죄송합니다. 더 이상 지원되지 않는 웹 브라우저입니다.

늘어나는 커넥티드 디바이스 사이버 보안이 필요하다

PDF 다운로드

자료제공/인피니언테크놀로지스

세상이 갈수록 디지털화되고 연결성이 높아지면서 사이버 보안의 중요성도 커지고 있다. 사이버 공격이 꾸준히 증가하고 있기 때문에, 공격자들보다 한 발 앞서 데이터 보안을 강화해야 한다. 새로운 솔루션으로 보안을 향상시킬 수 있다. 그렇다면 새로운 솔루션은 무엇이고, 어떤 위협이 인터넷에 존재할까?

사이버 보안과 사이버 공격

1989년 인터넷이 사용되기 시작했을 때 개인 사용자들은 보안에 대해서 신경 쓰지 않았다. 온라인 범죄 같은 것이 있으리라고 생각지도 못했다. 그러던 것이 차츰 변해서 사이버 보안이나 사이버 범죄 같은 용어들이 등장했다.

사이버 보안이란 무엇일까?

사이버 보안이란 정보 통신 기술의 보안과 관련한 모든 측면을 이르는 것으로서, 다양한 수단, 개념, 가이드라인을 포괄한다. 인터넷으로 연결된 컴퓨터, 서버, 모바일 디바이스, 네트워크를 사이버 공간에서 허가되지 않은 접근, 데이터 도난, 공격, 무단조작으로부터 보호하기 위한 것이다.

사이버 공격이란 무엇일까?

사이버 공격은 타인의 컴퓨터 네트워크에 대한 악의적 공격을 말한다. 공격자가 노리는 것은 네트워크를 훔쳐보거나, 손상하거나, 자신에게 유리하게 조작하는 것이다. 개인, 기업, 공공 기관, 심지어 국가 전체의 인프라까지 사이버 범죄의 표적이 될 수 있다.

더 많은 커넥티드 디바이스 - 더 많은 공격 가능성

사이버 보안의 중요성이 날로 커지고 있다. 독일 연방 정보 보안청(BSI)에 따르면, 세계 최대 자동차 회사인 폭스바겐의 IT 네트워크는 매일 6천번 공격을 받고 있다. 인피니언 같은 하이테크 기업도 사이버 공격의 표적이 되고 있다. 인피니언의 Business Continuity 부서에서 이를 방어하는 업무를 맡고 있다.
BSI에 따르면, 정부 네트워크도 매일 20건의 전문적이고 심각한 공격을 받고 있다고 한다. 카스퍼스키 랩(Kaspersky Lab)의 전문가들은 전세계적으로 매일 36만 건의 새로운 악의적 파일들을 감지하고 있다. 특히 온라인 쇼핑몰이나 이메일 제공 회사 같이 다량의 고객 마스터 데이터를 보유한 회사들이 공격 대상이 될 수 있다. 계정 정보나 패스워드 같은 민감한 개인 정보를 훔치는 것이 목적이다.
커넥티드 디바이스는 삶을 편리하게 한다. 예를 들어 외출 중에 스마트폰으로 난방을 켤 수 있어 집에 올 때는 실내 온도가 따뜻해져 있다. 하지만 이런 커넥티드 디바이스는 사이버 공격의 공격 지점과 통로가 되기도 한다. Statista에 따르면, 2025년에는 전세계 커넥티드 디바이스가 약 750억 개에 이를 것이다.

공격 유형과 공격 대상

다양한 유형의 사이버 범죄가 있다:
• 내부적 소행 혹은 외부적 소행
• 단독 범행 혹은 조직적 범행
• 금전적 동기 혹은 테러리스트로서의 동기
• 비밀 공격 혹은 대중의 관심을 끌고자 하는 공격
• 민간 조직의 공격 혹은 정부 기관의 공격

공격 대상

인터넷으로 연결된 디바이스들은 서로 원격으로 연결할 수 있는 등 유용한 기능을 제공한다. 하지만 또 한편으로는 공격자의 표적이 될 수도 있다.
• 사이버 범죄자가 개인 사용자의 프라이버시를 침해하거나, 패스워드를 훔치거나, 명의를 도용해서 쇼핑을 할 수 있다.
• 공격자가 라우터, 태블릿, PC 같이 개인이 사용하는 커넥티드 디바이스를 장악하고 봇넷에 합류시킬 수 있다. 봇넷을 사용해서 DoS(서비스 거부) 공격을 실행해서 통신 중단 같은 피해를 일으킬 수 있다.
• 공격자가 사이버 첩보나 사보타주 공격을 통해서 기업 비밀을 훔칠 수 있다. 독일 연방 헌법 수호청에 따르면, 독일에서 이 공격으로 인한 피해가 연간 500억 유로에 이른다고 한다.
• 한 국가의 인프라를 해킹한 경우에는, 전력망(2015년에 우크라이나)이나 인터넷(2007년에 에스토니아)을 전국적으로 중단시킬 수 있다.

