2024-03-29 07:45 (금)
“IoT, 새로운 비즈니스 기회이자 또 다른 보안위협 요소”
상태바
“IoT, 새로운 비즈니스 기회이자 또 다른 보안위협 요소”
  • 길민권
  • 승인 2015.02.15 14:57
이 기사를 공유합니다

MISCON 2015, 한국HP 위성표 이사 “IoT 보안은 IoT 플랫폼 구축의 핵심”
데일리시큐 주최 2015년 모바일 정보보호 컨퍼런스 MISCON 2015가 지난 2월 12일 한국과학기술회관 대회의실에서 정보보호 실무자 300여 명이 모인 가운데 성황리에 개최됐다. 이 자리에서 한국HP 위성표 이사는 ‘모바일, 사물인터넷 시대에 대응하는 종량제(SaaS) 방식의 ‘시큐어코딩’ 및 ‘런타임 애플리케이션 자가방어(RASP)’ 서비스 소개’라는 주제로 발표를 진행했다.
 
위성표 이사(사진)는 “가트너 Internet of Things(IoT) Report 2013 보고서에 의하면 사물(Things)의 연결을 통해 새로운 서비스, 가치창출이 가능해 2020년 IoT 디바이스는 260억 개로 늘어날 것이며 이를 통해 1조 9천억 달러의 경제 가치를 창출할 것으로 예측하고 있다. 따라서 IoT 시장을 향한 제품, 서비스 조기 출시 경쟁이 매우 치열한 상황”이라며 서두를 열었다.
 
한편 그는 “그런데 2014년 7월 블랙햇 2014 USA’ 세미나에서 IoT부문 기술 선두주자로 알려진 Google(구글) Nest Labs의 스마트 온도조절기를 USB 케이블을 통해 루트 권한 획득을 시연했었고 또한 스마트 TV가 스팸 발송지로, 스마트 냉장고는 디도스(DDoS) 공격자로 심지어 자동차도 공격자에 의해 원격제어가 가능하다는 내용이 보고되고 있어 IoT 시대에 보안 우려도 커지고 있다”고 덧붙였다.  
 
그는 또한 “Sonatype 2013 리포트에 의하면 오픈소스 다운로드 회수가 2012년 80억회, 2013년 120억회로 늘어나고 있고 엔터프라이즈가 애플리케이션 생산성 향상 목적으로 애플리케이션 개발 시 80% 이상이 오픈 소스 컴포넌트를 재활용하고 있으며 이중 71% 이상의 애플리케이션은 심각한 보안 취약점을 보유하고 있다”며 “IoT 플랫폼에서도 오픈 하드웨어, 모바일 앱과 같은 IoT 게이트웨이, 클라우드 백엔드 시스템 개발 시 Github 상의 다양한 오픈소스가 활용되고 있어 오픈소스 보안 취약점 관리 필요성이 대두되고 있다”고 밝혔다.

 
발표 내용에 따르면, 이런 상황에서 “현재 운영중인 IoT 플랫폼에 대한 보안 점검 기준 혹은 방법론이 있는가?” 라는 질문을 받는데 국제 웹보안 표준기구(OWASP)가 웹, 모바일 뿐만 아니라 IoT 플랫폼 전반에 걸쳐 매우 중요한 보안 이슈를 10가지 카테고리로 분류 정리(OWASP Internet of Things Top 10 Project, Project 리더: Daniel Miessler, Jason Haddix of HP Fortify)해 IoT 제조사, 개발자, 소비자를 위한 보안권고문을 제공하고 있고 이를 토대로 IoT 플랫폼에 대한 보안 점검을 수행하고 있다.
 
HP 포티파이 FoD 보안 진단팀은 2014년 중반 OWASP IoT Top 10을 기준으로 주요 IoT 플랫폼 보안진단을 수행했다. 그 대상은 TV, 웹캠, 가정용 온도 조절기, 원격 전원 콘센트, 스프링클러 컨트롤러, 도어락, 차고문개폐기 등 10개의 주요 IoT 디바이스, 모바일 앱, 디바이스 원격관리, 클라우드 등의 백엔드 시스템이었다. 점검 결과 IoT 디바이스 70%가 중요한 웹 보안취약점 보유, 패스워드 관리 취약 등 다양한 보안 취약점에 노출되어 있다는 것이 확인됐다.
 
IoT는 소비자에게는 새로운 서비스/제품 소개, 생산자에게는 막대한 비즈니스 기회 그리고 공격자에게는 또 다른 보안 취약점을 지닌 공격 대상이자 정보유출을 위한 공격 경유지이다. 따라서 IoT 보안은 IoT 플랫폼 구축에 있어서 핵심이라고 전했다.
 
한편 HP는 IoT 플랫폼보안을 위해 다음과 같은 내용을 권고한다고 밝혔다.
 
