미국의 비영리 의료기술 회사 프리만 헬스시스템(Freeman Health System, FHS)은 국내 30개 시설에 걸쳐 약 8,000개의 커넥티드 의료 기기를 운용한다. FHS의 CSIO 스킵 롤린스는 "어떤 기기가 언제 치명적 보안 위협이 될 지 알 수 없다"라며 "만약 그런 일이 생긴다면 모두가 두려워하는 최악의 상황에 치닫는 셈”이라고 말했다.
롤린스는 이런 사태를 방지하기 위해 커넥티드 의료 기기의 취약성을 스캔하고 보안 소프트웨어를 설치해 해킹을 방지하길 원한다. 당연한 듯 보이지만 그에게는 불가능한 해법이다.
롤린스는 “의료기기 업체는 상당히 비협조적이다. 모두 자체 운영체제와 도구를 사용하고 있어 기기를 스캔할 수 없게 한다. 보안 소프트웨어를 설치할 수도 없어 기기가 어떻게 작동하고 있는지 알 길이 없다. 업체는 의도적으로 이런 방식으로 기기를 제공한다"라고 말했다.
업체에서 자사 시스템이 해킹이 불가능에 가깝다고 주장하며 모니터링에 관한 내용을 계약서에 넣길 완강히 거부한다는 것이다.
기기를 들여다보면 위협에 크게 노출됐을 가능성이 높다. 의료 사이버보안 업체 시네리오(Cynerio)가 올해 초 발간한 보고서에 따르면 최소 1개의 치명적 취약점이 있는 의료 기기가 53%에 달했다. 예를 들어 온라인상에서 쉽게 찾을 수 있는 기본 비밀번호로 설정되어 있거나, 더 이상 지원되지 않는 구형 윈도우 운영체제를 구동한다.
또한 해커는 언제나 기회를 노리고 있다. 작년 하반기 발표된 포네몬(Ponemon) 연구에 따르면 IoT 의료기기를 겨냥한 공격이 모든 의료분야 사이버공격의 21%를 차지했다. 피싱 공격과 같은 비율이다.
타 의료 제공자와 마찬가지로 FHS 또한 기기 제조사가 보안을 더 심각하게 여기도록 노력 중이나 아직 역부족이다. 롤린스는 “기기 벤더들이 문제 해결에 협력하려 하지 않을 것이다. 그들의 비즈니스 모델과 직결되기 때문”이라고 설명했다.
허술한 보안 관행은 기본적인 기기 관리 행태에서 여실히 드러난다. 기기가 누구나 접근할 수 있는 곳에 방치되어 있다. 노출된 USB 포트를 갖춘 기기가 있는가 하면 네트워크에 연결되어 있기도 하다. 보안 관련 조치가 없는 채로 그렇다.
더 안전한 기기가 있더라도 예산 부족 문제로 병원은 업체에 구식 기기를 대체하라고 압력을 가할 수 없는 상황이다. 그 대신 FHS는 네트워크 기반의 완화 전략 및 기타 우회 방법을 통해 보안 위협을 줄인다.
롤린스는 “오더(Ordr)의 모니터링 도구를 통해 들어오고 나가는 트래픽을 모니터링 한다”라고 설명했다. 오더는 방화벽으로 의심스러운 위치와의 통신을 차단할 수 있으며, 네트워크 분할로 병원의 다른 시스템으로의 내부확산(lateral movement)을 제한한다.
롤린스는 “그러나 그렇다고 해서 환자 진료 시 기기 해킹이 불가능한 것은 아니다”라고 언급했다. 게다가 의심스러운 지역과의 통신이 차단돼 필수 업데이트가 설치되지 않을 수 있다"라며 "일반적으로 의료 기기는 중국, 한국 혹은 심지어 러시아와도 통신한다. 부품이 이러한 국가에서 제조되기 때문이다”라고 설명했다.
이어 롤린스는 "의료 기기 해킹으로 사람들을 물리적으로 해치려는 시도는 아직 목격한 적 없다"라며 “적어도 요즘 해커 대부분은 인명 피해가 아닌 돈을 노리고 있다”라고 덧붙였다.
