저장되는 정보 꼼꼼히 살피지 않으면 소송에 휘말릴수도
[보안뉴스 문가용] 사물인터넷 기기의 업무 활용이 점점 늘어나고 있다. 보안 전문업체인 아카마이(Akamai)의 데이브 루이스(Dave Lewis)는 “사물인터넷의 확산을 바라보는 건 마치 산 밑에서 나를 향해 달려오는 눈사태를 보는 기분”이라며 “재산이나 생명의 손실을 걱정하는 게 당연한 반응 아니겠느냐”고 말한다. 문제는 그 산사태가 가는 방향에 누가 혹은 무엇이 있냐는 것.
“아직 우리는 기존의 보안 문제들도 다 해결하지 못한 상태입니다. 여기에 사물인터넷이 비집고 들어오고 있어요. 눈사태처럼 맹렬하게요. 눈사태가 일어나는 방향으로 걸어가는 게 맞는 걸까요? 가던 걸음도 멈춰야죠. 사물인터넷 시대에 기업에게 가장 필요한 건 ‘전원 꼽아도 될까? 이걸 사용해도 될까?’하는 주춤거림과 망설임입니다.”
사물인터넷이 하나 들어오면 위험한 요소들이 수없이 많아진다. 데이브 루이스가 그 중 대표적인 것을 몇 가지 꼽아보았다.
1. DNS 공격
사물인터넷 공격을 통해 DNS 공격이 들어올 수 있다. 이에 대해서는 서버의 패치를 부지런히, 나오는 즉시 하는 것으로 어느 정도는 예방할 수 있다. DNS 공격은 피해의 확산이 걷잡을 수 없는 게 보통이라 예의 주시해야 한다. 이는 즉 여태까지 잘 해오지 않아왔던 패치에 대한 제도 마련을 의미하기도 한다.
2. 개인 사물인터넷 기기 들고 오는 직원
BYOD 시대가 끝나고 BYOIoT 시대가 온다. 직원들이 사무실에까지 들고와 사무실 네트워크에 연결시킬만한 사물인터넷 기기로는 스마트워치, 핏비트 등이 있다. 이럴 때 위험해지는 건 사용자 본인의 개인정보다. 그런데 개인정보가 기업 네트워크에서부터 도난당했다면, 회사 네트워크 내에 있는 회사의 정보 역시 위험하다는 뜻이 된다. 루이스는 “BYOIoT의 상황에서는 데이터가 곧 보안 경계선이다”라며 데이터 보안의 중요성을 강조한다.
3. 보안 설정이 너무나 느슨하게 된 기기 소프트웨어
IoT 기기들에는 거의 필수적으로 소프트웨어가 장착된다. 기업은 누가 IoT를 가지고 회사에 들어오든지 이 소프트웨어를 잘 지켜봐야 한다. 대부분 사용자의 편의를 위해 어지간한 것들을 전부 ‘허용’하는 것으로 디폴트 설정되어 있을 것이기 때문이다. 자동으로 공개 와이파이에 연결하게 하고, 어느 웹 사이트나 거르지 않고 통과시켜 주고, 어떤 접근이라도 허용하는 식으로 말이다.
또한 루이스는 “이 소프트웨어 위에 사용자가 커스텀 소프트웨어를 알아서 설치하도록 하는 기기도 많이 등장할 것”이라며 “이러면 문제의 소지가 기하급수적으로 증가하는 꼴”이라고 경고한다.
4. 걷잡을 수 없는 데이터의 흐름
사물인터넷 기기가 네트워크에 하나둘 이어지기 시작하면 데이터의 급증 때문에 전에 없던 혼란이 있을 것으로 예상된다. 사물인터넷 기기 자체가 수많은 정보를 모으고 생성하기 때문이다. 그러므로 스위치를 성급하게 켜지 말고, ‘여기서 생성되고 모이는 데이터를 우리 네트워크가 감당할 수 있는가?’를 검토하는 편이 좋다. 그 많은 데이터를 어디에 저장하고, 어떻게 관리할 것인지 대책을 마련한 후에 코드를 꼽아도 늦지 않다. “성급히 연결한 사물인터넷 기기 하나 때문에 데이터 청소부가 될 수도 있습니다.”
5. 사물인터넷과 정보 보관과 법
그런데 사실 위 4번과 관련하여 문제가 하나 더 있다. 사물인터넷으로 수집한(혹은 수집된) 정보를 저장하는 게 합법적이냐는 거다. 프라이버시가 걸려있기 때문. “독일과 같은 경우, 프라이버시 관련 법이 매우 엄격하죠. 아무 데이터나 저장할 수 없어요. 그런 곳일수록 사물인터넷 기기에 모인 정보가 어떤 성격을 가지고 있는지 꼼꼼히 분석하는 과정도 필요하게 될 겁니다.” 프라이버시 법이란 갖가지 형태로 존재하니, 어느 국가에 있든 이것부터 잘 살펴서 괜한 소송에 휘말리지 말아야 한다. 특히 의료계통은 신체 정보가 수집될 가능성이 높으니 더 주의해야 한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>