얼 퍼킨스(Eearl Perkins) 가트너 리서치 부사장

▲ 얼 퍼킨스(Eearl Perkins) 가트너 리서치 부사장

[컴퓨터월드] 사물인터넷(Internet of Things, IoT) 세계에서 정보란 환경의 물리적 상태를 변화시키는 데 사용되는 ‘연료’이며, 이는 범용 컴퓨터 같은 기기가 아닌 특정한 용도를 위해 설계된 기기와 서비스를 통해 전달된다.

IoT는 IT 보안에 있어 중요한 변곡점이라 볼 수 있으며, 정보보호최고책임자(CISO)는 이와 관련해 새롭게 부상하는 복잡한 거버넌스와 관리의 최일선에 서게 될 것이다. 클라우드, 소셜, 모바일 및 정보의 결합을 의미하는 가트너의 ‘힘의 결합(Nexus of Forces)’ 현상이 IoT의 초기 시장 기회를 주도하고 있으며, IoT는 커넥티드 홈(connected home), 커넥티드 카(connected car)에서 웨어러블 기기, 지능형 의료 장비, 스마트 도시와 설비 관리를 위한 센서 시스템에 이르기까지 수많은 상업 및 소비자용 기술 활용 사례를 포함한다.

네트워크와 연결돼 주변 환경과 기기자체에 대한 정보, 상태변화를 전달하는 특수 목적을 가진 지능형 기기의 특성들은 산업 제어와 자동화에서 볼 수 있는 운영기술(Operation Technology, OT) 시스템에서도 점차 그 사용이 늘고 있다. 그러나 IoT 보안은 필요한 기술 및 서비스의 유형, 규모, 복잡성으로 인해 CISO에게 새로운 과제를 안겨주고 있다.

IoT 엔드포인트는 기존의 경계선을 넘어 외부에서 제어되는 어플라이언스, 고객, 센서 기반 기술로 확장되고 있으며, 이는 전통적인 계층적 보안 관리의 어려움을 가중시키고 있다.

가트너의 2020년 보안 및 리스크 관리 시나리오에서는 보안 대상을 나타내는 축이 기업과 개인 사이에서 이동한다. IoT 보안은 기업과 개인 모두에게 영향을 미치기 때문이다.

단일 IoT 취약점으로 인해 수백 만 대에 이르는 기기가 전원을 공급받지 못한다거나 나쁜 영향을 받음으로써 생길 수 있는 문제들을 상상해 보는 것은 그리 어렵지 않으며, 이를 통해 환경에 대한 물리적인 훼손은 물론, 부상 또는 사망 사고까지 야기될 수 있다.

IoT 기기가 매우 새롭고 독창적인 것으로 보일 수 있지만, 기기가 성능을 발휘할 수 있는 서비스는 신/구 기술 인프라의 혼합을 통해서 가능하다. IoT 보안에서, 대부분의 기업들은 특정 비즈니스 용도로 통합된 기기와 서비스를 보호하기 위해 메인프레임, 클라이언트 서버, 웹, 클라우드, 모바일 등 시대를 막론한 모든 신/구 기술을 사용하게 될 것이다. 이는 과거 문제들 중 다수가 IoT까지 지속될 것임을 의미한다.

현재의 IT 시스템, 레거시 인프라, OT, IoT의 자동화가 확대되고, 기능 구현에 있어 안전한 설비에 더 많이 의존하게 됨에 따라 CISO들은 물리적 보안 책임에서 더 많은 역할을 담당하게 될 것이다. CISO들은 센서, 내장시스템, M2M(Machine-to-Machine) 통신과 특수 용도 기기가 점령할 새로운 시대를 맞아 특정 비즈니스 동력들과 확장 가능한 보안 거버넌스 및 관리 간에 균형을 유지해야만 한다.

▲ CISO 관련 주요 영향과 핵심 권고 사항(출처: 가트너 2014년 4월)

정보 생성과 더불어 환경의 상태를 변화시키는 IoT 사물의 위력으로 인해 CISO들은 현재의 책임을 넘어 자신의 보안 업무의 범위를 재정의하게 될 것이다.

