[CCTV뉴스=이승윤 기자] 사물인터넷(IoT)는 네트워크를 통해 인간과 디바이스, 디바이스와 디바이스 간 유기적으로 연결되기 때문에 IoT 공격에서 안전한 환경을 구성하기 위해서는 기업 보안처럼 하나의 보안 플랫폼을 갖추는 것이 아닌 각 IoT 영역별 맞춤 대응 방안이 필요하다. 국내 정보보안 기업 SK 인포섹은 ‘사물인터넷(IoT) 보안 가이드’를 통해 IoT 보안을 4가지 영역으로 분류하고 각영역 맞춤형 대응방안을 제시하고 있다. 그렇다면 SK인포섹이 제시하는 대응방은 무엇일까? SK인포섹이 발표한 가이드를 중심으로 IoT 영역별 대응방안에 대해 알아보자.

SK인포섹이 발표한 ‘사물인터넷(IoT) 보안 가이드’에서는 IoT를 디바이스, 운영체제, 네트워크, 어플리케이션 총 4개 영역으로 분류하고 각 영역의 보안 고려상황을 항목화 해 대응방안을 제시하고 있다. 이 4개 영역은 오픈소스 웹 애플리케이션 보안 프로젝트(OWASP),SANS(SysAdmin, Audit, Network and Security), 한국인터넷진흥원(KISA)이 권고하는 보안 요건을 기반으로 IoT 보안상 문제점을 주축으로 수립했다.

IoT 디바이스, 보안 위협 차단 위해 인증과 암호화 필수!

IoT는 네트워크와 연결된 디바이스들이 사람의 개입 없이 알아서 정보를 주고받으며 데이터를 처리하기 때문에 만약 디바이스 자체에 보안이 고려되지 않는다면, 사이버 공격자로 인해 통제권 상실, 정보 유출 등의 보안 위협이 발생할 수 있어 안전한 IoT 활용을 위해서는 디바이스 보안이 중요하다.

SK인포섹은 IoT 디바이스 보안 고려사항으로 ▲취약한 보안설정 ▲접근제어 ▲인증관리 ▲계정관리 ▲통신구간 보호 ▲메모리 보호 ▲펌웨어 보호 ▲디바이스 보호 등 총 7가지를 제시했다. 7가지 IoT 디바이스 고려사항 중 주요하게 봐야하는 것은 취약한 보안설정과 펌웨어 보호이다.

먼저 취약한 디바이스 보안설정으로 인해 디바이스 내 개발용으로 사용된 물리적/논리적 포트와 데몬(Daemon)들이 활성화되어 있을 경우, 디바이스 내 시스템 정보 노출과 2차 공격에 활용되는 보안 위협이 발생할 수 있다. 또한, 취약한 바이오스(BIOS) 설정으로 디바이스 내 환경을 설정할 수 있는 부트로더 등이 활성화되어 있을 경우 부트 옵션 환경 값 조작을 통해 시스템 정보 노출과 침입 등의 보안 위협이 발생할 수 있다.

SK인포섹은 취약한 보안설정으로 인해 발생할 수 있는 보안위협의 대응방안으로 개발과 테스트 용도로 사용한 FTP, Telnet, SSH 등의 포트와 불필요한 데몬은 반드시 제거해야 하고, 불가피하게 사용해야 될 경우에는 반드시 사용자 인증을 통해 접근하도록 구현해야 한다고 권고했다. 또한, 취약한 바이오스 설정으로 나타나는 보안위협에 대해서는 디바이스에 설정된 부트로더를 사용할 수 없도록 구현해야 하며, 사용해야 될 경우에는 반드시 인증을 통해 접근하도록 구현해야 한다고 설명했다.

IoT 디바이스는 안정적인 통신과 새로운 기능을 활용하기 위해서는 지속적인 펌웨어 업데이트가 필요하다. 그러나, 펌웨어 파일은 바이너리 분석을 통해 수정이 가능해 무결성 검증이 존재하지 않을 경우 수정된 펌웨어 파일을 배포하거나 디바이스에 설치하는 보안위협이 발생할 수 있다. 또한, 펌웨어 파일에 대한 자체 암호화 및 보호 기능이 없을 경우, 공격자는 파일을 추출하고 구조를 분석해 시스템 정보, 개인 정보 등 민감한 정보 등을 탈취할 수 있다.

SK인포섹은 펌웨어 보호를 위해 업데이트 서버와 IoT 장치 사이에 상호 인증 기능을 제공해 위장 서버나 중간자 공격 등의 취약점에 대응해야 하고 펌웨어 내 Data는 압축해제를 통해 쉽게 확인 가능하기 때문에 계정정보, 시스템 접속 정보, 암호화 키 등의 주요한 값은 노출되지 않도록 해야 한다고 권고했다. 또한, 디바이스는 장치를 떼어내 쉽게 정보를 획득할 수 있는 만큼 개인정보나 금융정보 등 중요 정보의 탈취를 예방하기 위해서는 암호화 기술을 사용해 보호가 필요하다고 설명했다.