사물인터넷 기기의 취약점 대부분 제조 단계에서부터 방지 가능
새로운 프레임워크 나와... 31가지 항목으로 보안 강화 방법 정리

[보안뉴스 문가용] 사물인터넷 기기들을 보완할 수 있는 방법들이 이미 여러 개 알려져 있는데, 대부분 기기 생산업자들부터 시작한다는 지적이 있었다. 국제적인 워킹그룹인 온라인 트러스트 얼라이언스(Online Trust Alliance, 이하 OTA)의 회장인 크레이그 스피즐(Craig Piezle)은 “사물인터넷 기기 취약점 대부분은 미연에 방지가 가능한 것들”이라며 “시장에 물건 내놓기에 너무 열을 올리지 않기만 해도 고쳐질 수 있다”고 설명한다.


OTA는 최근 이 점에 주목해 31가지 안전 원칙을 수집하고 정리해 ‘사물인터넷 트러스트 프레임워크(IoT Trust Framework)’를 발표했다. 기기 제작사는 물론 개발자와 정책 입안자들 모두가 참고할 수 있는 내용으로 구성되어 있다. 크레이그는 “CISO들도 염두에 두고 있으면 좋을 내용들”이라고 소개하며 “실제로 다양한 산업 분야의 보안 담당자들이 이번 프레임워크 내용을 자신들의 정책에 도입시키고 있다”고 한다.

31가지를 다 살펴보려면 여기를 방문할 수 있지만, 사이트 구성이 그리 친절하지 않고 내용이 많아 다음 여덟 가지로 압축해 보았다.

1. 크리덴셜로의 접근을 제한하고 보호하라
사물인터넷 기기 생산자들은 크리덴셜 관리 장치에 대한 보안성을 확고하게 만들지 않은 채 시장에 출시부터 하려는 성향이 짙다. 그래서 관리자 제어 인터페이스나 계정 암호가 쉽게 열리거나 간단히 장악 당한다. 그러므로 제작 단계에서 일반 사용자와 권한이 높은 사용자로의 접근을 극도로 제한하는 편이 좋다. 어지간해선 사용자 계정 접근이 어렵도록 만드는 것이 기본이다.

2. 어떤 정보를 수집하는지 확실히 밝히고 정책을 공유하라
서드파티 혹은 다른 사업상 파트너들과 데이터를 공유할 때, 서로가 어떤 데이터를 공개하고 또 활용할 수 있는지 확실하게 약속해야 한다. 사물인터넷 기기 제조사들 대부분 스타트업들이다. 산업 자체가 새롭기 때문이다. 스타트업의 특징은 매우 분주하지만 의외로 기본적인 행정사항에 약하다는 것이다. ‘발전’과 ‘성장’에 매우 분명하게 초점이 맞춰져 있고, 그러므로 보안은 뒷전이다. 내부적으로 어떤 정보를 어떤 방식으로 어떤 조건 하에 어떤 주체와 공유할 것인지 결정하고 선명하게 운영하라.

3. 뭐든 실험부터 진행하라
개발하는 내내 엄격하고 빈번한 실험이 진행되어야 한다. 침투 테스트와 위협 모델링도 여기에 포함된다. “이미 침투 테스트와 위협 모델링을 쉽게 할 수 있도록 도와주는 서비스와 툴들이 시중에 많이 있습니다. 대단히 비싸고 사용하기 어려운 것들을 말하는 게 아니에요. 매번 고차원적인 실험을 진행할 수도 없고요. 간단하고 기본적인 실험 방법들을 찾고, 자주 해보는 게 바쁜 개발 과정엔 더 어울립니다.”

4. 사용이 간편한 통신수단을 확보하라
회심의 제품에 파트너사나 엉뚱한 학자, 보안 전문가들이 취약점을 발견하는 때가 부지기수다. 그런데 이게 신문사에도 보고가 되고 취약점 데이터베이스에도 알려지는데 정작 제조사는 소식을 듣지 못하고 넘어갈 때가 많다. 제조사는 취약점 소식에 좀 더 귀를 기울일 필요가 있다. 취약점을 보고하는 웹 사이트를 따로 만들거나, 그게 어려우면 전화나 이메일이라도 개설해야 한다. 취약점 발견은 꼬투리 잡기나 흠집 내기가 아니라 제품을 더 튼튼하게 만들어주는 영양제 같은 것이다.

5. 더 안전한 페어링 방법을 개발하라
보안 장치가 강력하지도 않은 사물인터넷 기기가 순간 강력한 네트워크에 연결되는 때가 있다. 제조사 측이 애초에 기기가 자동으로 페어링 되지 않도록, 사용자가 지정한 네트워크에만 기기가 연결할 수 있도록 해야 한다. 공동주택과 같은 환경에서 이는 생각지도 못한 프라이버시 침해 사고로 이어질 수 있다.

6. 코드 주입 익스플로잇은 매우 흔한 공격임을 기억하라
3번에서 이미 강조한 실험의 중요성과 겹치는 항목인데, 사물인터넷 기기 제조사들은 ‘보안 실험을 해야 한다’는 것에 적잖이 당황해하거나 막연하게 느끼는 경향이 있다. 세상에는 스턱스넷과 같은 고도로 발전된 툴을 사용하는 해커들보다 이미 널리 알려지고 많이 활용되는 흔하디흔한 해킹 법을 사용하는 범죄자들이 훨씬 많다는 걸 기억해야 한다. 그러니 쉽고 간편한 해킹 테스트부터 시작하는 게 실질적으로 도움이 된다.

7. 데이터 전송 및 저장에 제동을 걸라
사물인터넷 기기들에서 흔히 드러나는 취약점으로, 예를 들어 블루투스가 주력 통신망인 기기의 경우 사용자 이름과 암호가 평문으로 전송되는 경우가 굉장히 많다. 저장될 때도 암호화 처리되지 않는 경우가 거의 대부분이다. 데이터 전송 및 저장 시 반드시 암호화를 적용해야 하며, 이 역시 제조사들이 개선해야 할 부분이다.

8. 생애주기를 관통하는 지원 계획을 개발하라
이 역시 ‘빨리 출시하고 싶다’는 분위기 때문에 일어나는 일 중 하난데, 출시 후 고객지원에 대한 계획이 구체적으로 서 있지 않은 경우가 많다. 사물인터넷 기기에 있어 가장 중요한 고객지원은 패치와 업데이트며, 회사의 문을 닫았을 때나 이름을 바꿨을 때의 대책마련까지도 포함한다. 패치를 중단해야 할 때 지원을 할 수 없다는 사실을 고객에게 고지하는 것까지도 생각해야 한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>