개인, 웹캠 해킹 등으로 사생활 노출 우려 커져
기업, 스마트 팩토리 등 IoT 기기로 인한 다양한 위협에 직면
올해 IoT 보안 자율인증 거쳐 향후 법제화 추진...철저한 준비 필요
[보안뉴스 성기노 객원기자] IoT(Internet of Things: 사물인터넷)의 시대다. 사물인터넷이 새로운 산업발전의 주역으로 떠오르면서 관련 기기들이 쏟아지고 있다. 이전에는 상상하지 못했던 다양한 기기들이 인터넷에 연결되고 있다. 가트너는 2020년까지 208억 개의 사물이 인터넷에 연결될 것으로 전망하고 있다. 디바이스 시장규모는 총 3조 달러까지 성장할 것으로 보았다. IoT가 떠오르며 IoT기기들의 보안 위협 또한 커지고 있다. 특히, 리소스가 적은 IoT 기기들의 경우 기존 백신과 같은 보안 솔루션 탑재가 어렵고 개인사용자들의 보안의식이 부족한 경우가 많아 심각한 보안 피해가 우려된다.
[이미지=iclickart]
IoT 보안은 IoT의 발전과 더불어 기술 발전뿐만 아니라 관련 기기에 대한 보안 강화가 중요하다는 의식에서부터 시작됐다. TV, 냉장고 등 IoT로 연결된 가전제품을 해킹해 피싱과 스팸 메일을 발송하는 사례가 늘면서 IoT 보안에 대한 중요성이 커지고 있다. IoT 기기들은 주로 인터넷 공유기를 통해 데이터를 주고받는데 사이버 공격자가 이를 해킹해 권한을 가로채고, 해킹된 기기에 접속하는 기기에 대해 중간자 공격을 할 수 있다. 또한 공격자가 비밀번호 설정이 없는 공유기에 접속해 의도적으로 파밍 사이트로 유도, 개인 정보를 유출할 수도 있다.
IoT 기기 수요는 증가하고 있는 데 반해 사용자 보안수준은 비교적 낮다. 이런 불균형 때문에 많은 전문가들은 IoT가 확산될수록 이에 비례해 보안 위협이 증가할 것으로 보고 있다. 실제 IoT 기기를 이용하는 공격은 점점 더 지능화되면서 그 양 또한 많아지고 있다. 가트너에 따르면 매일 약 550만 개의 기기가 인터넷에 연결되고 있다. 세계경제포럼 산하 ‘글로벌 어젠다 카운슬(Global Agenda Council)’은 글로벌 ICT 기술 부문 임원과 전문가 800여 명을 대상으로 진행한 설문 조사결과를 들어 2025년에는 약 1조 개의 센서가 인터넷에 연결되며 가정, 업무 환경부터 사회 기반 시설까지 IoT 기술의 활용 범위가 크게 확대될 것으로 예측했다.
최근에는 인터넷에 직접 연결되는 웹캠 또는 와이파이캠 등의 개인용 CCTV를 많은 업체들이 제품으로 내놓고 있다. 이들 제조업체 중 특히 영세 제조사의 경우 보안에 상대적으로 취약한 경우가 많아 주의가 요구된다. 자칫 개인의 사생활이 유출되거나 절도 대상을 물색하는 데 사용될 수 있어 재산 및 생명에 위협이 될 수 있다. 관리자 측에서 네트워크 점검 차 백도어를 심어놓은 경우, 백도어를 통해 해당 CCTV가 촬영하는 영상을 원격으로 보거나 제어하는 것이 얼마든지 가능하기 때문에 공격자는 이를 노리고 접근하곤 한다.
개인 영상 유출 등 제조사의 목적과 다른 용도로 악용하는 경우, 제품을 구매한 사용자는 이상 여부를 인지하기 어렵고 인지하더라도 문제를 스스로 해결하는 것이 거의 불가능하다. 이러한 위협은 비단 개인에게만 해당하는 것은 아니다. 기업 역시 IoT 기기로 인한 다양한 위협에 직면해 있다. 대표적인 예가 스마트 팩토리다. 스마트 팩토리는 기존에 버려지던 수많은 데이터를 수집하고 이를 분석하는 것이 중요하다. IoT 기기에 장착된 센서의 각종 데이터가 위변조 및 탈취 위험이 있으며, 출력을 위한 기기가 도면정보를 캐시에 남겨두는 경우에도 기업 정보가 새어나갈 위험이 있다.
이렇게 IoT에 대한 다양한 보안 위협이 점증하면서 한국인터넷진흥원(KISA)이 IoT 기기를 대상으로 보안인증 의무화를 추진하고 있다. 이르면 내년부터 미래창조과학부와 KISA는 IP카메라(홈캠) 해킹 등 최근 불거진 IoT 기기의 보안상 취약점을 개선하고 보안사고를 사전에 예방하기 위해 IoT 기기 보안인증제도를 도입한다는 방침이다.
1차적으로 자율인증 방식으로 보안을 강화한 후, 관련 법제도를 마련해 의무화를 추진할 것으로 알려졌다. 인증 기준은 △식별 및 인증의 안정성 △중요 데이터의 암호화 저장 및 전송 △펌웨어 보안 △소프트웨어 업데이트 방식 △외부 인터페이스 차단 △물리적 보안 등이다.
급증하고 있는 각종 IoT 보안 위협에 대한 효과적인 대응을 위해 또 하나의 인증제도를 준비하고 있는 정부. 이번 인증이 실효성은 떨어지면서 기업에게 부담만 가중시키는 또 하나의 규제가 되지 않으려면 대상 업체들과의 충분한 논의와 사전교육, 그리고 준비기간이 필요할 것으로 보인다.
