방대한 IoT 기기, 획일화된 보안조치는 비현실적
취약점 분석 수동으로 하면 비싸고 시간 소요 커
자동화된 취약점 분석은 ‘보안의 민주화’도 실현

[보안뉴스 오다인 기자] 사물인터넷(IoT) 보안에는 확장성(scalability)이, 취약점 분석에는 자동화(automation)가 담보돼야 한다는 의견이 나왔다. 27일 서울 서초구 삼성전자 서울R&D캠퍼스에서 열린 제2회 삼성전자 보안 기술 포럼(SSTF)에서다.


아마드 레자 사데기(Ahmad-Reza Sadeghi) 독일 다름슈타트 공과대학교 교수는 ‘사물, 위협, 신뢰: 멋진 IoT 신세계에서의 보안 위협과 프라이버시 과제들’이라는 주제로 발표했다. 이어 아담 두페(Adam Doupe) 미국 애리조나 주립대학교 교수가 ‘자동화된 취약점 분석의 역사와 미래’에 대해 밝혔다.

IoT 보안과 관련해 사데기 교수는 “향후 IoT 기기 수 자체가 방대해지는 만큼 확장 가능한 보안(scalable security)이 필요하다”고 말했다. 그는 “삼성이나 구글뿐 아니라 수백 개 업체들이 IoT 기기를 만들고 있는 상황에서 이들 모두를 어떻게 조직(organize)할 것이며 이들 중 악성 기기만 어떻게 가려낼 것인가”라고 질문했다.

그는 “IoT 기기가 하는 일은 켜짐 또는 꺼짐(switch on and off)이 전부”라면서 “이처럼 단순한 행위에서 이상 트래픽을 즉각 탐지하는 것은 어렵다”고도 설명했다. 그러나 “IoT 기기가 서로(to each other) 통신하는 것은 아니며 라우터를 통해서 통신한다는 사실을 명심하고 IoT 보안에 접근해야 한다”고 강조했다. IoT 기기가 서로 통신한다고 할 경우, 문제가 훨씬 더 복잡해진다는 것이다.

이와 함께 그는 “전통적인 IDS로는 IoT 보안 위협을 해결할 수 없는 데다 기기 보안에 대해 언제나 동일한 추정을 내리기도 어렵다. IoT 기기는 주기적인 행동 패턴을 보이기 때문에 IoT 네트워크 내 침해된 기기를 탐지할 자가 학습 시스템이 만들어질 가능성도 충분히 있다”고 덧붙였다.

아담 두페 교수는 취약점 분석이 왜 자동화로 나아가야 하는지에 대해 말했다. 두페 교수는 “해킹과 CTF(Capture the Flag)에 매료돼 보안을 하게 됐다”며 데프콘(DEFCON)의 공격·방어 방식을 설명했다. 그는 데프콘 CTF의 오거나이저(organizer)를 맡고 있기도 하다.

올해 데프콘26 CTF에서 바뀐 점을 밝히면서 두페 교수는 “패칭 사이즈를 제한함으로써 고쳐야 하는 취약점을 정확하게 파악해내도록 했다”고 말했다. 그러면서 “취약점 분석의 궁극적인 목표는 공격자 전에 취약점을 찾아내고 고치는 것”이라고 밝혔다.

그는 “애플리케이션 개발사가 취약점을 찾아내기 위해 데프콘 CTF 우승팀을 고용한다고 생각해보라”면서 인간이 직접 취약점을 분석하는(manual vulnerability analysis) 것의 단점을 짚었다. 수동으로 하는 취약점 분석은 비싸고, 시간이 많이 걸리며, 확장되지 않는다는 것.

반면, 자동화된 취약점 분석은 저렴하고 빠른데다 보안을 민주화(democratize)할 수 있다고 그는 강조했다. 보안의 민주화와 관련해 그는 “지금까지 취약점 분석은 전문가들의 손에 맡길 수밖에 없었지만 자동화되면 전문성이 없는 사람들도 툴만 구하면 자체적으로 취약점 분석을 할 수 있다는 뜻”이라고 설명했다. 나아가 “보안의 생태계 발전도 도모”할 수 있게 된다.

두페 교수는 그러나 “자동화된 취약점 분석 툴의 목표는 수동 취약점 분석에 최대한 근접하게 되는 것”이라며 “컴퓨터는 빠르지만 인간만큼 똑똑하지 않고, 이 두 가지를 어떻게 결합할 것인가가 남겨진 과제”라고 말했다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>