변화가 크면 사용자에게 알리고, 패치는 쉽고 빠르게
지금 당장은 산업 전체가 알아서 안전을 챙겨야 할 때
[보안뉴스 문가용] ‘똑똑하다’는 뜻의 스마트라는 별명이 붙은 기기들이 우리 주위를 에워싸고 있지만, 기술발전에 대한 사회적 규범이나 대중의 인식은 아직 한참 뒤에 있다. 그렇다고 기계만이 똑똑한가? 스마트한 기기들이라지만 보안에 있어서는 바보 멍청이 같을 때가 더 많다는 건 이미 널리 알려진 사실이다. 이 문제가 아직 해결되지도 않았는데 사물인터넷 기기들도 앞 다투어 똑똑함과 멍청함을 다 겸비한 채 시장에 등장하고 있기도 하다.
.jpg)
하지만 완전체라는 건 어차피 시간과 무수한 수정 속에서 겨우 하나 탄생할까 말까한 것이다. 그래서 취약점이라는 걸 매일 등록받고, 고치고, 배포한다. 다만 이 과정에 참여하는 이유가 단순히 완벽한 세상을 만들기 위함만이 아니라는 게 문제다. 누군가는 앙갚음을 이유로, 누군가는 주가조작을 위해서, 누군가는 높은 가격에 팔기 위해서 취약점을 연구하고 또 공개한다. 혹은 누군가는 취약점을 발견하고 공개하는 법을 몰라 괜한 오해를 사기도 한다. 그래서 현 시점에서 업계 내 암묵적인 규칙으로 자리 잡은 취약점 관련 사항 7가지를 정리한다.
1. 큰 변화가 발생할 경우 사용자에게 알린다
사용자가 하루에 몇 번씩 반복해서 취하는 행동과 연관이 있는 기능의 취약점이라면 사용자에게 변화 내용을 제대로 알려줘야 한다. 자주 사용하기 때문에 행동 순서를 몸이 기억하고 있을 가능성이 높고, 그렇다면 패치 이후에도 그 방식 그 대로 기능을 사용할 가능성이 높다. 이런 경우 자동 패치 등으로 유야무야 넘어가는 게 아니라 구체적으로 어떤 부분이 어떻게 바뀌었으니 참고하라는 내용을 한 번 이상 알려줘야 한다. 특히 안전 관련 옵션이나 기능이 바뀐 경우, 반드시 사용자가 이해토록 만들어야 한다.
2. 취약점 보고는 꼼꼼하게 한다
기기 생산업체들은 이미 취약점을 보고할 때와 공개할 때의 정책이 꼼꼼하게 수립되어 있고, 관련 직원들에게 고지가 된 상태일 것이다. 그리고 그래야 맞다. 특히 의료기기의 경우 환자의 생명과 직접 연관이 있는 것이기 때문에 이런 정책을 병원이나 시설 곳곳에 환자도 볼 수 있게끔 붙여놓는 편이 좋다. 웹 사이트 방문자를 위해 온라인에도 눈에 잘 띄는 곳에 올려놓으면 도움이 된다.
3. 인간의 개입이 아직은 필요하다
완벽한 인간은 단 한 명도 없지만, 그럼에도 어떤 문제에 있어 최고의 지식이나 경험을 가진 단 한 사람에게 모든 결정을 맡겨야 할 때가 있다. 의료기기와 관련된 문제라면 의사가 이 역할을 할 때가 있고, 자율주행 문제라면 핸들을 잡거나 페달을 밟지 않더라도 거리에서 일어나는 일을 식별할 수 있는 탑승자가 될 수도 있다. 취약점 분석과 공개 문제에 있어 모든 것을 자동화할 수는 없는 단계다. 한 취약점을 둘러싼 여러 가지 맥락 정보와 판단을 민감하게 내려야 할 때가 있는데, 이는 사람만의 고유 영역이다.
