Last Updated on 6월 5th, 2023, By
 In AppSealing News, 앱실링 블로그
0

 

IoT는 오늘날 거의 모든 산업에서 가장 화제인 단어입니다. IoT는 다양한 분야에서 많은 산업과 프로세스를 변화를 가져올 수 있고, 이미 변화를 불러오기도 했습니다. IoT 애플리케이션 등장의 직접적인 결과로 이제 사람들은 집안에서나 외출 중에도 더욱 안전하게 생활하며 기술 기반 제품을 더 잘 제조하고 소비할 수 있게 되었습니다. 하지만 IoT가 약속하는 모든 좋은 점들 이면에는 IoT로 인해 발생할 수 있는 나쁜 점들을 자초하지 않기 위해 극복해야 할 장애물들이 있습니다. 그리고 우리 앞에 놓인 가장 큰 과제 중 하나는 IoT 보안입니다. 

이 문서에서는 IoT 보안에 대한 이러한 당면 과제를 중점적으로 다루며 다음과 같은 주제를 다룹니다.

  • IoT 보안 문제의 특성과 범위
  • IoT 보안 문제에 가장 취약한 산업
  • IoT 기기를 더 안전하게 만들 수 있는 방법
  • IoT 보안 위협을 전사적으로 무효화할 수 있는 방법
  • IoT의 미래는 어떻게 될 것인가?

 

IoT 보안

IoT 보안은 사물인터넷에 연결된 기기와 네트워크를 보안 공격으로부터 보호하는 기술 영역입니다. IoT 보안 환경에는 IoT 기기 및 네트워크를 보호하는 데 필요한 기술, 프로세스, 규제가 포함됩니다. 여기에는 산업용 기계, 엔터테인먼트, 홈 자동화 장치, 에너지 그리드, 작업 공간 시스템, 네트워크 보안을 위해 특별히 설계되지 않은 장치도 포함됩니다.  

IoT 보안은 네트워크 및 시스템, 장치와 다음과 같은 4가지 주요 취약점을 포함하여 다수의 IoT 보안 공격으로부터 데이터를 포괄적으로 보호합니다.

IoT 보안의 중요성

현대 IoT 생태계는 부드럽게 표현하자면 조금 복잡합니다. 현재는 어떤 업계를 살펴봐도 데이터를 클라우드 및 백엔드 애플리케이션으로 전송하도록 구성할 수 있는 기계와 물건을 찾을 수 있습니다. 그리고 우리가 수년 동안 사이버 공격을 통해 배웠듯이, 인터넷에 연결된 모든 것은 사이버 보안 침해에 취약합니다. IoT 시스템과 기기에 침투할 기회를 노리고 있는 해커들이 줄을 잇고 있습니다. 

또 다른 요소는 IoT 생태계를 대부분의 가정, 기업, 산업에 보급하고 많은 대중과 기업이 IoT 생태계의 혜택을 누릴 수 있도록 보편적 신뢰를 구축하고 있다는 것입니다. 하지만 IoT의 내재된 보안 위험은 이러한 노력을 방해하고 있습니다. 2018년 한 조사에 따르면 90%의 소비자가 IoT 보안을 신뢰하지 않는 것으로 나타났습니다.

또 다른 설문 조사에서는 63%의 소비자가 어떤 종류의 연결된 장치든 모두 ‘소름 끼친다고’ 응답하기도 했습니다. IoT 보안은 이 문제를 해결하는 데 도움이 될 수 있습니다. IoT 기기와 네트워크의 보안이 강화될수록 더 많은 당사자들이 이를 신뢰하게 되고 결과적으로 IoT 사용에 동조하게 됩니다.

2021년의 가장 큰 IoT 보안 과제는 무엇인가?

오늘날 IoT 보안 솔루션의 엔드 투 엔드 구현에는 수많은 과제가 있습니다. 우리가 직면한 문제의 규모를 이해하기 위해 문제를 분석해보겠습니다.

