사물인터넷 장비들이 점점 작아지면서 ‘암호화’ 작업을 점점 힘겨워하고 있다. 그래서 암호화 알고리즘이라는 게 탑재되지 않는 게 일반적이었다. 하지만 상황이 바뀔 예정이다. NIST가 ‘표준’이라는 칼을 빼들었기 때문이다.
[보안뉴스 문가용 기자] 사물인터넷 생태계를 보호하기 위해 새로운 ‘표준’ 암호화 기술이 등장했다. 2월 7일 미국의 표준기술연구소(NIST)가 차세대 암호화 알고리즘을 표준으로 선정했다고 발표한 것이다. 이 알고리즘의 이름은 아스콘(Ascon)으로, 앞으로 생산되는 가벼운 전자 장비들에는 전부 도입될 예정이다. 아스콘은 장비 생산자들과 구매자들 모두에게 보다 안전한 장비 활용 환경을 제공할 것으로 기대된다.
[이미지 = utoimage]
NIST의 컴퓨터 과학자 케리 맥케이(Kerry McKay)는 “아무리 작은 장비라도 이제 암호화 기술로 보호받을 수 있게 됐다”고 발표했다. “이제 세계 곳곳의 모든 분야에서 작은 장비들이 널리 사용됩니다. 센서들, 제어 장치들, 각종 네트워크 장비들 등 장비의 소형화가 무섭게 진행되는 중이죠. 하지만 이 작은 장비들은 사용할 수 있는 자원이 한정되어 있습니다. 그래서 암호화 같은 기술을 탑재하여 구현하는 게 어렵죠. 하지만 아스콘 덕분에 이런 문제를 극복할 수 있게 되었습니다.”
폭발적으로 증가하는 사물인터넷
기업 환경과 산업 환경에서 커넥티드 장비들은 빠르게 증가하고 있다. 지난 3년 동안 이 흐름을 가장 크게 부추긴 건 크게 두 가지다. 하나는 원격 운영의 필요성을 눈 앞으로 가져다 준 코로나이고, 다른 하나는 현재 전 세계적으로 부각되고 있는 암울한 경제 전망이다. 원격 근무 등을 지원하기 위해 사물인터넷 장비가 대거 기업과 산업 환경에 투입됐고, 이제는 경제 불황에 맞서 비용 절감을 위해 투입되는 중이다.
그리고 이렇게 ‘대거’ 투입되는 것만큼 위험 수위도 대거 높아지는 중이다. 2022년 전반기 동안 사물인터넷 생태계에서 발견된 취약점의 수는 전년 도에 비해 57% 증가했고, 이 비율은 지금도 계속해서 올라가는 중이다. 폰투온(Pwn2Own)이라는 해킹 대회에서만 익스플로잇 공격이 가능한 취약점이 63개 나왔다. “그럼에도 산업 환경에서의 사물인터넷 장비들은 패치 없이 대단히 긴 기간 사용되는 게 보통이죠.” 보안 업체 트렌드마이크로(Trend Micro)의 부회장 빌 말릭(Bill Malik)의 설명이다.
“현대의 사물인터넷 장비들은 인터넷에 연결되어 있습니다. 그냥 연결되어 있는 게 아니라 활짝 열려 있죠. 누군가 관리를 부실하게 한 결과일 수도 있고 뭔가 설정을 깜빡 한 것일 수도 있고요. 그리고 몇 년이 지나도록 업데이트 한 번 되지 않을 때가 많죠. 그러면서 장비와 네트워크가 함께 위험에 노출되게 됩니다.”
저전력 장비들의 보안
NIST가 표준으로 채택한 아스콘은 저전력 사물인터넷 장비들에 저장되는 데이터와, 그러한 장비들 간 통신에 암호화 기술을 적용하는 데 활용될 것이다. 이런 결정이 내려지기까지 NIST는 2019년 3월부터 57개의 후보 알고리즘을 두고 계속해서 연구와 실험, 분석을 해 왔다. 57개의 후보는 2021년 10개로 줄었고, 이 10개 중 아스콘이 살아남았다.