4. 업데이트는 쉽고 빨라야 한다
어떤 종류의 소프트웨어/애플리케이션이라도 코드를 들여다보면 매우 길고 복잡하다. 오류는 보통 이 복잡성 속에서 도사리고 있다. 그런 오류가 발견되면 그 즉시 업데이트를 통해 제거할 수 있어야 한다. 또한 보통 업데이트를 실시하는 주체는 일반 사용자지, 코드를 이해하거나 원활하게 짤 수 있는 개발자들이 아니다. 그러므로 쉬워야 한다. 물론 오류의 종류에 따라 서비스 센터를 방문하도록 유도할 수도 있겠지만, 이것이 반복되면 브랜드 이미지가 추락한다.
5. 의외의 취약점 – 로그파일과 스토리지
인터넷에 연결된 ‘사물인터넷’ 세탁기에 해커가 굳이 관심을 가질 이유가 없어 보인다...고 흔히들 생각하는데, 굉장히 순진한 발상이다. 공격을 해야겠다고 마음먹은 사람에겐 아무리 성능이 낮거나 단순한 기기라도 활용 가능성이 있다. 하다못해 디도스 공격이나 스패밍도 이런 사물인터넷 기기들로 가능하기 때문이다. 세탁기를 통한 디도스 공격이 발생한다면 진원지를 밝혀야 하는데, 이는 로그 파일을 저장하지 않고는 불가능하다. 스토리지에 돈을 아낀다면 로그 파일이 상대적으로 작을 가능성이 높은데, 이걸 먼저 해결해야 한다. 로그 파일 저장만을 위한 다른 드라이브나 기기를 마련하는 게 좋은 ‘패치’ 방법일 것이다.
6. 입력자를 인증하라
아이나 애완동물이 기기를 잘못 건드려서 환경설정이 바뀌는 것을 한두 번은 경험해봤을 것이다. 언어 설정이 바뀐 것 정도라면 리스크가 그렇게 높아졌다고 볼 수는 없지만 블루투스나 와이파이를 자동으로 연결하도록 해놓는 등 보안과 관련된 설정이 바뀌었다면 리스크가 높아진다. 아주 작은 변화가 큰 결과를 낳을 때가 많다. 이런 해프닝들이 여기 저기서 벌어지는 게 현실이라면 취약점에 대한 보고나 배포에 있어서도 입력자에 대한 확인 또 확인도 필요하다. 특히 안드로이드처럼 그 생태계가 복잡한 경우는 취약점 패치 최초 공개자나 발표자가 누구인지도 점검해야 한다.
7. 빠져나갈 구멍 마련하기
사물인터넷 기기 대부분 클라우드에 기반을 두고 있다. 그런데 해당 클라우드 업체가 도산을 한다든가, 그냥 사업을 그만둔다든가, 취약점을 패치하는 이유로 지원을 그만둔다면 어떻게 될까? 사용자나 사물인터넷 기기 운영업체/생산업체가 클라우드를 이전할 수 있도록 시간을 허락해야 한다. 즉 사물인터넷 기기나 클라우드가 모두 이런 극단적인 경우에도 대처할 수 있을만한 시스템을 마련해야 한다. 이는 임시 클라우드 및 연결 공간 마련을 포함하기도 한다.
새로운 기술에 대한 찬사가 아무리 쏟아져도, 일반 대중 사이에 그 기술의 도입 및 사용에 대한 정서나 합의점이 갖춰지기까지는 시간이 걸린다. 규칙 세우는 건 더더구나 늦다. 기술 발전과 안전한 사용방법에 대한 규칙이 수립되는 시간 차이 사이로 각종 사건 사고들이 발생한다. 그 시간 동안은 제작자/유통업자/관리자 등 관련된 주체들이 알아서 안전을 챙겨야 한다. 위 7가지 관련 사항은 사물인터넷 및 스마트 기기의 안전한 사용법이 아직 규칙으로 정해지지 않은 지금 타이밍에 유효한 것으로, 시간이 흐르면서 뭔가가 더 붙을 수도 빠질 수도 있다. 중요한 건 지금에 있어서 ‘안전’은 우리 스스로의 과제라는 것이다.
