스마트 기기와 사물인터넷을 도입해 많은 혜택을 얻고자 하는 기업들이 많다. 그러나 이런 바램은 보안 위험 측면에서 판단을 흐리게 만들 수 있다. 사이버보안 회사인 트립와이어(Tripwire)가 IT임원과 전문가들을 대상으로 설문 조사한 결과에 따르면, 생산성과 효율성을 높이기 위해 IoT를 도입할 생각을 갖고 있다고 대답한 C-레벨 임원들이 63%에 달하지만, 보안 위험을 크게 걱정하는 비율은 27%에 그쳤다.
한편, 자신의 회사가 IoT 제품을 환경에 안전하게 배치할 수 있는지 판단할 준비가 되어 있다고 대답한 비율은 30%였다. 중견 기업과 대기업 종사자 59%는 사물인터넷이 네트워크에 가장 큰 보안 위험을 초래할 수도 있다고 믿고 있었다.
IT전문가와 보안전문가는 사물인터넷에 대비하려면 무엇이 위험하고 어떻게 이 위험을 경감시킬 지 파악해야 한다. 이들 전문가들이 출발점으로 삼을 5가지 방법을 소개한다.
첫째, IoT 보안을 과소평가하지 않는다.
이미 IoT를 표적으로 삼은 사이버공격이 발생했다. 지난 1월, 보안 업체인 프루프포인트(Proofpoint)는 스마트 가전을 대상으로 한 사이버 공격을 확인했다고 밝혔다. 10만 대의 기기를 감염시켜 악성 소프트웨어 링크가 포함된 75만 통의 이메일을 배포한 봇넷 이었다. 그런데 이 가운데 25% 이상이 컴퓨터와 스마트폰이 아닌 스마트 TV와 냉장고 등이었다.
2013년 말 타켓(Target)의 보안 침해 사고는 기업의 IoT 보안 사고를 보여주는 한 예가 될 수 있다. 이후 조사를 통해 공격자들이 타겟의 냉난방기 도급업체로부터 네트워크 크리덴셜을 훔쳐 공격했다는 사실이 밝혀졌다. 보안 전문가인 브라이언 크레브스는 관계자를 인용해 소매점들이 고객 경험을 개선하고, 에너지를 더 효율적으로 관리하기 위해 스마트 온도 조절기를 더 많이 도입한 것이 원인이라고 지적했다.
이 관계자는 "이런 형태의 솔루션을 지원하기 위해 IT업체들은 원격에서 시스템에 접속해 업데이트, 패치 등을 관리하거나, 소프트웨어로 사소한 고장과 연결성 문제를 해결해야 한다. 이는 비용 절감 문제기도 하며, 이에 많은 솔루션이 도입돼 있다. 또 인력을 줄이기 위해, IT업체가 추가 인력을 채용해 교육하도록 허락하는 경우도 있다"고 말했다.
문제의 하도급업체는 조사 과정 동안에는 원격 모니터링을 했다고 인정했다가, 나중에 이를 부인했다. 그러나 크레브스의 의혹 제기는 기업 네트워크가 IoT에 개방됐을 때의 본질적인 위험을 보여줬다. 기업 네트워크에 연결된 기기를 관리하는 서드파티 업체는 사이버 범죄자들이 중요 데이터에 접근하기 위해 악용하는 약한 연결고리가 될 수 있다. 유사한 스마트 기술을 도입하고자 하는 기업들이 많다는 점을 감안하면, IT가 각별히 유념해야 하는 시나리오다.
둘째, 스마트 기기의 구매 및 도입 시, IT와 운영 부문이 커뮤니케이션 해야한다.
과거에는 사무실에 쓸 기기를 구입하면서 사이버보안을 걱정할 필요가 없었다. 그러나 지금은 기존의 '보통' 기기 상당수가 인터넷에 연결되기 시작한 상태다. 따라서 IT는 자신들이 처리해야 할 신기술을 상시 파악하고 있어야 한다.
가트너의 조사 담당 부사장 휴 르홍은 지난 해 네트워크 월드(Network World)와의 인터뷰에서 첨단 의료기기에서 휴게실의 자판기까지 과거에는 IT가 걱정할 필요가 없었던 기기들이 '스마트'해졌으며 IT가 관리해야 하는 대상이 됐다고 밝혔다. IT는 IoT라는 새로운 현실에 직면해있다. 새 자판기를 구입할 때도 관여해야 하는 현실이다.