◇IoT 플랫폼 전반에 걸친 애플리케이션 보안진단 수행, IoT 플랫폼 구성요소 IoT 디바이스, 게이트웨어(모바일 디바이스), 클라우드 백엔드 시스템에 대한 OWASP Internet Of Things Top 10 기준 전반적인 보안 진단 수행 및 보안 권고
 
◇IoT 제품 출시/업데이트, Production 시스템으로 이관 전 IoT 플랫폼 구성요소가 갖춰야 할 필수 보안 기준 마련 및 시행( IoT Security Gate 수립)
 
◇IoT 플랫폼 구성요소 SDLC(Software Development Life Cycle) 전반에 걸친 보안으로 IoT Security Gate 확대
 
이러한 IoT 플랫폼 보안 권고사항 이행을 위해 HP는 다양한 서비스와 제품을 제공하고 있다. 이를 통해 보안사고의 근원인 보안취약점 제거를 SDLC 내에 프로세스로 탑재, 애플리케이션 보안문제에 대한 선제적 대응을 수행하며 운영중인 런타임 애플리케이션에 대한 자가방어도 수행한다고 전했다.  
 
◇FORTIFY ON DEMAND-Public Cloud Service
IoT 디바이스,게이트웨이 애플리케이션, 모바일 앱, 클라우드 (웹)애플리케이션, 오픈소스 등에 대한 보안 테스팅을 수행할 리소스, 즉 하드웨어, 소프트웨어, 보안진단인력이 부족한 경우 최소의 비용으로 간편하고 빠르게 정적, 동적, 모바일, 벤더 및 오픈소스 애플리케이션 전체를 대상으로 포괄적인 보안 테스팅을 수행할 수 있는, 작은 규모로 시작해 필요한 만큼 확장이 가능한 클라우드 기반 애플리케이션 보안진단 테스팅 서비스이다.
 
점검 결과에 대한 가장 빠른 턴어라운드 시간(정적 평균 1일, 동적 3-5일)을 제공할 뿐만 아니라 계약 패널티가 포함된 SLA를 통해 지원하고 22개 언어와 624개 보안 취약성 범주를 지원한다. 또 오픈소스 사용여부를 파악, 알려진 보안 취약점 정보 제공하고 오탐율 줄이기 위해 발견된 보안 취약점에 대한 전문가 리뷰, 모바일 애플리케이션 소스 코드, 바이너리 및 실행 중인 애플리케이션을 진단, 모바일 애플리케이션 전반에 걸친 보안 취약점을 확인한다.  
 
◇FORTIFY ON DEMAND-Private Cloud Service
Fortify(포티파이) On Demand 서비스의 Private Cloud Service 버전, 기업 내에 Fortify On Demand 서비스에서 제공하는 모든 리소스인 하드웨어, 소프트웨어를 갖추도록 돕고 IoT 플랫폼에 대한 보안진단을 직접 수행하도록 지원해드리는 서비스다. HP Fortify 팀은 FoD 인프라 구축 및 운영 교육, 보안진단 기술이전 등을 다양한 교육프로그램을 통해 제공한다.
 
IoT 플랫폼 구축 시 필요한 IoT 디바이스, 게이트웨이 애플리케이션, 모바일 앱, 클라우드 (웹)애플리케이션, 오픈소스 등 외주 개발 혹은 3rd party 제품 도입 시 공급업체는 일반적으로 하드웨어, 소프트웨어의 보안 상태에 대한 가시성을 제공하지 않아 전체적인 보안 위협요소로 남게 된다.
 
최근에는 제품 구매 프로세스 중에 제품에 대한 보안 취약점을 공급업체로부터 확인, 최종 제품 구매 전 중대한 보안 문제를 해결하도록 요구할 수 있다.
 
Fortify on Demand의 VAST(공급업체 애플리케이션 보안 테스팅) 프로그램은 Fortify On Demand 보안 팀이 공급업체 하드웨어/소프트웨어 애플리케이션 보안 취약점을 평가, 확인된 보안취약점을 공급업체(벤더)에 전달, 발견된 보안취약점을 제거하도록 돕는다. 또 프로세스를 통해 공급업체는 확인된 보안 취약점 제거 후 이를 Fortify On Demand팀에 전달, Fortify On Demand팀은 이에 대한 일관성 있고 객관적인 분석을 재 수행해 임의조작이 방지된 최종 보안취약점 진단 보고서를 발행하며 고객은 이를 통해 하드웨어/소프트웨어 애플리케이션 보안상태를 확인한다.
 
◇런타임 애플리케이션 자가방어
가트너가 꼽은 ‘2015년 10대 전략 기술’ 중의 하나로서 Java와 .NET 애플리케이션 구동(Runtime) 시 애플리케이션 코드를 변경하지 않고 내부 애플리케이션에 탑재되어 모든 애플리케이션 실행(Call)을 모니터링, 애플리케이션 로직, 내부 데이터 및 이벤트 플로우에 대한 심도 있는 이해가 가능하며 이를 기반으로 보안위협 탐지/필요 시 방어를 수행, 기존 네트워크 보안시스템이 지녀왔던 보안위협 미탐 및 오탐 등의 한계를 극복한다.
 
주된 특징으로는 애플리케이션 상에서 동작함에 의해 SSL과 같은 암호화 여부와 관계없이 동작, 네트워크 보안제품으로는 처리할 수 없는 다양한 보안 위협 전체 쿼리에 대한 가시성 제공, 공격 대상이 되는 애플리케이션 보안취약점 관련 소스코드 라인을 제공, 개발자로 하여금 보안취약점을 이해하고 소스코드 레벨에서 근원적인 보안 취약점을 수정하도록 돕는다.

한국HP 위성표 이사의 MISCON 2015 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★