사물인터넷(IoT) 보안을 위한 8가지 방법

사물인터넷(IoT) 보안을 위한 8가지 방법

사물인터넷(IoT, Internet of Things)은 가전제품, 컴퓨터, 마이크로프로세서, 그리고 기계 등 IP 주소 혹은 일정 형태의 디지털식별(digital identification) 체계를 지니고 있는 모든 사물을 상호 연결하는 수단으로만 잘못 알려져 있다. 

IoT가 이러한 능력을 지니고는 있지만, 그것보다 더 막대한 영향력을 지닌다. 더 자세히 말하자면, IoT는 자동화된, 그리고 중앙 집중의 데이터 수집 및 분석 능력을 탑재한 디바이스의 상호 연결이라고 할 수 있다. 

사진출처 : http://gcn.com/Articles/2014/10/23/Ways-to-secure-the-IoT.aspx?Page=1

상호 연결된 IoT 디바이스, 그리고 이들이 지니고 있는 데이터 수집 및 확산 능력(혹은 이들로부터 데이터를 추출하는 능력)은 10년 전만 해도 들어보지 못했던 극도의 편리함과 안전한 수단을 제공한다. 공장 혹은 물류 운송측면에서 보자면, IoT는 상당한 비용절감 효과를 제공해줄 수 있다. 빅데이터 분석 및 기업 공정 최적화가 실시간으로 이행될 수 있으며, 새로운 차원의 운영 개선을 이끌어낼 수 있다. 

그러나 IoT로 인한 이러한 편리함과 효율성 개선에는 단점도 적지 않다. 즉, 만일 IoT 디바이스가 처음부처 제대로 설계되지 않으면 심각한 보안상의 문제점을 야기할 수 있다. 이러한 취약점은 국가 수준의 보안 위험으로 확대될 수도 있다. 

산업통제시스템으로 운용되는 SCADA(Supervisory control and data acquisition) 시스템은 주요 기반시설 요소를 통제하며, 이에는 전력 시스템, 수로, 교통 신호, 통신 시스템 등이 포함된다. 주요 기반시설을 구성하는 시스템은 단독으로 운영되지 않고 다른 시스템과 상호 연계된다. 이들은 관련 인프라와 상호 연결되어 최적의 서비스를 제공하도록 구성된다. 

그러나 이러한 네트워크들도 공격에 취약하며, 이로 인해 전략 공급 중단, 테러 공격 대응 마비 등의 문제점을 야기할 수 있다. 분명히 편리함을 추구하는 네트워크 연결기술은 마찬가지로 취약점을 생성할 수 있다. 이는 기술과 자동화가 지니는 양면의 칼이라고 할 수 있다. 

그러면 IoT의 장점을 취하고, 이와 동시에 조직과 단말기, 그리고 주요 기반시설의 보안을 위해서 어떠한 방법이 필요할까? 이에 대한 해답을 아래와 같이 제시할 수 있다.

1. 웹을 통해 업데이트를 받는 단말기들이 안전한 시스템을 통해 다운받을 수 있도록 할 것. 안전한 연결과 이용을 위해 2중 인증 시스템을 사용할 것. (예를 들어 물리적 디바이스와 PIN을 결합한 인증)

2. IoT와 연결된 디바이스의 위치 데이터 전송 보안. IoT 서비스 제공자에게 수집된 데이터가 어떻게 보호되고 있는지 확인할 것. 이는 가상과 물리적 공간 모두 포함됨. 만일 시스템 침해사고가 발생하면 얼마나 서비스 제공자가 책임질 것인지를 적시한 계약을 체결할 것. 

3. 시스템 암호화. 주요 기반시스템은 데이터 전송을 웹을 통해 수행한다면 반드시 암호화 기술을 사용해야 함. 그러나 이러한 보안수단 또한 내부자에 의한 공격일 경우 충분치 않을 수 있기 때문에, 두 사람이 패스워드와 운영시스템을 같이 통제하는 방안을 통해 보안을 강화할 것. 

4. 공급망 보안 강화. 불법 위조된 칩 혹은 디바이스 등이 보안 취약점을 야기할 수 있으므로, 제조업체 공급망에 대한 보안을 강화하여 악성 코드의 침입을 사전에 방지할 것. 

5. IoT 보안을 지원할 것. 기술 구매자의 경우 IoT 보안에 투자를 하는 제조업체를 선정할 필요가 있음. 보안 표준에 부합한 IoT 디바이스를 선택함으로써 관련 규정을 준수해야 함. 

6. Out-Of-Band(컨트롤 트래픽과 사용자 채널 분리) 시스템, 즉 공개되지 않는 폐쇄망 사용. 미 국방부는 IoT와 연결된 디바이스를 사용하지만, 폐쇄망을 이용하기 때문에 해커 공격에 자유롭다. 방위 무기 시스템과 센서가 장착된 군복은 주요 상황에 대한 정보를 집중화된 통제 센터로 전송한다. 이들은 해킹 공격에 비교적 안전하지만, 내부자 공격에는 취약할 수 있다. 

7. 표준화 지원. 오픈 웹 어플리케이션 보안 프로젝트(OWASP, Open Web Application Security Project)는 웹 어플리케이션 보안을 위한 온라인 커뮤니티로서, 이는 안전한 웹 인터페이스, 인증, 안전한 네트워크 서비스, 운송 시스템 암호화, 안전한 클라우드 및 모바일 인터페이스, 보안 구성 통제, 안전한 소프트웨어 및 펌웨어와 적절한 물리적 보안 등과 같은 항목들을 표준화한다. 이들은 모두 IoT 보안을 위한 전체적이고 통합된 접근에 중요한 역할을 한다. 

8. 상시 관련 정보에 대해 숙지할 것. 이러한 디바이스 보안 관리에 대한 가장 최신 정보는 미 국가표준기술연구소(NIST, National Institute of Standards and Technology)와 연방정보처리표준(FIPS, Federal Information Processing Standards) 등과 같은 연방정부 가이던스에서 찾을 수 있다. 이들 조직은 정보 보호 및 주요 시스템 보안을 위해 필요한 중요한 단계를 제시한다. 

IoT는 앞으로 지속적으로 발전할 것이다. 우리는 데이터와 주요 시스템 보안을 위해 임베디드 보안 능력을 키우기 위한 노력을 지속해야 한다. 

원문출처 : http://gcn.com/Articles/2014/10/23/Ways-to-secure-the-IoT.aspx?Page=1

출처 KISTI 미리안 『글로벌동향브리핑』