문제는 새로운 기술이 시장에 등장하는 속도에 비해 보안 대책이 그 속도를 따라가지 못하고 있다는 점입니다. 웹캠, 스마트 온도조절기, 웨어러블 헬스 트래커 등 다양한 스마트 기기를 포함하는 사물인터넷(IoT)은 현재 가장 빠르게 성장하는 기술 분야 중 하나로, 업계 전반의 주목을 받고 있습니다. 2030년까지 연결되는 IoT 기기의 수는 약 400억 개에 이를 것으로 예상됩니다.
노트북, 서버와 같이 전통적인 인터넷 연결 기기와 달리, IoT 기기는 최소한의 소프트웨어와 리소스로 작동합니다. 또한 많은 IoT 기기가 업데이트하기가 어렵거나 사실상 불가능한 네트워크 환경에 배치되어 있어 사이버 보안 위협에 취약한 구조로 되어 있습니다.
따라서 IoT 보안은 이러한 위험을 이해하고 완화하기 위한 핵심 요소입니다. IoT 보안을 도입함으로써 IoT 네트워크와 전체 데이터의 안전을 보장할 수 있습니다. 이제 IoT 보안의 주요 과제와 이를 보호하기 위한 모범 사례를 살펴보겠습니다.
IoT 보안의 주요 과제
IoT 기기는 다른 시스템과 유사한 사이버 보안 문제를 겪기도 하지만, IoT만의 고유한 보안 과제도 존재합니다.
- 비밀번호 내장: 많은 IoT 기기에는 원격 기술 지원 담당자가 문제를 해결하거나 대규모 IoT 배포를 용이하게 하기 위해 비밀번호가 내장되어 있습니다. 그러나 이렇게 내장된 비밀번호는 공격자가 무단 접근을 시도하기 쉽게 만들어, IoT 보안 침해로 이어질 수 있습니다. 강력한 인증 절차가 없다면, 심각한 보안 위험이 초래될 수 있습니다.
- 기기 인증 부족: 적절한 인증 절차 없이 IoT 기기가 네트워크에 접근하도록 허용하면, 인증을 거치지 않은 비인가 기기에 IoT 생태계가 노출되는 것입니다. 이러한 기기는 공격의 진입점이 되거나 공격의 근원이 되어, 민감한 데이터가 손상될 위험이 커집니다.
- 보안 패치 및 업그레이드: 일부 IoT 기기에는 보안 패치 적용이나 소프트웨어 업그레이드 같은 간단한 방법조차 제공되지 않습니다. 업데이트되지 않은 IoT 시스템은 취약점을 그대로 노출하게 되며, 공격자와 보안 위협의 쉬운 표적이 됩니다.
- 물리적 보안 강화 부족: 클라우드 기반 인프라와 달리, IoT 기기는 공격자가 물리적으로 접근할 수 있습니다. 적절한 보안 자동화와 물리적 보호 기기가 없을 경우, 공격자는 기기의 하드웨어를 조작하여 내장된 비밀번호나 암호 키 같은 민감한 정보를 추출할 수 있습니다.
- 업데이트되지 않은 구성 요소: IoT 기기의 하드웨어 또는 소프트웨어 구성 요소에서 취약점이 발견될 경우, 제조업체나 사용자가 이를 업데이트하거나 교체하는 것은 어렵고 비용이 많이 들 수 있습니다. 보안 패치와 마찬가지로 업데이트되지 않은 IoT 애플리케이션은 공격에 취약합니다.
- 기기 모니터링 및 관리: IoT 기기에는 자산 추적, 모니터링 및 관리에 필요한 고유 식별자가 항상 있는 것이 아닙니다. IT 담당자 또한 IoT 기기를 자신이 관리·감시해야 할 호스트 목록에 포함시키지 않는 경우가 많습니다. 자산 추적 시스템에서도 IoT 기기가 제외되어, 네트워크에 연결되어 있으면서도 관리나 모니터링이 전혀 이루어지지 않는 경우도 발생합니다.
이러한 문제의 대부분은 IoT 기기의 설계 및 제조 과정에서 보안이 사후적으로 고려되는 구조에서 비롯됩니다. 개발자가 설계 단계에서 IoT 보안 요건을 고려하더라도, 처리 속도, 메모리, 데이터 전송 속도 등의 제약으로 인해 이를 실제로 구현하기는 쉽지 않습니다. 기기에 탑재된 보안 기능이 당시로서는 최선의 수준이었다 하더라도, 제조 및 설치 이후 새로운 취약점이 발견되어 신규 보안 위협에 노출될 가능성이 있습니다.
