블로그

보안을 위해 IoT 제어권 양도

로리 맥비티 썸네일
로리 맥비티
2017년 9월 21일 게시

우리는 모두 기술에 열광하고 있다고 해도 과언이 아닐 겁니다. 평범한 것이 기술의 도입으로 마법 같은 것으로 바뀌었습니다. 물론 시간이 지나면서 참신함은 사라지지만 그때쯤에는 장치나 전화를 통해 제어할 수 있는 다른 작업이 생겨서 주기가 다시 시작됩니다.

현실은 대부분의 사람이 IT가 시스템을 관리하듯이 (점점 더 다양해지는) 장치를 관리하지 않는다는 것입니다. IT 전문가도 아니죠. "IT 전문가의 30%와 설문 조사에 참여한 근로자의 46%가 무선 라우터의 기본 비밀번호조차 변경하지 않는다"는 결과가 나온 Tripwire 설문 조사를 기억하시나요? 이는 기본적인 보안 권장 사항을 따르는 것에 대해 "미국인의 40%가 너무 게으르거나, 너무 불편하다고 생각하거나, 별로 신경 쓰지 않는다"고 답한 연구 결과보다 약간 더 높은 수치입니다.

보안 전문가들의 압박과 업계 언론의 비난에도 불구하고 적어도 소비자 중심의 IoT 제조업체가 경쟁에 박차를 가하는 것은 놀라운 일이 아니다. 자동 업데이트, 패치 및 핫픽스를 체크박스를 통해 간편하게 연결된 기기에 정기적으로 스트리밍할 수 있습니다.

적어도 소비자는 자사 기기를 공격자로부터 안전하게 보호하겠다고 약속하는 제조업체에게 통제권을 넘겨주고 있습니다.

 

이제 소비자 공간입니다. 지금까지 이런 종류의 행동은 IoT 기기와 관련된 기업에서는 금지된 것으로 보입니다. 물론 기업은 가까운 미래에도 이러한 것들에 대한 통제력을 계속 유지할 것입니다. 결국, 데이터 센터 내부에서 업데이트가 제대로 되지 않으면 엄청난 피해가 발생합니다.

idc-시간-소비-시간

하지만 이런 방식은 확장이 불가능하며, 우리는 자체 조사와 Shodan.io의 분석을 통해 조직 내부 의 IoT 기기 중 상당수가 인터넷에 노출되어 있을 뿐만 아니라 취약하다는 사실을 잘 알고 있습니다.

그리고 이러한 취약점이 존재한다면 패치가 제공될 가능성이 있다는 뜻입니다. 하지만 두 가지 모두 사실이라면, 씽봇으로 채용 할 수 있는 기기가 줄어들지 않을까요?

2년 전 IDC 연구에 따르면, 패치, 업데이트, 설치가 평균 IT 직원의 주당 20.7%를 차지했고, 자동화를 적용하더라도 향후 2년 동안 예상되는 장치 수의 두 배 증가(현재 9,259대에서 18,631대로 증가 )를 관리할 만큼 확장하기는 어려워 보입니다.

그러면 사업은 어떻게 해야 할까?

우리가 답해야 할 질문은 제조업체가 최대한 노력하여 기업 내부에 있는 장치를 자동 업데이트하도록 장려해야 하는가입니다. 패치 피로와 직원 부족으로 인해 패치가 처음부터 적용되지 않을 수도 있다는 사실을 인정하지 않고 그들을 비난하는 것은 불공평하기 때문입니다. Tripwire의 다른 흥미로운 연구 에 따르면 " 2015년에는 6,000개 이상의 새로운 CVE가 할당되었습니다. 해당 취약성 중 1/10만 해당 책임 영역의 장치에 영향을 미친다면, 연간 630개의 취약성 또는 매 영업일에 2.5개의 취약성을 해결해야 할 책임이 있습니다.

해결해야 할 취약점이 너무 많은 거죠. 많고, 패치의 개수도 똑같아요.

안타깝게도 패치가 나왔다고 해서 바로 적용되는 것은 아닙니다. Tripwire 설문 조사에서 언급된 바와 같이 " 패치를 배포하는 데 필요한 시간에 영향을 미치는 주요 구성 요소 중 하나는 테스트입니다. 응답자들에게 배포 전에 패치를 테스트했는지 물었는데, 47%는 데스크톱의 경우 테스트했다고 답했고 55%는 서버의 경우 테스트했다고 답했습니다 .” 보안 패치를 프로덕션에 적용하는 데 실제로 걸리는 시간에 대한 세부 정보를 살펴보면 놀라운 데이터를 발견하게 될 것입니다. 즉, 응답자의 93%가 한 달 이내에 보안 패치를 테스트하고 배포했습니다.

일반적인 중대형 기업이 다루고 있는 시스템의 수와 해당 취약점을 고려한다면 나쁘지 않은 수준입니다.

하지만 IP 카메라를 생산하는 중국 제조업체 하나에 영향을 미치는 CVE-2017-8225가 발표되었을 때 60만 대가 넘는 카메라가 Persirai에 감염되는 데 두 달도 걸리지 않았다는 점을 잠깐 생각해 보세요. 즉 하루에 10,000대의 기기가 처리된다는 뜻입니다. 즉, 한 달은 너무 길다는 뜻이다. 그리고 그것은 단지 하나의 취약점일 뿐이었습니다.

사물인터넷(IoT)이 더 많은 센서와 모니터 형태로 기업에 침투하고, 어떤 것들이 접근 가능하고 종종 취약한지 누가 알겠는가? IT는 어떻게 이에 대응할 수 있을까? 할 수 있다 자동화가 있어도 따라갈 수 있나요?

그래서 제 질문은, 당신이라면 그럴 의향이 있느냐는 것입니다. (물론 큰 가정이겠지만, 발견을 위해 기다려 보세요) 제조업체가 나서서 장치 보안을 유지하는 데 더 많은 책임을 지게 된다면 IoT 장치에 대한 통제권을 넘기겠습니까?

여러분 의 질문에 대한 답은 여기에서 확인하실 수 있습니다(그리고 여러분의 동료들은 어떻게 생각하는지 살펴보세요) . 어서, 소리를 내세요!