“보안성이라는 것 하나만 보자면 후보로 선정된 알고리즘 모두 부족할 것이 하나도 없었습니다. 하지만 표준 알고리즘을 채택한다고 하면 고려해야 할 것들이 훨씬 많아지죠. 암호화와 복호화의 속도, 용량, 필요한 전략의 양 등도 같이 봐야만 했습니다.” 맥케이의 설명이다. “결국 모든 면에서 두루두루 양호한 성적을 내는 알고리즘들로 추려지더군요.”
저전력 장비들은 말 그대로 사용할 수 있는 에너지 자원이 그리 풍부하지 않다. 따라서 컴퓨팅 성능이 그리 강력하지 않다. 암호화와 복호화를 수행할 힘이 부족한 것이다. 그래서 암호화 기술이 데이터 보호에 유용하다는 것을 알고 있었지만 쉽게 적용할 수 없었고, 이 문제를 해결하지 않고 장비의 소형화를 지켜만 보고 있다면 문제가 걷잡을 수 없을 것이 뻔한 일이라 NIST는 표준 알고리즘을 수년 동안 신중히 고른것이다.
하지만 NIST가 표준 알고리즘을 선택했다고 해서 당장 사물인터넷 생태계가 안전해지는 것은 아니다. “아직 사물인터넷 제조사들은 암호화는커녕 다른 기본 보안 실천 수칙도 제대로 도입하지 못하고 있기 때문입니다. 기본적인 인증 장치도 없는 경우도 많고, 패치가 너무 어려워 일반 사용자는 할 수 없을 때도 많습니다. 그러니 사용자들도 사물인터넷 장비에서 보안 기능을 찾지도 만지지도 않는 것이고요.” 말릭의 설명이다.
제조 산업이 특히 위험
커넥티드 장비 혹은 사물인터넷 장비들이 가장 많이 도입되고, 그러므로 이런 장비들 때문에 가장 위험해질 수 있는 건 제조업이다. 2022년 3사분기 동안 발생한 사물인터넷 공격의 68%가 제조업에서 일어났다고 보안 업체 드라고스(Dragos)는 조사한 바 있다. 하지만 이건 제조업에서 사물인터넷 장비를 많이 사용하려는 경향을 보이기 때문에 나타나는 현상이다. 보다 많은 산업에서 사물인터넷 장비를 도입하면 위험 수위는 평준화 될 것으로 예상된다.
산업사물인터넷컨소시엄(Industry IoT Consortium, IIC)의 키아오 케인덱(Keao Caindec)는 “취약점을 탐지하는 데에까지는 어느 정도 수준에 도달했지만, 그것만으로는 한참 부족하다”는 의견이다. “비단 사물인터넷 생태계에서만의 이야기는 아닙니다. 현대의 보안이라는 게 탐지와 대처라는 기본적인 구조를 가지고 있어요. 그래서 주구장창 모니터링을 하고, 그 중에 조사가 필요한 경우에 경보를 울리죠. 나쁘지 않지만 이 구조에는 본질적인 문제가 하나 있어요. 항상 공격자들보다 한 발 늦을 수밖에 없다는 겁니다."
그래서 케인덱은 기업들이 다음에 좀 더 집중해야 한다고 제안한다.
1) 최초 접근 관리
2) 비정상적인 접근의 원천적인 차단
3) 무단 네트워크 탐색 및 자산 찾기 행위 금지
4) 횡적인 움직임 방지
“이런 것에 좀 더 익숙해져야 표준 암호화 알고리즘을 도입하는 게 진정한 효과를 발휘할 수 있게 됩니다.”
딜로이트(Deloitte)의 사물인터넷 부문 리더인 웬디 프랭크(Wendy Frank)는 “보안은 생각보다 많은 것을 요구하는 ‘투자’여야 한다”며 “기본 실천 수칙을 지키는 것도 엄연한 투자”라고 주장한다. “그렇기 때문에 사물인터넷 장비를 안전하게 사용한다는 건, 사용자 기업들이 ‘보안 투자에 대한 각오’를 해야 비로소 이뤄질 수 있는 겁니다. 표준으로 정해진 암호화 알고리즘이 존재한다는 건, 보안 투자로의 첫 걸음을 떼게 만드는 효과를 가져갈 수 있으리라고 봅니다.”
3줄 요약
1. 저전력 사물인터넷 장비들에 적용될 표준 암호화 알고리즘이 정해짐.