보안 통제를 구현하는 첫 번째 단계는 통제가 필요한 영역을 식별하는 것이지만, 이는 IoT 보안을 강화하는 데 또 다른 도전 과제가 됩니다. IoT 기기가 네트워크 기기로 인식되지 않는 경우가 많기 때문에, 자산 인벤토리나 네트워크 맵 작성 과정에서 누락되기 쉽습니다. 이러한 기기의 존재 자체를 인식하지 못하면 보호 또한 불가능한 것입니다.
다행히 최근에는 IoT 제조업체들이 이러한 문제를 점차 인식하고 대응하기 시작했습니다. 그러나 IoT를 이미 사용 중이거나 도입을 계획 중인 조직이라면 그때까지 기다릴 여유는 없습니다. 조직 차원에서 강력한 비밀번호 정책, 위협 방지 시스템, 그리고 기타 IoT 보안 모범 사례를 즉시 적용해야 합니다.
IoT 보안 과제 완화를 위한 솔루션
제조업체 및 구축 담당자는 보안 위험을 완화하기 위해 반드시 IoT 보안 모범 사례를 이행해야 합니다. IoT 기기를 보호하기 위한 핵심 절차는 다음과 같습니다.
| 보안 과제 | 보안 솔루션 |
| 비밀번호 내장 | 정적 비밀번호나 내장 비밀번호 사용을 중단합니다. 제조업체는 사용자가 기기를 설정할 때 반드시 강력한 비밀번호를 생성하도록 요구해야 합니다. |
| 기기 인증 부족 | 제조업체는 LDAP 또는 SAML과 같은 디렉터리 통합 기능을 기업용 비밀번호 관리자와 연동하여, 자격 증명이 자동 주입되도록 하고 이를 주기적으로 갱신해야 합니다. |
| 보안 패치 및 업그레이드 | 제조업체는 기기 업그레이드 및 보안 패치 적용을 쉽게 할 수 있도록 해야 합니다. 이상적인 방식은 자동 업데이트 또는 원클릭(one-click) 업데이트입니다. |
| 물리적 보안 강화 | IoT 기기는 변조할 수 없도록 제작되어야 합니다. 또한 기기가 비정상적으로 오프라인 상태로 전환되거나 연결이 끊길 경우, 이를 감지할 수 있도록 모니터링 체계를 구축해야 합니다. |
| 오래된 구성 요소 | 취약한 기기는 업데이트하거나 교체해야 합니다. 특히 원격지에 다수의 IoT 기기가 분산된 환경에서는 대응이 어렵기 때문에, 보안 통제를 강화하고 더 엄격한 모니터링 체계를 구축해야 합니다. |
| 기기 모니터링 및 관리 | 모든 IoT 기기가 반드시 자산 추적, 모니터링, 관리 시스템에 포함되도록 해야 합니다. 제조업체는 각 기기에 고유 식별자를 제공해야 합니다. |
이러한 IoT 보안 문제 중 다수는 제조업체의 설계 및 유지보수 단계에서만 해결이 가능합니다. 그러나 보안팀, IT팀, OT팀이 반드시 직접 관리해야 하는 핵심 영역이 있습니다.
그것은 바로 기기 관리입니다. IoT 구축을 계획하거나 관리하는 담당자라면, IoT 기기를 반드시 자산 관리, 시스템 모니터링, 보안 모니터링, 패치 관리, 사고 대응 시스템에 포함해야 합니다.
IoT 보안 침해 및 해킹 사례
IoT 기기를 대상으로 한 공격은 크게 두 가지 범주로 나눌 수 있습니다. 첫 번째는 IoT 기기 자체가 공격의 최종 목표인 경우이며, 두 번째는 IoT 기기를 이용해 다른 대상을 공격하는 경우입니다. 다음은 실제 사건과 보안 연구 사례를 통해 각각의 유형을 보여주는 예시입니다.
- 아키라(Akira) 랜섬웨어 악용 사례: Akira 랜섬웨어 그룹은 보안 설정이 되어 있지 않은 리눅스 기반 웹캠을 이용해 한 기업의 네트워크에 침입했습니다. 공격자는 기본 비밀번호나 약한 인증 정보를 악용해 기기에 초기 접근 권한을 얻은 뒤, 네트워크 공유 파일을 암호화하여 광범위한 피해를 초래했습니다. 대부분의 IoT 기기에는 로그 기록 및 모니터링 기능이 충분히 갖춰져 있지 않기 때문에, 공격자들은 랜섬웨어 실행을 탐지·차단하기 위한 엔드포인트 보안 시스템을 우회할 수 있었습니다.
