죄송합니다. 더 이상 지원되지 않는 웹 브라우저입니다.

IoT 제품 보안, 왜 지금 시작해야 하나?

PDF 다운로드

글/닉 듀턴(Nick Dutton), 선임 IoT 제품 마케팅 매니저, 실리콘랩스

디바이스 보안이 필요한가?
좋은 질문이다. 대부분의 기업들은 현장에 배치하는 견실한 제품 포트폴리오를 갖추고 있으며, 많은 기업들이 이러한 제품들로 시장에서 20년 이상 아무런 사고가 없었다고 주장할 수 있다.
하지만 시장은 20년 전과 같지 않으며 상황이 달라졌다. 심지어 몇 년 전과도 다르다.
사업 모델이 진화하고 있다. 해킹에 사용되는 툴은 보다 쉽게 접근할 수 있고 최종 제품들은 생태계 중심적이 되고 있다. 이에 따라 이제 악의적인 의도를 가진 자들은 자신의 거실에서 안전하게 거의 눈에 띄지 않게 작업할 수 있다.
동시에 해킹은 더 이상 단일한 개인 데이터를 얻거나 재미 삼아 피해나 혼란을 일으키는 데 머물지 않는다. 해커들은 더 큰 목표를 찾아서 거대 기업에 시선을 돌리고 있다. 거대 기업은 해킹 시 많은 비용이 드는 시스템 중단, 수백만 달러의 매출 손실, 고객 불만, 브랜드 이미지 손상이라는 장기적 문제 등 다른 대안이 고통스럽다는 것을 잘 알기 때문에 더 큰 금액을 더 빠르게 지불할 수 있다는 것을 해커들은 알고 있다. 지난 20년을 되돌아 보고 아무 문제없다는 환상은 많은 기업에게 독약이 될 수 있다.
해커들이 공격의 초점을 운영 기술(OT)로 옮기면서 랜섬웨어가 빠르게 업계에 가장 큰 위협의 하나가 되었다. OT 하드웨어/소프트웨어는 산업 및 스마트홈 기기, 자산, 공정 및 이벤트에 대한 직접 모니터링이나 제어를 통해 변화를 감지하거나 생성한다.
FBI 데이터에 따르면 해커들이 랜섬웨어 공격에 성공해 벌어들인 돈이 2013년부터 2019년까지 총 1억 4400만 달러에 달하고(모두 비트코인으로 지불), 그 중 2018년 이후 개발된 랜섬웨어 변종을 통해 지불된 금액은 8500만 달러인 것으로 나타났다.
시만텍(Symantec)에 따르면 2017년과 2019년 사이 무차별 유표 방식의 랜섬웨어 공격은 37% 줄어든 반면 같은 기간 특정 대상을 노린 랜섬웨어 공격은 무려 62%가 증가한 것으로 드러났다. 이는 악의적인 의도를 가진 자들이 더 큰 몸값에 초점을 맞추고 있다는 것을 보여준다.
또한 로크웰 오토메이션(Rockwell Automation)은 2019년 상반기에 랜섬웨어 공격의 47%가 정부와 제조업체를 대상으로 이루어졌다고 밝혔다(https://www.scmagazine.com/home/security-news/ransomware/captives-of-industry/).

하지만 여전히 디바이스 보안이 필요한가? 어떤 시점에서 거대 기업이 목표가 될 만큼 충분히 크다고 할 수 있나?
이것은 정당한 질문이지만, 실제로 공격자만 대답을 줄 수 있다. 개인 사업은 갈취의 목표가 되지 않을 수 있지만, 가상 개인 서버가 랜섬웨어 공격에서 봇으로 사용되는 경우 제품이 피해를 입을 수 있다.
대역폭과 컴퓨팅 성능은 모두 비트코인을 사용하여 익명으로 구매할 수 있다. 구글의 ‘anony-mous VPS’를 보면 이런 질문이 떠오른다. ‘왜 대역폭과 컴퓨팅 성능을 익명으로 비트코인을 통해 구매하고 싶어 할까?’
거대 기업을 대상으로 IoT 기술을 악의적으로 사용하는 문제에 대응하는 입법이 진행 중이다. 전 세계 정부들은 증가하는 악의적인 추세를 막기 위해 개발자에게 요구되는 법안을 도입하고 있다.
GDPR이 프라이버시와 데이터에 초점을 맞추었다면, 새로운 법률은 연결된 디바이스에 초점을 맞춘다. 예를 들어 유럽은 TS103 645/EN303 645(소비자 사물 인터넷을 위한 사이버 보안)을 도입하고 있으며, 미국의 여러 주(미국 인구의 약 30%)에서는 캘리포니아 소비자 프라이버시 보호법(SB-327)과 같은 유사한 법안을 시행하고 있다.

일반적으로 새로운 법안은 다음과 같은 최상의 방식에 초점을 맞춘다.
• 범용 또는 디폴트 패스워드를 사용하지 않음
• 취약점 보고를 관리하는 수단 시행
• 지속적인 소프트웨어 업데이트를 공인된 기관을 통해서만 수행
• 신원 정보 및 보안에 민감한 데이터 보안 저장
• 보안이 되는 통신
• 노출되는 공격 표면 최소화
• 소프트웨어 무결성 보장
• 개인 데이터 보호 보장
• 가동 중단 시 시스템 복구
• 시스템 텔레메트리 데이터 점검
• 손쉬운 소비자 개인 데이터 삭제
• 손쉬운 기기 설치와 유지보수
• 입력 데이터 검증
• 고유한 디바이스 신원 구현
지난해에 나온 무선 도어벨의 설계 규격은 앞으로 기대되는 규격과 법률을 더 이상 만족하지 못할 것이다. 개발자는 후속조치나 옵션으로서가 아니라 처음부터 보안을 내장한 제품을 만들어야 한다.

IoT가 이처럼 개발자와 반도체 업체에게 똑같이 주력 분야가 됨에 따라 보안은 핵심적인 차별화 요소가 되고 있다. 이제 누가 가장 저렴한 솔루션을 가지고 있는가에서 누가 장기적인 사업을 보호할 수 있는 확장 가능한 보안 솔루션을 가지고 있는가가 점점 더 중요해지고 있다.
실리콘랩스의 시큐어 볼트(Secure Vault) 기술과 같은 새로운 보안 솔루션은 개발자에게 진화하는 위협의 세계에 대응하여 진화하는 솔루션을 제공하도록 설계되었다. 보안 서브시스템을 중심으로 구축되고 개발자의 애플리케이션과 분리되어 있는 시큐어 볼트 솔루션은 암호화 키를 안전하게 관리하도록 설계된 PUF(physically unclonable function) 기술을 결합한 전용 암호화 코프로세서를 탑재한다. 서브시스템은 또한 물리적 공격을 무력하게 만들기 위해 그러한 시도를 탐지하고 대응하도록 설계된 여러 개의 탬퍼 방지 블록을 포함하고 있다.
실리콘랩스의 새로운 시큐어 볼트 솔루션에 대한 자세한 내용은 silabs.com/security에서 확인할 수 있다.