'사물인터넷이 기업 보안 바꾼다' 6가지 이유

원본 : http://www.ciokorea.com/news/20551

대다수 보안 부서들이 꼽은 걱정스러운 위험 목록에는 스팸메일을 무차별 발송하는 냉장고(spamming refrigerator) 같은 대상은 들어있지 않을 것이다. 그러나 올해 초, 인터넷에 연결된 냉장고에 봇넷(botnet)이 수만 명의 인터넷 사용자에게 스팸메일을 발송했다는 소식이 전해졌다. 그리고 최소한 몇 명은 이 소식에 관심을 가졌을 게 분명하다.

이 사건은 소비자 가전 제품이 적절한 보안 보호 대책 없이 인터넷에 연결돼 있다면 기업 위험을 초래할 가능성도 있다.

애널리스트들은 앞으로 몇 년 이내에 수백 억 대의 기기들이 앞서 언급한 냉장고와 유사한 방식으로 인터넷에 연결될 것으로 내다보고 있다. 이른바 사물인터넷(IoT) 현상은 시각에 따라 전도 유망하거나, 위협적이며, 인터넷과 네트워크로 연결된 세상에 관한 생각을 바꿔 놓을 수도 있다. 또 상당 부분 소비자 지향형 제품과 관련이 있을 것으로 추정됐다. 그러나 모든 기술이 그렇듯, 소비자 기술 역시 결국에는 기업에 영향을 미칠 것이다.

다음은 사물인터넷이 기업 보안에 영향을 미치는 6가지 이유다(중요도 순은 아니다).

1. IoT는 수십 억의 새롭고 안전하지 않은 엔드포인트를 생성할 것이다

2020년까지 인터넷에 연결될 '사물'이나 기기의 수에 관해서는 전문가마다 의견이 엇갈리고 있다. 가트너는 260억 대의 기기가 연결될 것으로 전망하고 있다. 반면 IDC는 2,120억 대의 인터넷 연결 기기가 설치될 것으로 예상했다. 어느 쪽이 맞든 한 가지는 분명하다. 많은 IP 구현 기기들이 엔터프라이즈에 진출할 것이라는 점이다. 스마트 난방 및 조명 시스템, 지능형 미터기(계량기), 기기 모니터링 및 유지보수 센서, 산업용 로봇, 자산 추적 시스템, 스마트 소매 진열대, 공장 제어 시스템, 스마트워치와 디지털 안경, 피트니스 모니터링 제품 등 개인용 기기 등을 예로 들 수 있다.

상당수 제품은 소비자 시장을 겨냥한 단일 목적의 기기가 될 것으로 추정됐다. 다른 기기들도 저렴한 센서를 이용해 인터넷에 연결될 것으로 분석되고 있다. 문제는 대다수가 잘 알려진 온라인 공격으로부터도 보호를 받지 못하는 기기라는 점이다. 이들 기기에는 IT가 오랜 기간 익숙해진 운영 시스템, 펌웨어, 패치 지원이 없을 수도 있다.

클라우드 보안 업체인 하이트러스트(Hytrust)의 에릭 치우 대표는 IoT이 수십억 개의 안전하지 못한 새로운 엔드포인트를 생성할 것이라고 언급했다. IP 주소로 식별이 가능한 이들 기기들은 기기를 감염시키거나 엔터프라이즈 네트워크에 접속할 수 있도록 설계된 새로운 공격 지점을 만들게 된다.

현재 가용한 안티 스팸, 안티 바이러스, 안티 악성코드 인프라는 통상 이들 IoT 기기를 보호하지 못한다. 또 IT 부서가 이를 정기적으로 모니터링 하지도 못한다. 새로운 보안 문제가 발생했을 때 이에 대처하기 위한 패치도 제공되지 않는다.

기업들은 접속 대상을 제어할 수 있다. 그러나 IoT에서는 이런 방법이 무력화된다. 치우는 "기업들은 이미 범죄자가 침입했다고 가정한 상태에서 여기에 맞는 대응하게 될 것이다"고 말했다. '경계선 방어'를 포기해야 한다는 의미는 아니다. 공격자들이 이미 네트워크에 침입했다는 가정을 출발점으로 삼는 전략을 도입해야 한다는 의미다.

2. IoT 결국 엔터프라이즈 네트워크와 만날 것이다 

미국 국토안보부의 사이버보안 책임자를 지낸 RSA의 아미트 요란 대표는 더 이상 진정한 자립형 산업용 제어 네트워크와 항공 통제 네트워크가 없듯이, IoT가 부상할 세계에서는 진정한 독자적인 엔터프라이즈 네트워크도 자취를 감출 것이라고 전망했다.

