IoT cybersecurity의 중요성
스마트 기는 디지털 세상의 핵심입니다. 전 세계 사람들은 편리함 때문에 스마트 디바이스를 사랑합니다. 하지만 스마트 커넥티드 디바이스를 더 좋아하는 사람이 있다면 바로 사이버 범죄자들입니다. 사물인터넷(IoT)을 통해 냉장고, 세탁기, 커넥티드 알람 시스템, 도어락, 연기 감지기, 베이비 모니터와 같은 홈 어시스턴트 및 기타 커넥티드 가전제품은 그 어느 때보다 많은 사람들이 편리함을 누리고 있습니다. 하지만 이러한 기기는 은행 정보와 같은 개인 정보를 저장하는 개인 스마트폰에 연결되는 경우가 많아 광범위한 네트워크에 연결되고 사이버 범죄자의 관심을 끌게 됩니다.
개인 및 조직의 위험
독일의 온라인 데이터 수집 및 시각화 플랫폼 Statista에 따르면 2030년까지 전 세계적으로 290억 대의 IoT 디바이스가 사용될 것으로 예상됩니다. 현재 전 세계 인구는 78억 명에 달합니다. 개별 IoT 디바이스의 취약성은 더 광범위하게 연결된 네트워크를 손상시켜 부수적인 피해를 초래할 수도 있습니다. IoT 디바이스 트래픽의 98%가 암호화되지 않은 상태로 남아 있다는 사실은 현재의 보안 조치가 부적절하다는 것을 보여줍니다. 전문가들에 따르면 이러한 디바이스의 57%가 중간 또는 높은 수준의 공격에 취약하다고 합니다.
포괄적인 보안 프로토콜이 없으면 모든 연결된 디바이스는 사이버 범죄자의 잠재적 진입 지점이 됩니다. 모바일 애플리케이션, 가전제품, 이커머스, 자동차 등의 산업, 특히 매우 민감한 독점 정보를 보관하는 산업에서 IoT 기술을 채택함에 따라 부적절한 IoT 보안의 영향은 기업뿐만 아니라 정부에도 심각한 영향을 미칠 수 있습니다. 따라서 개별 풀뿌리 수준부터 IoT 사이버 보안 노력을 강화하는 것이 무엇보다 중요합니다.
IoT 사이버 보안이 우선시 되지 않는 이유
명백한 위험에도 불구하고 기업들은 IoT 네트워크의 보안을 유지하는 데 필요한 제로 트러스트 접근 방식을 채택하기 어렵다는 사실을 깨닫고 있습니다. 상당수의 조직이 IoT의 취약성을 인식하지 못한 채 IoT가 가져올 수 있는 잠재적인 편의성과 단기적인 비용 절감 효과에만 집중하고 있습니다. 이러한 수요에 발맞추기 위해 혁신가와 제조업체는 보안보다 기능에 우선순위를 두고 있습니다.
좋은 IoT 사이버 보안이란 무엇일까요?
바다와 하늘과 같은 자연 환경과 마찬가지로 국제 사이버 보안 환경은 전체적으로 동질적이지는 않지만 각 지역마다 고유한 인프라로 구성되어 있고 서로 동적으로 상호 작용하는 고유한 규범이 적용됩니다. 따라서 사이버 보안 프로토콜은 법률에 따라 그 효과와 범위가 매우 다양합니다. 또한 끊임없이 새로운 기술을 혁신하는 사이버 범죄자들에 대응하기 위해 기존 프레임워크를 지속적으로 개선해야 할 필요가 있습니다.
Europe: ETSI EN 303 645
유럽 연합은 발빠르게 소비자 IoT 디바이스의 기본 사이버 보안 요구 사항에 대한 표준 ETSI EN 303 645 를 발표했습니다. 2020년 6월에 발표된 이 표준은 사이버 보안 전문가들이 자주 접하는 스마트 기기에 대한 공격에 대응하기 위해 고안되었으며 어린이 장난감, 베이비 모니터, 연기 감지기, 도어락, 스마트 카메라, TV, 스피커, 웨어러블 건강 기기, 알람 시스템, 심지어 커넥티드 가전제품에 이르기까지 모든 범위를 포괄하고 있습니다. 소비자가 스마트 냉장고에서 아침 식사를 준비하는 순간부터 알람을 설정하고 잠든 후까지, 소비자는 제조업체가 제품에 구현해야 하는 13가지 보안 및 개인 정보 보호 요구 사항과 권장 사항을 준수해야 합니다:
- 범용 기본 비밀번호가 없습니다.
