세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
중소기업이 대기업보다 사물인터넷 보안 더 잘한다
  |  입력 : 2017-08-11 16:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
기업 내 무선 기기 악성 감염 확인, 중소기업이 대기업보다 자주 해
기업 전체 IoT 보안 강화할 뿐 아니라 추후 봇넷 감염도 막을 수 있어


[보안뉴스 오다인 기자] 2017년 상반기 봇넷 공격이 대규모 사물인터넷(IoT) 봇넷 미라이(Mirai)에 의해 작년보다 280% 많아진 것으로 나타난 가운데 중소기업(SMB: Small-to Midsized Business)이 대기업보다 IoT 위협에 더 잘 대처하고 있다는 연구가 나왔다.

[이미지=iclickart]

IoT 보안 업체 포니 익스프레스(Pwnie Express)가 중소기업 및 대기업의 IT 전문가 950명을 대상으로 설문조사한 결과, 중소기업이 대기업보다 무선 기기의 악성 감염을 더 자주 확인하고 있는 것으로 나타났다. 직원이 직장에 가져오는 개인 단말기(BYOD: Bring Your Own Device)의 악성 감염에 대한 확인 역시 대기업보다 중소기업이 더 자주하고 있다고 보고서는 밝혔다.

지난 달 중소기업 64%가 사내 무선 기기의 보안을 점검한 반면, 대기업은 55% 점검했다. 같은 기간 중소기업 3곳 중의 1곳이 BYOD 기기의 악성 감염 여부를 검토한 반면, 대기업은 5곳 중의 1곳이 검토했다.

중소기업의 이런 조치는 일반적인 IoT 보안을 강화할뿐더러 사내 IoT 기기가 봇넷에 감염되는 것을 방지할 수도 있다.

애플리케이션 보안 업체 F5가 새로 발표한 봇넷 보고서에 따르면, 지난 상반기 봇넷 활동은 세 자릿수로 뛰었을 뿐만 아니라 대부분 첫 두 달 안에 움직였다. F5는 봇넷 활동이 1월과 2월 이후 훨씬 잠잠해졌는데, 이는 취약한 IoT 기기에 대한 정찰을 마친 뒤 대규모 봇넷을 구축하는 단계에 진입한 것으로 보인다고 말했다.

F5의 ‘2017 사물봇 증가(2017 Rise of the Thingbots)’ 보고서를 저술하고 F5 연구소(F5 Labs)를 이끌고 있는 사라 보디(Sara Boddy)는 “우리가 목격한 IoT 봇넷은 빙산의 일각에 불과하다”고 말한다.

보디는 약 2년 전만 해도 텔넷 무차별 대입 공격이 흔치 않았다고 설명한다. 그러나 IoT 기기가 인기몰이를 하면서 공격자들이 텔넷 프로토콜을 이용해 상당량의 IoT 기기를 봇넷에 편입시킬 것이라고 보디는 예측했다. IoT 기기는 대개 원격 관리를 허용하는 텔넷 프로토콜(23번 포트)을 사용하기 때문이다.

보디는 “IoT 기기를 설계할 당시 사람들은 주차 미터기나 테디 베어 인형, 텔레비전이 공격당할 수 있다고 생각하지 않았기 때문에 23번 포트를 사용했다”고 설명했다.

보디는 텔넷으로 가동되는 IoT 기기는 공격하기도 쉽고, 봇넷 부대를 구축하는 데 있어 비용 효율성이 좋다고 덧붙였다. IoT 기기에는 보안 기능이 보통 포함돼있지 않은 데다 원격으로 제어하는 온도 조절 장치처럼 사용자가 직접적으로 제어해야 하는 경우가 거의 없다. 이런 이유로 공격자는 침해한 IoT 기기 중 상당수를 활성화한 채 보유할 수 있게 된다. 컴퓨터의 경우, 침해된 부분이 수정되면 공격자 입장에선 봇넷을 잃는 것과 같다.