[성기노 객원기자(kino@boannews.com)]
기업, 스마트 팩토리 등 IoT 기기로 인한 다양한 위협에 직면
올해 IoT 보안 자율인증 거쳐 향후 법제화 추진...철저한 준비 필요
[보안뉴스 성기노 객원기자] IoT(Internet of Things: 사물인터넷)의 시대다. 사물인터넷이 새로운 산업발전의 주역으로 떠오르면서 관련 기기들이 쏟아지고 있다. 이전에는 상상하지 못했던 다양한 기기들이 인터넷에 연결되고 있다. 가트너는 2020년까지 208억 개의 사물이 인터넷에 연결될 것으로 전망하고 있다. 디바이스 시장규모는 총 3조 달러까지 성장할 것으로 보았다. IoT가 떠오르며 IoT기기들의 보안 위협 또한 커지고 있다. 특히, 리소스가 적은 IoT 기기들의 경우 기존 백신과 같은 보안 솔루션 탑재가 어렵고 개인사용자들의 보안의식이 부족한 경우가 많아 심각한 보안 피해가 우려된다.
[이미지=iclickart]
IoT 보안은 IoT의 발전과 더불어 기술 발전뿐만 아니라 관련 기기에 대한 보안 강화가 중요하다는 의식에서부터 시작됐다. TV, 냉장고 등 IoT로 연결된 가전제품을 해킹해 피싱과 스팸 메일을 발송하는 사례가 늘면서 IoT 보안에 대한 중요성이 커지고 있다. IoT 기기들은 주로 인터넷 공유기를 통해 데이터를 주고받는데 사이버 공격자가 이를 해킹해 권한을 가로채고, 해킹된 기기에 접속하는 기기에 대해 중간자 공격을 할 수 있다. 또한 공격자가 비밀번호 설정이 없는 공유기에 접속해 의도적으로 파밍 사이트로 유도, 개인 정보를 유출할 수도 있다.
IoT 기기 수요는 증가하고 있는 데 반해 사용자 보안수준은 비교적 낮다. 이런 불균형 때문에 많은 전문가들은 IoT가 확산될수록 이에 비례해 보안 위협이 증가할 것으로 보고 있다. 실제 IoT 기기를 이용하는 공격은 점점 더 지능화되면서 그 양 또한 많아지고 있다. 가트너에 따르면 매일 약 550만 개의 기기가 인터넷에 연결되고 있다. 세계경제포럼 산하 ‘글로벌 어젠다 카운슬(Global Agenda Council)’은 글로벌 ICT 기술 부문 임원과 전문가 800여 명을 대상으로 진행한 설문 조사결과를 들어 2025년에는 약 1조 개의 센서가 인터넷에 연결되며 가정, 업무 환경부터 사회 기반 시설까지 IoT 기술의 활용 범위가 크게 확대될 것으로 예측했다.
최근에는 인터넷에 직접 연결되는 웹캠 또는 와이파이캠 등의 개인용 CCTV를 많은 업체들이 제품으로 내놓고 있다. 이들 제조업체 중 특히 영세 제조사의 경우 보안에 상대적으로 취약한 경우가 많아 주의가 요구된다. 자칫 개인의 사생활이 유출되거나 절도 대상을 물색하는 데 사용될 수 있어 재산 및 생명에 위협이 될 수 있다. 관리자 측에서 네트워크 점검 차 백도어를 심어놓은 경우, 백도어를 통해 해당 CCTV가 촬영하는 영상을 원격으로 보거나 제어하는 것이 얼마든지 가능하기 때문에 공격자는 이를 노리고 접근하곤 한다.
개인 영상 유출 등 제조사의 목적과 다른 용도로 악용하는 경우, 제품을 구매한 사용자는 이상 여부를 인지하기 어렵고 인지하더라도 문제를 스스로 해결하는 것이 거의 불가능하다. 이러한 위협은 비단 개인에게만 해당하는 것은 아니다. 기업 역시 IoT 기기로 인한 다양한 위협에 직면해 있다. 대표적인 예가 스마트 팩토리다. 스마트 팩토리는 기존에 버려지던 수많은 데이터를 수집하고 이를 분석하는 것이 중요하다. IoT 기기에 장착된 센서의 각종 데이터가 위변조 및 탈취 위험이 있으며, 출력을 위한 기기가 도면정보를 캐시에 남겨두는 경우에도 기업 정보가 새어나갈 위험이 있다.
이렇게 IoT에 대한 다양한 보안 위협이 점증하면서 한국인터넷진흥원(KISA)이 IoT 기기를 대상으로 보안인증 의무화를 추진하고 있다. 이르면 내년부터 미래창조과학부와 KISA는 IP카메라(홈캠) 해킹 등 최근 불거진 IoT 기기의 보안상 취약점을 개선하고 보안사고를 사전에 예방하기 위해 IoT 기기 보안인증제도를 도입한다는 방침이다.
1차적으로 자율인증 방식으로 보안을 강화한 후, 관련 법제도를 마련해 의무화를 추진할 것으로 알려졌다. 인증 기준은 △식별 및 인증의 안정성 △중요 데이터의 암호화 저장 및 전송 △펌웨어 보안 △소프트웨어 업데이트 방식 △외부 인터페이스 차단 △물리적 보안 등이다.
급증하고 있는 각종 IoT 보안 위협에 대한 효과적인 대응을 위해 또 하나의 인증제도를 준비하고 있는 정부. 이번 인증이 실효성은 떨어지면서 기업에게 부담만 가중시키는 또 하나의 규제가 되지 않으려면 대상 업체들과의 충분한 논의와 사전교육, 그리고 준비기간이 필요할 것으로 보인다.
[성기노 객원기자(kino@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
