커넥티드 디바이스를 활용하는 기업을 위한 IoT 보안 전략

FHS(Freeman Health System)는 미국 미주리, 오클라호마, 캔자스에 위치한 시설 30곳에 걸쳐 약 8,000개의 커넥티드 의료 기기를 보유한 병원이다. 이 중 다수는 언제든지 치명적인 보안 위험이 될 가능성이 있다. FHS의 CIO 겸 CISO인 스킵 롤린스는 “모두가 두려워하는 최후의 심판과도 같은 시나리오”라고 표현했다.
 

물론 롤린스는 커넥티드 의료 기기의 취약점을 스캔하고 보안 소프트웨어를 설치해 해킹을 방지하기를 원하지만, 쉬운 일이 아니다. “의료 기기 업체들은 매우 비협조적이다. 모두 자체 운영체제와 도구를 사용하고 병원은 이런 기기를 스캔할 수 없다. 보안 소프트웨어도 설치할 수 없으며, 이 기기가 무슨 일을 하는지 확인할 수 없다. 의도적으로 이런 방식으로 운영한다”라고 말했다.

의료 기기 업체들이 자사 시스템은 해킹할 수 없다고 주장하면 병원 측은 그런 점을 계약서에 넣자고 이야기하지만, 업체들은 그렇게 하지 않는다. 

아마도 장치에 취약성이 가득할 수 있기 때문일 것이다. 의료 사이버 보안 업체 시네리오(Cynerio)의 올 초 보고서에 따르면, 의료 기기 중 53%는 최소 1개의 치명적인 취약성을 보유하고 있다. 공격자가 온라인으로 손쉽게 찾을 수 있는 기본 비밀번호와 설정을 적용하거나 오래된 윈도우 버전으로 구동하는 경우가 많다.

사이버 공격자들은 장님이 아니다. 포네몬(Ponemon)의 2021년 조사에 따르면, IoT 또는 의료 기기에 대한 공격이 전체 의료 해킹의 21%를 차지했다. 피싱 공격과 같은 비율이다.

FHS는 의료 기기 제공업체들이 보안을 더욱 진지하게 여기도록 노력하고 있지만, 지금까지 성공하지 못했다. 롤린스는 “FHS와 계약한 업체들은 보안 문제 해결을 위해 협력하지 않을 것이다. 바로 이것이 그들의 비즈니스 모델이기 때문”이라고 지적했다.

그 결과 병원의 의료 기기는 대중이 다가가기 쉬운 장소에 있다. 일부 의료 기기는 누구나 접근할 수 있는 USB 포트를 보유하고 있으며, 네트워크에 연결되어 있다. 하지만 보안 문제를 직접 해결할 방법은 없다.

병원들은 예산이 빠듯하므로 구형 기기를 버리고 새것으로 교체할 것이라고 압박할 수 없다. 더 새롭고 안전한 기기가 존재하더라도 그렇다. 그래서 FHS는 네트워크 기반의 완화 전략과 기타 우회책을 사용하여 위험을 낮추는 방법을 찾았다.

롤린스는 “트래픽을 모니터링한다”라고 말했다. 오더(Ordr)의 트래픽 모니터링 도구를 사용해 의심스러운 위치와의 통신을 방화벽으로 차단하고 다른 병원 시스템으로의 횡적 이동을 네트워크 분할로 제한한다. 하지만 이렇게 한다고 해서 기기의 해킹이 불가능한 것은 아니다. 게다가 다른 국가와의 통신을 차단하면 중요한 업데이트가 설치되지 않을 수도 있다. 롤린스는 “부품이 중국, 한국, 러시아 등에서 제조되기 때문에 일반적으로 이런 지역과 통신해야 한다”라고 덧붙였다.

그동안 의료 기기를 해킹해 인간을 물리적으로 해치려는 시도를 목격한 적은 없었다. 롤린스는 “적어도 현재까지는 대부분 해커들이 사람을 해치는 것이 아니라 돈을 노리고 있다”라고 말했다. 하지만 의료 기기를 표적으로 삼는 솔라윈즈(SolarWinds) 사이버 공격과 유사한 국가적인 공격은 엄청난 피해를 입힐 수 있다.