사이버 공격의 변화 양상

사이버 공격의 양상이 빠르게 변화하고 있다. 지금 이 시간에도 공격이 감행되고 있으며, 멀웨어 스스로가 생명력을 가지고 더 전문적이고 지능적으로 발달하고 있다.

랜섬웨어의 정의

공격자들이 랜섬웨어를 사용해서 피해자의 컴퓨터를 더 이상 사용하지 못하도록 조작할 수 있다. PC를 납치하는 것에 비유할 수 있다.  컴퓨터를 복구하려면 개인이든 기업이든 피해자가 돈을 지불해야 한다.
인피니언의 사이버 보안 시장 전문가인 Detlef Houdeau 박사는 “2년 전에는 피싱으로 데이터를 훔치는 것이 가장 큰 문제였다. 그런데 이제는 랜섬웨어가 보안 전문가들뿐만 아니라 관련 당국에 가장 긴급한 문제이다”라고 말한다.
서로 통신하는 디바이스 수가 증가함에 따라서 가능한 공격 시나리오도 복잡해지고 있다. Houdeau 박사는 구체적인 사례를 들어서 설명한다. “병원에서 CT 스캐너로 촬영한 영상을 자동으로 개인의 주치의에게 전송한다. 이 장비는 병원 IT 시스템의 일부이지만, 의료 장비 회사에서 구입한다. 병원 IT를 보호하는 것만으로는 충분하지 않고, 개별 장비들까지 사이버 공격으로부터 보호해야 한다” 단 하나의 보안 허점만으로도 공격자가 시스템에 침투해서 IT 인프라를 조작할 수 있기 때문이다.

가장 빈번하고 심각한 사이버 위험은 무엇일까?

공격을 당할 수 있는 취약 지점은 다양하다. 개인 사용자의 홈 네트워크에서부터 기업과 공공기관의 네트워크까지 모두 공격 대상이 될 수 있다. 공격으로 인한 위험은 광범위하고도 다면적이다.
• 사용자 자신이 취약 지점이 될 수 있다. 감염된 USB 스틱을 사용하여 멀웨어를 유입하거나, 생일 같이 추측하기 쉬운 패스워드를 사용하거나, 민감한 데이터를 적절한 방법으로 암호화하지 않는 경우이다.
• 광대역 라우터 같은 디바이스가 보안적으로 취약할 수 있다. 2016년 가을에 수백만 명의 독일인들이 이틀 동안 디지털 TV, 전화, 인터넷을 사용하지 못했다. 해커가 널리 사용되는 통신 라우터에 악성 코드를 심었기 때문이다.
• 한 국가의 중요 인프라에 대한 공격은 훨씬 더 심각하다. 테러리스트들이 병원, 공항, 열차, 은행, 전력망 등에 디지털 공격을 한다면 사람을 다치게 하고 죽게 하거나 경제에 심각한 타격을 입힐 수 있다. 그런데 문제는 이러한 공격이 언제, 어디서, 어떻게 감행될지 알 수 없다는 것이다.

과거의 주요 사이버 공격 사례

• 2007 에스토니아에서 DoS 공격으로 전체 인터넷이 중단되었다.
• 2010 이란에서 컴퓨터 웜인 스턱스넷(Stuxnet)으로 우라늄 농축 설비가 중단되었다.
• 2011 일본 기업 Sony에서 7700만 명의 가입자 데이터가 유출되었다.
• 2012 아마존 자회사인 Zappos에서 2400만 명의 고객 계정 데이터가 유출되었다.
• 2013 미국 회사인 Adobe에서 3800만 명의 고객 데이터 기록이 유출되었다.
• 2014 미국에서 Yahoo가 약 10억 명의 고객 계정 데이터를 해킹 당했다. 전화번호, 생년월일, 암호화된 패스워드, 패스워드를 복구하기 위한 보안 질문이 유출되었다. 같은 해 eBay에서 1억 4500만 건의 고객 데이터가 유출되었다.
• 2015 독일 하원에 대한 사이버 공격으로 컴퓨터를 교체해야 했다.
• 2016 Deutsche Telekom 라우터에 대한 미라이(Mirai) 공격으로 약 1백만 가구의 TV, 인터넷, 전화 서비스가 24시간 동안 중단되었다. 미국 선거 기간에 소셜 봇을 사용해서 민주당원들에게 허위 정보와 가짜 뉴스가 전송되었다.
• 2017 윈도우즈의 보안 취약점을 이용해 세계 각국에서 멀웨어 워너크라이(WannaCry) 공격이 발생했다. 랜섬웨어인 낫페트야(NotPetya)가 수십만 대의 컴퓨터 하드 드라이브의 파일 목록을 암호화했다.
• 2018 싱가포르에서 150만 명 시민들의 의료 데이터가 유출되었다.
• 2019 독일에서 Ärzte- und Apotheker 은행에 대한 피싱 공격으로 부정한 송금이 이루어졌다.