액세스 권한 부여: 

적절한 사용자 인증 시스템을 설정하는 것이 가장 큰 과제 중 하나입니다. 산업용 IoT 네트워크에는 서로 다른 인증 요구를 가진 여러 장치가 있습니다. 그리고 기기별로 적절한 사용자 인증 시스템을 설정하는 것이 어려워졌습니다. 

네트워크 취약점:

복잡한 장치 네트워크가 있을 경우 약점을 매우 정확하게 파악할 수 있습니다. 시스템의 모든 추가 장치는 새로운 취약성을 가져오며, 이를 해커가 보호되지 않은 상태로 둘 경우 이를 이용할 수 있습니다. 예를 들어 IoT 환경 내의 기기가 안전하지 않은 프로그램을 실행하고 해커가 기기의 중요한 정보에 액세스할 수 있습니다. 그러한 위반이 복잡한 네트워크 내에서 감지될 때쯤이면, 보통 이미 늦은 것입니다. 

소프트웨어 업데이트:

오래된 소프트웨어는 보안 침해의 가장 일반적인 요인 중 하나입니다. 비즈니스 소프트웨어는 최신 보안 업데이트를 제때 수신하지 못해 소프트웨어가 최신 악성 프로그램에 취약해질 수 있습니다. 애플리케이션 구조는 취약성을 가지는 경우가 있고, 이러한 취약성은 탐지되지 않을 수 있기 때문에 해커가 들어오도록 문을 열어두는 격이 됩니다.

인적 오류:

대기업에서는 IoT 보안에 인적 오류가 큰 관심사입니다. 직원들이 실수로 안전하지 않은 링크를 클릭하거나, 안전하지 않은 웹사이트에 액세스하거나, IoT 기기에서 공용 Wi-Fi 연결을 사용하여 해커들이 네트워크에 진입할 수 있는 구멍을 열어둘 수 있습니다. 특히 IoT 네트워크에 연결된 직원이 수백 명일 때는 직원 활동을 통제하는 것이 매우 어렵고, 인적 오류가 발생하기 마련입니다. 

기기 감염: 

방대한 IoT 환경에서는 일부 기기가 감염될 수 있으며, 오랫동안 눈에 띄지 않을 수 있습니다. 감염된 기기는 종종 정상적으로 실행되지만, 기기가 계속해서 정보를 손상시킬 수 있습니다. 해커들은 정보 수집을 위해 이러한 침입 기술을 사용합니다. 손상된 기기는 탐지되지 않은 상태로 유지되고 탐지되지 않은 작은 패키지에서 정보가 유출됩니다. 정보는 조용히 수집되며 충분한 정보가 확보되는 즉시 해커가 대규모 공격을 감행할 수 있습니다. 또한 많은 IoT 기기에는 리소스가 제한되어 있으며 강력한 보안 솔루션을 구현하는 데 필요한 컴퓨팅 리소스가 없습니다. 온도 및 습도 센서와 같은 일부 장치는 고급 보안 기능이 함께 작동하도록 설계되어 있지 않습니다.

시장 진출 압력:

IoT는 아직 초기 산업이기 때문에 많은 제조업체와 디자이너들이 제품 설계 및 개발 단계에서 IoT를 우선순위에 두지 않습니다. 이들은 보안이 손상되더라도 제품을 신속하게 출시하는 데 초점을 맞추고 있습니다. 처음부터 보안 솔루션을 통합하지 않으면 IoT 상의 대부분의 기기가 사이버 보안 위협에 노출됩니다.

레거시 자산 통합:

IoT 보안의 또 다른 주요 과제는 IoT 연결을 위해 기본적으로 설계되지 않은 레거시 자산을 연결하는 것입니다. 이러한 자산을 커넥티드 기술로 대체하는 것은 비용이 많이 들기 때문에 스마트 센서가 장착되는 것이 보통입니다. 또한 레거시 자산은 현대의 보안 위협에 실제로 직면한 적이 없기 때문에 공격 노출면은 더욱 넓어집니다.

IoT 보안 공격에 가장 취약한 산업

IoT 생태계와 연결된 모든 것이 보안 공격에 취약합니다. 스마트홈, IoT 커넥티드 카, 제조 유닛, 스마트 전력망 등 모든 기기가 IoT 보안 위협에 노출되어 있습니다. 위협의 정도는 물론 다양하며, 영향의 심각성도 다양합니다.

