대다수 보안 부서들이 꼽은 걱정스러운 위험 목록에는 스팸메일을 무차별 발송하는 냉장고(spamming refrigerator) 같은 대상은 들어있지 않을 것이다. 그러나 올해 초, 인터넷에 연결된 냉장고에 봇넷(botnet)이 수만 명의 인터넷 사용자에게 스팸메일을 발송했다는 소식이 전해졌다. 그리고 최소한 몇 명은 이 소식에 관심을 가졌을 게 분명하다.
이 사건은 소비자 가전 제품이 적절한 보안 보호 대책 없이 인터넷에 연결돼 있다면 기업 위험을 초래할 가능성도 있다.
애널리스트들은 앞으로 몇 년 이내에 수백 억 대의 기기들이 앞서 언급한 냉장고와 유사한 방식으로 인터넷에 연결될 것으로 내다보고 있다. 이른바 사물인터넷(IoT) 현상은 시각에 따라 전도 유망하거나, 위협적이며, 인터넷과 네트워크로 연결된 세상에 관한 생각을 바꿔 놓을 수도 있다. 또 상당 부분 소비자 지향형 제품과 관련이 있을 것으로 추정됐다. 그러나 모든 기술이 그렇듯, 소비자 기술 역시 결국에는 기업에 영향을 미칠 것이다.
다음은 사물인터넷이 기업 보안에 영향을 미치는 6가지 이유다(중요도 순은 아니다).
1. IoT는 수십 억의 새롭고 안전하지 않은 엔드포인트를 생성할 것이다
2020년까지 인터넷에 연결될 '사물'이나 기기의 수에 관해서는 전문가마다 의견이 엇갈리고 있다. 가트너는 260억 대의 기기가 연결될 것으로 전망하고 있다. 반면 IDC는 2,120억 대의 인터넷 연결 기기가 설치될 것으로 예상했다.
어느 쪽이 맞든 한 가지는 분명하다. 많은 IP 구현 기기들이 엔터프라이즈에 진출할 것이라는 점이다. 스마트 난방 및 조명 시스템, 지능형 미터기(계량기), 기기 모니터링 및 유지보수 센서, 산업용 로봇, 자산 추적 시스템, 스마트 소매 진열대, 공장 제어 시스템, 스마트워치와 디지털 안경, 피트니스 모니터링 제품 등 개인용 기기 등을 예로 들 수 있다.
상당수 제품은 소비자 시장을 겨냥한 단일 목적의 기기가 될 것으로 추정됐다. 다른 기기들도 저렴한 센서를 이용해 인터넷에 연결될 것으로 분석되고 있다. 문제는 대다수가 잘 알려진 온라인 공격으로부터도 보호를 받지 못하는 기기라는 점이다. 이들 기기에는 IT가 오랜 기간 익숙해진 운영 시스템, 펌웨어, 패치 지원이 없을 수도 있다.
클라우드 보안 업체인 하이트러스트(Hytrust)의 에릭 치우 대표는 IoT이 수십억 개의 안전하지 못한 새로운 엔드포인트를 생성할 것이라고 언급했다. IP 주소로 식별이 가능한 이들 기기들은 기기를 감염시키거나 엔터프라이즈 네트워크에 접속할 수 있도록 설계된 새로운 공격 지점을 만들게 된다.
현재 가용한 안티 스팸, 안티 바이러스, 안티 악성코드 인프라는 통상 이들 IoT 기기를 보호하지 못한다. 또 IT 부서가 이를 정기적으로 모니터링 하지도 못한다. 새로운 보안 문제가 발생했을 때 이에 대처하기 위한 패치도 제공되지 않는다.
기업들은 접속 대상을 제어할 수 있다. 그러나 IoT에서는 이런 방법이 무력화된다. 치우는 "기업들은 이미 범죄자가 침입했다고 가정한 상태에서 여기에 맞는 대응하게 될 것이다"고 말했다. '경계선 방어'를 포기해야 한다는 의미는 아니다. 공격자들이 이미 네트워크에 침입했다는 가정을 출발점으로 삼는 전략을 도입해야 한다는 의미다.