어떤 네트워크 기법과 에어 갭(air gap)을 도입하든 IoT이 엔터프라이즈 네트워크와 교차하는 지점이 존재할 것이라는 의미다. 이런 접점은 공격에 아주 취약하다.

IoT는 엔터프라이즈 네트워크를 포함해 모든 것에 연결이 될 전망이다. 그는 "현재 엔터프라이즈 네트워크와 클라우드가 있다. 현재 기업 사용자들은 엔터프라이즈 네트워크를 경유하지 않고 BYOD를 통해 클라우드 인프라에 직접 접속한다"고 말했다.

그러나 IoT는 내부나 클라우드에 저장된 엔터프라이즈 데이터에 접근하는 다양한 내부와 외부 기기를 통제하기 어렵도록 만들 것으로 분석됐다.

요란은 "IoT와 엔터프라이즈 네트워크가 교차하게 된다. 기업 네트워크나 인프라에 연결돼 있는 웹 구현 기기를 해킹하면 트래픽을 통과시킬 수 있는 '브릿지'를 생성할 수 있다. 물론 이런 위험을 경감할 수 있는 방법들이 있다"고 말했다. 그러나 결국에는 모든 것이 서로 연결된다. 요란은 "앞으로 어떤 일이 일어날지 예측하기 위해 컴퓨터 역사서를 뒤져 볼 필요가 없다. 사회 전체가 IoT라는 방향으로 움직이고 있다"고 말했다.

3. IoT는 이기종 임베디드 기기의 세계가 될 것이다

매릴랜드주 베세스다(Bethesda)에 위치한 SANS연구소(SANS Institute)의 연구책임자 존 페스카토는 운영 시스템에 내장됐거나 하드웨어에 묶여 있는 애플리케이션을 장착한 기기나 어플라이언스가 IoT의 대다수를 차지하게 될 것이라고 말했다.

이런 점을 감안하면, IoT 세계는 IT와 IT 보안 전문가들이 익숙한 계층화된 소프트웨어 모델과는 아주 다른 모델에 기반을 둘 전망이다.

무엇보다 기기들이 서로 이질적이다. IT는 누구나 동일한 기술을 사용하도록 설득하고 유도하기가 아주 어려워진다.

IoT 세계에서는 통신 프로토콜의 상당수 또한 이질적이다. IT 조직들은 TCP/IP, 802.11, HTML5 대신 지그비(Zigbee), 웹훅스(WebHooks), IoT6 같은 새로운 프로토콜을 처리하게 된다. 현재 2~3년이 일반적인 IT수명주기(lifecycles)도 2~3개월에서 기기에 따라서는 20년 이상으로 다양해질 전망이다.

SANS의 조사 결과에 따르면, IT관리자들은 가장 크게 걱정하는 IoT 분야로 스마트 빌딩, 산업용 제어 시스템, 의료기기, 소비자 기기를 꼽았다.

페스카토는 "이들 기기의 임베디드 컴퓨터 인프라는 IT가 관리와 보안에 익숙해있는 PC 및 서버 환경의 계층 기반 운영 시스템과 애플리케이션과는 달리 기존 IT 관리와 보안 관리에서 많은 허점을 드러내도록 만들 것"이라고 언급했다.

4. IoT는 물리적, 생리적 피해를 초래할 것이다

지스케일러(Zscaler)의 마이클 서튼(Michael Sutton) 보안 연구 담당 부사장은 온라인 위협은 주로 데이터가 표적이지만, IoT 세계에서는 물리적 위험과 생리적 위험도 존재할 것이라고 강조했다.

이미 해커들의 공격으로 IP 구현 인슐린 펌프, 혈당 모니터, 심장 박동 조절 기기가 감염되어 이를 착용한 환자들에게 생리적 피해가 발생한 사례가 있다. 또 스턱스넷(Stuxnet) 같은 공격은 사이버 공격이 물리적 시설에 얼마나 큰 피해를 초래할 수 있는지 보여준다.

IoT 세계에서는 자동차와 스마트 난방기, 공조기, 에어 컨디셔닝 시스템, 웹에 연결된 복사기, 프린터, 스캐너, 기타 IP 주소가 부여된 모든 기기를 대상으로 한 공격이 가능해진다. 공격자들이 이런 기기를 표적으로 삼지 않는 유일한 이유는 가장 쉽게 공격을 해 목표를 달성할 수 있는 대상들이 많기 때문이다.