한편, 봇넷 공격의 잠재적인 대상은 급격하게 확장될 전망이다. 리서치 기업 가트너(Gartner)는 IoT 기기수가 올해 말까지 84억 개에 달할 것으로 전망했다. 이는 작년에 비해 31%나 증가한 수치다.

사내 네트워크에 IoT 기기를 보유한 기업들은 초당 최소 1테라바이트의 공격을 감당할 수 있는 상시 대기 보안 서비스를 사용하거나 갖고 있어야 한다고 보디는 조언했다. 그렇게 해야 디도스 공격에 선제적으로 준비할 수 있다는 것이다.

또한 보디는 조직이 웹 애플리케이션 방화벽(WAF: Web Application Firewall)을 사용할 것, 싱글 사인 온(single-sign on)에 ID 접근과 관리 툴을 함께 사용할 것, 크리덴셜 스터핑(credential stuffing)을 방지하기 위해 이중 인증을 사용할 것을 충고했다.

중소기업이라면 공격의 주요 매개를 차단할 여러 툴 뿐만 아니라 디도스 솔루션을 갖고 있는 것이 중요하다고 보디는 언급했다. “이런 툴을 구비하는 게 경제적이지 않다고 생각할 수 있습니다. 그러나 적어도 알려진 위협들에 대해 우리 기업이 얼마나 준비가 안 됐는지는 알고 있어야 합니다.”

그러면서 보디는 일반적으로 중소기업이 대기업보다 작은 보안 부서를 운영한다는 점, IoT의 잠재적 위협에 대응할 만한 필수 자원이 중소기업에 없을 수 있다는 점을 지적하기도 했다.

중소기업의 IoT 보안을 위한 받침대
그러나 포니 익스프레스는 보디와 의견이 조금 다르다. 포니의 보고서 ‘더 큰 기업이 더 좋은 기업일까? 중소기업이 IoT 보안 위협에 어떻게 더 잘 대응하고 있는가’에 따르면, 중소기업의 62%는 사내 네트워크에 얼마나 많은 IoT 기기가 연결돼있는지 알고 있는 것으로 나타났다. 반면, 대기업은 47%만이 이 같은 사실을 파악하고 있는 것으로 나타났다.

이런 결과는 얼핏 중소기업이 보유한 IoT 기기수가 대기업에 비해 더 적기 때문에 더 잘 관리되는 것처럼 보인다. 그러나 절대적인 기기수 말고 더 중요한 이유가 있다고 포니 마케팅 부사장 드미트리 블라코스(Dimitri Vlachos)는 말한다.

“대기업엔 사일로(Silo: 외부와 소통하지 않는 부서)가 있습니다. 그래서 신기술을 적용할 때도 IT 부서가 언제나 그 소식을 알게 되는 건 아니죠. 하지만 중소기업은 대기업보다 구조적으로 더 평평하기 때문에 IT 부서가 그런 소식들을 더 잘 듣는 경향이 있습니다.” 블라코스는 설명했다.

포니의 제품 관리 이사 욜란다 스미스(Yolanda Smith)는 중소기업이 새로운 하드웨어와 소프트웨어를 구매할 때 IT 보안도 함께 고려하고 있다고 짚었다.

BYOD 기기에 대해서도 대기업은 간섭하지 않겠다는 태도로 접근하는 것과 달리 중소기업은 그런 기기의 IT 보안까지도 책임지려는 태도를 보인다고 클라코스는 말했다.

클라코스는 작은 기업일수록 직원의 IoT 기기에 대해 더 선제적으로 대응할 필요가 있어 보인다고 말했다. 그는 보안 침해 사고가 발생하면 포춘지 선정 500대 기업처럼 부유한 업체가 받는 피해보다 가족이 경영하는 업체가 받을 피해가 훨씬 더 크기 때문이라고 설명했다.

중소기업이 IoT 보안에 더 잘 대처하고 있다고는 하나 대규모 디도스 공격도 물리칠 만큼 역량이 있다는 뜻은 아니라고 블라코스는 말한다. 그러나 그는 디도스 공격의 대상은 보통 중소기업이 아니라고도 말했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)