사물인터넷(IoT)은 가트너(Gartner)가 선정하는 10대 전략기술에 2012년부터 매년 선정되어 ICT 시장의 신산업을 이끌어가는 핵심 부가가치 산업으로 급부상하고 있다.
특히, 모바일 등 스마트 기기의 확산으로 인해 스마트 센서 증가와 함께 기기 간의 융합 및 연결성을 확보하면서 ICT 융합 분야 전반에 걸쳐 급속도로 사물인터넷 환경에 대한 관심이 고조되고 있는 추세이다.
현재 ICT 산업에서 가장 이슈가 되고 있는 ICBM(IoT, Cloud, Big Data, Mobile)이 차세대 성장동력으로 주목받고 있는 가운데 인터넷 기반의 융합중심에서 사물인터넷이 실제 생활영역에 적용되면서 다양한 경제적 가치와 더불어 효율성 및 편의성이 한층 높아질 것으로 기대되고 있다.
사물인터넷(IoT)은 가정, 빌딩, 자동차, 매장, 유통 등 산업 전 분야 각각의 기기들은 유무선 네트워크로 구성 되어 있다.
그러나, 방화벽 및 백신만으로 대응하고 있는 IoT 보안은 제로데이 취약점을 이용한 해킹, 바이러스, 우회/원격 접속 등 외부 공격에 취약한게 현실이다.
1. 사물인터넷(Internet Of Things)의 보안 취약성
개인정보보호 및 정보유출 피해 최소화를 위해서는 주기적인 서버의 비밀번호 변경이 중요하다. 그러나 이에 못지 않게 중요한 게 바로 비밀번호를 어떻게 설정하고 관리하느냐라는 게 보안전문가들의 의견이다.
개인정보 유출사고 피해를 입은 업체들 중에서 외우기 쉬운 비밀번호 또는 쉽게 유추가 가능하도록 비밀번호를 설정하는 경우가 많기 때문이다. 더욱이 여러 서버에 대해 동일한 비밀번호를 사용하는 경우도 많기 때문이다.
현재 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)의 ‘개인정보의 기술적·관리적 보호조치 기준(고시)’ 제4조 접근통제 항목에서 서버의 비밀번호는 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합해 최소 10자리 이상 또는 3종류 이상을 조합해 최소 8자리 이상의 길이로 구성해야 한다고 규정하고 있다.
또한, 개인정보보호법의 ‘개인정보 안전성 확보조치 기준’ 제5조 비밀번호 관리에 대한 해설서에도 마찬가지로 영문 대문자, 영문 소문자, 숫자, 특수문자 중 2종류 이상을 조합해 최소 10자리 이상 또는 3종류 이상을 조합해 최소 8자리 이상의 길이로 구성하도록 명시했다.
이처럼 서버에서 비밀번호 설정이나 변경 시 법령에 해당하는 규칙이 아니면 비밀번호를 사용할 수 없게 강제하고 있지만, 복잡한 비밀번호를 사용하다 보니 최근에는 패스워드를 잘 기억하지 못해 혼란을 겪는 ‘패스워드 증후군’이라는 말까지 생겨났다.
Microsoft가 기업의 보안 관리자에게 권장하는 내용(보안기준)은 주기적인 비밀번호 변경이 보안에 실질적으로 도움이 되지 않는다는 주장이 힘을 얻은 상황에서 PC 운영체계인 Windows 10과 Windows 서버의 보안 기준에서 비밀번호를 주기적으로 변경해야 한다는 조항을 삭제했다.
KISA의 주기적인 비밀번호 변경 조항이 이용자 불편만 초래할 뿐 보안에 대해서는 긍정적인 효과가 미약하다.
비밀번호를 자주 바꾸면 일련의 좋아하는 숫자.문자 한두개를 규칙적으로 변경하기 때문에 비밀번호 해킹툴에게는 다음에 변경할 비밀번호 예측이 가능하다.
그러기 때문에 기업은 비밀번호가 유출되어도 도용할 수 없도록 비밀번호를 일회용 인증키로 대체하거나 로그인-ID/비밀번호 이외에 2차 인증체계로의 변화가 필요하다.
해커가 사물 인터넷 디바이스(IoT) 공격 시에 최초 시도하는 비밀번호는 "admin/12345/qwerqwer/default/password/root" 등이 있다. 해커가 이와 같은 비밀번호를 시도하고 있는 것은, 최근 표적이 되는 것이 많은 디바이스의 종류를 반영하고 있다.
또 하나의 가장 대표적인 사물인터넷 디바이스는 집집마다 하나씩은 갖고 있는 인터넷 공유기이다. 저희 집에는 두 개가 있다. 통신사에서 제공하는 공유기와 제가 별도로 구입하여 사용하고 있는 IP Time의 공유기이다.
그리고 최근에는 이 공유기 하위에 원격에서 제어가 가능한 가스밸브 장금장치, 홈 CCTV, IPTV 셋탑박스, 인터넷 전화기 등등 보안에 취약한 사물인터넷 디바이스가 이미 많이 사용되고 있다. 이러한 인터넷 공유기 하위에 연결되어 있는 집집마다 설치되어 있는 "인터넷 공유기"를 해커가 장악하면 모두 제어가 가능하다. 영화에 나오듯 악당이 전세계의 IPTV 시청자에게 자신이 송출하는 협박 영상을 강제로 시청하게 하는 것이 불가능한 것이 아닌 세상이다.