롤린스는 “대부분 의료 기기는 허브&스포크 타입의 네트워크 안에서 중앙 장치에 연결되어 있다. 이런 네트워크를 해킹하는 경우 병원이 환자 진료에 사용하는 도구를 해킹할 것이다. 그것이 실질적인 위협이다”라고 말했다.

IoT 가시성 확보

IoT 보안의 첫 번째 과제는 기업 환경에 어떤 기기가 있는지 확인하는 것이다. 하지만 기기는 개별 사업부 또는 직원이 설치하는 경우가 많다. 특히 운영, 개발 및 유지보수, 기타 부서의 영역에 속한다. IoT 기기의 보안을 전담하는 부서를 보유한 기업은 드물다. 하지만 E&Y(Earnst & Young)의 미주 OT 및 IT 프로젝트 책임자 더그 클리프톤은 누군가를 임명하는 것이 문제를 통제하는 첫 단계라고 말했다. 그다음 단계는 기기를 찾는 것이다. 

포레스터 애널리스트 패디 해링턴에 따르면, 네트워크 스캔 도구를 제공하는 솔루션 업체들이 많이 있다. 체크포인트, 팔로 알토 등의 기기는 수동 스캔을 연속적으로 실행할 수 있으며, 새로운 기기가 감지되면 보안 정책을 자동으로 적용한다. 해링턴은 “모든 것이 해결되지는 않겠지만 올바른 방향으로 나아가는 것”이라고 말했다.

하지만 일부 기기는 알려진 카테고리로 깔끔하게 분류되지 않아 관리가 어렵다. 해링턴은 “80-20 규칙이 있다. 기기 중 80%는 기술을 통해 수거할 수 있으며, 나머지 20%는 직접 조사해야 한다”라고 덧붙였다.

IoT 스캔 도구가 없는 기업들은 이미 협력하고 있는 보안 제공업체들과의 대화를 먼저 시도해야 한다. 해링턴은 “스캔 도구를 제공하는지 우선 확인하라. 동급 최고는 아닐 수 있지만 격차를 좁히는 데 도움이 되며, 새로운 인프라를 마련할 필요가 없다”라고 조언했다.

팔로 알토의 IoT 보안 부문 CTO 메이 웡은 스프레드시트를 IoT 기기 추적에 사용하는 기업이 많다고 지적했다. 이 경우 각 비즈니스 영역마다 여러 개의 목록이 혼재한다. 웡은 “팔로 알토는 IT 부서, 시설 부서, 생물 의학 기기 부서의 스프레드시트를 받는데, 모두 다른 스프레드시트이고 목록에 다른 기기가 있다”라고 말했다.

팔로 알토가 고객사 IT 환경을 스캔할 때 이런 목록은 일반적으로 미흡한 경우가 많으며, 때로는 몇 배 이상의 규모일 때도 있다. 웡은 “IoT 기기가 보안 위협으로 인식되기 전에 설치된 구형 기기도 많다. 전통적인 네트워크 보안은 이런 기기를 인지할 수 없고 이런 기기를 보호하는 전통적인 접근방식은 효과가 없다”라고 말했다.

하지만 기기가 모두 확인되기 전까지는 엔드포인트 보안 또는 취약성 관리 정책을 적용할 수 없다. 이에 팔로 알토는 현재 차세대 방화벽에 통합된 머신 러닝 기반 IoT 기기 감지 기능을 포함시키고 있다.

웡에 따르면, 팔로 알토는 보유하고 있는 기기의 종류, 하드웨어/소프트웨어/운영체제 종류, 사용하고 있는 프로토콜에 관해 알려주지만 모든 기기를 감지해 모든 정보를 확보하지는 못한다. 세부 정보까지는 아니더라도 대부분 기기에서 대부분의 정보를 가져와 가시성을 제공한다. 기술 배포 방식에 따라 팔로 알토는 내부 및 횡방향 통신을 기반으로 기기를 선택하고 새롭게 발견된 기기에 대한 보안 정책을 제안하거나 자동으로 구현한다.

