Home > 전체기사
[주말판] 2020년의 사물인터넷 보안, 강조되어야 할 개념 7
  |  입력 : 2020-01-25 13:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사물인터넷 장비들 네트워크에 편입되면서 보안 개념이 통째로 바뀌어야...소비자들이 압박도 필요
에지에서부터 서버까지 이르는 통합적 시야 확보하는 게 우선...신뢰 정의는 사업 프로세스를 기준으로


[보안뉴스 문가용 기자] 올해의 보안은 작년의 보안과 얼마나 달라질까? 점점 더 본격화 되어가는 사물인터넷 산업은 보안에 어떤 영향을 줄까? 보안 업체 노미넷(Nominet)의 부회장인 스튜어트 리드(Stuart Reed)는 “사이버 보안은 점차 역동적인 분야가 되어가고 있고, 공격은 점점 더 영역과 경계선을 넘나드는 행위가 되어가고 있다”고 최근의 트렌드를 설명한다.

[이미지 = iclickart]


그러면서 그는 OT와 IT가 혼합되고 사물인터넷이 우리 생활 영역으로 들어오면서 보안 담당자의 업무 강도는 그 어느 때보다 높아지고 있다고 말한다. “전 세계적인 디지털화가 이 현상의 근원입니다. 인터넷에 연결되지 않은 채 완전히 고립된 상태로 작동하는 기계는 사라지게 될 것이고, 이를 공격자들은 적극 활용할 것입니다.”

앞으로 사물인터넷 방어는 어떤 식으로 이뤄져야 할까? 본지는 이번 주 주말판을 위해 다가오는 사물인터넷 위협에 대해 전문가들과 이야기를 나누어봤다. 그리고 총 7개의 주요 포인트들을 다음과 같이 짚어낼 수 있었다.

1. 에지에 주목하라
보안 업체 엔비지움(nVisium)의 CEO인 잭 마니노(Jack Mannino)는 “에지 컴퓨팅 기술이 증가하고 센서 네트워크가 분산되기 시작하면서, 클라우드 인프라와 에지 장비들이 이전보다 더 자주 공격 표적이 되어가고 있다”고 말한다. 공격자들의 손아귀에서 에지가 벗어나게 하려면 ‘하이브리드식 접근’이 필요하다고 그는 강조한다.

“에지 컴퓨팅은 하이브리드 클라우드 인프라를 필요로 합니다. 즉 에지 장비와 클라우드 서버 간에 신뢰가 구축되어 있어야 한다는 것이죠.” 그렇다면 클라우드에서 에지에까지 이르는 모든 층위에서 신뢰가 만들어져야 한다는 것으로, “신뢰를 각 단계에서 어떻게 정의하고 결정할 것인가를 해결하는 게 사업 프로세스에 포함되어야 한다.” 그리고 그 결정은 에지 장비가 데이터를 생성하는 방법, 생성되는 데이터의 종류, 데이터가 전송되는 경로, 애플리케이션 인프라 등이 자세하게 분석된 후에 내려져야 한다.

“기존의 사이버 공격자들은 사용자들을 조심스럽게 선택해 공격을 진행했습니다. 앞으로는 사람 대신 에지 장비를 선택할 가능성이 높습니다. 그러므로 중심부에 있는 가장 소중한 데이터와 자산에만 집중하지 말고, 각 에지에도 상당한 주의를 기울여야 합니다. 그것이 사물인터넷 시대에 반드시 지켜야 할 태도입니다.”

2. 사람이라는 요소를 잊지 말라
노미넷의 리드는 “멀웨어들과 그 멀웨어를 활용한 공격 모두 고차원적으로 변하고 있긴 하지만, 공격을 성공시키는 것과 멀웨어의 고급화는 별개의 것”이라고 말한다. “아직도 기초적인 방법 몇 가지만으로 공격을 성공시키는 사례가 얼마든지 있죠. 왜 그런 걸까요? 사람들이 보안에 대해 전혀 신경을 쓰지 않고 하던 일들을 하고, 살던 대로 살기 때문입니다. 사이버 보안 위생이 자리를 잡지 못하고 있다는 겁니다.”