2. 사물 인터넷의 주요 운영체제인 임베디드 리눅스의 보안 취약성
사물 인터넷 디바이스는 운영체제를 사용하는 경우도 있고 그렇지 않은 경우도 있다. 운영체제를 사용하지 않는 경우는 불가능하지만 운영체제를 사용하는 경우는 주로 임베디드 리눅스가 사용된다. 일반적인 리눅스 운영체제를 256M 이하의 디바이스에서도 구동될 수 있도록 슬림화한 운영체제가 임베디드 리눅스이다. CPU도 인텔 계열이 아닌 ARM이나 퀄컴, 브로드콤 등의 AP에서도 구동될 수 있도록 포팅이 되어 있다.
이러한 임베디드 리눅스는 근간이 리눅스인 이유로 여러 취약점들을 갖고 있다.
이러한 보안 취약점들이 더 위험한 이유는 바로 사물 인터넷 디바이스들이 네트워크 구조 상 보안 시스템이 존재하지 않는 네트워크에 위치하기 때문이다. 사물 인터넷의 대표적인 기기들인 신용카드 결제 단말기나 인터넷 공유기 등은 악의적 목적을 가진 해커가 물리적으로 기기에 접근하는 것을 제한하거나 기술적으로 네트워크 수준에서 접근 통제를 하고 있지 않은 환경에서 된다. 즉 무방비로 해커에게 노출되어 있는 것이죠. 그래서 앞의 그림에서 나열되어 있는 취약성을 해커들은 손쉽게 공격할 수 있다.
3. 사물 인터넷 보안 강화를 위한 2차 인증
공유기가 설치된 각 가정마다 방화벽이나 침입차단 시스템을 설치할 수는 없다. 때문에 사물 인터넷 디바이스 자체의 보안성을 강화하는 것이 가장 좋은 보호대책이라고 할 수 있다. 그런 측면에서 임베디드 리눅스에서 구동될 수 있는 접근제어 2차 인증으로 악성코드의 감염이나 파일의 변조를 차단하고 사물 인터넷 디바이스에 침투하려는 해커의 시도를 차단하는데 가장 효과적이라 할 수 있다.
정보자산의 보안 강화를 위해, 인증이 필요한 다양한 운영체제와 애플리케이션에 누구나 손쉽게 바로 적용할 수 있는 플러그인 가능한 인증 모듈(PAM, Pluggable Authentication Module) 방식을 기반으로 하는 솔루션인 BaroPAM을 이용한 사물 인터넷 디바이스에 로그인 시 비밀번호에 대한 적용 방법은 다음과 같이 3개 안이 있다.
1안: 로그인-ID, 비밀번호 이외의 추가 인증(2차 인증)으로 일회용 인증키 적용
2안: 비밀번호를 제거하고 일회용 인증키로 대체
3안: 비밀번호와 일회용 인증키 결합하여 비밀번호를 일회용 인증키 생성주기별로 새로운 일회용 비밀번호를 적용
BaroPAM 솔루션은 제일 큰 문제인 통신을 필요로 하는 방식이 아니기 때문에 빈번하게 발생하는 통신 장애가 발생하지 않으며, 별도의 인증 서버가 필요 없는 방식이기 때문에 보안 지역에서 인증 서버와 통신할 수 없어 인증을 받을 수 없다는 문제가 발생하지 않는다. 또한 부하분산이 되기 때문에 인증 폭주로 인해 인증 속도가 저하 문제가 발생하지 않으며, 별도의 인증 서버가 필요 없는 방식이기 때문에 서비스가 중단되는 장애가 발생하지 않는다.
BaroPAM은 보안성도 뛰어나지만, 단순하고, 관리도 필요 없고, 장애도 없고, 손쉽게 적용할 수 있고, 비용도 저렴하고, BaroPAM을 도입할 때 서버나 DB 같은 추가 도입이 필요 없다.
한마디로 BaroPAM은 외부의 해커나 내부 사용자의 불법적인 사물 인터넷 디바이스에 접근하는 상황을 제한(접속차단)하여 사물 인터넷 디바이스 보안을 강화하는 솔루션이다.
이처럼 정보보안을 위하여 각종 사물 인터넷 디바이스에 대한 2차 인증은 반드시 필수로 적용되어야 할 보안 대비책이며, 이를 통하여 각종 사물 인터넷 디바이스에 대한 해킹 위협으로부터 안전해질 것이다.
"아무 것도 하지 않으면 중간은 간다"는 건 오래된 말이고, 클라우드 시대에는 통하지 않는 말이다. 새로운 시대에는 새로운 보호 장치가 어울린다. 시스템과 인프라는 자꾸만 새 것으로 바뀌는데 왜 예전 것들을 부여잡고 있는지 각자가 스스로를 검토해야 할 때다.
결론은 "2차 인증을 도입했다"는 것이 아니라 기술 및 보안성 등 "어떤 2차 인증을 도입했느냐"가 관건이다.
"아무 것도 신뢰하지 않는다" = "아무도 믿지 마라" = "계속 검증하라"
앞으로 정보 보안의 흐름은 보안은 강화하고 사용자의 불편함을 최소화하는 방향으로, 기억할 필요가 없는 비밀번호! BaroPAM이 함께 하겠습니다.
'▶ BaroSolution > 기술문서' 카테고리의 다른 글
보안상 분기마다 한번씩 서버 암호를 변경하는 것에 대한 생각의 전환이 필요 (0) | 2020.07.24 |
---|---|
간편성과 편리성을 내세우면 보안은 그만큼 허술하며 그 댓가는 혹독할 것 (0) | 2020.06.16 |
BaroPAM은 불법적인 정보자산에 접근하는 상황을 제한하여 정보자산의 보안을 강화하는 솔루션 (0) | 2020.03.04 |
이상금융거래탐지시스템(FDS, Fraud Detection System)란? (0) | 2020.02.25 |
정보자산의 이상접속 탐지/차단을 위한 사고등록 RuleSet 테이블 (0) | 2020.02.25 |