블로그

IoT가 네트워크 무결성을 손상시킬 수 있는 방법

F5 썸네일
F5
2018년 5월 1일 게시

사물 인터넷(IoT)은 네트워크 분야에 큰 변화를 가져오고 있으며, 사물 간(M2M) 통신과 자동화 프로세스의 길을 열어가고 있습니다. 커넥티드 카, 스마트 홈, 원격 수술, 로봇공학 등 기회와 잠재력은 무한합니다.

최근 수치 에 따르면 현재 사용 중인 IoT 기기의 수는 약 84억 대이며, 2020년까지는 그 수가 200억 대를 넘을 것으로 예상됩니다. 오늘날 IoT는 광범위한 기술적 범위를 포괄하며, 그 배포는 다양한 방식으로 이루어지고 있습니다. 그 중 가장 대표적인 것은 산업용 사물 인터넷(IIoT)의 관리형 사용 사례와 소비자 사물 인터넷(CIoT)의 비관리형 사용 사례입니다.

IIoT는 엄청나게 복잡해 보일 수 있지만 실제로 보안 관리가 쉽게 가능합니다. 여기서 핵심은 장치와 애플리케이션 간의 트래픽 스트림을 제어하여 동급 최고의 서비스를 보장하고 프로토콜 적합성을 보장하는 솔루션입니다.  암호화(TLS)와 상태 저장 보안 서비스(경찰 및 취약성 보호)를 통해 통신을 보호하는 것도 중요합니다.

IIoT 배포에 있어 주요 과제는 트래픽 지표의 특성이 변화하는 것입니다. IIoT 기기는 그 수가 엄청나고, 세션은 길며(몇 개월 또는 몇 년) 트래픽 양은 대개 매우 낮습니다. 유휴 세션을 종료하는 것은 항상 가능한 옵션은 아닙니다. 실제로 일부 애플리케이션의 '항상 켜짐' 특성으로 인해 네트워크 내에서 트래픽 스톰이 발생할 수 있습니다.

일반적으로 관리되지 않는 CIoT 장치에는 CCTV 카메라, 지능형 스피커 시스템, 웨어러블 장치 등이 있습니다. 모바일 브로드밴드나 유선 가입자 CPE 뒤에 있는 경우, 통신 관계가 명확하게 정의되지 않아 네트워크에서 이러한 장치를 식별하기 어려울 수 있습니다.

이 문제는 많은 스마트 기기가 네트워킹 프로토콜 스택과 때로는 애플리케이션 계층을 제공하는 저렴한 칩셋을 기반으로 제작된다는 사실로 인해 더욱 심각해집니다. 제조업체는 종종 패치 제공을 회피하고, 때로는 기기가 배송되면 모든 책임을 회피하기도 합니다. 이로 인해 심각한 중단이 발생할 수 있습니다. F5 Labs의 최신 위협 인텔리전스 보고서 에 따르면, 유럽은 이미 Thingbot의 핫스팟입니다. Thingbot은 IoT 기기에서만 구축되고 야심찬 봇넷 구축 공격자가 선호하는 사이버무기 전달 시스템이 빠르게 자리잡고 있습니다.

F5 랩은 2017년 1월 1일부터 6월 30일까지 전 세계적으로 3,060만 건의 Thingbot 공격이 발생했다고 보고했습니다. 이는 장치와 통신하기 위한 명령줄 인터페이스를 제공하는 네트워크 프로토콜인 Telnet을 사용하는 장치를 이용한 것입니다. 이는 2016년 7월 1일부터 12월 31일까지의 이전 보고 기간에 비해 280% 증가한 수치입니다. 호스팅 제공업체는 상위 50개 공격 IP 주소 중 44%를 차지했으며, 이 중 56%는 ISP/통신 소스에서 발생했습니다.

급증에도 불구하고 공격 활동은 Thingbot의 주요 원인인 Mirai와 Persirai의 규모에 비하면 크지 않습니다. F5 보고 기간 동안 공격의 93%가 1월과 2월에 발생했으며, 3월에서 6월 사이에 활동이 감소했습니다. 이는 공격자가 "정찰" 단계에서 "구축 전용" 단계로 이동함에 따라 새로운 공격이 다가오고 있음을 나타낼 수 있습니다.

안타깝게도 IoT 제조업체가 이러한 장치의 보안을 강화하거나, 제품을 리콜하거나, 취약한 장치를 구매하지 않는 구매자의 압력에 굴복해야 할 때까지 우리는 계속해서 거대한 Thingbot이 만들어지는 모습을 보게 될 것입니다.

이러한 상황에서 서비스 제공자는 감염 활동을 식별하는 것뿐만 아니라 아웃바운드 DoS 공격을 완화하는 일에도 어려움을 겪습니다.

기존의 3계층과 4계층 방화벽 규칙은 더 이상 큰 도움이 되지 않습니다. 이제 트래픽에 대한 강력한 행동 분석이 필수입니다. 이런 방식으로 보안 장치는 시간이 지남에 따라 "정상적인" 네트워크 기준선을 학습합니다. 일단 편차가 감지되면 다양한 활동이 시작됩니다. 여기에는 인간 확인 후 수동 완화 프로세스를 시작하는 경고 생성이나, 탐지된 이상을 차단하기 위해 기존 완화 기술에 대한 동적 서명을 생성하는 것이 포함될 수 있습니다.

자체 방어 네트워크는 미래의 보안 아키텍처에 필수적입니다. 그 사이에 책임 있는 조직에서는 DDoS 전략을 구축하고, 중요 서비스에 대한 중복성을 보장하며, 자격 증명 채우기 솔루션을 구현하여 스스로를 보호하기 위해 최선을 다해야 합니다. IoT 기기의 잠재적인 위험과 이를 안전하게 사용하는 방법에 대해 직원을 지속적으로 교육하는 것도 중요합니다.