2. 이 알고리즘의 이름은 아스콘으로, 2019년부터 NIST가 고심해서 선택.
3. 보안 실천 사항이 지켜진 상태에서 적용되어야 효과 발휘.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 사물인터넷 생태계를 보호하기 위해 새로운 ‘표준’ 암호화 기술이 등장했다. 2월 7일 미국의 표준기술연구소(NIST)가 차세대 암호화 알고리즘을 표준으로 선정했다고 발표한 것이다. 이 알고리즘의 이름은 아스콘(Ascon)으로, 앞으로 생산되는 가벼운 전자 장비들에는 전부 도입될 예정이다. 아스콘은 장비 생산자들과 구매자들 모두에게 보다 안전한 장비 활용 환경을 제공할 것으로 기대된다.
[이미지 = utoimage]
NIST의 컴퓨터 과학자 케리 맥케이(Kerry McKay)는 “아무리 작은 장비라도 이제 암호화 기술로 보호받을 수 있게 됐다”고 발표했다. “이제 세계 곳곳의 모든 분야에서 작은 장비들이 널리 사용됩니다. 센서들, 제어 장치들, 각종 네트워크 장비들 등 장비의 소형화가 무섭게 진행되는 중이죠. 하지만 이 작은 장비들은 사용할 수 있는 자원이 한정되어 있습니다. 그래서 암호화 같은 기술을 탑재하여 구현하는 게 어렵죠. 하지만 아스콘 덕분에 이런 문제를 극복할 수 있게 되었습니다.”
폭발적으로 증가하는 사물인터넷
기업 환경과 산업 환경에서 커넥티드 장비들은 빠르게 증가하고 있다. 지난 3년 동안 이 흐름을 가장 크게 부추긴 건 크게 두 가지다. 하나는 원격 운영의 필요성을 눈 앞으로 가져다 준 코로나이고, 다른 하나는 현재 전 세계적으로 부각되고 있는 암울한 경제 전망이다. 원격 근무 등을 지원하기 위해 사물인터넷 장비가 대거 기업과 산업 환경에 투입됐고, 이제는 경제 불황에 맞서 비용 절감을 위해 투입되는 중이다.
그리고 이렇게 ‘대거’ 투입되는 것만큼 위험 수위도 대거 높아지는 중이다. 2022년 전반기 동안 사물인터넷 생태계에서 발견된 취약점의 수는 전년 도에 비해 57% 증가했고, 이 비율은 지금도 계속해서 올라가는 중이다. 폰투온(Pwn2Own)이라는 해킹 대회에서만 익스플로잇 공격이 가능한 취약점이 63개 나왔다. “그럼에도 산업 환경에서의 사물인터넷 장비들은 패치 없이 대단히 긴 기간 사용되는 게 보통이죠.” 보안 업체 트렌드마이크로(Trend Micro)의 부회장 빌 말릭(Bill Malik)의 설명이다.
“현대의 사물인터넷 장비들은 인터넷에 연결되어 있습니다. 그냥 연결되어 있는 게 아니라 활짝 열려 있죠. 누군가 관리를 부실하게 한 결과일 수도 있고 뭔가 설정을 깜빡 한 것일 수도 있고요. 그리고 몇 년이 지나도록 업데이트 한 번 되지 않을 때가 많죠. 그러면서 장비와 네트워크가 함께 위험에 노출되게 됩니다.”
저전력 장비들의 보안
NIST가 표준으로 채택한 아스콘은 저전력 사물인터넷 장비들에 저장되는 데이터와, 그러한 장비들 간 통신에 암호화 기술을 적용하는 데 활용될 것이다. 이런 결정이 내려지기까지 NIST는 2019년 3월부터 57개의 후보 알고리즘을 두고 계속해서 연구와 실험, 분석을 해 왔다. 57개의 후보는 2021년 10개로 줄었고, 이 10개 중 아스콘이 살아남았다.
“보안성이라는 것 하나만 보자면 후보로 선정된 알고리즘 모두 부족할 것이 하나도 없었습니다. 하지만 표준 알고리즘을 채택한다고 하면 고려해야 할 것들이 훨씬 많아지죠. 암호화와 복호화의 속도, 용량, 필요한 전략의 양 등도 같이 봐야만 했습니다.” 맥케이의 설명이다. “결국 모든 면에서 두루두루 양호한 성적을 내는 알고리즘들로 추려지더군요.”