새로운 보안 개념으로 사이버 보안 강화

방화벽이나 바이러스 검사 같은 기존의 방법으로는 더 이상 다양한 방식의 공격을 방어할 수 없다. 공격은 점점 더 정교해지고 있다. 인터넷을 보안적으로 사용하기 위해서는 새로운 보안 컨셉이 필요하다. ‘설계에 의한 보안’ 컨셉으로 어떤 제품이나 시스템을 개발할 때 보안을 내장해야 한다. 갈수록 더 다양한 IoT 디바이스들의 보안 표준을 제정하고 있으며, 새로 출시하는 제품들에 채택되고 있다.
암호화와 인증을 통한 사이버 보안

인증된 개인, 컴퓨터, 기계 장비, 네트워크 노드만이 정보에 접근할 수 있도록 정보를 보호하는 것을 목적으로 한다. 그러기 위해서는 두 단계가 필요하다. 보안적인 신원 확인과 인증이다. 커넥티드카를 예로 들어보자. 미래의 자동차는 지금보다 훨씬 더 많은 전자 장치를 탑재할 것이며, 공격에 취약할 수 있는 외부 인터페이스가 훨씬 많아질 것이다.
이러한 인터페이스들을 보호하기 위해서는 자동차의 소프트웨어를 주기적으로 업데이트해야 한다. 그러기 위해서는 업데이트를 제공하는 컴퓨터와 자동차 제어 시스템의 게이트웨이가 서로를 인증해야 한다. 다시 말해서, 두 장치만이 데이터를 교환할 수 있도록 하는 것이다. 또한 둘 사이의 통신을 암호화해야 한다. 업데이트를 위해서 정비소에 갈 필요가 없도록 스마트폰을 사용할 때처럼 무선(OTA)으로 업데이트를 할 것이다.
이를 위해서는 적합한 하드웨어가 필요하다. 인피니언은 제어 유닛을 위한 다양한 인증 및 암호화 칩을 제공한다. 머신-대-머신 통신을 위해서는 보안적인 인증 프로세스가 중요하다.

커넥티비티의 미래와 과거

전문가들에 따르면, 2025년에 1억 대의 차량이 인터넷을 통해서 연결될 것이라고 한다. 자동차가 ‘바퀴 달린 컴퓨터’가 되는 것이다. 자동차가 인프라에 연결되고(V2I) 자동차와 자동차가 서로 연결될 것이다(V2V). 자율주행 자동차에는 5G나 ITS-G5 같은 새로운 표준이 사용될 것이다.
생산 기계, 열차 신호 시스템, 의료 장비, 자동차, 항공기 등의 구형 제품이나 시스템이 문제가 될 수 있다. 제품이 단종되고 업체들이 더 이상 유지보수를 지원하지 않는다면 구형 시스템을 업그레이드하기 위해서 상당한 비용과 인력이 들어갈 것이다. 이러한 경우에 흔히 사용하는 방법은 구형 장비를 네트워크에서 차단하는 것이다.

