미국 실리콘밸리에 본사를 두고 있는 징박스(ZingBox)는 2014년 설립된 스타트업으로, 유무선 네트워크 및 보안 분야의 전문가로 구성돼 있다. 징박스는 사물인터넷(IoT) 보안 솔루션 전문 기업으로, 기존 보안 솔루션이 서버, PC, 태블릿, 스마트폰 등과 같은 기기를 대상으로 한다면 징박스는 IoT 기기의 보안에 집중하고 있다. 특히 징박스는 IoT 기기의 특성에 대한 확실한 이해와 머신러닝을 바탕으로 IoT를 위한 상황인지 보안(Context-Aware Security)이라는 새로운 방식의 보안 해결책을 제시하고 있다. 한편 징박스는 SP코리아와 협력으로 국내 시장 개척에 나서고 있다.
인터넷으로 제어할 수 있는 보일러, 도어락, 보안카메라, 조명제어장치 등 스마트홈을 실현하는 IoT 기기들은 이제 주변에서 쉽게 찾아볼 수 있고, 기업들 역시 이미 다양한 형태의 IoT 기기를 사용하고 있다. 이처럼 IP 카메라, IP전화기, 프린터, 스캐너, 각종 센서 등 그 종류와 수량을 정확하게 파악하는 것조차 어려울 정도로 여러 분야에서 IoT 기기가 활용되고 있는 것이다.
이러한 IoT 기술 및 서비스의 급속한 확대 속에서 한편에서는 우려의 목소리도 커지고 있다. 바로 보안 문제 때문으로, 실제 보안 사고가 발생하고도 있다. 미국에서 발생한 DNS 서비스 제공업체에 대한 DDoS 공격에서도 악성코드에 감염된 CCTV용 카메라가 이용된 것으로 확인됐고, 공격에 활용된 CCTV 가운데 6.2%는 한국에 위치하고 있었다. 이 공격은 대부분 쉬운 비밀번호가 설정된 IoT 기기에 대한 보안 우려가 그대로 드러난 사례라고 할 수 있다.
최근에는 프린터가 해킹되는 사례가 국내에서 발생하기도 했다. 이처럼 앞으로 IoT 기기를 대상으로 어떤 형태의 보안 사고가 발생할지 예측하기 어려울 정도로 다양한 공격이 발생할 전망으로, 이에 대한 대비책 마련이 시급해지고 있다.
기존 보안 솔루션으로 IoT 보안 문제 해결 역부족
기업 네트워크는 정보 유출과 네트워크상의 IT자원 보호를 위해 수많은 솔루션이 적용돼 있다. 서버나 PC와 같은 단말 장치부터 네트워크 각 계층에 이르기까지 엔드투엔드 보안 대비가 이뤄지고 있는 것이다.
그러나 기업이 도입한 기존 보안 솔루션은 IoT 보안을 위해서는 역부족이다. IoT 기기에 대해서는 보안/백신 프로그램이 설치돼 있지 않고 내부 사용자에 대한 IoT 기기 접속 등 IoT 내부 네트워크 트래픽에 대한 모니터링이 이뤄지지 않고 있는 실정이다. 인터넷 관문에 설치된 방화벽 장비 등에 의존하며 내부 IoT 네트워크에 대한 적절한 보안 대책은 없다.
징박스 IoT 보안 서비스 구조
징박스는 기업 내부 네트워크상에 설치된 수많은 IoT 기기의 보안 문제를 해결하기 위한 솔루션이다. 징박스는 네트워크 트래픽을 분석해 설치된 연결된 모든 기기를 찾아내고, 어떤 종류의 기기인지 판단하고, 각 기기의 네트워크 사용 패턴을 추적 및 감시한다. 이를 통해 전체 IoT 기기에 대한 실시간 보안 관제가 가능하도록 하는 클라우드 기반 서비스다.
징박스 IoT 보안 서비스는 스위치 포트 미러링 작업만으로 간단히 구현된다. 미러링된 네트워크 트래픽은 징박스 장비(인스펙터) 필터링을 거쳐 징박스 클라우드(퍼블릭 또는 프라이빗)로 전송이 이뤄진다. 수집된 트래픽은 머신러닝을 통한 학습으로 각 IoT 기기에 대한 보안 위험을 탐지하게 된다. 기업의 관리자는 웹상으로 관리가 가능하다.
