[IoT 보안③] 인증·연결도 ‘보안’이 기본
상태바
[IoT 보안③] 인증·연결도 ‘보안’이 기본
  • 김선애 기자
  • 승인 2019.09.16 08:59
  • 댓글 0
이 기사를 공유합니다

간편하고 강력한 인증 필요…시큐어SDLC·안전한 서비스 연결 필수

[데이터넷] IoT는 사람의 개입 없이 사물간 통신이 가능해야 하기 때문에 강력하면서도 간편한 인증이 필요하다. 보통은 공개키기반 인증(PKI)을 사용하며, OAuth 2.0 표준도 사용한다. 인증서 없는 인증 암호화(CLAE) 기술도 있다. CLAE는 메시지를 암호화하기 전에 메시지 송신자가 서버의 공개 매개변수를 확인하며, 이것이 변조되지 않았다는 사실을 검증하는 과정을 통해 인증을 완료한다.

비밀번호, 액세스 토큰, 비밀 키 등 인증정보는 도난당해서는 안 되기 때문에 TPM과 같은 안전한 저장소가 마련돼야 한다. 또한 여러개의 장치를 관리하면서 실수에 의해 인증정보를 도난당하지 않도록 하는 방법이 필요하다. 지문, 음성인식 등 생체인식을 통해 간편하면서 안전한 인증 정보 보호를 사용할 수 있으며, 스마트폰 등을 이용해 강력 인증을 제공할 수 있다. 차세대 인증 플랫폼으로 사용되는 FIDO도 대안이 될 수 있다.

▲IoT 인증 다이어그램(자료: CSA)

IoT를 통해 제공되는 서비스에도 보안이 내재화 되어 있어야 한다. 서비스 제공을 위한 애플리케이션은 개발 전 단계에서 보안을 내재화 한 시큐어SDLC를 적용해야 한다. 소스코드 개발 단계에서 정적분석(SAST), 개발 후 테스트 단계에서 동적분석(DAST), 운영 중 애플리케이션을 모니터링하는 런타임 애플리케이션 자가보호(RASP)가 필요하다.

스패로우, 마이크로포커스 포티파이가 이 제품군을 단일 플랫폼에서 제공하며, 클라우드 기반 서비스로도 이용할 수 있게 해 초기 투자 부담 없이, 소스코드를 보호할 수 있게 한다.

IoT 애플리케이션은 오픈소스를 주로 이용하기 때문에 오픈소스 취약점 점검도 필수다. 또한 소스코드 없이 바이너리 파일로 공급되는 소프트웨어의 취약점을 점검하는 도구도 반드시 마련돼야 한다. 관련 솔루션 기업은 시높시스의 블랙덕허브, 화이트소스, 체크막스, 인사이너리 등이 있다.

IoT 서비스는 API를 통해 다른 서비스와 연결되므로 API 보안도 각별히 유의해야 한다. API에 대한 접근권한을 통제하고 키를 안전하게 관리해 API 키를 탈취한 공격자가 IoT 서비스를 변조하지 않도록 해야 한다. API 통신은 반드시 암호화하 해 기밀정보를 보호해야 한다.

안전한 네트워크·단말 연결 필수

IoT는 네트워크 경계를 구분하지 못하기 때문에 경계보안 솔루션을 적용할 수 없다. IoT 기기가 서비스로 접속할 때 일반 인터넷 환경이 아니라 VPN을 쓸 수 있다. VPN은 미국 군에서도 사용할 만큼 안전한 기술이지만, 일부 VPN 제품에서 취약점이 발견돼 VPN을 무조건 신뢰해서는 안된다는 경고도 나온다. 또한 VPN은 서비스에 접속한 후 인증하기 때문에 인증 정보를 탈취한 기기나 사용자가 접속했을 때 막을 수 없다.

IoT를 위한 지능적인 네트워크 접근제어 시스템이 반드시 필요한 상황이며, 소프트웨어 정의 경계(SDP)가 그 대안으로 주목된다. 먼저 사용자와 단말을 인증한 후 애플리케이션에 접속하도록 해 안전한 네트워크 통신이 일어나도록 한다.

IoT 기기 접근을 안전하게 제어하는 기술로 네트워크 접근제어(NAC)가 있다. NAC는 다종 다양한 기기가 여러 환경의 네트워크에 접속할 때 사용자와 단말의 무결성을 점검하고 권한에 따른 행위가 일어나는지 모니터링한다. 단말과 네트워크에 대한 폭넓은 가시성을 제공해 IoT를 보다 안전하게 지원할 수 있게 한다.

포어스카우트의 ‘카운터액트(CounterACT)’는 에이전트/에이전트리스 방식으로 장애 포인트를 제거하고 보안 관리 편의성을 제공한다. 미러링(Out-of-Band) 방식으로 간편하게 설치해 네트워크에 영향을 주지 않는다.

국내 NAC 대표주자인 지니언스는 NAC를 플랫폼으로 삼아 SIEM, SD-WAN, EDR, 위협 인텔리전스 등 다양한 기능을 연동하면서 NAC 영역을 확장해나가고 있다. NAC에서 수집되는 다양한 위협 정보를 SIEM·위협 인텔리전스와 연동해 위협에 대응할 수 있는 통찰력을 얻을 수 있다. SD-WAN과 연동하면 IP가 무작위로 바뀌는 환경에서도 단말을 관리할 수 있고, EDR을 탑재하면 EDR에서 엔드포인트 위협을 지능적으로 탐지해 NAC에서 관리하는 방식으로 관리 편의성을 높일 수 있다.

지니언스는 엔키와 위협 인텔리전스 사업을 공동 전개하고 있으며, 미국 128테크놀로지스와 시큐어 SD-WAN 사업을 전개하고 있다. 자체 개발한 EDR을 ‘지니안스위트’에 통합해 EDR 기능을 확장해 제공하고 있다.

