주인의식 부재로 인한 책임소재 불분명으로 보안의식 해이

지레 겁먹는 것보다 할 수 있는 것부터 해나가는 것 필요

[보안뉴스 문가용] 전통의 산업 구조 및 기업 인프라에서도 보안은 원래 힘든 것이었다. 그런데 여기에다가 크게는 자동차부터 작게는 컴퓨터 화면에 달린 웹캠까지 각종 사물들이 첨가되고 있으니 문제는 더 심화되고 있다. 더 큰 문제는 이런 기기들을 제작한 사람들 대부분 기능성에 초점을 두었지 보안성은 크게 고려하지 않았기 때문에 기기 당 취약점이 과도하게 많다는 것이다. 물론 이제부터라도 사물인터넷 기기를 만들 때 보안 기능을 더 강화시키면 된다. 하지만 그게 말처럼 쉽지 않은 모양이다. 사물인터넷 보안을 가로막고 있는 4가지 장애물을 꼽아보았다.

1. 소프트웨어 업데이트 방식이 규칙적이거나 공식적이지 않다
윈도우에 있는 멀웨어는 아무리 은밀하게 숨어들어도 언젠가는 발견되게 되어 있다. 하지만 사물인터넷의 경우는 이야기가 조금 다르다. 비욘드트러스트(BeyondTrust)의 CTO인 마크 마이프렛(Marc Maiffret)은 다음과 같이 말한다. “사물인터넷 기기 내부에 무슨 일이 벌어지고 있는지 윈도우처럼 정확히 이해하거나 혹은 펌웨어의 진짜 혹은 가짜 여부를 확인할 수 있는 방법이 아직 없습니다.”

그는 이에 대한 해결법으로 인터넷 커뮤니티를 이야기한다. “사물인터넷 기기 대부분 리눅스를 기반으로 하고 있기 때문에 소프트웨어를 인터넷 커뮤니티에서 관리, 즉 모니터링과 업데이트까지 전부 하도록 하는 것이죠. 이런 기기들 중 IP 카메라나 SAN 저장 시스템은 규칙적인 리눅스 업데이트가 꼭 필요한 것이기도 합니다. 리눅스라는 것도 무료로 배포되고 커뮤니티에서 자발적으로 운영되고 있지요. 사물인터넷 기기도 그렇게 되어야 합니다. 리눅스답게 말이죠.”

솔라윈즈(SolarWinds)의 제품개발부문 부회장인 크리스 라포앙(Chris LaPoint)은 “집에 IP 카메라를 세 대 가지고 있지만 펌웨어가 최신 버전인지도 확실치 않고, 설치 과정이나 보안 설정까지 의문점이 드는 게 많았습니다. 패치 소식도 거의 기억이 없고요. 이런 가전제품은 만든 후 업데이트와 관리도 잘 해야 하는데, 그런 개념이 아직은 제조사들 사이에서 조금은 부족한 듯 합니다”라고 자신의 경험을 이야기 한다.

2. 사물인터넷 제조사들이 아직  자신들이 만든 엠베디드 기기에 가해질 수 있는 위협에 대해 실감하지 못하고 있거나 전혀 무지하다.

임베디드 기기 제조사와 보안 업계 사이에는 마치 건너기가 불가능한 것처럼 보이는 강이 존재한다. 예를 들어 위성 터미널 제조업자들을 살펴보자. 얼마 전 아이오액티브(IOActive)의 최고 보안 상담가인 루벤 산타마르타(Ruben Santamarta)는 하드코드된 암호, 백도어 취약점, 불완전한 프로토콜을 위성 터미널에서 수두룩하게 발견했다. 또한 이 취약점들을 이용하면 비행기나 배, 군사 작전의 통신을 방해하는 게 가능한 것도 밝혀냈다.

그럼에도 해당 기기의 제조업자들은 발견된 오류나 취약점을 고칠 계획이 전혀 없다는 뜻을 전달해왔다. 어떤 업체는 그것은 취약점이 아니라 설계된 기능이라고까지 말했다. 산타마르타의 동료인 케사르 세루도(Cesar Cerrudo)는 신호등 체계에 있는 취약점을 발견했는데, 알고 보니 그 취약점이라는 것이 제작사에서 암호화 과정을 의도적으로 제거했기 때문에 생긴 것이었다. 암호화 없는 펌웨어는 언제든지 스푸핑이 가능하다.

이런 커다란 인식의 차이를 메꾸기 위해 아이엠더캘버리(I Am the Calvary)나 빌드잇시큐어(BuildItSecure.ly) 등의 자발적인 움직임이 일어나고 있다.

3. 사물인터넷 보안에 있어서 아직 책임 소재가 불투명하다.

라포앙은 “아직 사물인터넷 기기에서 발생하는 보안사고에 대해 누구에게 책임을 물을 것인지 합의된 바가 없습니다”라며 “생산자들은 보통 보안 문제에 대해 ‘모른다’고 답을 합니다. 보안에 대한 고민이 별로 없는 것이 현실이기 때문입니다”라고 정리한다.

이는 업데이트 문제에 있어서도 마찬가지다. 생산업자들은 펌웨어 업데이트 파일을 자사 사이트에 올려놓는 것까지가 할 일의 끝이라고 여기고 있으며, 그 이후 일어나는 일들은 소비자가 책임을 져야 한다는 입장이다. “하지만 소비자 입장에서는 업데이트 알림이 굉장히 불친절할 때가 많습니다. 알아들을 수 있게 해줘야 ‘알림’이죠. 이런 식으로 일처리하는 거 보면 제조사들에게 주인정신이 있는지도 심히 의심스럽습니다.”

4. 기기 설정이 부적절하고 기능 자체가 보안 사고와 이어지게끔 만들어진 경우가 많다.

대부분 사물인터넷은 IT 시스템과 같은 네트워크에 올라와있다. “그러니까, 제가 네트워크에서 할 수 있는 일들을 이 기기들도 할 수 있다는 뜻이 됩니다. 제 웹캠을 누군가 해킹하면 제 속옷차림을 볼 수도 있을 것이고 더 심하게는 제 네트워크에 저장되어 있는 개인정보를 가져갈 수도 있는 겁니다. 이는 한 예에 불과하죠.”

이에 대한 해결책은 사실 간단하다. 데이터가 저장되어 있는 네트워크와 기기들이 사용하는 네트워크를 분리하면 그만이다.

사물인터넷은 기업들에 있어서 커다란 도전과제다. 그래도 기업들은 보안책을 마련할 수는 있다. 그처럼 할 수 있는 것에 집중하는 게 더 생산적이라는 것이 라포앙의 논점이다. “사물인터넷 기기의 규모나 숫자, 그것들이 만들어내는 정보의 양은 여태껏 우리가 경험해보지 못한 정도일 것입니다. 네트워크에 어떤 종류의 정보가 흐르고 있는지, 그 정보가 어디에서 왔는지, 추적해서 막는 게 가능한지를 전부 파악하는 능력이 이제 기업들에게 요구되고 있습니다. 사물인터넷 시대의 가장 중요한 능력이 바로 그것입니다.”

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>