세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
미국 국회가 사물인터넷 보안을 본격적으로 논의하기 시작했다
  |  입력 : 2017-08-04 11:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
‘2017 사물인터넷 사이버 보안 개선 법안’ 미국 국회에 제출돼 논의 중
패치 가능한 사물인터넷 기기만 허가하고 취약점 공개 절차도 표준화


[보안뉴스 오다인 기자] 이틀 전(1일) 미국의 두 상원의원이 제출한 사물인터넷 보안 법안에 대해 보안 업체들이 찬사와 우려를 동시에 나타냈다. 보안 업체들은 사물인터넷 기기에 최소한의 보안 제어 장치를 구축해야 한다고 제안한 부분은 높이 평가하지만 실제로 시행되는 건 어려워 보인다고 밝혔다.

[이미지=iclickart]


미국의 상원의원 마크 워너(Mark Warner, 민주당, 버지니아)와 코리 가드너(Cory Gardner, 공화당, 콜로라도)는 지난 화요일 ‘2017 사물인터넷 사이버 보안 개선 법안(Internet of Things Cybersecurity Improvement Act of 2017)’을 제출했다. 미국 정부 기관에서 사용하는 사물인터넷 기기가 초점인데, 두 의원은 보안이 미흡한 사물인터넷 기기 때문에 정부 사이버 시스템이 위험할 수 있다는 우려에서 이 같은 법안을 제출했다고 말했다.

법안의 골자는 미국 연방 정부에 사물인터넷 기기를 판매하는 업체들이 자사 제품을 패치할 수 있어야 한다고 규정한 부분이다. 고정된 비밀번호나 하드코드된 비밀번호를 갖고 있지 아니할 것, 알려진 보안 취약점 중 어떤 것도 포함하지 아니할 것 등이 법안에 포함됐다.

또한 이 법안은 사물인터넷 업체가 통신, 암호화 등 중요한 기능을 수행할 때 사용하는 소프트웨어가 해당 소프트웨어 업체에 의해 완전히 지원돼야 한다고도 규정하고 있다. 어디서 어떻게 샜는지 파악하기 어려울 만큼 여러 업체가 개입되는 것을 방지한 조치로 볼 수 있다. 이 법안은 미국 대통령실 산하 예산관리국(Office of Management and Budget)이 보안 업데이트와 패치를 지원하기 위한 데이터 처리 기능 또는 소프트웨어 기능이 없는 사물인터넷 기기에 대해 대안적인 보안 조치를 강구할 것도 명시했다.

연방 정부의 하청업체들에 대해 표준화된 취약점 공개 정책을 만들어야 한다고도 이 법안은 지적했다. 버그 헌터가 책임을 유기하지 않는 선에서 사물인터넷 제품의 버그를 찾고 공개한다면 적절한 법적 보호를 받을 수 있도록 명시할 방안을 찾으라고도 이 법안은 서술했다.

인터넷과 사회를 연구하는 하버드 대학교의 버크만 클레인 센터(Berkman Klein Center for Internet & Society) 및 미국의 국제정세 분야 싱크탱크 애틀랜틱 위원회(Atlantic Council)가 이 법안의 초안을 잡는 데 참여했다. 인터넷으로 연결된 기기들의 보안이 매우 취약하다는 문제가 부각되는 상황에서 그 해결책으로 등장한 첫 사례가 됐다.

작년, 공격자들은 인터넷이 연결된 홈 라우터, CCTV, DVR의 하드코드된 비밀번호와 기타 취약점을 이용해 인터넷 서비스 제공업체 딘(Dyn)을 비롯해 넷플릭스, 에어비앤비, 트위터 등 주요 온라인 업체를 대상으로 대규모 디도스 공격을 펼쳤다. 미라이 공격은 공격자들이 취약한 사물인터넷 기기로 대규모 공격 봇넷을 구성하는 것이 얼마나 쉬운지 보여줬고, 디도스 공격이나 다른 악성 캠페인을 펼치는 데 이것들이 얼마나 쉽게 사용될 수 있는지도 보여줬다.

가트너 같은 분석 기업들이 수백 억대의 사물인터넷 기기가 향후 몇 년 안에 온라인으로 연결되리라고 예측하고 있는 상황에서 취약한 사물인터넷 기기로 인해 인터넷 보안이 위험해진다는 우려는 계속 증폭될 뿐이다.

이런 관점에서 볼 때 두 상원의원이 제출한 법안은 분명 좋은 것이라고 사물인터넷 보안 업체 루비콘 랩스(Rubicon Labs)의 최고 제품 책임자 로드 슐츠(Rod Schultz)는 말한다. “국회가 사물인터넷 보안을 논의한다는 사실 자체가 좋은 것입니다. 고정된 비밀번호처럼 매우 취약한 보안 문제들에 대해 목소리를 높이는 것 자체가 도움이 될 것입니다.”

취약점 탐지나 법안을 시행하는 것과 관련해 여전히 많은 것들이 추가로 고려돼야 한다. 사물인터넷 공급망에서 어떤 조직이 배상 책임이 있는지도 포함된다. 그러나 슐츠는 “국회가 선제적으로 움직이는 걸 보고 있자니 신선하다”고 말했다.

보안 업체 트립와이어(Tripwire)의 수석 연구원 트래비스 스미스(Travis Smith)는 이번 법안이 사물인터넷 보안 문제 중 몇 가지를 해결하는 데는 분명히 도움이 될 것이고, 사물인터넷 기기들의 취약점을 공개하는 보안 연구자를 보호하는 데도 도움이 되리라고 봤다.

그러나 사물인터넷 업체들이 설령 패치가 가능하고 하드코드된 비밀번호를 폐기하더라도 사용자가 기본 비밀번호를 바꾸지 않거나 적절하게 패치하지 않으면 보안은 위험할 수밖에 없다. 보안은 사용자에게 달린 문제이기도 하므로, 이번 법안의 효과성은 사실 제한적일 가능성이 높다.

미라이가 성공적이었던 이유는 사용자들이 기기의 비밀번호를 바꿀 수 없었기 때문이 아니라 비밀번호를 바꾸지 않기로 결정했기 때문이라고 스미스는 지적했다. “이번 법안이 사물인터넷 기기의 낮은 보안성과 관련해 실질적으로 문제를 해결하려고 한다면, 추가적으로 서술돼야 할 부분이 있다”고 그는 말했다.

“우선 하드코드된 크리덴셜은 마땅히 폐기되야 하고, 여러 기기들 간에 관리자 크리덴셜이 공유돼서도 안 된다”고 스미스는 제안했다. 두 번째로, 사물인터넷 기기 업체들이 보안 패치가 나왔다고 고객들에게 알릴 때 그 절차가 명확하게 법안에서 정의돼야 한다고 밝혔다. “패치가 나와도 그냥 서포트 포털(Support Portal)에 업로드 하고 마는 경우가 너무 빈번합니다. 엔드유저에겐 아무것도 알리지 않은 채로 말이죠.” 스미스는 사용자가 패치를 즉시 적용할 수 있도록 사물인터넷 업체가 적극적으로 알릴 의무가 있다고 말했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)