• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

IoT는 양날의 검? 그럼 더 잘 다룰 생각을 해야지 2016.11.22

사물인터넷의 위험성 깨닫는 사람들...구매 꺼려해
아는 만큼 안전해진다...사물인터넷 보안, 능동적 자세 필요

[보안뉴스 문가용 기자] 사물인터넷이 주고 있는 약속과 위험이라는 양면에 대해 점점 더 많은 업체들이 인지하기 시작했다. 그래서 어떤 곳에서는 사물인터넷 도입에 매우 조심스러운 태도를 취한다. 하지만 아직도 사물인터넷의 기능성을 믿고 공격적인 구매를 하는 업체들이 더 많은 것이 사실이다.

얼마나 위험한가?
사물인터넷 기기들의 위험성이라고 해서 다 같은 건 아니다. 기기마다 다르고, 같은 기기라도 도입되는 환경에 따라 달라진다. 쉽게 말해, 민감한 정보가 가득 담겨 있는 기기에 곧바로 사물인터넷 기기를 연결시키면, 그렇게 하지 않은 곳보다 훨씬 더 위험도가 높아진다는 것이다. 물론 이런 초보적인 실수를 범하는 기업은 그리 많지 않다(적지도 않지만).

그렇지만 사물인터넷의 위험성이 알려지기 시작하면서 기업들의 태도는 대부분 ‘좀 더 두고보자’는 쪽으로 굳어지고 있다. 사물인터넷에 대한 보안 점검을 철저히 하고 활용하느니 누군가 ‘이젠 안전하니 사용해도 된다’고 선포할 때까지 지켜만 보는 것이다. 하지만 이건 이것대로 문제가 있다. 왜냐하면 위에서 말한 대로 사물인터넷의 안전성이라는 것이 획일화된 표준이 아니기 때문이다.

예를 들어, 사물인터넷 기기 자체에 민감한 정보를 저장하거나 사물인터넷 기기를 경보 시스템에 직접 연결해서 사용한다면 사이버 환경이 대단히 위험해진다. 누군가 네트워크에 불법적으로 발을 들여놓는 데에만 성공해도 큰일이 벌어질 것이다. 별 생각 없이 네트워크에 연결했다가 엉뚱한 포트를 열어놓는 실수를 범할 수도 있다. 사물인터넷을 통해 네트워크 침투에 성공한 해커 입장에서는 ‘땡큐’가 절로 나올 상황이다. 누군가 ‘이쯤 되면 안전하다’고 말할 수가 없다는 것이다.

사물인터넷 기기가 가진 리스크란 아주 간단히 도식화하자면 ‘기기 수 x 기기 하나의 불안전도 x 업데이트 난이도’ 정도가 된다. 우리 회사에 연결되어 있는 기기가 총 몇 대인지, 기기 하나하나가 얼마나 불안한지, 또 업데이트가 어떤 채널로 얼마나 자주 배포되는지를 파악하면 견적이 대강 나온다는 것이다.

어떻게 안전하게 만들까?
위험의 정도에 대해 견적이 나왔다면, 이제 안전한 정도를 측정해야 한다. 먼저는 기기 자체에 대한 이해도를 높여야 한다. 특히 업무를 하는 데에 있어 활용이 되는 기기라면 보안 팀부터 기기를 샅샅이 알고 있어야 한다. 네트워크 보안을 함에 있어서 가시성을 먼저 확보하려는 것과 비슷한 개념이다. 기기가 가진 각종 기능과, 기능과 기능 간 호환문제까지도 파악하는 게 안전의 첫 걸음이다.

사물인터넷 시스템 대다수는 로컬 웹 서버, 모바일 애플리케이션, 리스닝 네트워크 포트, 클라우드 연결 장치를 가지고 있다. 그리고 이런 기능과 장치들을 가동시키는 데에는 십수 가지 외부 장치 및 서비스들과의 연결이 필요하다. 여기서부터 검토해나가는 게 어느 정도는 지름길이 되지 않을까 한다.

가능하다면 아키텍처 전반의 리뷰를 구해서 참조하라고 권하고 싶다. 사물인터넷은 ‘연결’성을 기본으로 하는 개념이라, 기기의 단독적인 기능성만으로는 모든 것을 평가할 수가 없다. 그 기기를 둘러 싼 환경 자체를 살펴야 한다. 그렇기에 아직 사물인터넷의 보안이라는 것에 대해 그 누구도 확실히 이렇다 저렇다 정의를 못 내리고 있는 것이기도 하다.

사물인터넷 기기들이 업무 환경에 더 많이 도입될수록 이런 ‘사전 학습’은 중요해진다. 보안의 입장에서 기기들을 이해하는 것도 중요하지만, 앞으로는 경영인의 입장에서도 이런 기기들을 탐구해야 할 것이다. 이는 생산자의 홍보영상이나 팜플릿 몇 장 읽는다고 해결되지 않는다. 표면적인 기능, 홍보가 되는 특장점 밑에 몰래 존재하는 약점들을 파악하려면 판매자로부터 제품 소개를 안 받는 편이 더 나을 수도 있다.

무서워하는 것 vs. 알려고 하는 것
보안 업계는 그 동안 사물인터넷이 얼마나 위험한지 계속해서 알려왔다. 하지만 불안전성에 대한 지나친 강조 때문에 업체들이 사물인터넷 기기에 돈 쓰기를 꺼려하게 되었다. 위험을 사전 예방하는 건 좋은데, 그게 아예 시장 비활성화를 걱정해야 할 지경에까지 이른 것이다. 여기에 최근 사물인터넷 기기들을 활용한 대규모 디도스 공격이 불에 끼얹은 기름과 같은 역할을 해버렸다.

물론 조심스럽게 구매 결정을 내리는 건 경제적으로나 보안의 측면에서나 바람직한 일이다. 하지만 구매를 하지 않는 ‘기다림’의 시간 동안 무엇을 하고 있느냐 역시 중요하다. 그저 정부기관이나 영향력 있는 보안 전문가의 ‘안전하다’는 선포만 기다릴 것인가? 아니면 구매 후보에 오른 기기들의 성능은 물론 아키텍처와 환경까지도 스스로 학습할 것인가?

어차피 사물인터넷 기기 하나하나의 안전성은 획일적으로 정해질 수 없다. 사용 방법과 네트워크 환경 등으로 정해진다. 그렇다면 구매자인 당신의 역할이 큰 비중을 차지한다는 것이다. 여기에 ‘아는 만큼 안전해진다’는 보안의 옛 격언을 첨부한다. 안전은 능동적일 때 훨씬 더 잘 지켜진다.

글 : 다니엘 미슬러(Daniel Miessler)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>