예를 들어, 자동차 가속장치의 수동 작동을 무시하거나 브레이크를 비활성화하는 공격은 생명을 위협할 수 있습니다. 마찬가지로, 인슐린 펌프가 해킹되면 환자에게 너무 많은 또는 너무 적은 양의 약을 주입하여 그들의 생명을 위험에 빠뜨릴 수 있습니다.  

우리는 지난 20년 동안 수백 건의 IoT 보안 공격을 받았으며, 이러한 공격에 영향을 받은 산업은 대형 소매 체인(2013 Target Attack)에서 금융 제철소(2014년 독일)에 이르기까지 다양합니다.

IoT 네트워크 및 기기 보안

IoT 보안 대책은 IoT의 특정 응용 분야와 IoT 생태계의 여러 역할에 따라 다양합니다. 다음은 IoT 기기 보안을 강화하기 위해 다양한 수준에서 구현할 수 있는 보안 조치에 대한 개요입니다.

IoT 기기를 위협으로부터 보호하기 위한 IoT 보안 팁

설계 단계에서 보안 통합

IoT 보안은 소비자용 기기든 산업용 기기든 기기 개발 프로세스의 최전선에 있어야 합니다. 기본적으로 보안을 설정하고, 최신 운영 체제를 설계하고, 보안 하드웨어를 사용하는 것이 중요합니다. 처음부터 장치에 더 많은 보안 조치가 내장되어 있을수록, 더 많은 조작 방지가 될 것입니다.

설계 프로세스에서 하드 코딩된 자격 증명 제거

하드 코딩된 자격 증명은 실제로 사이버 공격을 조장할 수 있습니다. 장치가 작동하려면 사용자에게 자격 증명을 업데이트해야 합니다. 기기에 기본 인증 정보가 있는 경우 사용자는 강력한 암호, 다중 요소 인증 또는 생체 인식을 사용하여 이를 수정해야 합니다.

강력한 소프트웨어 보호 제공

IoT에 연결된 장치를 안전하게 보호하려면 능동적이고 강력한 소프트웨어 보안 조치를 실행해야 합니다. 제조업체와 개발자는 다음과 같은 보안 조치를 실행해야 합니다. 

  • 소프트웨어에 대한 액세스를 허용하려면 암호 보호가 필수여야 합니다. 암호는 사용자에게 기밀이어야 합니다. 
  • 커넥티드 기기를 통한 인터넷 사용에 대한 제한을 두어야 합니다. 중요한 데이터 유출을 방지하기 위해 특정 소프트웨어 기능에만 사용을 제한할 수 있습니다.  
  • 민감한 프로그램은 방화벽에서 차단되어야 합니다. 
  • 연결된 모든 장치를 최신 버전의 소프트웨어로 업데이트해야 합니다. 
  • 잠재적인 위협을 지속적으로 모니터링해야 합니다. 정기적인 보안 검사를 수행해야 합니다. 이러한 검사에서 확인된 보안상의 허점은 즉시 해결되어야 합니다.

API 보안 통합

애플리케이션 성능 지표(API) 보안은 IoT 기기에서 다양한 백엔드 시스템으로 전송되는 데이터의 무결성을 보호합니다. 인증된 기기, 개발자, 앱만 API와 통신할 수 있습니다.

기기 ID 관리

각 장치에는 고유 식별자가 할당되어 장치의 동작, 다른 장치와의 상호 작용을 이해하고 모니터링하며 특정 장치에 대한 적절한 보안 조치를 식별할 수 있습니다. 또한 신원 스푸핑 시도를 막는 데에도 도움이 될 것입니다.

하드웨어 보안 강화

강화된 보안을 통해 기기를 변조 방지하면 많은 IoT 보안 공격을 방지할 수 있습니다. 이 방법은 일반적으로 열악한 환경에서 사용되거나 장치의 지속적인 물리적 모니터링이 불가능한 장치의 경우 훨씬 더 중요합니다.

