사물인터넷 기기의 보안, 사건 발생 후 복구는 너무 늦을 수도
[보안뉴스 문가용] 스마트카에서 가전기기까지, 사물인터넷의 늘어난다 늘어난다 하더니 곧 500억 대에 다다를 전망이다. 해커들에겐 500억 개의 공격 경로가 생긴 것이고, 우리에겐 신경 써야 할 구멍이 500억개 생긴 것이다. 이는 예견된 일이었으나 막을 수는 없었다.
하지만 사이버 공격자라고 해서 ‘구멍이 생겼다’는 이유만으로 범죄를 저지르지 않는다. 거기에는 분명히 동기가 있다. 또한 공격이 얼마나 쉬우냐, 성공 가능성이 얼마나 되느냐에 대한 조사도 있어야 하고, 발각될 위험 같은 것도 계산에 넣어야 한다. 결국 공격의 가능성이란 동기와 기회, 위험의 적당한 균형이라고 표현할 수 있는데, 이를 수학 공식으로 표현하면 다음과 같다.
▲ 사이버 공격 = 동기 * 기회 / 위험
이 공식에 사물인터넷이란 걸 대입해보자. 연결성이 빠르게 높아지고 있다는 건 ‘기회’의 변수가 커지는 것과 같다. 현재 상황은, 위에서 말한 500억이란 숫자를 그대로 대입하는 것조차 적어보일 정도다. 자동차, 수도공급, 에너지 산업, 공장, 자동화 등 많은 부분에서 사물인터넷이 동원되고 있기 때문이다. 활용처가 많아진다는 건 결국 ‘동기’라는 변수 역시 늘어난다는 뜻이 된다. 그렇다면 이걸 어떻게 해결해야 할까? 공격자들이 짊어져야 하는 위험 요소들을 늘려야 한다.
PC 시대의 정보보안과 사물인터넷 시대의 정보보안은 그 궤를 달리한다. PC 때 보안의 급선무는 공격을 미리 탐지해 방어하거나, 침투를 못하게 여러 조치를 취하거나, 공격이 들어왔을 때 최대한 빨리 대응하고 복구시키는 것이었다. 사물인터넷은 한 번의 공격 성공이 매우 치명적이 될 수 있다. 심지어 물리적인 피해로까지 직접 연결되기도 한다. 그러므로 대응과 복구는 사물인터넷 세상에선 잘 통하지 않는 보안 개념이다. 해킹 당한 스마트카가 낭떠러지로 떨어지고 있을 때 무슨 복구 조치를 취할 수 있겠는가. 이에 다음을 제안한다.
1. 설계 단계에서부터 보안을 염두에 둔다. 사물인터넷 기기의 제작은 보안 없이 이루어져서는 안 된다. 시작부터 보안 관념이 철저한 사람들이 맡아야 하는 것이다. 작동을 위해 필요한 최소한의 정보만을 가지고, 최소한의 접근을 허용해야 하는데, 편리를 위해서 제작자나 사용자나 그러한 선택을 하지 않는다. 마음가짐 문제이기도 하면서 동시에 정책, 문화, 기술과도 떼어 놓을 수 없다.
2. 보안을 다른 각도로 바라봐야 한다. 네트워크 단계에서의 보안이나 엔드포인트 단계에서의 보안만으로는 불충분하다. 사실상 데이터가 범죄의 목적이기 때문에, 데이터는 언제 어디서고 위험에 처해 있다고 봐야 한다. 즉 데이터 자체의 보안으로 방향을 선회해야 한다는 것이다. 그렇게 보면, 시스템이나 서버 자체로 들어오는 공격도 있을 수 있지만 그보다 쉬운 센서(사물인터넷 기술이 접목된)에 대한 공격으로도 충분할 수 있다. 사물인터넷 기기에는 온갖 정보가 들어있으니까 말이다. 위 공식에 따르면 ‘기회’ 값이 높아진다는 뜻이다.
3. 사이버 보안 전문가 육성이 더 활발해져야 한다. 구멍이 많이 늘었으니 구멍 전문가가 더 생겨야 한다는 것이다. 개인적으론 보안 산업과 사물인터넷 산업이 아예 교육 단계에서부터 끈끈하게 엉키게 될 수밖에 없을 것 같은데, 이는 아직 먼 훗날의 이야기일 듯 하다. 사이버 보안은 사물인터넷이 더 많아지는 환경에서 엔지니어링, 미적분, 물리, 화학의 핵심 가치가 될 것이라고 보지만, 이 역시 먼 훗날의 일이 아닐까 한다. 게다가 이런 분야로의 접목은 꽤나 높은 수준의 전문지식을 요구한다. 교육에의 관심이 필요하다.
4. 공격자들의 마인드로 공격을 예상할 줄 알아야 한다. 어떤 취약점이 있고, 이를 어떻게 왜 익스플로잇 할 것인지 미리 그려봐야 예방에 도움이 된다. 그리고 새로운 사물인터넷 기기가 들어올 때마다가 아니라, 항상 이런 생각을 해야 한다. 위협 첩보에 대한 소식도 접하고, 디지털 자산이 뭐가 있는지 들여다보고, 이런 것들을 조합했을 때 어떤 공격이 가능한지 상상해보라는 것이다. 그런 예측을 바탕으로 위의 공식에 따라 거의 유일한 해결책인 ‘위험’을 높일 방법을 모색해야 한다. 드러워서 피하든 무서워서 피하든 어찌됐든 공격자들의 걸음을 되돌려야 한다.
새로운 위협거리들은 늘 있어왔고, 우리는 거기에 늘 적응해왔다. 사물인터넷 시대에도 그럴 것이다. 다만 문제는 적응을 마치고 안정기 들어서기까지의 소요시간인데, 사물인터넷은 만만치 않을 것으로 보인다.
글 : 스티브 그로브만(Steve Grobman)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)