솔라윈즈(SolarWinds) 사이버공격과 같은 국가 차원 공격이 의료 기기를 표적으로 수행된다면 엄청난 피해를 가져올 가능성이 있다. 롤린스는 “대부분의 의료 기기는 허브 앤 스포크(hub-and-spoke) 방식의 네트워크 내 중앙 장치로 연결된다. 이러한 네트워크가 해킹되면 환자 진료 시 사용하는 도구 또한 침투당할 수 있다. 정말 위험천만한 상황이 아닐 수 없다"라고 말했다.
IoT 가시성과 씨름
IoT 보안의 첫 번째 과제는 기업 환경에 어떤 기기가 있는지 파악하는 단계부터 시작한다. 그러나 대부분의 기기는 개별 사업부 혹은 직원이 설치하며, 운영, 개발 및 유지 보수또한 타 부서가 관할하곤 한다.대다수 기업에는 IoT 기기 보안을 전담하는 단일 부서가 없다. E&Y(Ernst & Young)의 미주 지역 OT 및 IT 프로젝트를 이끌고 있는 더그 클리프톤은 책임 주체를 임명하는 것이 제일 먼저라고 강조했다.
두 번째 단계는 실제로 기기를 식별하는 것이다.
포레스터 애널리스트 패디 해링턴에 따르면, 이를 위해 여러 솔루션 업체가 네트워크 스캔 도구를 선보이고 있다. 체크포인트(Checkpoint), 팔로알토(Palo Alto)를 비롯한 여러 업체는 계속 수동 스캔을 실행하며, 새로운 기기가 감지될 때 보안 정책을 자동으로 적용한다. 해링턴은 “모든 문제를 한 번에 해결하지는 못한다. 그러나 적절한 조치임은 분명하다”라고 진단했다.
단 일부 기기는 완벽히 범주화되지 않아 관리가 어렵다. 클리프톤은 “여기에도 80대 20 법칙이 존재한다. 80%는 기술적으로 포착 및 관리될 수 있다. 나머지 20%는 별도의 탐색 작업을 필요로 한다”라고 말했다.
또한 IoT 스캐닝 도구를 아직 보유하지 않은 기업은 우선 이미 협력하고 있는 보안 업체와 상의해야 한다. 해링턴은 “스캔 도구를 제공하는지 파악해야 한다. 동종 최고는 아닐 수 있으나 문제 완화에 도움이 될 것이다. 대량의 새 인프라를 마련할 필요가 없다”라고 강조했다.
팔로알토 IoT 보안 부문 CTO 메이 웡은 "오늘날 기업들이 주로 스프레드시트를 사용해 IoT 기기를 추적한다"라며 "각 비즈니스 영역이 각자 자체 목록을 보유하고 있으며, 병원 방문 시 IT 부서, 시설 부서, 생물 의학 기기 부서의 스프레드시트를 받는다. 세 가지 스프레드시트 모두 각기 다르며 목록에 서로 다른 기기가 있다”라고 지적했다.
이런 방식은 고객사의 IT 환경을 스캔하는 용도로 쓰기엔 미흡하다. 웡은 "기기 대다수가 구형이며 IoT 기기가 보안 위협으로 인식되기 전에 설치되었다"라며 “이러한 기기는 기존 네트워크 보안 시스템이 감지하지 못하며, 기존 접근 방식으로 보호하더라도 효과가 없다”라고 말했다.
그러나 기기가 모두 확인될 때까지 기업은 엔드 포인트 보안 혹은 취약성 관리 정책을 적용할 수 없다. 현재 팔로알토는 최신 방화벽에 머신러닝 기반 IoT 기기 감지 기능을 제공한다.
웡은 “현재 어떤 종류의 기기를 보유하고 있는지와 더불어 어떤 종류의 하드웨어, 소프트웨어, 운영 체제 및 프로토콜을 사용하고 있는지 알려줄 수는 있다. 그러나 팔로알토 시스템이 모든 개별 기기를 감지해 모든 정보를 제공해주지는 못한다. 그래도 대다수의 기기에서 대부분의 정보를 얻을 수 있으며, 이를 기반으로 기기 발견을 위한 가시성을 확보한다”라고 설명했다.
팔로알토에 따르면 기술 배포 방식에 따라 내부 혹은 횡방향 통신을 기준으로 기기가 구분될 수도 있다. 새롭게 기가가 발견되면 보안 정책을 제안하거나 자동으로 구현되기도 한다.
한편 IoT 기기가 셀룰러 통신을 사용하면 문제가 좀더 심각해진다. 웡은 “많은 IoT 기기가 5G를 사용하며, 이는 향후 더 큰 문제가 될 수 있다"라며 "현재 팔로알토에는 5G 보안을 담당하는 부서가 별도로 있다. 5G 보안 문제는 향후 점점 더 대두될 것"이라고 말했다.