IT 보안 체크 리스트

인터넷을 보안적으로 사용하기 위해서는 다음의 권장사항을 따라야 한다:
① 소프트웨어를 항상 최신으로 유지한다.
② 바이러스 검사 프로그램과 방화벽을 사용한다.
③ 보안적인 패스워드를 사용하고 보호되는 패스워드 관리자에 저장한다. 숫자, 대문자, 소문자, 특수문자를 포함해서 최소한 10개 혹은 12개 문자를 사용하고, 각기 서비스마다 다른 패스워드를 사용한다. 유추하기 어려운 패스워드를 사용하는 것이 좋다. 한 가지 방법은 문장의 첫 글자들을 취하고 숫자와 특수문자를 섞는 것이다. 예를 들어서 “I go to New York every May 31 and visit the Statue of Liberty!”라는 문장에서 IgtNYeM31&vtSoL!이라는 패스워드를 얻을 수 있다.
④ 관리자가 아니라 보통의 사용자로 컴퓨터를 사용한다. 관리자 모드에서는 시스템 접근 범위가 커진다. 만약 컴퓨터가 멀웨어에 감염되었을 때 관리자로 로그온되어 있으면 악의적인 소프트웨어 역시 더 넓은 범위의 권한을 갖게 되어 더 큰 피해를 입을 수 있다.
⑤ 이메일에 들어 있는 링크나 첨부 문서를 함부로 열지 않다. 특히 모르는 사람으로부터 전송된 이메일에 주의한다. 모든 첨부 문서는 바이러스 검사를 하고 연다.
⑥ 모든 중요한 데이터를 주기적으로 다른 하드 드라이브나 클라우드에 저장한다.
⑦ 민감한 데이터와 이메일을 암호화한다.
⑧ 인터넷에 올리는 정보에 대해서 주의를 기울이다.
⑨ 보호되지 않는 WLAN에 들어가지 않는다.
⑩ 웹서핑을 하거나, 이메일을 쓰거나, 컴퓨터로 작업할 때 주의를 기울인다. 링크를 함부로 클릭하지 말고, 의심스러울 때는 보낸 사람에게 이메일을 보낸 것이 맞는지 확인한다.
⑪ 여러 시스템에 동일한 패스워드를 사용하지 않는다.
⑫ 새로운 스마트홈 디바이스를 구입했을 때는 즉시 디폴트 패스워드를 변경한다.
⑬ 신뢰할 수 없는 웹사이트에서 앱이나 컴퓨터 프로그램을 다운로드하지 않는다.

사이버 보안 강화를 위한 당국의 대응

전력, 의료, 금융, 교통은 국가의 주요 인프라를 구성하는 분야이다. 유럽 시민들은 이들 기관이 제공하는 기본적인 서비스를 이용할 권리가 있다. 이러한 인프라가 공격을 받는다면 심각한 서비스 중단이나 혼란이 발생할 수 있으며 사람들이 피해를 입게 됩니다. 따라서 정부 당국에서는 사이버 보안을 강화하기 위해서 다음과 같은 조치들을 취하고 있다.
2015년에 시행된 독일의 IT 보안법은 독일의 2,500여 개 설비 운영자가 IT 시스템을 특별히 보호하도록 의무화했다. 이에 따라서 운영자는 더 엄격한 보안 요건을 충족해야 하며 감사에서 이를 입증해야 한다. 또 어떤 데이터 오용이 발견되면 즉시 고객들에게 알려야 하며, 사고가 발생되면 당국에 보고해야 한다. 이에 해당되는 EU 규정은 NIS 규정이라고 하며, 모든 EU 회원국에 동일하게 적용된다.
또한 당국에서는 개인 사용자들이 사이버 공격을 방어할 수 있도록 지원하며, 온라인 서비스 제공 업체 및 하드웨어 제조업체의 주도에 의존한다. EU의 사이버 보안법에 의거해서, 컨슈머 디바이스 인증에 관한 일관된 규정을 개발할 예정이다. 이것은 EU 지역에서 B2C(business-to-consumer) 시장용 컨슈머 전자기기(CE)의 보안 수준을 높이기 위한 것이다. B2B(business-to-business) 시장에서도 제품, 솔루션, 서비스에 대해서 IT 보안 인증을 크게 확대할 계획이다. 공공 분야(business-to-government, B2G)에서의 목표는 모든 EU 회원국의 IT 보안 표준을 최대화하고 조화시키는 것이다.
EU 위원회는 2019년 말에 EU 사이버 보안 역량 센터(ECCC)라고 하는 새로운 기관을 설립할 예정이다. 이 센터는 새로운 공격과 이를 방어하기 위한 조치들에 대한 노하우를 모으고자 한다. EU 지역에서 600개 이상의 시험소 및 검사소가 네트워크를 형성할 것이다.

사이버 보안의 미래

사이버 보안을 향상시키는 것은 전기 전자 업계에도 중요한 문제이다. 독일 전기 전자 제조업체 협회(ZVEI)는 이렇게 말한다. “개인 정보 및 기술 정보가 보호되지 않는다면 디지털화를 유용하게 활용할 수 없다. 소비자를 보호하고, 제품 품질을 보장하고, 고객 충성도를 높이기 위해서 사이버 보안이 갈수록 더 중요해질 것이다.”
라우터 제조업체가 가장 발빠르게 움직이고 있다는 것은 놀랄 일이 아니다. 라우터는 모든 가정의 홈 네트워크의 핵심 장비이기 때문이다. 홈 네트워크와 인터넷 사이의 인터페이스로서, 라우터에 대한 공격이 점점 더 빈번해지고 있다.

leekh@seminet.co.kr
(끝)
<저작권자(c) 반도체네트워크, 무단 전재-재배포 금지>