악성봇 이용되기 쉬운 IoT

IoT 기기는 봇에 감염되기 쉽다. 많은 IoT 기기에 비밀번호조차 설정되어 있지 않아 아무나 관리자 권한으로 접속할 수 있다. 공격자는 IoT 기기 관리자 계정을 탈취하기 위해 노력하지 않아도 제 집 드나들듯이 쉽게 기기를 오가며 봇을 심고 개인정보를 탈취하며 공격에 사용한다.

소닉월의 ‘2019 사이버 위협 보고서’에 따르면 지난해 IoT 공격은 무려 217.5% 증가했다. 또한 사이드 채널 공격으로 이어질 수 있는 스포일러(Spoiler), 포트스매시(PortSmash), 포어섀도우(Foreshadow), 멜트다운(Meltdown) 및 스펙터(Spectre)와 같은 취약점이 발견되면서 전례 없는 피해를 줄 수 있는 보안 위협이 증가하고 있다고 밝혔다.

KISA의 ‘2019년 1분기 사이버 위협 동향 보고서’에서는 공격에 자주 사용되는 오래된 취약점, 특히 국내에서는 IoT 취약점에 대한 심각성을 경고했다. 보고서에서는 “주요 IT 벤더 솔루션의 취약점은 집중적으로 감시되고 빠르게 패치가 이뤄지고 있지만, 관심이 적고 대처가 느린 펌웨어나 작은 소프트웨어 취약점 수가 빠르게 늘어나고 있는 추세로, 이에 대한 효과적인 대처 방안을 모색할 필요가 있다”고 조언했다.

취약한 IoT 기기는 디도스 공격에 이용된다. A10네트웍스의 ‘전 세계 디도스 무기 현황보고서 2019년 1분기’에서는 ‘IoT는 디도스 봇넷의 온상’이라고 표현하며 “5G를 이용하는 ‘하이퍼스케일(Hyperscale)’ 규모의 디도스가 등장할 것”이라고 밝혔다.

5G가 확산되고 인터넷에 연결되는 기기가 급증하면 봇넷을 이용한 공격은 더욱 극성을 부릴 것으로 보인다. 봇넷은 경쟁사 사이트를 스크래핑해 기밀정보를 훔쳐낸다. 인터넷 쇼핑몰은 경쟁사의 프로모션 정보를 알아내 그보다 먼저 프로모션을 공개함으로써 경쟁사의 기회를 빼앗는다.

악성봇 탐지 기술은 라드웨어, 아카마이 등이 제공한다. 웹방화벽에서도 일부 제공하지만, 최근 지능형 봇은 웹방화벽의 봇 차단 기술을 쉽게 우회한다. 차세대 봇 차단 기술은 머신러닝 기술을 이용해 우회공격을 제어하고 악성봇의 접근을 통제한다.

공격자 속여 공격 방식 알아내는 ‘디셉션’

IoT를 타깃으로 하는 공격은 매우 복잡하고 다양하다. 데이터 탈취, 시스템 파괴, 사생활 유출, 금융사기 등 다양한 목적으로 공격이 진행되고 있으며, 공격 방식이나 공격 도구도 시시각각 변하고 있다. 공격자들은 최신 취약점과 공격도구 뿐 아니라 오래된 취약점과 오래된 도구로도 공격하고 꽤 성공률이 높다.

최근 유행하는 AD 탈취 공격의 상당수가 SMB 취약점을 이용해 전파되는 것이다. SMB 취약점은 2017년 워너크라이 랜섬웨어 당시 대부분의 사람들이 보안 조치를 취했을 것으로 여겨지지만, 아직도 취약점을 제거하지 않은 시스템이 상당수에 달하는 상황이다.

공격자들이 어떤 공격 방식을 사용하는지 파악하는 방법으로 허니팟이 있다. 실제와 똑같은 환경을 구축해 공격자를 유인한 후 공격자가 어떻게 행동하는지 분석하는 것이다. 최근에는 이보다 더 진화한 ‘디셉션’ 기술이 주목받고 있다. 허니팟은 시스템의 일부를 모방해 구축하지만 디셉션은 실제와 완전히 같은 환경을 구성해 공격을 분석하는 방식이다.

시만텍은 엔드포인트 보안 솔루션에 디셉션 기능을 포함시켜 사용자에게 침투를 시도하는 공격자들이 어떻게 행동하는지 확인한다. 포티넷은 ‘디셉터’를 보안 패브릭에 위치시켜 공격자를 유인하고 공격을 분석한다. 이를 통해 엣지 영역에서의 보안 대응을 효율화하는 한편 보안 전략을 정비하는데 도움을 준다.

조원균 포티넷코리아 지사장은 “디셉터는 IoT 엣지 보안을 강화할 수 있다. 공격자의 행태를 분석해 엣지에서 통제함으로써 더 빠르고 정확한 IoT 보안을 제공할 수 있다. 이를 통해 포티넷의 보안 패브릭의 이상을 실현하게 된다”고 말했다.

쿤텍은 트랩엑스의 ‘디셉션그리드’ 국내 총판 사업권을 확보하고 디셉션 기술을 이용한 IT·OT 보안 전략을 제시한다. 디셉션그리드는 자동 네트워크 스캔이 가능한 오토 파일럿 기능을 통해 금융, 의료, 산업제어시스템, IoT 장치, 서버, 데스크톱의 혼합 장비 등으로 구성된 대규모 네트워크의 생성과 전체 배포를 단 몇 시간 안에 가능하게 한다. 또한 네트워크의 추가 확장이 쉽고, 중앙집중식으로 관리 및 배포하기 때문에 기업의 보안 자산을 다양하게 모방할 수 있다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.