IoT 감독하기
IoT 기기를 안정적으로 발견 및 목록화했다면 타 네트워크 기기와 마찬가지로 엄격히 관리하고 보호할 차례다. 이를 위해 구성 관리, 취약성 스캐닝, 트래픽 모니터링 등이 필요하다.심지어 외부 네트워크에 연결되지 않은 기기도 기업 전반에 걸쳐 횡적으로 움직이는 해커가 악용할 수 있는 중간 스테이징 포인트(intermediate staging point)가 될 위험이 있다.
H.I.G 캐피탈(H.I.G. Capital)의 CSIO 마르코스 마레로는 1년 전 바로 이 딜레마에 직면했다.
H.I.G는 500억 달러 상당의 자본을 관리하며 4개 대륙에 26개 지사를 둔 글로벌 투자 기업이다. 이 기업은 카메라, 물리적보안 장치, 컴퓨터실 내 온도, 습도, 전력을 모니터링하는 센서와 같은 수백 개의 기기를 네트워크에 갖추고 있다. 마레로는 “IoT 기기 보안은 큰 문제다. 그리고 이 문제는 점점 더 심화되고 있다”라고 이야기했다.
H.I.G는 금융 기업으로서 보안을 상당히 중시하기에 보안 팀이 네트워크에 설치된 모든 기기를 감독한다. 마레로는 “다행히 아직 IoT 기기가 해킹당한 적은 없다”라고 언급했다.
그러나 기기를 식별하는 능력을 갖추는 것은 여정의 시작일 뿐이다. 마레로는 “취약성 및 구성에 대한 가시성을 확보하는 데 문제를 겪었다”라고 말했다.
1년 전 마레로는 한 공간 경보 기기에서 취약성 스캔을 실행한 후 인증이 필요 없는 개방된 포트를 발견했다. H.I.G는 제조사에 연락을 취한 후에야 기기 보호 방법에 대한 지침을 얻을 수 있었다. 마레로는 “먼저 정보를 요청해야 했다. 제조사가 먼저 알려주는 정보가 아니었다”라고 말했다.
또한 H.I.G가 실행한 취약성 스캔은 외부 기기만을 대상으로 했다. 개방된 포트 및 운영체제 유형을 제외하면 포착된 정보가 없었다. 마레로는 “이러한 기기에서 사용되는 오픈소스 소프트웨어에는 취약점이 매우 많다”라고 설명했다.
H.I.G는 문제 해결을 위해 넷라이즈(Netrise)의 펌웨어 스캐닝 도구를 도입했다.
이어 마레로는 “개념 증명을 실시해 펌웨어 이미지 중 하나를 업로드했다. 그 결과 각종 취약성 데이터 및 타 정보가 나왔다. 그간 접근 못했던 정보였다”라고 설명했다.
이미지 업로드 작업은 이미지 당 몇 분이 걸리는 수동적인 프로세스였지만 같은 유형의 중복된 기기가 많았기 때문에 H.I.G가 업로드한 이미지는 총 20개 미만에 그쳤다. 스캔 결과 H.I.G의 취약성 목록은 28%나 증가했다.
마레로는 “이러한 취약성의 존재조차 알지 못했다. 취약점을 감지하긴 했지만 애초에 이러한 취약성이 있다는 점을 인지하는 것부터가 전투의 절반인 걸 감안하면 큰 성과였다”라고 설명했다.
취약성이 발견된 후 H.I.G는 업체에 연락해 다른 완화 조치를 취했다. 마레로는 “너무 위험할 때는 기기를 없애거나 추가적인 제어 조처를 했다"라고 언급했다.
예를 들어 일부 기기는 네트워크 차원에서 접근성 목록에 제한됐다. 마레로는 “보안 카메라가 오직 관련 기기와 통신하면 악용 위험을 줄일 수 있다”라고 설명했다.
이제 H.I.G는 제조사가 새로운 취약성을 발견할 때를 대비해 펌웨어 업데이트를 배포하기 전 넷라이즈 도구 테스팅을 매번 거치도록 한다.
H.I.G가 갖추고 있는 다른 IoT 관리정책으로는 초기 구매 결정 시 진행되는 보안 스크리닝이 있다.