이러한 구조의 장점은 도입 및 구현이 간편할 뿐 아니라 적용 시 IoT 기기 리부팅, 네트워크 서비스 중단 등의 추가 작업이 전혀 필요하지 않다는 점이다. 또한 구독(Subscription) 기반의 비용 구조로 초기 투자비용 부담없이 서비스를 도입할 수 있다.
뿐만 아니라 솔루션 자체의 업그레이드와 관리에 신경을 쓰지 않고 보안에만 집중할 수 있다. 기존 IT 보안팀은 별도 부담 없이 IoT 기기에 대한 추가 보안 관리도 가능하다.
징박스 주요 기능
기업 내부 네트워크상에 설치된 수많은 IoT 기기의 보안 문제를 해결하기 위한 솔루션인 징박스는 차별하된 다양한 기능을 갖추고 있다. 다음은 징박스의 주요 기능이다.
● 탐지
징박스는 미러링 포트를 통한 네트워크 트래픽을 분석해 수 십분 이내에 내부 네트워크상의 모든 IoT 기기를 찾아낸다. 네트워크 운영자라 하더라도 별도의 솔루션을 구축하지 않고서 내부 네트워크상의 모든 기기를 확인하는 것은 쉽지 않다.
네트워크 규모가 큰 대기업의 경우는 더욱 그렇다. 중소기업의 경우에도 직원들이 임의적으로 네트워크에 연결한 장치들이 보안 문제를 일으킬 수 있기 때문에 네트워크에 연결된 전체 기기를 확인하는 것은 보안을 위해 가장 기본적이고 필수적인 과정이다.
● 모니터링
다음 단계는 각 IoT 기기별로 관리자가 어떤 종류의 기기인지 쉽게 인지할 수 있도록 기기 프로파일이 생성돼 기기를 자동 분류한다. 예를 들면 NEC IP 전화기, 버추얼박스, 후지제록스 제품, 구글 크롬캐스트 등과 같은 기기별 프로파일이 붙여지는데 이를 통해 관리자는 내부 네트워크에 연결돼 있는 모든 기기를 분류할 수 있다.
특히 징박스는 머신러닝을 기반으로 기기 프로파일을 자동 생성하고, IoT 기기와 비(Non) IoT 기기로 모든 기기를 분류한다. 비 IoT 기기는 서버, PC, 스마트폰, 네트워크 장치와 같은 전통적인 IT 단말이다. IoT 기기는 IP 전화기, CCTV 카메라, DVR, 각종 IP 기반 센서, X-레이/CT 등 각종 의료기기, 스마트빌딩 시스템 등이 포함된다.
IoT 기기로 분류되는 기준은 징박스가 자체적으로 설정한 IoT 스코어를 기반으로 판단하게 된다. 이 IoT 스코어는 해당 기기의 정보와 네트워크 사용 패턴을 기준으로 매겨지는데 서버나 PC라 하더라도 그 사용 형태가 IoT 기기와 유사하다면 IoT 기기로 분류된다.
● 시각화와 인사이트
징박스는 모든 기기의 네트워크 사용 행태를 분석한다. 기기별 사용 트래픽, 사용 애플리케이션과 프로토콜, 목적지 IP 등을 수집하고 분석한다. 이러한 분석 정보를 바탕으로 각 기기의 보안성을 판단하는 기준 정보로 사용한다. 즉 특정 기기가 평소와는 다른 과도한 트래픽을 사용하거나 의심스러운 애플리케이션/프로토콜 사용, 내부 비인가 사용자의 접근, 외부 유해 IP에서 내부 네트워크 접근 시도 및 유해 사이트로의 접속 시도 등을 검출해 이를 관리자에게 자동 통지한다.
● 보호
징박스는 시스코, 팔로알토, 포티넷, 델 등의 방화벽과 API 연동을 지원한다. 보안상 우려되는 통신에 대해 관리자는 징박스 관리창에서 차단을 설정하면 자동으로 방화벽에서 정책 업데이트가 이뤄진다. 이러한 자동 정책 적용 작업을 통해 관리자는 보다 편리한 작업이 가능하고, 보안상 문제가 될 수 있는 기기의 통신을 실시간으로 모니터링하고 차단해 IoT 네트워크를 보다 완벽하게 보호할 수 있다.
