2024-10-11 11:05 (금)
엔사이퍼 시큐리티 “기업들, IoT 장치에 대한 보안 취약한 상황”
상태바
엔사이퍼 시큐리티 “기업들, IoT 장치에 대한 보안 취약한 상황”
  • 길민권 기자
  • 승인 2020.01.06 17:14
이 기사를 공유합니다

2019 글로벌 PKI & IoT 동향 보고서 발표

범용 하드웨어 보안 모듈(GP HSM) 전문기업 엔사이퍼 시큐리티(nCipher Security)가 ‘2019 글로벌 PKI & IoT 동향 보고서’의 결과를 발표했다.

이번 보고서는 엔사이퍼 시큐리티의 의뢰로 포네몬 연구소(Ponemon Institute)가 조사를 진행했으며, 전 세계 14개 지역 1,800여 명의 IT 보안 실무자들의 답변을 바탕으로 작성됐다. 엔사이퍼 시큐리티는 보고서를 통해 공개 키 기반 구조(public key infrastructure: PKI) 애플리케이션 배포가 지난 5년 간 20% 증가했으며, IoT가 이를 촉진하는 주요 동인이라고 밝혔다.

IoT는 분명 기술 분야에서 가장 빠르게 확대되고 있는 트렌드 중 하나이지만, 이번 엔사이퍼 보고서에 따르면 많은 기업들이 IoT 보안을 우선시 하지 않아 위험한 사이버 공격에 취약한 것으로 나타났다.

이번 보고서의 응답자들은 우려되는 주요 IoT 보안 위협으로 멀웨어 혹은 다른 위협으로 인한 IoT 장치 기능 변경(응답자의 68%)과 인증되지 않은 유저의 장치, 원격 통제(54%)를 꼽았다. 다만 기업들은 가장 중요한 IoT 보안 역량 다섯 가지를 조사한 항목에서 패치, 장치 업데이트 등 기능 조작으로부터 장치를 보호하는 조치를 가장 적게 택했다.

엔사이퍼 시큐리티는 이번 보고서에서 전체 IoT 장치 중 42%의 신원 확인 및 인증 절차가 향후 2년 내로 디지털 인증서를 통해 진행될 것으로 전망했다. 하지만 IoT 장치 암호화와 IoT 플랫폼 및 데이터 저장소 암호화 비율은 각각 28%, 25%에 그치는 것으로 나타났다.

존 그림(John Grimm), 엔사이퍼 시큐리티 전략 & 사업개발 담당 이사는 “IoT 보안은 현재 상당히 취약하다고 볼 수 있다. 그리고 IDC가 최근 발표한 전망에 따르면 오는 2025년까지 416억 개의 IoT 장치가 약 79.4 제타바이트에 달하는 데이터를 발생시키게 된다.“며, “만약 IoT 장치나 데이터를 신뢰할 수 없다면 IoT로부터 발생된 데이터를 수집하고 분석해 사업에 관한 결정을 내리는 것이 아무런 의미가 없다. IoT 위협에 대응할 보안을 우선 순위에 두고 IoT 생태계에 걸쳐 진실성과 무결성을 확보하는 것이 신뢰 구축의 시작이다.“라고 강조했다.

◇PKI의 역할은 중요하지만 조직들의 보안 태세는 미흡

PKI는 많은 조직들에게 IT 인프라의 중추적 역할을 담당한다. 조직들은 PKI를 통해 클라우드, 모바일 장치 배포, IoT 등 주요 디지털 이니셔티브에 대한 보안을 확립할 수 있다.

이번 보고서에 따르면, 대부분의 응답자들이 조직 내에서 PKI를 폭 넓게 사용하고 있었다. 이들은 SSL/TLS 인증서(79%), 프라이빗 네트워크 및 VPNs(69%), 퍼블릭 클라우드 기반 애플리케이션 및 서비스(55%) 등에 PKI를 활용한다고 답했다. 하지만 전체 응답자의 절반이 넘는 56%가 PKI는 새로운 애플리케이션을 지원할 역량이 부족하다고 밝혔다. 또한, 많은 응답자들이 PKI 활용에 조직적, 기술적인 한계가 있다고 했으며 그 이유로 기존 레거시 애플리케이션을 교체할 역량 부족(46%), 인적 기술 부족(45%), 자원(38%) 등을 꼽았다.

◇기업의 PKI 보안은 혼재되어 있는 것으로 나타나

2019 글로벌 PKI & IoT 동향 보고서 응답자 중 약 30%는 어떠한 인증서 폐기 기술도 사용하지 않는 것으로 밝혀졌다. 그리고 무려 68%의 응답자들이 ‘불분명한 소유권’을 PKI에 대한 가장 큰 어려움으로 꼽았다.

다만, 몇몇 기업들은 특정 부문에서 PKI 보안을 활발히 도입하고 있었다. 인증기관(CA) 보안 방안에 대해 ‘비밀번호만 사용’이라고 답한 응답 비율은 2018년 24%에서 2019년 6%로 현저히 줄었다. 또한, 42%의 응답자들이 개인 키 관리에 하드웨어 보안 모둘(HSM)을 사용한다고 답했다.

이 밖에 이번 보고서의 주요 시사점은 아래와 같다.

IoT의 신뢰성 확보를 위한 HSM 사용 비율은 2018년 10%에서 2019년 22%로 대폭 증가했다.

클라우드, 매니지드 및 호스티드 형태 등 PKI 배포 옵션이 다양해지고 있지만 여전히 조직들은 내부 인증기관을 가장 많이 사용하고 있었다. 전체 응답자 중 63%가 내부 인증기관을 사용한다고 답했으며 해당 수치는 지난 5년 간 19% 증가했다. 특히, 금융 서비스 기관의 경우 80%가 내부 인증기관을 사용하는 것으로 나타났다.

응답자의 44%는 IoT에 대한 PKI 배포가 클라우드와 기업이 결합된 형태를 기반으로 실행될 것이라 답했다.

IoT에 대한 PKI의 핵심적인 역량은 수 많은 인증서에 대한 확장성(46%)과 온라인 인증서 폐기(37%)였다.

포네몬 연구소 설립자 겸 회장인 래리 포네몬(Larry Ponemon) 박사는 “기업들이 디지털 트랜스포메이션을 맞이하면서 PKI 사용이 계속 확대되고 있다. 또한, 이번 보고서에서 40%가 넘는 응답자들이 IoT뿐 아니라 클라우드 및 모바일 이니셔티브 역시 PKI 사용을 촉진하는 주요 동인이라고 답했다.“며, “IoT의 급성장은 분명 PKI 사용에 큰 영향을 미치고 있다. 조직들이 PKI가 커넥티드 장치에 대한 핵심적인 인증 기술을 제공한다는 사실을 깨닫고 있기 때문이다. 이들이 디지털 이니셔티브가 가져다 주는 모든 이점을 누리기 위해서는 PKI의 보안 성숙도를 지속적으로 개선해야 한다.“고 강조했다.

2019 글로벌 PKI & IoT 동향 보고서 전문은 엔사이퍼 시큐리티 웹사이트에서 확인할 수 있다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★