또한 IoT 기기가 셀룰러 통신을 사용하면 더 큰 문제가 발생한다. 웡은 “많은 IoT 기기가 5G를 사용하는데, 더욱 큰 문제가 될 수 있다. 팔로 알토의 한 사업부가 5G 보안을 개발하는 이유”라고 덧붙였다.

IoT 내부 들여다보기

IoT 기기를 발견 및 조사하면 다른 네트워크 기기와 같은 엄격함으로 관리 및 보호해야 한다. 이를 위해 구성 관리, 취약성 스캔, 트래픽 모니터링 같은 기능이 필요하다. 심지어 외부 네트워크에 연결되지 않은 기기도 기업 내부에서 횡적으로 이동하는 공격자에게 중간 스테이징 포인트(Staging Point) 또는 숨는 장소가 될 수 있다. H.I.G. 캐피탈(H.I.G. Capital)의 CISO 마르코스 마레로는 1년 전에 이런 딜레마에 직면했다. 

글로벌 투자 기업인 H.I.G.는 500억 달러의 자기 자본을 관리하며 4개 대륙에 26개 지사를 두고 있다. 해당 기업의 네트워크에는 카메라, 물리적 보안 장치, 컴퓨터실 내부의 온도/습도/전력을 모니터링하는 센서 등 수백 가지의 기기가 있다. 마레로는 IoT 기기 보안은 “엄청난 문제이며, 지속해서 진화하면서 커지고 있다”라고 말했다. 

금융 기업으로써 H.I.G.는 보안을 매우 중시한다. H.I.G. 보안팀은 네트워크에 설치되는 모든 기기를 감독한다. 하지만 기기를 찾는 능력은 여정의 시작에 불과하다. 마레로는 “운 좋게 H.I.G. 환경에서 악의적인 IoT를 발견한 적이 없었다. 하지만 취약성과 구성에 대한 가시성 확보의 문제가 있었다”라고 설명했다. 

약 1년 전, 공간 경보 기기 중 1개에서 취약성 스캔을 실행한 마레로는 인증이 필요 없는 개방된 포트를 발견했다. 제조사에 문의한 후에 기기를 보호하는 방법에 관한 지침을 받을 수 있었다. 마레로는 “먼저 요청해야 받을 수 있었다. 정보가 곧바로 제공되지 않았다”라고 지적했다.

또한 H.I.G.가 실행한 취약성 스캔은 외부 기기만 살펴보았으며, 개방된 포트와 운영체제의 유형만 찾았을 뿐이었다. 마레로는 “이런 기기에서 사용되는 오픈소스 소프트웨어에는 취약성이 많다”라고 말했다. 이를 해결하기 위해 H.I.G.는 넷라이즈(Netrise)의 펌웨어 스캔 도구를 도입했다.

마레로는 “개념 증명을 실시해 펌웨어 이미지 중 하나를 업로드했다. 모든 취약성 데이터와 기타 정보가 나왔다”라고 설명했다. 이미지 업로드는 수동 프로세스였으며, 이미지당 수 분이 소요됐다. 같은 유형의 중복된 기가가 많았으므로 H.I.G.가 업로드해야 하는 이미지는 총 20개 미만이었다. 스캔 결과, H.I.G.의 취약성 목록은 28%나 증가했다. 

마레로는 “존재조차 몰랐던 취약성이었다. 싸움의 절반은 취약성이 존재하는지 파악하는 것에서 시작됐다”라고 덧붙였다. 취약성이 발견된 후, H.I.G.는 기기 제공업체들에 문의해 완화 조치를 취했다. “너무 위험할 경우 기기를 없애거나 추가적인 관리책을 마련해야 했다”라고 말했다.

일부 기기는 네트워크에서 세그먼트화되어 다른 시스템과 사용자가 해당 기기에 액세스할 수 있는 것을 제한하기 위한 접근 제어 목록을 보유하고 있었다. 마레로는 “보안 카메라가 해당 장치를 지원하는 기술 자산과만 통신하는 경우에는 악용 위험이 적다”라고 말했다. 

이제 H.I.G.는 제조업체가 새로운 취약성을 발견해 펌웨어 업데이트를 배포하면 설치 전에 넷라이즈 도구를 거친다. 