“최종 사용자들이 ‘데이터도 보호되어야 할 대상’이라는 것을 인정해야 합니다. 이게 은근히 어려운 부분입니다. 데이터에 대한 가치관은 사회와 지역, 나라와 공동체마다 조금씩 달라지죠. 따라서 보호에 대한 방법과 정도도 다르고, 보호 책임자를 처벌하는 방법도 천차만별입니다. 사회 규범과 윤리의 색깔도 다르고요. 이 모든 차이를 극복하는 데이터 보호 관념이 수립되어야 합니다.” 정보보호포럼(Information Security Forum)의 책임자인 스티브 더빈(Steve Durbin)의 말이다.

리드는 “끊임없는 교육만이 답”이라고 말한다. “다만 현재는 교육의 방법론과 접근법에 대해 각론을박이 벌어지고 있는 상황입니다. 개인적으로 교육은 그 본질상 다양한 형태를 취할 수밖에 없습니다. 중요한 건 교육에 훈련을 더해야 한다는 겁니다. 훈련을 곁들이지 않는다면 교육 내용은 흐르는 강물처럼 흘러 사라질 수밖에 없습니다.”

3. 보고 또 본다
최근 몇 년 동안 보안 업계에서 가장 강조된 가치관 중 하나는 가시성이다. 사물인터넷 장비들이 네트워크에 더 많이 연결되면 될수록 가시성은 더 중요한 보안이 요소로 부각될 것이다. 보안 업체 타이코틱(Thycotic) 수석 과학자인 조셉 카슨(Joseph Carson)은 “사물인터넷 장비가 갖고 있는 리스크를 이해하기 위해서는 장비의 목적을 먼저 알아야 합니다. 데이터를 수집하는 장비인지, 처리 장치인지, 데이터를 서로 연결하고 조합하는 파악해야 하죠.”

그 다음은 기능을 이해하는 것이다. “이 작업이 정말 중요한 것이긴 하지만, 사물인터넷 장비가 수천 대 이상으로 늘어나면 하나하나 기능과 목적을 파악하는 게 쉽지 않은 일이 되죠. 그럴 때는 어떻게 해야 할까요? 네트워크 아키텍처 전체의 보안 상태를 꾸준하게 모니터링하고 분석하는 게 중요합니다. 그래서 전체 흐름이나 단단함을 저해하는 장비를 짚어내서, 그것부터 해결해야 하죠. 여기에 지속적인 소스코드 분석도 이뤄져야 할 것입니다.” 마니노의 설명이다.

4. 소비자용 기술도 간과해서는 안 된다
거의 모든 기업 네트워크에 업무용만이 아니라 개인용 소비자 IoT 장비도 연결되어 있을 가능성이 높다. 이미 일반 소비자들은 여러 가지 기술을 매일의 삶 속에서 활용하고 있고, 회사에서 하는 모든 일들에도 이 기술을 활용하고 싶어 한다. 단순히 사무실에 들어왔다고 구석기 시대로 돌아갈 수 없는 게 일반적이다. “게다가 업무에서 기술을 활용할 때 더 높은 효율을 발휘할 수 있기도 하죠. 개인 영역과 공공의 영역에 대한 구분이 불분명해지고 있습니다.” 더빈의 설명이다.

그렇다면 개인 장비를 회사에서 사용할 수 없도록 해야 할까? 더빈은 “문제의 근원은 개인 장비를 업무 공간에서 사용한다는 것이 아니라, 그런 장비들이 애초부터 안전하지 않게 만들어졌다는 것”이라고 강조한다. “제조사들의 목적이 경계를 흐리게 하는 것이었습니다. 그렇다면 그만큼 안전하게 했었어야 하는데, 그 부분은 실패했어요. 거기다가 사용 습관도 그리 조심스럽지 않다는 게 문제를 악화시키죠. 그런 장비들에 설치되는 업무용 앱들도 불안전하고요.”

더빈은 조직원 모두를 대상으로 “사물인터넷을 노리는 위협이 득실득실하다”는 사실과 “조심스럽게 활용해야 한다”는 것을 강조한다. “제조사들로부터 문제가 시작되지만, 이건 정부와 제조사, 산업 전체가 다뤄야 합니다. 그러는 동안 우리는 소비자용 장비들에도 문제가 많다는 걸 계속해서 교육시키고 퍼트려야 할 것입니다.”