IoT는 기업의 IT 책임을 새롭게 정의하고 있다. IoT 사물은 주위 환경의 상태 또는 심지어, 스스로의 상태까지 변화시키는 힘을 갖고 있다. 예를 들어, 센서를 통해 온도가 너무 낮다고 판단되는 경우, 자동으로 실내 온도를 올릴 수 있으며, 환자 의료기록 정보를 토대로 병원 침상에 누워있는 환자의 수액 투여량을 조절할 수도 있다.

IoT 보안은 새로운 비즈니스 활용 사례를 위해 추가된 모든 신규 식별, 감지 및 통신 기기를 수용하면서 전통적인 IT 보안업무의 책임을 확대하고 있다. 무결성(즉, 정확한 기능)은 정보보다는 사람들에게 더 많은 영향을 미치는 환경 변화 시스템에서 더욱 중요하다. ‘정보’ 기술은 이제 기기가 사용되는 장소와 방법, 제공하는 기능에 따라 특수 용도로 맞춤 설계된 산업별 고유 기술에 의해 보완되고 있다.

정보는 여전히 핵심 산출물이며, IoT 기기를 위한 연료다. IoT의 자체 식별 기능(화물을 식별하는 RFID 태그 등), 환경 감지기능(온도 및 압력 센서 등) 또는 커뮤니케이션 기능(주변 영역에 대한 환경 변화를 전송하는 해양 부표에 달린 기기 등)은 모두 정보가 생성되고, 전달되고, 사용돼야지만 가능하다.

전통적인 IT 인프라가 해당 기능들의 많은 부분을 수행할 수 있더라도, 특정 비즈니스 용도를 위해 내장 기술, 센서와 M2M 통신을 활용한, 맞춤 설계된 플랫폼으로써 제공되는 기능들은, IT의 전통적인 개념이 바꿔야함은 물론 나아가 IT 보안의 개념 자체에 대한 변화를 요구한다.

예를 들어, 최소한의 메모리와 처리 성능을 가진 저가 기기의 프로세스, 스토리지와 전력의 한계는 에이전트 기반 보안 솔루션의 입지를 위축시킬 것이다. 실시간, 이벤트 기반 애플리케이션과 비표준 프로토콜을 위해 애플리케이션 테스트, 취약성과 IAM(Identity and Access Management) 접근 방식에 대한 변화가 필요할 것이며, 네트워크 규모, 데이터 전송 방식 및 메모리용도 차이 등을 처리하는 것 역시 바꿔야 할 필요가 있다.

BYOD, 모바일, 클라우드 컴퓨팅에 맞춰 변화가 생긴 것과 마찬가지로, 보안 업무의 거버넌스, 관리와 운영은 더 큰 책임을 수반할 수 있도록 그 중요성이 강화돼야 한다. IT는 이와 같은 새로운 환경을 관리하는 데 있어 OT의 선례에서 많은 교훈을 배울 것이다. 이는 보안 측면에서 중요한 변곡점이 되고 있다.

권고 사항
▶IoT 영향 측면에서 업무 방식과 프로세스를 재평가함으로써 기업 내 기존 IT 보안 원칙에서 탈피해야 한다. IT의 ‘정보’ 유형과 맥락은 지나치게 제한적이다.
▶신/구 기술과 보안 제공 플랫폼과 패턴을 포함하도록 IT 보안 계획과 아키텍처를 확장한다.

대부분의 IoT 기기와 서비스들은 힘의 결합에 기반을 두겠지만, CISO들은 IoT 세계에서 요구하는 규모와 복잡성을 확보하기 위해 모든 과거 기술 영역들을 동시에 다루게 될 것이다.

많은 CISO들은 IoT가 전적으로 신규 기술과 서비스로 이뤄졌다는 잘못된 생각을 갖고 있다. 매일 확인되는 비즈니스 활용 사례들은 실제로 혁신적이며 새롭지만 이들이 제공하는 기술과 서비스는 대부분 새로운 것이 아니며 아키텍처와 디자인 측면에서 일정한 경우 또한 드물다. 각 용례에 따른 위험 프로파일마다 고유 요구사항을 가지고 있어 성능과 통제력 향상을 위해서는 구형 플랫폼과 서비스 아키텍처에 신기술을 덧입혀서 사용해야 할 수도 있다. 이는 IoT를 위해 안전한 서비스를 제공하려 할 때 CISO들에게 흥미로운 과제를 안겨준다.