H.I.G의 보안 정보 및 이벤트 관리(SIEM) 시스템에 대해 마레로는 “새로운 기기를 조달하기 전 중앙의 로깅 환경으로 전송할 수 있는 일정 수준의 로깅이 있는지 확인한다”라며 “SIEM은 전송하는 모든 각기 다른 로그를 수신하고 연계해 가짜 경보를 감소시킨다"라며 "때로 H.I.G는 로깅 성숙도가 매우 낮은 기기를 발견하게 되는데, 이러한 기기는 구매하지 않는다”라고 덧붙였다.
모니터링 프레임워크 구축하기
모든 기기가 확인되고 위험도에 따라 분류된 뒤, 가능한 범위까지 패치 및 업데이트되면 다음 단계는 심각한 취약성을 중심으로 모니터링 프레임워크를 구축하는 것이다.IoT 기기에 자체 엔드포인트 보호 소프트웨어를 설치하는 기업도 있다. 악의적 공격을 방어하고, 패치 상태를 확인하고 비정상적인 활동을 모니터링하기 위함이다. 그러나 구형 기기나 특정 업체가 독점적으로 제공하는 기기를 쓴다면 이 또한 할 수 없다.
다만 기기가 기업 네트워크에 연결되면 의심스러운 활동을 파악하기 위해 통신을 모니터링할 수 있다. 이 과정에서 기업은 IoT 보안 기회를 얻게 된다. 2020년 팔로알토 IoT 위협 보고서에 따르면, IoT 트래픽의 98%는 암호화되지 않는다. 게다가 일반적으로 IoT 기기는 같은 작업을 반복한다.
웡은 “예를 들어 온도 조절 기기는 온도만 전송하면 된다. 타 서버와 통신해서는 안 된다. 이는 보안 상 강점이다. 이를 통해 AI 모델이 행동 기준을 설정하기 수월해지기 때문이다"라고 설명했다.
IoT의 제로 트러스트 미래
기업이 제로 트러스트 아키텍처로 이전하고 있는 이때, 커넥티드 기기의 보안을 간과하면 안 된다. 제로 트러스트 원칙 및 설계를 IoT에도 적용해야 할 때다.보안 제공업체 디지서트(DigiCert)의 IoT 솔루션 부사장 스리니바스 쿠마르는 “제로 트러스트를 구현하려면 기기 식별 및 인증을 비롯한 보호 제어 장치를 적용해야 한다. 예컨대 공급망 간섭 방지(tamper-resistance) 같은 기능이 있다”라며 "커넥티드 기기의 통신 또한 안전하게 보호되어야 한다"라고 강조했다.
인증 및 암호화 표준을 생성해 IoT 기기를 보호하고자 노력 중인 산업조직으로는 WI-SUN이 있다. 특히 유틸리티, 스마트 시티, 농업에 사용되는 기기의 보안을 강화하고자 10년 전 설립됐다. WI-SUN 표준에 내장된 보안 조치에는 네트워크 연결 시 기기 인증을 위한 인증서, 모든 메시지 보호를 위한 암호화, 중간자 공격 방지를 위한 메시지 무결성 확인 등이 있다.
지정학적 갈등이 깊어지면서 필수 인프라 운영에 중요한 기기를 보호하는 것이 점차 중요해지고 있다. WI-SUN의 CEO인 필 비처는 “교량 또는 철로에 구조적 무결성을 확인하는 센서가 있다. 누군가 이 센서를 교란한다면 도시를 폐쇄해야 하는 혼란이 벌어질 수 있다”라고 경고했다.
UL 솔루션(UL Solutions)의 플랫폼 솔루션 책임자 데이비드 노시보르는 “이것은 시작에 불과하다. 공급망 혼란부터 식량, 물, 전력 손실에 이르는 영향은 공격 대상을 넘어 폭넓게 확대될 수 있다”라고 언급했다.
반면 해커는 점차 정교해지고 있으며 기업 내 사이버보안 전문가는 부족한 실정이다. 게다가 정부가 IoT 보안의 심각성을 점점 인지하며 규제를 도입함에 따라 기업들이 받는 압박이 거세지고 있다.
노시보르는 “이러한 모든 문제는 상호 연결되어 있다. 그러나 안타깝게도 기업 상당수는 그저 보안 솔루션의 복잡성을 따라잡는 데 급급한 실정이다”라고 말했다.
ciokr@idg.co.kr