| 내용 |
지난 해 미 표준기술연구소(National Institute of Standards and Technology: NIST)는 사물인터넷(Internet of Things; IoT) 디바이스의 보안을 강화하기 위한 가이드(SP 800-160)을 발표했다. 이 가이드는 2016년 발생한 대규모 DDoS(distributed denial-of-service) 공격이 잇달아 발생함에 따라 보안이슈를 해결하기 위한 프레임워크를 개발하고, 사물인터넷 디바이스의 전 주기에 걸친 보안을 개선하기 위해 작성된 것이다. NIST의 사물인터넷 보안 가이드 사물인터넷 디바이스의 수는 미국은 물론, 전 세계적으로 크게 증가하고 있다. 한 정보기술 연구자문 기업의 전망에 따르면, 사용되는 사물인터넷 디바이스의 수는 2020년에 2백8억 대에 달할 전망이다. 다른 연구에 따르면 2018년에 사물인터넷 디바이스는 모바일폰을 뛰어넘어 네트워크에 연결된 기기 중 가장 큰 범위를 차지할 것으로 전망되며, 2015년에서 2021년 동안 연간 23%의 성장률을 보일 것으로 예측된다. 그러나 이러한 증가세는 최근 빈번하게 발생하는 DDoS 공격에서 보듯 오용에 의한 잠재적 문제점도 적지 않은 것으로 나타나고 있다. 공격자들은 네트워크에 연결된 카메라, DVRs 등 인터넷에 연결된 사물인터넷 디바이스에서 상대적인 보안 취약점을 이용하여 말웨어를 침입시키고 이를 통해 중앙 통제 서버를 장악함으로써 강력한 DDoS 공격을 실행시킬 수 있다. 이러한 말웨어는 지속적으로 인터넷에 연결된 사물인터넷 시스템의 보안 취약점을 스캔하여 디폴트 패스워드 혹은 하드웨어에 고정된 ID와 패스워드 등을 파악함으로써 상당수의 사물인터넷 디바이스에 대한 통제권을 획득할 수 있다. NIST의 가이드는 이러한 취약점을 노리는 공격을 예방하고 구조화된 시스템 보안 활동을 촉진시키기 위해 디자인되었다. 이러한 목적을 달성하기 위해 가이드는 다양한 인터넷 연결 디바이스의 신뢰성을 평가하고 개별 단말기의 전 주기를 관장하는 일련의 프로세스에 영향을 평가하는데 중점을 두고 있다. 가이드는 아래 4개 부문의 프로세스로 세분화된다. 합의 프로세스(Agreement processes) 조직 프로젝트 가능 프로세스(Organization project enabling processes) 기술적 관리 프로세스(Technical management processes) 기술적 프로세스(Technical processes) 각각의 부문에서 NIST의 가이드(SP 800-160)는 국제적인 시스템 공학표준을 사용하고, 개별 주기프로세스에 해당하는 목적과 성과, 그리고 다양한 활동 및 임무를 제시하고 있다. 가이드는 활동과 임무, 개념과 목적, 그리고 가장 중요한 것으로 시스템 공학 차원에서 어떠한 것이 보안 관점에 필요한 것인지를 설명한다. NIST의 다른 보안 관련 가이드와 마찬가지로, 이번 가이드 또한 제품 디자인 프로세스 중 보안을 한 분야로 적극 고려하고 개발하도록 하고 있으며, 제품의 전 주기에 걸쳐 실행할 것을 권고하고 있다. 가이드는 보안 목표를 달성하는 것은 ldquo;필요한 부분과 아키텍처, 디자인, 시스템 구축, 컴포넌트, 어플리케이션, 그리고 네트워크 등에 대한 투자 확대, 그리고 일상 업무의 일환으로 보안을 고려하는 기본적인 문화적 변화 rdquo;이라고 적시하고 있다. 가이드는 이러한 변화를 촉발하는데 있어 ldquo;중요한 시발점 rdquo;이 되는 것을 의도하고 있다. 역자가 볼 때 사물인터넷의 확산은 분명히 일상생활에 많은 편익을 가져다 주고, 생산성도 크게 높일 수 있을 것으로 기대되지만, 그 역효과도 만만치 않다. 기밀정보 유출과 개인정보 오남용, 네트워크 오작동의 가능성도 더욱 커지고 이로 인한 파급효과는 이전 단일 시스템이나 네트워크에서보다 훨씬 크다. 보안취약점 확대에 의한 부작용을 줄이기 위한 철저한 기술적, 제도적 준비가 필요하고 사료된다. |