어떤 경우 메인프레임, 클라이언트 서버, 웹, 클라우드와 모바일 보안 옵션 등을 전체적인 IoT 비즈니스 활용 사례의 일부로서 평가하는데 있어 ‘과거가 곧 미래’가 될 수도 있다. 윈도우XP와 같이 유지보수가 종료된 시스템들도 여전히 일부 업계 인프라에서 IoT 보안 시스템의 일부로 중요한 역할을 담당할 수 있다. 보안 계획 담당자들은 기존 보안 기술 매뉴얼을 아직 내다버려서는 안 된다.

CISO들은 기존 보안기술과 서비스를 무조건 대체해야 한다고 가정해선 안 되며, 대신 새로운 보안 솔루션과 구형 보안 솔루션의 통합 가능성을 평가해야만 한다. 다수의 전통적인 보안 제품과 서비스 제공업체들은 IoT 고유의 통신 프로토콜, 애플리케이션 보안, IAM 요구 사항에 대한 지원을 비롯, 내장 시스템과 M2M 통신을 위한 기본적인 지원을 제공하기 위해 이미 자사의 기존 포트폴리오를 확대중이다.

IT 보안을 개선하기 위해 OT 보안을 제공하는 경우도 증가하고 있는데, 위협 차단, 응답, 취약점 관리 등과 같은 영역을 중점을 진행되고 있다. 또한, 커넥티드 홈, 설비 관리, 물리적 접근 제어 등과 같은 분야의 솔루션 제공 업체들은 물리적 보안을 위해 IoT 기기를 사용하는 것은 물론, IoT 네트워크 전용 보안관리와 운영 솔루션 또한 제공하고 있다. 보안 제품과 서비스 산업이 제조 및 소프트웨어 개발 단계에서 적절하지 않은 보안 기능을 통합하는 폐단을 반복할 가능성도 다분하기 때문에 이를 경계해야 한다.

권고 사항
▶특정 용례에서 OT와 물리적 보안에 의해 영향을 받는 메인프레임, 클라이언트 서버, 웹, 클라우드와 모바일 보안 요구 사항들의 가능한 조합들을 바탕으로 IoT 보안 요구 사항을 평가한다.

IoT 보안 요구는 범주화하기 어려운 특정 비즈니스 활용 사례에 의해 주도될 것이며, CISO들은 전술적 리스크에 근거해 IoT 시나리오 보안 구현의 우선순위를 부여해야 할 것이다.

현재, 모든 산업과 활용용도 전반에 IoT 관련 원칙을 포괄한 프레임워크를 제공하는 ‘IoT를 위한 가이드’는 없다. IoT가 가진 또 다른 고유 특성은 이들 활용 사례에 적용할 수 있는 기기 기술과 서비스의 가능한 조합 수가 실로 엄청나다는 것이다. IoT 사물의 구성 요소는 여전히 다양하게 해석되고 있으며, 따라서 IoT보안은 ‘움직이는 표적(moving target)’과 마찬가지다.

하지만, CISO들은 임시 계획 전략을 수립할 수 있으며, 그 중 하나는 IoT 보안을 위해 현재 사용 가능한 ‘상향식(bottom up)’ 접근 방식을 활용하는 것이다. 보안 책임자들은 현 시점에서 모든 IoT 보안 요구를 아우르는 광범위한 전략을 수립하려고 시도하는 등 IoT 보안에 대해 지나치게 앞서 생각해서는 안 된다. 자사의 특정 IoT 비즈니스 활용 사례가 보다 강력한 통제와 성과를 제공할 수 있는지 여부를 평가함으로써 IoT의 잔존 위험을 줄이는 게 우선이다.

다음과 같은 기기를 사용하는 기업들은 자사를 IoT의 일부로 간주할 수 있다.
▶전용 네트워크, 공용 네트워크 또는 인터넷상에서 통신을 주고받기 위해 네트워크에 연결됨
▶기기 자체 또는 기기가 설치된 환경의 상태에 대한 정보를 식별, 감지, 전달하는 기능을 일부 보유하고 있음

CISO들은 기능 구현을 위해 센서와 일정 형태의 M2M 통신을 사용하면서 내장시스템을 갖추고 식별이 가능한 도구를 갖춘 기기들이 구체적인 비즈니스 활용 사례에서 점점 더 많이 등장하고 있다는 사실을 알게 될 것이다.