네트워크 보안

보안 네트워크는 IoT 기기 보안을 기하급수적으로 강화합니다. 이를 용이하게 하기 위해 다음과 같은 IoT 네트워크 보안 조치를 취할 수 있습니다.

  • 포트 보안 보장, 필요하지 않은 경우 포트 열기 방지
  • 악성 소프트웨어 방지 및 방화벽 사용 
  • 침입 탐지(또는 차단) 시스템 배포
  • 인증되지 않은 IP 주소 차단
  • 모든 시스템 패치 및 업데이트

보안 게이트웨이

보안 게이트웨이는 네트워크와 연결된 장치 사이의 중개 역할을 합니다. IoT 기기와 비교해 더 좋은 처리 능력, 메모리, 훨씬 고급 기능을 갖추고 있어 보호되는 IoT 기기에 해커가 접근할 수 없도록 방화벽과 같은 기능을 구현할 수 있습니다.

패치 관리

연결된 모든 기기와 소프트웨어는 네트워크 연결 또는 자동화를 통해 지속적으로 업데이트되어야 합니다. 시간 효율적인 패치 관리를 보장하려면 취약점을 즉시 공개해야 합니다. 바이러스 백신 업데이트도 자동으로 설치해야 합니다.

직원 교육

많은 기존 보안 팀이 IoT와 운영 체제 보안이라는 새로운 개념으로 인해 어려움을 겪고 있습니다. 보안 직원을 교육하고 새 시스템을 최신 상태로 유지하는 것이 매우 중요합니다. 이들은 새로운 아키텍처와 프로그래밍 언어를 학습하고 알려지지 않은 보안 문제에 대비해야 합니다. 특히, 최신 사이버 보안 위협과 보호/예방 조치에 대한 최신 정보를 제공하기 위해 C-레벨 및 사이버 보안 팀을 정기적으로 교육해야 합니다.

서로 다른 팀 통합

서로 다른 팀을 통합하여 공동의 목표를 달성하면 지식 교환을 기반으로 한 강력한 보안 수단의 개발을 촉진할 수 있습니다. 예를 들어, 프로그래밍 개발자가 보안 전문가와 함께 작업하는 경우 개발자는 현장의 보안 문제에 대해 최신 정보를 얻고 개발 단계에서 장치에 적절한 제어를 추가할 수 있습니다.

소비자 교육

소비자는 장치 제조업체가 보다 안전한 장치를 만들도록 동기를 부여하는 데 핵심적인 역할을 할 수 있습니다. 이를 위해서는 IoT 기기에 대한 보안 위협과 기기의 보안을 강화하기 위해 취할 수 있는 조치에 대해 교육해야 합니다. 소비자들이 보안에 대한 인식과 경각심을 갖게 되면 보안 솔루션이 장착되지 않은 기기의 사용을 거부하게 되고, 결국 제조사들이 더 안전한 IoT 기기를 만들게 될 것입니다.

기업 수준의 IoT 보안 개선

IoT 생태계에 기기가 점점 더 많이 도입됨에 따라 기업의 보안 유지와 IoT 공격 방지가 점점 더 어려워지고 있습니다. IoT 기기는 취약점이 많고, 침입을 위한 광범위한 공격 노출면을 가지고 있어 사이버 범죄자의 수익성 높은 표적이 되고 있습니다. 그러나 기업은 IoT 시스템을 보호하기 위해 몇 가지 실행 가능한 아이디어를 구현함으로써 이러한 위협을 상당 부분 완화할 수 있습니다.