르홍은 "CIO가 이런 부분을 파악해야 한다. 자판기 운영을 책임지지는 않더라도, 이를 걱정해야 한다"고 말했다. 또 "세상이 융합됐다. 이제 더 이상은 OT와 IT를 분류할 수 없다. 이런 부분에서도 거버넌스, 보안, 소프트웨어 라이선싱, 유지관리 문제를 이야기해야 한다"고 강조했다.
셋째, 스마트 기기의 소프트웨어 업데이트를 계속 추적한다.
IBM의 글로벌 리드 네트워크 설계자인 커크 스타인클로버는 지난 달 IBM의 보안 정보(Security Intelligence) 블로그에서 "우리는 이미 수많은 컴퓨터, 스마트폰, 태블릿의 업데이트에 애를 먹고 있다. 그런데 이제는 수백만 기기들을 업데이트 하고, 보안 취약점을 없애야 한다. 이는 악몽이 되지 않을까?"라고 적었다.
이는 장비와 기기는 물론, 회사가 수많은 기기에 탑재시킨 기기 제어용 애플리케이션에도 적용된다.
그리고 IoT와 스마트 기기를 도입할 때, IT와 운영 부분이 협력하는 것이 중요하다는 점을 다시 한 번 강조한다. IT는 새 스마트 기기에 사용되는 소프트웨어를 대상으로 엄격한 프로세스와 프로토콜을 수립해야 한다. 우리는 개인 스마트폰으로 기업 데이터를 이용하는 BYOD를 통해 여러 다양한 장치와 소프트웨어의 취약점을 관리하기가 더 어렵다는 사실을 깨달은 바 있다.
넷째, 최종 사용자에게 보안 위험을 교육한다.
일부 기업들은 의도와는 달리 사물인터넷에 노출이 될 수 있다. 트립와이어의 설문 조사 결과에 따르면, 재택 근무자와 IT종사자의 약 75%가 홈인터넷 네트워크에서 기업 문서를 이용한다고 대답했는데 이는 문제다. 또 25~50%는 이 홈인터넷 네트워크에 한 대 이상의 스마트홈 기기가 연결돼 있다고 대답했다.
여기에서 발생할 수도 있는 문제를 상상하기란 어렵지 않다. 트립와이어 보고서는 취약성으로 악명 높은 USB 포트를 예로 제시했다. 많은 개인 전자제품의 충전에 USB 포트가 이용되고 있다. 이는 직원 가정의 네트워크에서 기업 네트워크로 이어지는 악성코드 변종의 진입점이 될 수 있다.
내부의 악성코드 보호 대책을 강화하는 것을 제외하면, 기업이 이런 위험을 경감하기 위해 할 수 있는 일은 많지 않다. 이런 소수 대책 중 하나가 직원들에게 원격 업무 수행에 수반되는 위협을 경고하는 것이다. 또 개인 기기 및 데이터와 기업 데이터를 분류하는 많은 툴을 중시해 사용할 필요가 있다.
다섯째, IT담당자들에게 IoT의 의미를 교육한다.
IoT는 아직 초기 단계다. 중요 기술 회사 수십 곳이 가장 우수한 표준을 파악하느라 애쓰는 중이다. 또 모바일 부문의 iOS 및 안드로이드와 달리 중요한 플랫폼이 자리를 잡은 상태도 아니다. IT전문가들은 이렇게 복잡한 생태계에 대처할 방법을 파악해야 한다. 이와 관련해 시스코는 지난 10월 IoT로 초래되는 새로운 보안 도전과제를 극복할 역량을 개발하는데 도움을 주는, 교육 기관과 리쿠르터가 포함된 새로운 컨소시엄을 발표했다.
시스코가 새로운 교육 이니셔티브를 발표한지 두 달밖에 되지 않았다. IT에서 IoT는 아직 미개척 상태인 기능이라는 의미다. 따라서 IoT가 초래할 보안 문제를 다룰 준비가 되지 않는 기업이라면 이를 쉽게 다를 수 있을 때까지 기다라는 것이 최상의 방법이 될 수 있다. ciokr@idg.co.kr