CISO들은 이러한 활용 사례의 초기 계획 단계에서부터 확고한 입지를 다져야 한다. 계획 결과를 활용해 기업의 보안 정책 요구 조건을 충족하는데 있어 기존 보안 솔루션을 사용하는지 또는 특수 기술 또는 서비스를 필요로 하는 지 등 모든 보안 설계의 구성 요소를 파악하라.

여러 IoT 용례에 대해 작업을 마치면, 해당 기업의 특정 산업에서 일관되게 발견되는 보안 요구 사항의 패턴을 알게 되며 이를 통해 CISO는 후속 프로젝트에서 IoT 보안을 위한 핵심 보안 서비스 개발이 가능해진다.

권고 사항
▶IoT 보안 패턴과 솔루션이 여전히 진화를 거듭하고 있기 때문에 계획에 대해 지나치게 앞서 생각해서는 안 된다. 소규모로 시작하라.
▶현 시점에서는 구체적인 비즈니스 활용 용도에 따라 특정 IoT 상호 작용을 기반으로 초기 보안 프로젝트를 개발해야 한다. 그 결과, 보안에 대한 소관과 책임을 정의하라.
▶위의 IoT 용례에 대한 보안 작업 경험을 토대로 미래를 위해 일반적인 보안 구축 시나리오, 핵심 아키텍처 기반과 역량 센터를 개발하라.

IoT 보안에 대한 요구 사항은 복잡하기 때문에 CISO들은 산업 제어, 자동화, 물리적 보안과 함께 모바일과 클라우드 아키텍처 등 다양한 접근 방식을 사용해야 할 것이다.

다행히도 IoT를 위한 보안 필요 요건 중 상당 부분은 CISO들에게 이미 친숙한 것들이다. 다양한 영역의 컴퓨팅을 보호하기 위해 지난 수십 년간 사용된 기술과 서비스들은 대부분의 경우 여전히 유효하다.

예를 들어, IoT 기기 중 다수는 모바일 보안 솔루션을 통해 보호할 수 있으며 IoT 기기는 BYOD 프레임워크 내에서 관리 가능하기 때문에, 기존 모바일 보안과 BYOD 보안계획을 적용할 수 있다. CISO들은 IoT 활용 사례의 규모와 일반적이지 않은 OS로 인한 복잡성이 존재하더라도, 통신 프로토콜과 내장 펌웨어의 요구조건, 데이터, 애플리케이션, 네트워크, 시스템, 하드웨어 보안의 핵심 원칙 등은 여전히 적용 가능하다는 사실을 알게 될 것이다. 관련해 거버넌스, 위험, 관리와 운영에서의 차이는 있겠지만 말이다.

제조, 에너지, 유틸리티, 화학, 운송, 의료 등의 막대한 OT 자산을 보유한 기업의 경우, CISO들이 추가적인 복잡성에 직면할 것이다. 많은 OT 보안 요구사항은, 보건, 안전 시스템을 비롯해 경계 감시, 물리적 접근 제어 및 설비관리 등 물리적 보안과 관련돼 있다.

IT 계획 수립 담당자들은 이러한 요구 사항의 증가를 간과해 왔다. CISO들은 OT와 물리적인 보안 요구 사항이 전체 엔드-투-엔드(end-to-end) 솔루션에 포함되는 IoT 관련 활용 사례에 대비해야 하며, 이에 맞게 조정이 필요하다. OT 자산을 보유한 기업들은 점차 자사의 IT와 OT 보안팀을 연계 및 통합하고 있으며, 이는 IoT 보안을 위한 거버넌스 및 계획 업무에 영향을 미치게 될 것이다.

권고 사항
▶기업들은 각 IoT 활용 용도에 맞춰 기존 BYOD, 모바일, 클라우드, OT 및 물리적 보안 거버넌스, 관리와 운영을 활용해야 한다.
▶CISO들은 보안 요구 사항을 파악을 위해 담당 직원들이 다음 기술의 발전 상황을 모니터링 하도록 지시해야 한다.
-무선 기술과 표준(ZigBee, Modbus 등)
-하드웨어 플랫폼(Arduino, TMote Sky 등)
-연결 기기 소프트웨어 플랫폼(TinyOS, Android 등)
-클라우드 애플리케이션 소프트웨어 플랫폼(ThingWorx, Evrythng 등)

저작권자 © 아이티데일리 무단전재 및 재배포 금지