글 : 리사 마이어스(Lysa Myers)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
지금 당장은 산업 전체가 알아서 안전을 챙겨야 할 때
[보안뉴스 문가용] ‘똑똑하다’는 뜻의 스마트라는 별명이 붙은 기기들이 우리 주위를 에워싸고 있지만, 기술발전에 대한 사회적 규범이나 대중의 인식은 아직 한참 뒤에 있다. 그렇다고 기계만이 똑똑한가? 스마트한 기기들이라지만 보안에 있어서는 바보 멍청이 같을 때가 더 많다는 건 이미 널리 알려진 사실이다. 이 문제가 아직 해결되지도 않았는데 사물인터넷 기기들도 앞 다투어 똑똑함과 멍청함을 다 겸비한 채 시장에 등장하고 있기도 하다.
하지만 완전체라는 건 어차피 시간과 무수한 수정 속에서 겨우 하나 탄생할까 말까한 것이다. 그래서 취약점이라는 걸 매일 등록받고, 고치고, 배포한다. 다만 이 과정에 참여하는 이유가 단순히 완벽한 세상을 만들기 위함만이 아니라는 게 문제다. 누군가는 앙갚음을 이유로, 누군가는 주가조작을 위해서, 누군가는 높은 가격에 팔기 위해서 취약점을 연구하고 또 공개한다. 혹은 누군가는 취약점을 발견하고 공개하는 법을 몰라 괜한 오해를 사기도 한다. 그래서 현 시점에서 업계 내 암묵적인 규칙으로 자리 잡은 취약점 관련 사항 7가지를 정리한다.
1. 큰 변화가 발생할 경우 사용자에게 알린다
사용자가 하루에 몇 번씩 반복해서 취하는 행동과 연관이 있는 기능의 취약점이라면 사용자에게 변화 내용을 제대로 알려줘야 한다. 자주 사용하기 때문에 행동 순서를 몸이 기억하고 있을 가능성이 높고, 그렇다면 패치 이후에도 그 방식 그 대로 기능을 사용할 가능성이 높다. 이런 경우 자동 패치 등으로 유야무야 넘어가는 게 아니라 구체적으로 어떤 부분이 어떻게 바뀌었으니 참고하라는 내용을 한 번 이상 알려줘야 한다. 특히 안전 관련 옵션이나 기능이 바뀐 경우, 반드시 사용자가 이해토록 만들어야 한다.
2. 취약점 보고는 꼼꼼하게 한다
기기 생산업체들은 이미 취약점을 보고할 때와 공개할 때의 정책이 꼼꼼하게 수립되어 있고, 관련 직원들에게 고지가 된 상태일 것이다. 그리고 그래야 맞다. 특히 의료기기의 경우 환자의 생명과 직접 연관이 있는 것이기 때문에 이런 정책을 병원이나 시설 곳곳에 환자도 볼 수 있게끔 붙여놓는 편이 좋다. 웹 사이트 방문자를 위해 온라인에도 눈에 잘 띄는 곳에 올려놓으면 도움이 된다.
3. 인간의 개입이 아직은 필요하다
완벽한 인간은 단 한 명도 없지만, 그럼에도 어떤 문제에 있어 최고의 지식이나 경험을 가진 단 한 사람에게 모든 결정을 맡겨야 할 때가 있다. 의료기기와 관련된 문제라면 의사가 이 역할을 할 때가 있고, 자율주행 문제라면 핸들을 잡거나 페달을 밟지 않더라도 거리에서 일어나는 일을 식별할 수 있는 탑승자가 될 수도 있다. 취약점 분석과 공개 문제에 있어 모든 것을 자동화할 수는 없는 단계다. 한 취약점을 둘러싼 여러 가지 맥락 정보와 판단을 민감하게 내려야 할 때가 있는데, 이는 사람만의 고유 영역이다.
