 도어록 때문에 보안 사고를 겪고 싶지 않다면 반드시 해야만 한다. ciokr@idg.co.kr

* Evan Schuman은 IT 분야 전문 기고가로 리테일 테크놀로지 사이트 스토어프론티백토크의 설립 편집자다.



2016.10.14

글로벌 칼럼 | IoT 보안, 기업의 구매 프로세스도 바꾼다

Evan Schuman | Computerworld
사물인터넷(IoT) 기기들로 인한 위협이 실제 일어나고 있고, 문제를 해결하기 위해서는 기업 내 조직적인 변화가 필요하다.


Credit: GettyImage


IoT 기기를 경로한 대규모 DDoS 공격이 발생한 것으로 파악됐다. 따라서 IoT로 인해 엄청난 보안 위협이 발생한다는 사실을 의심할 수 없게 되었다. 하지만 아직 많은 기업은 사내의 IoT 관련 기기를 구매하고 관리하는 프로세스에 IT 부서와 IT 임원진을 참여시켜야 한다는 점을 인지하지 못하고 있다.

IoT 보안 위협은 전혀 다른 새로운 종류의 것으로, 기존의 방식으로는 효과적으로 대처할 수 없다. 기업 관점에서 IoT 위협에는 다음의 3가지 측면이 존재한다.

- 전 세계 IoT 군대로부터 공격
- 기업 소유 IoT 기기가 타인에 대한 공격에 가담할 수 있도록 허용
- IoT 기기가 자사를 공격할 수 있도록 허용


기업의 조직적 변화는 첫 번째 시나리오를 방어하는 데 도움이 되지 않겠지만, 공격 시나리오 2번과 3번을 차단하는 데에서는 엄청난 차이를 보일 수 있다.

구조적인 IoT 문제는, 많은 기기를 구매하고 승인하는 과정에서 IT나 보안 팀이 배제된다는 점이다. 가령 시설 관리부에서 구매한 도어록(Door Lock)과 전구 그리고 운영 또는 마케팅부에서 구매한 비콘(Beacon)을 생각해 보자.

사이버 도둑이 진짜 공격에 앞서 시험 삼아 네트워크에 침투해 도어룩을 공격했는데 의도치 않게 IoT 도어록이 풀렸다는 사례가 여러 번 보고되었다. IoT 전구도 깜빡임으로 창문을 바라보고 있는 사람에게 메시지를 전달할 수 있다.

회사 물품을 구입할 때, 과거에는 IT의 승인이 필요하지 않았다. 하지만 IoT 터치 기능이 있는 물품이라면 얘기가 달라진다. 필자는 다음의 2가지 임무를 제안한다.

- 임무 1: 제조업체들은 모든 부서의 모든 직원에게 IoT 기기가 무엇으로 구성돼 있는 지를 교육한다.
- 임무 2: IT나 보안 팀에서 예외없이 모든 물품의 구매 과정에 관여한다.


IoT 기기의 문제점은 작은 안테나 등의 일부 내부 통신 기능이 내장되어 있어 기기로 집에 전화를 걸어 펌웨어 업데이트를 받을 수 있다는 점이다. 자동 업데이트 기능은 시설 관리자에게 좋아 보일 수 있지만 모든 네트워크 보안 모니터링 통제를 우회할 수 있는 양방향 통신을 가능하게 한다는 점에서 보안 취약점이 있다.

그렇다. 어떤 모니터가 기업 내 아무 곳에서 감지되는 모든 독립적인 무선 신호를 추적할 수 있다. 하지만 이는 스마트폰, 태블릿, 웨어러블, 무선 노트북이 넘쳐나는 상황에서는 그다지 실용적인 대비책이 아닐 수 있다.

관리와 관련해 또 다른 문제가 있다. 일반 기기에서 IoT 기기로 옮겨가면서 비용도 크게 상승한다는 점이다. 그리고 분명 추가적인 관리(일명 ‘마이크로 관리(Micromanaging)’)가 필요하지만 보안이 아닌 비용 측면의 관리다. 기업의 사업부 관리자, 회계 담당자 또는 기타 현업 관리자는 보통 보안을 고려하지 않는 경향이 있는데, 우선 이러한 관행부터 바꿔야 한다.

사고 대응 전문 보안 업체 플릭서(Plixer)의 IT 서비스 이사 토마스 포어는 "과거에는 55센트짜리 전구를 구입했지만 IoT 전구로 교체하면서 40달러짜리를 구매하고 있다"고 이야기했다. 이어서 "하지만 이 과정에서 보안은 고려 대상이 아니다"고 말했다.

포어는 IoT 기기의 보안 취약점에 대해 임원들을 교육하려는 변화가 보인다고 밝혔다. 하지만 아직은 미흡한 상태다. 포어는 "기기에 자체 안테나가 있는 경우 상자 이곳 저곳에 4G 라벨을 붙이게 된다. 하지만 기기가 위성 통신을 사용한다면 어떨까? OK, 위성 기반? 아무 것도 보이지 않는다"고 설명했다.

프린터와 스캐너에 자체 IP 주소가 붙기 시작했을 때 보안을 변경할 수 없었던 방식과 마찬가지로 IoT에 대응하려면 구매와 관리 프로세스를 변경해야 한다. 프로세스를 바꾸는 것은 CIO나 CISO가 직접 할 수 없는 일이며, 많은 임원들은 이러한 움직임을 주도권 싸움으로 생각할 수 있다. 이러한 변화는 CEO가 시작해야 한다. 아니면 최소한 궁극적으로 모든 구매의 승인을 통제하는 CFO가 해야 한다.

승인 과정을 바꾸고 비용이 많이 드는 교육을 추가하는 일은 절대로 쉽지 않은 부분이다. 하지만 직원들이 사용하는 전구와 도어록 때문에 보안 사고를 겪고 싶지 않다면 반드시 해야만 한다. ciokr@idg.co.kr

* Evan Schuman은 IT 분야 전문 기고가로 리테일 테크놀로지 사이트 스토어프론티백토크의 설립 편집자다.



X