일반 사용자들 중 절반은 “10%만 안전”, 전문가들은 “절반만 안전”
[보안뉴스 문가용] 사물인터넷 기기에 대한 사용자들의 인식은 어떨까? 최근 보안 전문업체인 IO액티브(IOActive)에서 이에 대한 조사에 나섰다. 그 결과 47%가 사물인터넷 기기 중 안전한 것은 10%도 되지 않는다고 답했다. 응답자의 72%는 보안 문제가 사물인터넷 기기가 이겨내야 할 가장 시급한 과제라고 답했다.
.jpg)
▲ 겨우 10%라니...
IO액티브는 보안 전문가들을 대상으로도 사물인터넷의 보안 상태에 대한 조사를 실시했는데, 그 결과 대부분이 ‘최소한의 보안 표준 마련, 제품 리콜의 활성화, 업데이트, 법적인 강제 조치 마련’ 등으로 보안을 강화할 수 있을 것이라고 답했다.
85%의 전문가들은 안전한 사물인터넷 제품이 반도 되지 않는다고 답했으나, 63%는 그래도 다른 제품군에 비해서는 사물인터넷 기기가 안전한 편이라고 답했다. 재미있는 건 전문가들의 83%가 사물인터넷 기기에서 발견된 취약점을 발표하는 것보다, 제조사가 규제력을 가지는 게 이상적이라고 답했다는 것.
현재 정보 보안업계에서는 취약점들에 대한 서로 다른 생각들이 부딪히고 있다. 발견될 때마다 해당 업체나 관리 기관에 보고를 하고 중앙(National Vulnerabilities Database)에서 관리하는 체계가 유지되고 있기는 하나, 일부는 자신이 발견한 취약점을 돈을 받고 판매하기도 해 사업 윤리성에 대한 비난을 받고 있다. 그러나 이에 대해 법적으로 제제할 방법이 아직까지 없는 게 사실이다.
혹자는 요즘 성행하고 있는 버그바운티 제도가 이런 취약점 장사와 본질적으로 다를 게 없다고 반대하기도 한다. “남이 만든 제품에서 약점을 찾도록 하고, 그것을 통해 수익을 벌게 하는 게 과연 맞는 접근인가?”라는 의문은 버그바운티 시초부터 있어왔다.
한편 취약점의 공개 시기에 대한 문제도 논란의 대상이다. 보통은 취약점에 대한 해결책(패치)이 나오면 공개한다. 그러나 이런 암묵의 규칙을 어기고 미리 공개해 사용자들을 취약한 상태로 노출시키는 경우가 존재한다. 이런 경우도 합법적인 제제 장치가 없다. 또한 취약점을 미리 알려줘도 묵묵부답으로 일관하는 기업들도 있다. 그런 경우는 어쩔 수 없이 취약점이 미리 공개되기도 한다.
사물인터넷 기기가 활성화되기에 앞서 취약점에 대한 관리 체계 및 법안이 다시 정비되어야 할 거라는 목소리들이 조금씩 나오고 있는데, 이번 조사에서도 그 의견들이 반영된 듯 하다.
IO액티브는 시장에서의 경쟁 때문에 제품을 먼저 출시하고 보안 솔루션 및 장치를 후에 접목시키는 행태를 꼬집으며 “이는 오히려 비용 측면에서 훨씬 손해”라고 진단했다. “그러므로 경쟁력이 오히려 낮아지죠.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA 등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
[보안뉴스 문가용] 사물인터넷 기기에 대한 사용자들의 인식은 어떨까? 최근 보안 전문업체인 IO액티브(IOActive)에서 이에 대한 조사에 나섰다. 그 결과 47%가 사물인터넷 기기 중 안전한 것은 10%도 되지 않는다고 답했다. 응답자의 72%는 보안 문제가 사물인터넷 기기가 이겨내야 할 가장 시급한 과제라고 답했다.
▲ 겨우 10%라니...
IO액티브는 보안 전문가들을 대상으로도 사물인터넷의 보안 상태에 대한 조사를 실시했는데, 그 결과 대부분이 ‘최소한의 보안 표준 마련, 제품 리콜의 활성화, 업데이트, 법적인 강제 조치 마련’ 등으로 보안을 강화할 수 있을 것이라고 답했다.
85%의 전문가들은 안전한 사물인터넷 제품이 반도 되지 않는다고 답했으나, 63%는 그래도 다른 제품군에 비해서는 사물인터넷 기기가 안전한 편이라고 답했다. 재미있는 건 전문가들의 83%가 사물인터넷 기기에서 발견된 취약점을 발표하는 것보다, 제조사가 규제력을 가지는 게 이상적이라고 답했다는 것.
현재 정보 보안업계에서는 취약점들에 대한 서로 다른 생각들이 부딪히고 있다. 발견될 때마다 해당 업체나 관리 기관에 보고를 하고 중앙(National Vulnerabilities Database)에서 관리하는 체계가 유지되고 있기는 하나, 일부는 자신이 발견한 취약점을 돈을 받고 판매하기도 해 사업 윤리성에 대한 비난을 받고 있다. 그러나 이에 대해 법적으로 제제할 방법이 아직까지 없는 게 사실이다.
혹자는 요즘 성행하고 있는 버그바운티 제도가 이런 취약점 장사와 본질적으로 다를 게 없다고 반대하기도 한다. “남이 만든 제품에서 약점을 찾도록 하고, 그것을 통해 수익을 벌게 하는 게 과연 맞는 접근인가?”라는 의문은 버그바운티 시초부터 있어왔다.
한편 취약점의 공개 시기에 대한 문제도 논란의 대상이다. 보통은 취약점에 대한 해결책(패치)이 나오면 공개한다. 그러나 이런 암묵의 규칙을 어기고 미리 공개해 사용자들을 취약한 상태로 노출시키는 경우가 존재한다. 이런 경우도 합법적인 제제 장치가 없다. 또한 취약점을 미리 알려줘도 묵묵부답으로 일관하는 기업들도 있다. 그런 경우는 어쩔 수 없이 취약점이 미리 공개되기도 한다.
사물인터넷 기기가 활성화되기에 앞서 취약점에 대한 관리 체계 및 법안이 다시 정비되어야 할 거라는 목소리들이 조금씩 나오고 있는데, 이번 조사에서도 그 의견들이 반영된 듯 하다.
IO액티브는 시장에서의 경쟁 때문에 제품을 먼저 출시하고 보안 솔루션 및 장치를 후에 접목시키는 행태를 꼬집으며 “이는 오히려 비용 측면에서 훨씬 손해”라고 진단했다. “그러므로 경쟁력이 오히려 낮아지죠.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA 등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