2. 취약점 보고를 관리할 수 있는 수단을 구현합니다.
3. 소프트웨어를 최신 상태로 유지합니다.
4. 민감한 보안 매개변수를 안전하게 저장합니다.
5. 항상 안전을 생각하며 통신합니다.
6. 노출된 공격 표면을 최소화합니다.
7. 소프트웨어 무결성(integrity) 보장하세요.
8. 개인 데이터의 보안을 보장합니다.
9. 시스템 중단에 대한 복원력을 확보합니다.
10. 시스템 원격 측정 데이터를 검토합니다.
11. 사용자가 개인 데이터를 쉽게 삭제할 수 있도록 합니다.
12. 장치의 설치 및 유지보수를 쉽게 할 수 있습니다.
13. 입력 데이터의 유효성을 검사합니다.
이러한 기본 보안 준수는 무선 장비 지침(RED) 요구 사항의 일부이며 제조업체가 일반 데이터 보호 규정(GDPR)과 같은 개인 정보 보호 요구 사항을 준수하는 데 도움이 됩니다. ETSI EN 303 645는 IoT 디바이스에 대한 기본 수준의 보증을 제공할 뿐만 아니라 EU 사이버 보안법(CSA)과 같은 향후 IoT 인증 제도의 기준이 되기도 합니다.
따라서 2025년까지 완전한 준수가 의무화될 것으로 예상됩니다. 이 표준이 현존하는 모든 사이버 범죄에 대해 100% 완벽한 보호 기능을 제공하지는 않지만, 제조업체가 사이버 범죄자가 DDoS 공격을 시작하고 가정에서 사용자를 감시하는 것을 방지하는 데 큰 진전을 이룰 수 있도록 도와줍니다. 오늘날 ETSI EN 303 645는 전 세계적으로 인정받고 있으며 업계 전문가, 학계, 테스트 기관 및 국제 정부 기관에서 채택하고 있습니다. 민간 부문과의 조화를 위해 제조업체, 공급업체 및 구현업체가 승인된 평가 방법론을 프로세스에 적용하는 데 도움이 되는 테스트 사양 ETSI TS 103 701도 제정되었습니다. 가까운 시일 내에 새로운 요구 사항 세트가 ETSI에 의해 발표될 예정이며, 이 요구 사항은 ETSI EN 303 645를 대체할 것입니다.
GRL과 함께 연결된 미래의 안전에 준비하세요
통신 및 상호 운용 가능한 디바이스의 힘을 활용하여 IoT 네트워크의 급증하는 과제에 정면으로 맞서세요. GRL의 포괄적인 IoT 디바이스 보안 테스트 서비스 제품군은 숙련된 엔지니어가 운영하며, 잘 갖추어진 시설, 우수한 인력 및 기술 역량으로 평판이 좋은 정부 및 기관(NABL - 미국 국립 시험 및 교정 연구소 인증 위원회)으로부터 널리 인정받고 있습니다.
귀사의 제품 비전을 실현하는 것은 몇 단계만 거치면 가능합니다. 귀사의 제조 공정을 개선할 수 있는 테스트 서비스 및 솔루션에 대한 맞춤형 권장 사항뿐만 아니라 ETSI EN 303 645 표준을 기반으로 귀사의 IoT 장치에 대한 맞춤형 진단을 받으려면 GRL에 문의하세요.
About the Author
Sanjay K Sharma
Associate Director -Cybersecurity Services
Sanjay K Sharma는 다양한 국가, 국제 및 산업 표준에 따라 사이버 보안 서비스를 개발하고 평가 시설을 구축하는 업무를 담당하고 있습니다. IoT 및 디지털 연결 기술 전략을 지원합니다.