많은 경우, 소프트웨어나 하드웨어의 취약점을 찾을 필요도 없이 기기를 감염시킬 수 있다. 모든 사물이 IP 주소를 갖는 세상에서 기업들이 직면할 가장 큰 위험 중의 하나는 설정이나 구성 측면에서의 실수와 관련이 있다. IP 구현 프린터와 복사기, 웹캠 등 기업들이 네트워크 접속을 허락하는 기기 중 상당 수는 기본 설정 값으로 온라인에 연결돼 있다. 누구나 웹에 접속해 기기를 통제할 수 있다는 의미다.

5. IoT는 새로운 공급망을 만들어낼 것이다 

엔터프라이즈는 많은 경우 기기 제조업체로부터 패칭과 펌웨어, 운영 시스템을 지원 받거나, 독자적으로 기술을 지원할 방법을 찾아야 한다. 그리 멀지 않은 미래에 엔터프라이즈 네트워크에 연결될 기기 중 상당수는 전통적인 IT 보안 조직들이 친숙하지 않은 기업들이 만든 기기가 될 전망이다.

기기 인증 및 ID 관리 기술 업체인 아이덴티브(Identiv)의 CEO 제이슨 하트는 "BYOD와 마찬가지로 IT로서는 경험해보지 못했을 많은 기기를 관리하고, 통합할 수 있는 시스템과 정책을 개발해야 한다. 또 직원들이 사무실은 물론 가상 업무에 사용하기 위해 가져올 새로운 인터넷 연결 기기에 추가해 커피 머신에서 인체공학 의자에 이르기까지 새로운 인터넷 연결 기기가 IT 지원과 정보 보안에 있어 업무 부담을 가중 시킬 것이다"고 지적했다.

브리티시 컴퓨터 소사이어티(British Computer Society)의 연구원이자 개인 보안 컨설턴트로 활동하고 있는 크리스 얍은 새로운 IP 구현 기기가 엔터프라이즈 네트워크에 연결되면서 발생하는 복잡한 문제들을 기업들이 관리할 수 있도록 돕는 업체들이 IoT 환경에서는 성공하게 될 것이라고 밝혔다.

그는 복잡한 기술 통합 과정을 관리한 경험이 있는 회사들이 IoT 환경에서도 성과를 일궈낼 가능성이 가장 높다고 덧붙였다. 전통적인 방식을 고수하는 IT와 보안 업체들은 IoT 동향이 기업 IT에 미칠 영향을 제대로 이해하지 못하고 있다.

얍은 "기존 공급자들은 일반적으로 시각이 좁은 경향이 있다는 도전에 직면해 있다. 또 많은 시간을 들여야 경쟁에 필요한 내부 역량과 협력 체계를 구축할 수 있을 것이"고 예상했다.

6. IoT는 온라인 공격의 규모, 은밀함, 지속성 관련 문제를 악화시킬 것이다

최소한 이론적으로는 오늘날 대다수 IT 조직이 직면하는 위협과 모든 사물이 연결되는 세계에서 발생할 위협 사이에는 큰 차이가 없다. 이미 많은 회사들이 스마트폰, 태블릿, 기타 무선 구현 기기들로 발생하는 문제에 친숙해 졌다. 그러나 IoT 세계에서는 도전의 규모와 범위 측면에서 큰 차이가 있다.

캘리포니아주 서니빌에 있는 한 Security-aaS(as-a-service) 업체인 프루프포인트(Proofpoint)의 보안 담당 부사장인 케빈 엡스타인은 "IoT에는 인터넷에 연결된 모든 기기가 포함된다"고 말했다.

즉 스마트 서모스탯 등 홈 자동화 기기, 보안 카메라, 냉장고, 전자레인지, TV와 게임 콘솔 같은 홈 엔터테인먼트 기기, 산업용 제어 기계류, 재고를 채울 시기를 판단하는 스마트 소매 진열대 등 모든 사물을 일컫는다.

따라서 IT 조직이 감당해야 할 도전도 커진다.

엡스타인은 "공격의 규모, 은밀함, 지속성 측면에서 도전에 직면하게 된다"고 말했다. IoT가 본격화되지 않은 지금도 공격자들이 비교적 손쉽게 기업 방어망을 뚫고 침입하고 있다. 엡스타인은 "공격이 10배나 증가한다고 가정해보기 바란다. 또 누구도 기기를 통제하지 못한다"고 말했다.