Home > 전체기사
바벨탑처럼 쌓여가는 사물인터넷 장비들, 재앙의 전조를 짚어보자
  |  입력 : 2020-02-17 12:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
기하급수적으로 늘어나는 수...점점 더 중요해지는 건 장비의 인증 문제
현존 인증 프로토콜이 80개도 넘어...저전력, 저성능, 저용량 기기들에 어울리지 않아


[보안뉴스 문가용 기자] 사물인터넷 장비의 폭발적인 증가가 어떤 업체들에는 커다란 골칫거리가 되고 있다. 이제는 사무실 PC와 서버, 랩톱 몇 대, 스마트폰의 인터넷 연결만 안전하게 지키면 되는 게 아니기 때문이다. 프린터, 도어락, 전등, 차량, 냉장고까지 전부 ‘보안 걱정’의 범주 안에 들어가게 되었다. 골치가 아플 수밖에 없다.

[이미지 = iclickart]


인증 문제
종류와 수량 모두에서 감당하기 힘든 수준의 장비들이 네트워크에 몰려들 때 가장 문제가 되는 건 ‘인증’이다. 사물인터넷 장비를 인증하는 기술과 원리 또한 다채롭게 개발 및 제안되고 있어 혼란은 가중되고 있다. 문제는 그 ‘혼란’이라는 것이 사이버 보안에서는 ‘공격 가능성’과 동의어라는 것이다. 방어자들 혹은 잠재적 피해자들이 혼란스러우면 혼란스러울수록 공격자들에게는 기회가 풍부하게 생긴다.

그런 가운데 FIDO 얼라이언스(FIDO Alliance)는 지난 주 회원들과 함께 사물인터넷 인증 문제를 해결하기 위한 2020년 첫 회의를 개최했다. 보안 업체 듀오 시큐리티(Duo Security)의 기술 개발 수석인 닉 스틸(Nick Steele)은 “아직 사물인터넷 계통에는 표준이라고 할 만한 것이 없기 때문에 FIDO 얼라이언스와 같은 조직이 큰 비중을 차지하고 있고, 앞으로 더 중요한 역할을 담당할 수 있다”고 설명한다.

“큰 기업들은 이런 역할을 하지 못합니다. 각자의 방식을 고집하기 때문입니다. 구글의 사물인터넷 장비들과 애플의 장비들은 서로 다른 방식으로 작동합니다. 그리고 아마존은 또 별도의 독자적인 원리를 가지고 있고요. 이런 격차들은 시장 내 혼란을 가져올 수밖에 없고, 이 역시 공격자들에겐 기회가 됩니다.”

사물인터넷 장비들이 다수 포함된 네트워크를 보호한다는 건 복잡한 일이다. 세계 IT 시장 조사 회사인 IDC에 의하면 향후 5년 안에 416억 대의 사물인터넷 장비들이 연간 800억 테라바이트의 데이터를 생성할 거라고 한다. 이런 상황에서 장비 한 대마다 적잖은 양의 데이터를 요구하는 인증 프레임워크는 앞으로 각종 네트워크에 있어 큰 부담거리가 될 전망이다.

또한 아주 작은 장비에서도 인증 프레임워크는 제대로 기능을 발휘할 수 있어야 한다. FIDO 얼라이언스의 공동 의장이자 녹녹랩스(Nok Nok Labs)의 부회장인 롤프 린더만(Rolf Lindemann)은 “사물인터넷 장비들 중에는 64Mhz ARM 칩과 1MB 플래시 램으로 구성된 것들도 많다”며 “이는 리눅스를 돌릴 수 없는 사양”이라고 지적한다. “그런데 이런 장비들이 이미 각종 네트워크에 연결되어 있습니다. 이런 장비들까지 아우를 수 있는 표준 인증 프레임워크가 필요한 상황입니다.”

작년 레바논의 과학예술대학(University of Sciences and Arts)과 텔레콤파리테크(Telecom ParisTech)의 연구원들이 공동으로 발표한 연구 결과에 의하면 현재 인증 시스템으로서 생산되고 있는 장치들이 현재 84개나 된다고 한다. 저전력, 저용량, 저성능, 저대역폭이라는 특징을 가진 사물인터넷 장비들에게는 부담스러운 숫자다. 연구원들은 당시 보고서를 통해 “인증 프로토콜이 지나치게 많기 때문에 사물인터넷 연결성에 과부하가 걸린다”고 지적하며, “저성능을 가진 사물인터넷 장비들에서는 이게 특히 큰 문제가 되고 있다”고 설명한다.

클라우드들도 걱정
최근의 ‘대세’ 네트워크라고 하면 ‘클라우드’라고 할 수 있다. 사물인터넷에 대한 고민이라면, 클라우드도 예외는 아니다. 그래서 대형 클라우드 제공 업체들은 사물인터넷 장비들을 통합하는 데 사용되는 소프트웨어 개발 키트를 보유하고 있다. MS는 애저 IoT 허브(Azure IoT Hub)라는 서비스에서 사용 가능한 인증 옵션들을 여러 개 제공하고 있고, 아마존은 사물인터넷 장비를 위한 인증서 발급 프로세스를 정교하게 가다듬어 운영 중에 있다. 구글은 1년 전 구글 클라우드 IoT 소프트웨어 개발 키트(Google Cloud IoT SDK)라는 걸 처음 발표해 서드파티 인증 라이브러리를 사용할 수 있게 했다.

린더만은 “사물인터넷은 문제가 많은 기술이지만, 한 가지 다행인 것은 사람들이 이 사실을 조금씩 깨달아가고 있다는 것”이라고 설명한다. “그러니 FIDO 얼라이언스가 표준을 마련하고, 클라우드 업체들이 나름의 뭔가를 준비하는 거죠. 문제 해결을 위한 걸음을 내딛기 시작한 겁니다. 지금 우리에게 필요한 건, 수많은 장비들을 안전하게 연결시키기 위한 안전하고 사용하기 쉬운 인증 기술입니다. 일단 여기서부터 사물인터넷이라는 커다란 문제를 해결할 방안이 마련될 겁니다.”

업데이트 문제
장비들에 안전한 업데이트를 제공할 수 있어야 한다는 것도 아직 해결되지 않은 문젯거리다. 2017년 미국의 식약청은 애봇(Abbot) 사에 “46만 5천 대의 심박 조율기에 대한 펌웨어 업데이트를 진행하라”고 명령을 내린 바 있다. 소프트웨어 취약점이 발견되었기 때문이다. 이처럼 제조 단계부터 완전무결한 장비가 시장에 나올 확률은 극히 낮고, 사물인터넷 장비들은 컴퓨터나 스마트폰처럼 주기적인 업데이트를 필요로 할 것이다.

앞으로도 임직원들은 더 많은 사물인터넷 장비들을 일터로 가져올 것이다. 그러면서 보안의 경계선이라는 개념 자체가 사라지게 될 것이고, 철저한 인증을 바탕으로 한 제로 트러스트 모델의 구현 여부가 조직의 안전을 판가름하게 될 것이다. 기존의 보안 개념을 가지고는 안전을 도모하기 힘들며, ‘누가 우리를 공격하겠어’라거나 ‘이 정도면 되겠지’라는 생각 자체가 깨끗하게 버려져야 할 것이다.

글 : 로버트 레모스(Robert Lemos)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)