저전력 장비들은 말 그대로 사용할 수 있는 에너지 자원이 그리 풍부하지 않다. 따라서 컴퓨팅 성능이 그리 강력하지 않다. 암호화와 복호화를 수행할 힘이 부족한 것이다. 그래서 암호화 기술이 데이터 보호에 유용하다는 것을 알고 있었지만 쉽게 적용할 수 없었고, 이 문제를 해결하지 않고 장비의 소형화를 지켜만 보고 있다면 문제가 걷잡을 수 없을 것이 뻔한 일이라 NIST는 표준 알고리즘을 수년 동안 신중히 고른것이다.
하지만 NIST가 표준 알고리즘을 선택했다고 해서 당장 사물인터넷 생태계가 안전해지는 것은 아니다. “아직 사물인터넷 제조사들은 암호화는커녕 다른 기본 보안 실천 수칙도 제대로 도입하지 못하고 있기 때문입니다. 기본적인 인증 장치도 없는 경우도 많고, 패치가 너무 어려워 일반 사용자는 할 수 없을 때도 많습니다. 그러니 사용자들도 사물인터넷 장비에서 보안 기능을 찾지도 만지지도 않는 것이고요.” 말릭의 설명이다.
제조 산업이 특히 위험
커넥티드 장비 혹은 사물인터넷 장비들이 가장 많이 도입되고, 그러므로 이런 장비들 때문에 가장 위험해질 수 있는 건 제조업이다. 2022년 3사분기 동안 발생한 사물인터넷 공격의 68%가 제조업에서 일어났다고 보안 업체 드라고스(Dragos)는 조사한 바 있다. 하지만 이건 제조업에서 사물인터넷 장비를 많이 사용하려는 경향을 보이기 때문에 나타나는 현상이다. 보다 많은 산업에서 사물인터넷 장비를 도입하면 위험 수위는 평준화 될 것으로 예상된다.
산업사물인터넷컨소시엄(Industry IoT Consortium, IIC)의 키아오 케인덱(Keao Caindec)는 “취약점을 탐지하는 데에까지는 어느 정도 수준에 도달했지만, 그것만으로는 한참 부족하다”는 의견이다. “비단 사물인터넷 생태계에서만의 이야기는 아닙니다. 현대의 보안이라는 게 탐지와 대처라는 기본적인 구조를 가지고 있어요. 그래서 주구장창 모니터링을 하고, 그 중에 조사가 필요한 경우에 경보를 울리죠. 나쁘지 않지만 이 구조에는 본질적인 문제가 하나 있어요. 항상 공격자들보다 한 발 늦을 수밖에 없다는 겁니다."
그래서 케인덱은 기업들이 다음에 좀 더 집중해야 한다고 제안한다.
1) 최초 접근 관리
2) 비정상적인 접근의 원천적인 차단
3) 무단 네트워크 탐색 및 자산 찾기 행위 금지
4) 횡적인 움직임 방지
“이런 것에 좀 더 익숙해져야 표준 암호화 알고리즘을 도입하는 게 진정한 효과를 발휘할 수 있게 됩니다.”
딜로이트(Deloitte)의 사물인터넷 부문 리더인 웬디 프랭크(Wendy Frank)는 “보안은 생각보다 많은 것을 요구하는 ‘투자’여야 한다”며 “기본 실천 수칙을 지키는 것도 엄연한 투자”라고 주장한다. “그렇기 때문에 사물인터넷 장비를 안전하게 사용한다는 건, 사용자 기업들이 ‘보안 투자에 대한 각오’를 해야 비로소 이뤄질 수 있는 겁니다. 표준으로 정해진 암호화 알고리즘이 존재한다는 건, 보안 투자로의 첫 걸음을 떼게 만드는 효과를 가져갈 수 있으리라고 봅니다.”
3줄 요약
1. 저전력 사물인터넷 장비들에 적용될 표준 암호화 알고리즘이 정해짐.
2. 이 알고리즘의 이름은 아스콘으로, 2019년부터 NIST가 고심해서 선택.
3. 보안 실천 사항이 지켜진 상태에서 적용되어야 효과 발휘.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 TH.jpg)
 th.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