  • 백엔드 서버에서 사용되지 않는 데이터를 보호하고 네트워크를 통해 전송될 수 있도록 암호화 알고리즘과 엔드 투 엔드 암호화를 배치해야 합니다.
  • 네트워크 세그먼테이션은 장치가 자체 네트워크에 연결된 상태를 유지하고 기본 네트워크와의 액세스 및 상호 작용을 제한하여 공격 노출면을 줄입니다.
  • 연결된 모든 IoT 자산에 대한 상세 인벤토리를 유지 관리하여 모든 장치가 식별되도록 합니다. 각 장치에 대한 위험 프로파일을 만들고 이러한 프로파일을 스마트 세그먼테이션에 활용합니다.
  • 기업에서 IoT 기기를 사용하기 시작하면 모든 펌웨어 업데이트를 배포해야 합니다. 이러한 업데이트에는 무단 액세스를 방지하는 중요한 보안 패치가 포함되어 있습니다. 
  • 강력한 암호 또는 생체 인식 기능으로 모든 모바일 장치를 보호하여 장치를 분실하거나 도난당한 경우 아무도 장치에 접속하여 데이터에 액세스할 수 없도록 합니다.
  • 장치 액세스 관리 도구에 투자하여 어떤 장치가 데이터에 액세스할 수 있는지 제어하고 무단 액세스를 방지할 수 있습니다. 
  • 보안 솔루션을 배치했음에도 불구하고 보안 위반이 발생할 가능성이 있습니다. 이런 경우 피해를 최소화하기 위해 위반 후 취해야 할 조치를 강조하는 보안 침해 계획을 세우는 것이 중요합니다.

IoT의 미래는 어떤 모습일까?

IoT가 곧 미래입니다! 

2025년까지 IoT 기기는 250억대 이상으로 늘어날 것으로 예상됩니다.  5G 붐이 임박하면 더 빠른 속도와 무선 연결이 더 많은 기업들로 하여금 IoT 대세에 동참하게 할 것이기 때문에 IoT 생태계의 성장이 가속화될 것입니다. 기업이 데이터 수집, 분석, 추론 파생 프로세스를 간소화할 수 있는 옵션을 모색함에 따라 IoT 성층권에서 인공지능이 훨씬 더 중요한 역할을 맡게 될 것입니다. IoT 생태계에 블록체인 기술이 등장할 수 있고 IoT 에지 컴퓨팅은 더 많은 관심을 받을 것입니다. 하지만 가장 중요한 점은 보안이 모든 IoT의 선두가 될 것이라는 점입니다.

IoT 보안은 IoT가 범용 애플리케이션으로 가는 과정에서 가장 큰 장애물이 됩니다. IoT 생태계의 기기, 시스템, 데이터 유형, 기기 컴퓨팅 능력의 특성에서 방대한 변수가 존재하기 때문에 다가오는 IoT 보안 위협에 대한 ‘만능 해결책’은 없습니다. 위험을 성공적으로 완화할 수 있는 유일한 방법은 각 IoT 구축을 개별적으로 연구하여 맞춤형 사이버 보안 솔루션을 관리하는 것입니다. IoT 보안 솔루션은 기기 및 네트워크에 처음부터 구축되어야 하며 IoT 생태계의 수명 주기에 걸쳐 있는 모든 지점에 배치되어야 합니다. 

앱실링(AppSealing)은 사이버 범죄자로부터 모바일 앱을 보호하는 클라우드 기반 보안 솔루션입니다. 코드를 한 줄도 작성하지 않고도 구현할 수 있는 사용이 용이한 솔루션입니다. 앱실링에 문의하여 강력한 모바일 앱을 개발 및 사용하고 모바일 IoT 기기에 확장 가능한 보안 솔루션을 추가하십시오.

Dustin Hong
Dustin Hong
Dustin은 잉카엔트웍스의 앱실링 비즈니스 개발을 이끌고 있습니다. 그는 사이버 보안, IT, 컨텐츠 및 애플리케이션 보안 분야의 소프트웨어 개발과 혁신에 많은 관심을 가지고 있습니다. 또한 사이버 보안 세계에서 주요 사건의 대상, 이유 및 방법에 대해 다양한 사람들에게 공유하고 토론하는 것을 좋아합니다. 업계 동향 및 모범 사례에 대한 그의 견해는 기사, 백서에 실려있으며, 여러 보안 행사에서 유사 주제로 발표를 하였습니다.
애플리케이션 하드닝 – 앱 하드닝을 이해하기 위한 심층 가이드AppSealing News, 앱실링 블로그
앱 쉴딩(shielding) – 새로운 사이버 보안 위협 관점에서 앱을 보호하기 위한 가이드AppSealing News, 앱실링 블로그