4. 업데이트는 쉽고 빨라야 한다
어떤 종류의 소프트웨어/애플리케이션이라도 코드를 들여다보면 매우 길고 복잡하다. 오류는 보통 이 복잡성 속에서 도사리고 있다. 그런 오류가 발견되면 그 즉시 업데이트를 통해 제거할 수 있어야 한다. 또한 보통 업데이트를 실시하는 주체는 일반 사용자지, 코드를 이해하거나 원활하게 짤 수 있는 개발자들이 아니다. 그러므로 쉬워야 한다. 물론 오류의 종류에 따라 서비스 센터를 방문하도록 유도할 수도 있겠지만, 이것이 반복되면 브랜드 이미지가 추락한다.
5. 의외의 취약점 – 로그파일과 스토리지
인터넷에 연결된 ‘사물인터넷’ 세탁기에 해커가 굳이 관심을 가질 이유가 없어 보인다...고 흔히들 생각하는데, 굉장히 순진한 발상이다. 공격을 해야겠다고 마음먹은 사람에겐 아무리 성능이 낮거나 단순한 기기라도 활용 가능성이 있다. 하다못해 디도스 공격이나 스패밍도 이런 사물인터넷 기기들로 가능하기 때문이다. 세탁기를 통한 디도스 공격이 발생한다면 진원지를 밝혀야 하는데, 이는 로그 파일을 저장하지 않고는 불가능하다. 스토리지에 돈을 아낀다면 로그 파일이 상대적으로 작을 가능성이 높은데, 이걸 먼저 해결해야 한다. 로그 파일 저장만을 위한 다른 드라이브나 기기를 마련하는 게 좋은 ‘패치’ 방법일 것이다.
6. 입력자를 인증하라
아이나 애완동물이 기기를 잘못 건드려서 환경설정이 바뀌는 것을 한두 번은 경험해봤을 것이다. 언어 설정이 바뀐 것 정도라면 리스크가 그렇게 높아졌다고 볼 수는 없지만 블루투스나 와이파이를 자동으로 연결하도록 해놓는 등 보안과 관련된 설정이 바뀌었다면 리스크가 높아진다. 아주 작은 변화가 큰 결과를 낳을 때가 많다. 이런 해프닝들이 여기 저기서 벌어지는 게 현실이라면 취약점에 대한 보고나 배포에 있어서도 입력자에 대한 확인 또 확인도 필요하다. 특히 안드로이드처럼 그 생태계가 복잡한 경우는 취약점 패치 최초 공개자나 발표자가 누구인지도 점검해야 한다.
7. 빠져나갈 구멍 마련하기
사물인터넷 기기 대부분 클라우드에 기반을 두고 있다. 그런데 해당 클라우드 업체가 도산을 한다든가, 그냥 사업을 그만둔다든가, 취약점을 패치하는 이유로 지원을 그만둔다면 어떻게 될까? 사용자나 사물인터넷 기기 운영업체/생산업체가 클라우드를 이전할 수 있도록 시간을 허락해야 한다. 즉 사물인터넷 기기나 클라우드가 모두 이런 극단적인 경우에도 대처할 수 있을만한 시스템을 마련해야 한다. 이는 임시 클라우드 및 연결 공간 마련을 포함하기도 한다.
새로운 기술에 대한 찬사가 아무리 쏟아져도, 일반 대중 사이에 그 기술의 도입 및 사용에 대한 정서나 합의점이 갖춰지기까지는 시간이 걸린다. 규칙 세우는 건 더더구나 늦다. 기술 발전과 안전한 사용방법에 대한 규칙이 수립되는 시간 차이 사이로 각종 사건 사고들이 발생한다. 그 시간 동안은 제작자/유통업자/관리자 등 관련된 주체들이 알아서 안전을 챙겨야 한다. 위 7가지 관련 사항은 사물인터넷 및 스마트 기기의 안전한 사용법이 아직 규칙으로 정해지지 않은 지금 타이밍에 유효한 것으로, 시간이 흐르면서 뭔가가 더 붙을 수도 빠질 수도 있다. 중요한 건 지금에 있어서 ‘안전’은 우리 스스로의 과제라는 것이다.
글 : 리사 마이어스(Lysa Myers)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