2. IoT 결국 엔터프라이즈 네트워크와 만날 것이다
미국 국토안보부의 사이버보안 책임자를 지낸 RSA의 아미트 요란 대표는 더 이상 진정한 자립형 산업용 제어 네트워크와 항공 통제 네트워크가 없듯이, IoT가 부상할 세계에서는 진정한 독자적인 엔터프라이즈 네트워크도 자취를 감출 것이라고 전망했다.
어떤 네트워크 기법과 에어 갭(air gap)을 도입하든 IoT이 엔터프라이즈 네트워크와 교차하는 지점이 존재할 것이라는 의미다. 이런 접점은 공격에 아주 취약하다.
IoT는 엔터프라이즈 네트워크를 포함해 모든 것에 연결이 될 전망이다. 그는 "현재 엔터프라이즈 네트워크와 클라우드가 있다. 현재 기업 사용자들은 엔터프라이즈 네트워크를 경유하지 않고 BYOD를 통해 클라우드 인프라에 직접 접속한다"고 말했다.
그러나 IoT는 내부나 클라우드에 저장된 엔터프라이즈 데이터에 접근하는 다양한 내부와 외부 기기를 통제하기 어렵도록 만들 것으로 분석됐다.
요란은 "IoT와 엔터프라이즈 네트워크가 교차하게 된다. 기업 네트워크나 인프라에 연결돼 있는 웹 구현 기기를 해킹하면 트래픽을 통과시킬 수 있는 '브릿지'를 생성할 수 있다. 물론 이런 위험을 경감할 수 있는 방법들이 있다"고 말했다. 그러나 결국에는 모든 것이 서로 연결된다. 요란은 "앞으로 어떤 일이 일어날지 예측하기 위해 컴퓨터 역사서를 뒤져 볼 필요가 없다. 사회 전체가 IoT라는 방향으로 움직이고 있다"고 말했다.
3. IoT는 이기종 임베디드 기기의 세계가 될 것이다
매릴랜드주 베세스다(Bethesda)에 위치한 SANS연구소(SANS Institute)의 연구책임자 존 페스카토는 운영 시스템에 내장됐거나 하드웨어에 묶여 있는 애플리케이션을 장착한 기기나 어플라이언스가 IoT의 대다수를 차지하게 될 것이라고 말했다.
이런 점을 감안하면, IoT 세계는 IT와 IT 보안 전문가들이 익숙한 계층화된 소프트웨어 모델과는 아주 다른 모델에 기반을 둘 전망이다.
무엇보다 기기들이 서로 이질적이다. IT는 누구나 동일한 기술을 사용하도록 설득하고 유도하기가 아주 어려워진다.
IoT 세계에서는 통신 프로토콜의 상당수 또한 이질적이다. IT 조직들은 TCP/IP, 802.11, HTML5 대신 지그비(Zigbee), 웹훅스(WebHooks), IoT6 같은 새로운 프로토콜을 처리하게 된다. 현재 2~3년이 일반적인 IT수명주기(lifecycles)도 2~3개월에서 기기에 따라서는 20년 이상으로 다양해질 전망이다.
SANS의 조사 결과에 따르면, IT관리자들은 가장 크게 걱정하는 IoT 분야로 스마트 빌딩, 산업용 제어 시스템, 의료기기, 소비자 기기를 꼽았다.
페스카토는 "이들 기기의 임베디드 컴퓨터 인프라는 IT가 관리와 보안에 익숙해있는 PC 및 서버 환경의 계층 기반 운영 시스템과 애플리케이션과는 달리 기존 IT 관리와 보안 관리에서 많은 허점을 드러내도록 만들 것"이라고 언급했다.