H.I.G.가 마련한 다른 IoT 관리 정책은 초기 구매 결정 시 보안 검사를 진행하는 것이다. “새로운 자산을 조달하기 전에 중앙의 로깅 환경으로 전송할 수 있는 일정 수준의 로깅이 있는지 확인한다”라고 말하면서, H.I.G.의 SIEM(Security Information and Event Management) 시스템에 관해 언급했다. “H.I.G.의 SIEM은 전송하는 모든 로그를 수신하고 연계시켜 가짜 경보를 줄인다.”

모니터링 및 감독

모든 기기가 확인되고 위험에 따라 분류되며, 가능한 범위까지 패치 및 업데이트되면 다음 단계는 기업에 가장 큰 피해를 입힐 가능성이 있는 취약성을 중심으로 모니터링 프레임워크를 구축하는 것이다.

경우에 따라 IoT 기기에 엔드포인트 보호 소프트웨어를 설치해 악의적인 공격에서 보호하고 구성 설정을 모니터링하며 완전히 패치되었는지 확인하고 이례적인 활동을 모니터링할 수 있다. 기기가 기업 네트워크에 연결할 때도 마찬가지다. 의료 장비 등의 일부 구형 기기 또는 독점 기기는 불가능할 수 있다. 

IoT 보안 도구를 활용할 기회를 잡는 것은 이를 사용하는 기업들이다. 팔로 알토에 따르면, IoT 트래픽의 98%가 암호화되지 않고 있다. 또한 IoT 기기는 일반적으로 같은 일을 반복한다. 팔로 알토의 웡은 “가령 온도 조절 기기는 온도만 전송하면 된다. 다른 서버와 통신해서는 안 된다. 이 경우 AI 모델이 기준을 구성하기가 더 쉽다”라고 말했다.

IoT와 제로 트러스트 미래

기업들은 제로 트러스트 아키텍처로 이동하는 상황에서 커넥티드 디바이스를 간과하면 안 된다. 제로 트러스트 원칙과 설계를 통한 보안을 활용하여 기기와 관련된 애플리케이션을 강화해야 한다. 보안 제공업체 디지서트(DigiCert)의 IoT 솔루션 부사장 스리니바스 쿠마르는 “제로 트러스트는 기기 식별과 인증뿐 아니라 신뢰할 수 있는 기기 업데이트와 공급망 부당 변경 방지 등의 보호 제어 시작된다. 통신도 안전해야 한다”라고 말했다. 

인증 및 암호화 표준을 만들어 IoT 기기 보호를 위해 노력하는 대표적인 산업 조직은 WI-SUN이다. WI-SUN은 10년 전에 설립돼 유틸리티, 스마트 시티, 농업에 사용되는 기기에 중점을 둔다.

WI-SUN 표준에 내장된 보안 조치로는 네트워크에 연결할 때 기기를 인증하기 위한 인증서, 모든 메시지를 보호하기 위한 암호화, 중간자 공격을 방지하기 위한 메시지 무결성 확인 등이다. 지정학적 긴장감이 증가하면서 필수 인프라 운영에 중요한 기기와 이런 요소를 보호하는 것이 점차 중요해지고 있다. 

WI-SUN의 CEO 필 비처는 “교량 또는 철로에 구조적 무결성을 확인하는 센서가 있고 누군가 접근하여 모든 센서를 교란시키는 경우 도시를 폐쇄해야 하며, 엄청난 대혼란이 유발될 것”이라고 말했다.

하지만 이것은 시작에 불과하다. UL 솔루션(UL Solutions)의 플랫폼 솔루션 책임자 데이비드 노시보르는 “공급망 혼란부터 식량, 물, 전력 손실의 영향력은 직접적인 영향을 받는 조직 밖으로 범위가 크게 확대될 수 있다”라고 지적했다. 

공격자들은 점차 정교해지고 있으며, 기업의 사이버보안 전문 지식은 부족하다. 입법자들이 이를 알아차리면서 규제의 파도도 몰려오고 있다. 노시보르는 “이런 문제는 상호 연관되어 있지만, 안타깝게도 많은 조직들이 복잡성을 따라잡느라 분투하고 있다”라고 말했다.
editor@itworld.co.kr