- 딘(Dyn)에 대한 DDoS 공격: 2016년 10월, DNS 서비스를 제공하는 기업인 Dyn이 분산 서비스 거부 공격(DDoS)을 받으면서 인터넷의 상당 부분이 마비되었습니다. 이로 인해 X(구 Twitter), Spotify, GitHub, Netflix, The New York Times, PayPal 등 주요 웹사이트가 수 시간 동안 접속 불가 상태가 되었습니다. 이 공격은 Mirai IoT 봇넷을 통해 수행되었으며, 60만 개 이상의 IoT 기기가 감염되어 Dyn 서버에 대량의 트래픽을 발생시켰습니다. 공격에 사용된 기기의 대부분은 라우터와 IP 카메라였습니다. 특히 IP 카메라는 IoT 공격에서 가장 빈번히 표적이 되는 기기 중 하나입니다.
- 지프 체로키(Jeep Cherokee) 사이버 공격 시연: 이번 사례는 IoT 기기 자체가 공격 대상이 된 경우로, 그 대상이 된 ‘기기’는 자동차였습니다. 다행히도 이는 실제 공격이 아닌, 보안 연구원 찰리 밀러(Charlie Miller)와 크리스 발라섹(Chris Valasek)이 통제된 상태에서 공격을 시연한 것이었습니다. 이들은 ‘Wired’지 기자 앤디 그린버그(Andy Greenberg)가 운전 중이던 지프 체로키 차량을 원격으로 조작했습니다. 두 연구원은 수 마일 떨어진 곳에서 셀룰러 인터넷 연결을 통해 자동차의 에어컨(A/C), 라디오, 와이퍼 등을 원격으로 작동시켰습니다. 그러나 이는 시작일 뿐이었습니다. 그들은 다음으로 차량의 가속 페달 기능을 무력화하여 지프 차량이 강제로 속도를 줄이도록 만들었습니다.
IoT 시스템과 기기를 보호하는 방법
IoT 공격은 심각한 결과를 초래할 수 있습니다. 따라서 IoT 시스템 및 기기의 보안은 제조업체뿐 아니라 해당 기기를 사용하는 조직 모두의 책임입니다. IoT 생태계를 안전하게 유지하기 위한 핵심은 어떤 기기가 네트워크에 연결되어 있으며, 네트워크 구조 내 어디에 위치하는지를 명확히 아는 것입니다. 이러한 가시성이 확보되지 않으면, 보호해야 할 대상을 인식하지 못해 보안의 사각지대가 발생합니다.
네트워크 내 IoT 기기를 식별하는 한 가지 방법은 모든 호스트와 기기가 네트워크에 접속할 때 인증을 요구하는 것입니다. 인증에 실패한 기기는 플래그(Flag)로 표시하여 조사할 수 있습니다. 그 기기가 IoT 네트워크에 속한다면 해당 기기에 대해 인증 설정을 구성하고, 그렇지 않다면 비인가 기기(rogue device)로 식별하여 차단할 수 있습니다.
IoT 기기를 보호하는 또 다른 방법은 네트워크 세분화를 적용하는 것입니다. IoT 기기만을 위한 별도의 네트워크 세그먼트를 구축하면 방화벽 규칙과 IoT 전용 보안 정책을 적용해 외부 노출 범위를 효과적으로 제한할 수 있습니다. IoT 보안 침해 사고가 발생하더라도 손상된 기기에서 발생하는 트래픽을 신속히 차단하여 공격의 확산을 최소화할 수 있습니다.
IoT 기기가 인증을 마친 후에는 Sumo Logic과 같은 클라우드 네이티브 보안 모니터링 및 분석 플랫폼을 활용해 기기 활동을 시각적으로 파악할 수 있습니다. 이러한 솔루션은 데이터 기반 의사결정을 지원하며 사고 대응 시간을 단축해 보안팀이 더 중요한 업무에 집중할 수 있도록 돕습니다.
또한 보안 이벤트에 대한 가시성을 한층 높이기 위해 Sumo Logic은 최신 침해 지표(Indicators of Compromise, IOC) 데이터를 포함한 내장형 위협 인텔리전스 피드를 제공합니다. 이를 통해 실시간으로 수집된 위협 정보를 교차 상관 분석(cross-correlation)하여 환경 내의 잠재적 보안 위협을 신속하게 식별할 수 있습니다.
직접 경험해 보시기 바랍니다.30일 무료 체험을 신청하세요.
