> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[IoT 보안- SW 보안①] SW 생명주기 맞춘 보안 전략 필수
SW로 서비스되는 IoT, 라이프사이클 전반에 보안 적용해야…IIoT 확산되며 ICS 노리는 공격 증가
     관련기사
  [IoT 보안①] IoT 라이프 사이클 맞춘 보안 전략 시급
  [IoT 보안②] AAA, IoT 현실화의 첫 단계
  [IoT 보안- SW 보안①] SW 생명주기 맞춘 보안 전략 필수
2018년 09월 19일 09:25:07 김선애 기자 iyamm@datanet.co.kr

앞서 IoT 기기와 네트워크를 보호하는 방법을 살펴봤다. 이번에는 IoT 서비스를 직접 수행하는 소프트웨어를 보호하는 방법을 살펴보겠다. 많은 경우 IoT 서비스는 라이프사이클이 짧은 편이기 때문에 개발, 테스트, 배포, 운영에 이르는 복잡한 단계를 줄이고 빠르고 간편하고 자동적으로 서비스를 구현할 수 있는 방법이 필요하며 데스시크옵스(DevSecOps)가 필수적이다.

서비스 개발 과정에 보안이 포함되면 개발 과정이 길어지고 복잡해지며 비용이 높아지고 조직간 갈등도 발생하게 된다. 하지만 보안이 없으면 침해사고를 당하고 회생 불가능할 정도의 막대한 피해를 입을 수 있으며, 서비스 사용자들은 건강과 생명, 재산상의 희생을 입을 수도 있다.

따라서 소프트웨어를 개발할 때는 소프트웨어 생명 전 주기(SDLC)에 맞춰 보안을 적용하는 보안SDLC가 필수적이다.

공급망 공격 근본적 해결 방안 찾아야

공급망 공격(SCM)을 예로 들어 생각해보자. 소프트웨어는 벤더에서 개발한 제품이 고객에게 전달될 때 까지 파트너, 유통사 등 여러 단계를 거치게 된다. 소프트웨어 배포 과정에서는 반드시 코드사인 인증을 통해 소프트웨어 벤더가 개발한 정상 제품이 배포되는지 살펴봐야 한다. 공급망 공격은 복잡한 소프트웨어 딜리버리 네트워크 한 곳에 침투해 코드사인을 변경하고 악성코드가 숨어있는 소프트웨어를 유포하도록 한다.

지난해 유럽 제조기업 등에 피해를 입힌 페트야(Petya) 랜섬웨어는 우크라이나의 회계 소프트웨어 ‘메독(M.E.Doc)’을 업데이트 하는 과정에서 감염된 것으로, 메독을 사용하는 유럽의 주요 기관들이 큰 피해를 입었다.

우리나라에서 공급망 공격은 수도 없이 많이 일어났다. 주로 백신 소프트웨어 업데이트 서버에서 악성코드가 포함된 패치파일이 배포되면서 대량의 피해를 입혔으며, 2016년에는 보안 기업이 해킹을 당해 코드사인이 유출, 공인인증서 배포 모듈이 변경되는 사고도 발견됐다.

 

   
▲코드사인 인증서 탈취해 공급망 공격을 시도한 오퍼레이션 레드 시그니처 공격 체인(자료: 트렌드마이크로)

IIoT 발달하며 ICS 공격 위험 높아져

공급망 공격은 가장 강력한 보안으로 보호돼야 할 ICS 등 제어시스템도 노린다. 산업용 IoT(IIoT)가 발달하면서 ICS도 인터넷에 연결되는 환경이 늘어나고 있어 보안 위협은 더욱 높아진다.

글로벌 제조시설 공급사들은 고객 인프라의 보안 패치를 안전하게 하기 위해 CD, USB 등 외부 저장매체가 아니라 공장에서 직접 제조사로 연결해 패치파일을 내려 받도록 하고 있다. 공급망을 줄이고 패치를 바로 내림으로써 중간에서 탈취당하거나 위변조 되지 않도록 하기 위해서다.

그러나 제조사 코드사인이 위조되거나 VPN이 해킹당할 가능성을 배제할 수 없다는 점도 주목해야 한다. 더불어 고객들은 업데이트를 위해 인터넷에 연결한 후 이를 끊지 않고 개방해 공격자들이 마음대로 드나들 수 있는 통로로 방치한다는 문제도 심각하다.

IoT는 공급망 공격에 쉽게 노출될 수 있다. IoT는 관리해야 할 대상이 많고, 상대적으로 보안 수준이 낮으며, 인터넷을 통해 서비스가 제공되기 때문에 누구나 쉽게 접근할 수 있기 때문이다. IoT에서 공급망 공격을 제거하기 위해서는 반드시 코드사인 인증서가 안전하게 보호돼야 하며, 소프트웨어가 쉽게 위변조되지 않도록 보호해야 한다. 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  IoT, 보안, APT, SW 생명주기, 데브시크옵스, IIoT
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr