모든 것이 인터넷으로 연결되는 사물인터넷(IoT) 시대에 보안은 사용자가 직접 활용하는 기기는 물론 클라우드 기반으로 정보를 유통하는 클라우드 인프라까지 종합적으로, 상황에 따라 유연하게 다룰 수 있어야 한다는 지적이다.
IoT는 클라우드, 가상화 기술과 함께 공격자들 역시 IoT에 관심을 기울이기 시작했다. 일반 PC나 스마트폰만을 해킹하는 것과는 달리 냉장기, 세탁기, 자동차까지 모든 것들이 해킹 위협에 노출될 가능성이 커졌다.
23일 서울 역삼동 리츠칼튼호텔에서 개최된 '클라우드섹 컨퍼런스 2014'에서 만난 트렌드마이크로 글로벌 마케팅 담당 블레이크 슈더랜드 부사장은 어떤 것을 사용하고, 무엇을 보호해야하는가에 따라 위협요인은 서로 다르다며 위협의 정도에 따라 프론트엔드, 백엔드 단에서 유연한 보안 전략을 가져갈 필요가 있다고 강조했다.그는 IoT 환경의 근간을 이루는 클라우드, 가상화 환경에서 발생할 수 있는 위험의 정도를 파악하기 위해 3가지를 검토할 필요가 있다고 밝혔다. 먼저 얼마나 침투가 용이한가에 대한 취약성을 파악해야 한다. 이를 바탕으로 얼마나 많은 사람들이 피해를 입을 수 있는지 확인해야 한다. 끝으로 공격자가 시스템에 침투한 뒤에도 보호하려는 데이터가 얼마나 무결성을 갖고 있는지, 시스템 손상이나 정보유출 가능성은 얼마나 되는지를 판단해야 한다는 설명이다.
이런 것들을 종합적으로 분석해 위험도가 높을수록 더 강도높은 보안적인 조치가 필요하다는 것이다. 예를 들어 일반 개인용 사진과 기업용 내부데이터에 대한 보안강도는 서로 다르다는 설명이다.
슈더랜드 부사장은 IoT 시대에 발생할 수 있는 위협은 갑작스럽게 사업이 확장될 때 발생할 것이라고 예상했다. IoT 산업이 폭발적으로 성장하는 시기가 되면 사업진출에 서두르다가 보안성을 간과할 가능성이 높다는 것이다. 이를 예방하기 위해 IoT 기기를 설계할 때부터 프론트엔드 단에서 보안성을 높이고, 백엔드 단에서는 기기에서 서버로 전달되는 모든 정보에 대해 컨트롤 할 수 있어야 한다는 주장이다.
IoT 보안이 중요한 핵심적인 이유는 IoT 기능을 지원하는 기기를 통해 기업 내 시스템이나 다른 시스템에 침투해 중요 정보를 빼가거나 의도치 않은 조작이 가능해지기 때문이다. 이를 두고 슈더랜드 부사장은 프론트엔드나 백엔드 단에서 침투한 뒤 다른 프론트엔드, 백엔드단에 침투할 수 있다고 밝혔다. 이를테면 건물 내 공조시스템을 해킹한 뒤에 이와 인터넷으로 연결된 기업 내 중요정보를 다루는 서버에 침투하는 지능형지속가능위협(APT) 공격에 노출될 수 있다는 것이다.
IoT을 통해 유통되는 모든 정보는 클라우드 인프라를 거치게 마련이다. 최근 아이클라우드를 통해 미국 유명 여배우 누드사진이 유출되면서 클라우드는 불안하다는 편견이 다시 고개를 들고 있다. 이와 관련 슈더랜드 부사장은 물리적인 데이터센터를 갖추는 것보다 오히려 잘 관리된 클라우드가 보안성을 높일 수 있다고 강조했다.
규모의 경제 논리로 봤을 때도, 이동통신회사, 아마존웹서비스(AWS)와 같은 퍼블릭 클라우드 회사가 더 정확하게 데이터의 흐름을 측정하고, 모니터링할 수 있다는 설명이다. 더구나 데이터센터를 운영하는 곳에서는 냉방이 안 돼서 서버실 문을 열어놓고 있는 일이 있을 정도로 더 보안이 허술한 경우도 있다고 지적했다.
물론 클라우드 서비스를 활용한다고 해서 모든 책임을 서비스를 제공하고 있는 회사에만 물을 수 있는 것은 아니다. 대표적으로 AWS는 '보안 공유 모델(shared security model)'을 적용해 자사가 운영 중인 데이터센터에서 가상화 영역까지 보안을 책임져야 하지만 고객들 입장에서는 가상화에서 실제 사용하고 있는 애플리케이션 영역에 대한 보안에 대해 자체적으로 관리책임을 지도록 정책을 펴고 있다.
그는 이어 IT환경은 이미 클라우드로 가기 위한 여정을 시작했다며 빠르게 이동하거나 더디게 이동하는가의 차이가 있을 뿐이라며 비즈니스 차원에서 스포츠의류회사, 은행, 제조사에게 자원효율성을 높이기 위해 데이터센터를 구축, 관리할 필요성이 없어지는 대신 디자인, 금융리스크 관리, 제조공정개선과 같은 핵심역량을 기르는 방향으로 가고 있다고 전망했다.
이중 데이터센터는 클라우드 서비스 사업자들이, 관련 보안성은 트렌드마이크로와 같은 회사들 몫이라는 것이다.
관련기사
- 기업용 모바일 보안 시장, 새판 짜지나2014.09.23
- 시스코, 클라우드-IoT에 UCS 서버 집중 투입2014.09.23
- 보안 SW업계, iOS8 지원 시작2014.09.23
- 시큐아이, IoT 보안플랫폼 4종 개발2014.09.23
트렌드마이크로는 IoT가 이끄는 클라우드 환경에서 일반 사용자들이 개인 기기나 활용 중인 애플리케이션을 보호할 수 있는 영역, 유연하게 위험별 맞춤형 보안, 클라우드 및 가상화 자체에 대한 보안 영역으로 구분해 솔루션을 개발하고 있다.
슈더랜드 부사장은 이러한 세 가지 영역이 서로 중복되고, 연결되기 때문에 환경 변화에 따라 접근방식도 바뀌어야한다고 강조했다.
