Granite River Labs, GRL
Sanjay K Sharma
사물 인터넷(IoT) 기기의 급속한 확산은 전례 없는 수준의 편리함과 효율성으로 일상 생활에 혁명을 일으켰습니다. 2030년까지 전 세계적으로 290억 대의 IoT 기기가 유통될 것으로 예상됩니다. 여기에는 베이비 모니터, 연기 감지기, 도어락과 같은 보안 장치부터 스마트 카메라, TV, 스피커, 웨어러블 헬스 트래커, 홈 오토메이션, 알람 시스템과 같은 엔터테인먼트 시스템까지 사람들이 생활의 여러 측면을 원활하게 관리하고 모니터링할 수 있는 다양한 기기가 포함됩니다.
하지만 IoT의 부상은 심각한 사이버 보안 위험을 초래하기도 합니다. 네트워크의 새로운 기기는 사이버 공격자의 잠재적 진입 지점이 될 수 있습니다. 많은 IoT 기기가 보안 기능 면에서 뒤처져 있고, 정기적인 업데이트가 이루어지지 않아 IoT 시스템이 공격의 취약한 표적이 되고 있습니다.
IoT 멀웨어 공격의 급증 - 2023년
2023년은 IoT 보안 위협의 중요한 전환점이 될 것이며, Zscaler ThreatLabz 보고서에 따르면 전년도에 비해 IoT 멀웨어 공격이 무려 400% 증가할 것으로 예상됩니다1. 이러한 급격한 증가는 커넥티드 디바이스의 확산과 관련된 보안 위험을 강조합니다.
2024년 Roku 사이버 공격
576,000개 이상의 계정2을 침해한 2024년 Roku 사이버 공격은 IoT 기기에 내재된 취약성을 강조하는 동시에 소비자 신뢰, 규정 준수, 기술 생태계 전반의 사이버 보안 조치 통합에 대한 중요한 질문을 제기했습니다.
손상된 IoT 기기는 디도스 공격, 개인 네트워크 침입, 민감한 데이터 도난의 시작점이 될 수 있습니다. 예를 들어, 보안되지 않은 수천 대의 IoT 기기를 사용하여 주요 웹사이트를 마비시킨 Mirai 봇넷 공격3은 이러한 위협이 얼마나 대규모로 이루어질 수 있는지 잘 보여주며, 침해된 스마트 카메라, 헬스 모니터 등을 통해 수십만 명의 개인이 위험에 처할 수 있음을 보여줍니다.
IoT 기기의 기술적 취약점
IoT 디바이스와 연결된 네트워크가 공격에 노출될 수 있는 일반적인 취약점은 다음과 같습니다:
- 취약한 인증: 기본 사용자 이름과 비밀번호에 의존하는 IoT 디바이스는 이러한 오래된 인증 메커니즘이 더 이상 최신 사이버 공격에 대해 적절한 보안을 제공하지 못하기 때문에 쉬운 표적이 됩니다.
- 암호화되지 않은 저장 데이터: IoT 디바이스에 저장된 암호화되지 않은 개인 데이터는 쉽게 추출되어 악용될 수 있습니다.
- 사용하지 않는 인터페이스: 제대로 보호되지 않거나 비활성화되지 않은 개방형 또는 미사용 인터페이스도 공격자가 디바이스에 대한 무단 액세스 또는 원격 제어를 위해 악용할 수 있습니다.
- 정기적인 업데이트 부족: 보안 업데이트를 자주 하지 않는 IoT 디바이스는 시간이 지남에 따라 점점 더 쉽게 악용될 수 있는 취약점이 누적됩니다.
제조업체의 역할: IoT 기기 제조업체는 더 강력한 인증 프로토콜 구현, 펌웨어 정기 업데이트, 저장 데이터 암호화 등 보안 조치를 강화할 것을 촉구받고 있습니다. 소비자는 이러한 취약점과 자신의 데이터가 어디에서 유출될 수 있는지 알지 못하는 경우가 많습니다. 이러한 기기의 보안은 매우 중요하며, 1차적인 책임은 제조업체에 있습니다. 제조업체는 사용자의 데이터와 개인정보를 보호하기 위해 제품 보안에 우선순위를 두어야 합니다.
기본 사이버 보안 요건 준수는 2025년 8월까지 EU RED에 따른 소비자 IOT 기기가 CE 마크 요건을 충족하기 위해 의무화됩니다. 또한 ETSI EN 303 645, NIST, OSWAP Top 10, CWE 25 표준 및 그 이전 표준에 따라 보안 요구 사항을 조정한 다른 국제 민간 인증 제도가 있습니다. 이러한 표준은 13개 이상의 주요 권장 사항을 통해 연결된 소비자 제품에 대한 견고한 보안 기준을 제공하며, 그 주요 내용은 다음과 같습니다:
- 기본 비밀번호 제거
- 취약점 공개 정책 구현하기
- 소프트웨어 업데이트 유지
다양한 국내/국제 표준의 공인 시험소인 GRL은 위에서 언급한 표준에 따라 소비자 IoT, 애플리케이션 및 통신 기기에 대한 보안 테스트를 수행합니다. 제품 보안을 위해 고민하지 말고 IoT 전문가에게 문의하여 최악의 시나리오에 미리 대비하여 고객과 브랜드를 보호하세요.
About the Author
Sanjay K Sharma, Associate Director -Cybersecurity Services
Sanjay K Sharma는 다양한 국가, 국제 및 산업 표준에 따라 사이버 보안 서비스를 개발하고 평가 시설을 구축하는 업무를 담당하고 있습니다. IoT 및 디지털 연결 기술 전략을 지원합니다.
Reference
1. Adm Ford. 11 Jan 2024. Securing Public Sector Against IoT Malware in 2024. Zscaler Blog.
2. Ty Roush. 12 Apr 2024. Roku Says 576,000 Accounts Compromised In Latest Security Breach. Forbes.
3. Cloudflare. What is the Mirai Botnet?