5. 전체가 움직여야 한다
사물인터넷 장비로부터 시작되는 위험은, 네트워크 전체를 좌지우지 하는 게 보통이다. 보안 업체 벡트라(Vectra)의 보안 분석가인 크리스 모랄레스(Chris Morales)는 “기존 데스크톱 시스템에서는 각종 정보와 앱이 데스크톱에 하나하나에 저장되어 있었고, 그래서 컴퓨터 자체에 침투하지 않으면 그 정보를 가져갈 수가 없었다”고 말한다. “하지만 사물인터넷 장비들은 정보를 안에 꽁꽁 숨겨두는 게 아니라 공유하도록 만들어졌습니다. 보통은 사물인터넷 제조사가 운영하는 클라우드 스토리지를 거치죠.”

즉 엔드포인트 하나의 안전만 아니라, 그 엔드포인트 뒤에 있는 인프라까지도 고려하는 게 ‘사물인터넷의 안전’이다. 보안 담당자로서는 장비의 공급자와 사물인터넷 장비를 통해 같이 일하게 되는 파트너사까지도 함께 고려해야 한다는 뜻이 된다. 보안 업체 액셉토(Acceptto)의 수석 보안 아키텍트인 포스토 올리베이라(Fausto Oliveira)는 “아키텍트를 넘어 환경 전체를 다루는 보안의 개념에 익숙해져야 할 것”이라고 말한다.

“그러다 보면 사용자 기업들이 기본적인 보안 상태에 민감하게 될 것이고, 그러한 태도는 사물인터넷 장비 제조사들을 압박하게 될 것입니다. 규정과 표준도 제조사들을 변화시킬 테지만, 소비자들로부터의 이러한 압박도 큰 요인이 될 것으로 기대하고 있습니다. 사물인터넷 장비 하나를 보호하려면, 정말로 마을 하나가 다 나서야 합니다.”

6. 장비의 유연성
사물인터넷 장비의 특성 중 OT를 위험하게 만드는 것이 두 가지 있다. 하나는 한 곳에 오랜 시간 머물러 있도록 설계되는 경우가 많다는 것이고 다른 하나는 변경이 불가능하게 만들어졌다는 것이다. 올리베이라는 “디폴트 사용자 이름과 비밀번호를 공장에서 설정한 그대로 사용해야 하는 경우도 많습니다. 그 외에도 유연함에 있어서 부족한 모습을 상당히 많이 보입니다. 이는 보안이라는 측면에서 그리 바람직하지 않습니다.”

올리베이라는 “사물인터넷 장비는 지금보다 유연하게 만들어져야 하고, 그럼으로써 각종 위험에 여러 가지로 대처할 수 있어야 한다”는 입장이다. “따라서 보안 관리라는 개념이 도입되어야 할 필요가 있습니다. 장비는 유연하게 제조되고, 사용자는 철저하게 관리하는 식으로 궁합을 맞추는 것이 가장 이적입니다. 이 역시 소비자들이 제조사들에 요구해야 하는 부분일 겁니다.”

7. 데이터에 대해서는 가차 없이
이래도 저래도 사물인터넷 보안에 대해 개념이 잘 잡히지 않는다면, GDPR이나 CCPA와 같은 프라이버시 및 개인정보 보호 규정을 기준으로 삼는 게 바람직하다. 장비들이 어떤 식으로, 무슨 데이터를 수집하는지, 이 규정들을 기준으로 감사하고 조정하는 게 안전하다는 것이다. 모랄레스는 “모든 장비가 서로 연결돼 데이터를 생성하고 공유하는 때에, 정보의 흐름을 관리하는 건 당연한 일”이라며 “프라이버시 보호가 곧 자유를 보장해주는 길이라는 걸 기억해야 한다”고 강조한다.

“데이터는 저장되어 있을 때만 아니라 움직이며 돌아다닐 때에도 보호되어야 합니다. 전송 중에 있는 데이터를 보호할 때 가장 기본적인 건 암호화 기술입니다. 또한 데이터 트래픽은 역할과 상황에 맞게 접근 제어를 할 필요가 있습니다. 꼭 필요한 사람만 접근할 수 있도록 만들어야 한다는 것입니다. 물론 특별한 예외 상황이 있을 수 있습니다만, 그 소수의 상황을 위해 늘상 인터넷에 연결해둘 필요는 없습니다.” 올리베이라의 설명이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)