제조사들의 디폴트 비밀번호, 약하게 설정할 수 없어
보안 강화를 위해서 당근과 채찍을 같이 사용해야 한다는 지적 나오기도

[보안뉴스 문가용 기자] 미국 캘리포니아에서 약한 비밀번호를 금지시키는 법안이 통과됐다. 이 때문에 커넥티드 장비들이 보다 안전하고 효과적으로 네트워크에 연결될 수 있게 될 전망이다.


물론 그렇다고 해서 캘리포니아 주민이 자신의 와이파이 비밀번호를 1234로 정하자마자 경찰 특공대가 들이닥칠 것이라는 말은 아니다. 이 법안의 직접적인 영향권 아래 들어가는 건 사물인터넷 장비 제조사들이다. 이제 캘리포니아에서 이런 물건을 만드는 사람들은 디폴트 비밀번호를 고유하고 어렵게 지정해야 한다.

뿐만 아니라 인터넷에 연결된 장비들은 앞으로 반드시 보안 기능들을 가지고 있어야 한다. 여기에는 사용자가 기기를 최초로 설정할 때 새로운 인증 방법을 생성할 수 있도록 해주는 기능도 포함되어야 한다.

보안 업체 하이테크 브리지(High-Tech Bridge)의 CEO인 일리야 콜로첸코(Ilia Kolochenko)는 캘리포니아 주의 이러한 결정을 크게 환영하는 목소리를 냈다. “다른 정부 기관들도 이를 본받기를 바랍니다. 지금 우리 생활 곳곳에 쌓여가는 사물인터넷 장비들은 우리의 일상에 굉장히 커다란 위협이 되고 있습니다. 정부 차원에서의 노력이 필요합니다.”

콜로첸코는 “사물인터넷 장비는 이미 생활 속에 깊숙이 들어와있다”며 “디폴트 비밀번호의 취약함 하나만으로도 커다란 피해가 발생할 가능성이 높다”고 설명했다. “여기서 피해란 수백만 달러에 이르는 금전적 손실일 수도 있고, 누군가의 생명일 수도 있습니다.”

그러므로 약한 비밀번호를 법적으로 제거한다는 건 굉장히 의미심장한 첫 단추라고 그는 말한다. “또한 이 법안 덕분에 같은 비밀번호를 여러 곳에 재사용하는 사람들의 습관도 어느 정도 고쳐질 수 있을 것이라고 봅니다. 또한 이 법안을 시작으로 언젠가는 패치에 대한 강제성도 어느 정도 부여할 수 있게 될지도 모르겠습니다.”

하지만 이것만으로 비밀번호 설정과 관련된 모든 나쁜 습관들이 고쳐지는 것은 아니다. 왜냐하면 법적으로는 약하지 않은 비밀번호라도 브루트포스 공격은 가능한 것들이 있기 때문이다. 이에 대해서는 보안 업체 시놉시스(Synopsys)의 수석 컨설턴트인 아밋 세시(Amit Sethi)도 공감한다. “그렇기에 이번 법안이 가질 실제적인 효력에 대해서는 회의적입니다.”

그러면서 세시는 “법안에 의하면 근거리 통신망 바깥에서의 인증 수단을 갖춘 사물인터넷 장비들의 경우에만 비밀번호를 반드시 고유하게 설정하도록 한 것으로 보인다”며 “이는 사물인터넷 장비가 구축되는 네트워크가 신뢰할 만한 것이라는 전제가 깔려 있는 것”이라고 지적했다. “하지만 실제로 모든 요소가 신뢰할 만한 네트워크라는 건 실재하지 않습니다.”

그 외에도 지적사항들이 나오고 있다. 보안 업체 원 아이덴티티(One Identity)의 총괄 책임자인 빌 에반스(Bill Evans)는 “관리자 비밀번호와 관련된 문제나, 대형 조직들이 관리자 비밀번호를 관리하는 방법에 대해서는 별다른 내용이 없다”고 짚었다. 그러면서 “보안을 세금과 결부시키면 보안이 크게 강화될 것”이라고 말하기도 했다.

“예를 들어 권한 계정에 대한 관리 솔루션에 투자할 때마다 세금을 1달러씩 공제해준다고 생각해보세요. 계정 하나마다 이런 식의 혜택을 준다면, 회사들이 이거 다 하고 싶어할 걸요?” 그의 말은 “보안 강화를 채찍만으로 할 수 없다”는 것이다. “보안에는 모든 사람이 참여해야 하고, 그러려면 당근의 역할도 필요할 때가 있습니다.”

한편 이 법안이 시행되는 건 2020년부터다.

3줄 요약
1. 캘리포니아, 사물인터넷 보안 관련 법안 통과시킴.
2. 이제 사물인터넷 제조사들은 디폴트 비밀번호를 강력하게 만들어야 하고, 사용자들이 추가 인증 수단을 생성할 수 있도록 옵션을 제공해야 함.
3. 의미가 깊은 첫 단추라는 반응도 있지만, 실효가 없을 것이라는 반응도 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>