2015년 우리가 직면한 4가지 IoT 보안 과제

사물 인터넷(IoT) 및 연결된 장치가 빠르게 인기를 얻고 주목을 받으면서 보안이 각광을 받고 있습니다. 보안이 "스마트" 장치에 대한 사후 고려 대상이던 시대는 지났습니다. 오늘날 보안 문제는 개발자의 최우선 과제입니다. 개발자는 IoT 보안 문제를 처리하도록 교육을 받고 있으며 이러한 유형의 장치를 악용하는 방법에 대해 Blackhat 커뮤니티에 더 많은 정보가 공개되고 있습니다. Blackhat 2015에서는 개발자에게 IoT 보안 취약성을 방지하는 방법을 교육할 목적으로 IoT 장치를 추출, 분석 및 해킹하는 것을 목표로 하는 하위 회의도 있습니다.

Link Labs는 2015년 IoT 커뮤니티가 직면한 4가지 중요한 보안 과제가 있다고 생각합니다. , 그리고 여기에 요약했습니다.

다음 사항도 참조: IoT 보안의 2가지 방법

1. Wi-Fi 지원 장치가 적절한 보안 없이 LAN(Local Area Network)에 추가되고 있습니다.

이것은 IoT 보안에 대한 가장 큰 위협입니다. TCP/IP 기반 엔드포인트가 엔터프라이즈 수준의 보안 프로토콜 없이 LAN에서 허용되면 상당한 위험이 수반됩니다.

IoT 제품에서 이러한 일이 어떻게 일어날 수 있는지 설명하기 위해 누군가가 일반 어항을 "스마트"한 어항으로 만드는 Wi-Fi 모듈이 있는 장치를 구입했다고 상상해 보십시오. 누군가 이 제품을 구입하고 LAN에서 허용하면 이제 방화벽 뒤에서 잠재적으로 악의적인 엔드포인트를 허용한 것입니다.

여기 문제가 있습니다. 방화벽과 NAT는 직접적인 호스트 공격에 대한 네트워크의 첫 번째 방어선이며 LAN 내부에 무언가를 추가하면 이미 방화벽 뒤에 있습니다. 이 스마트 어항 장치가 설치되면 악성 서버에 접근하여 연결할 수 있습니다. 방화벽 내부의 장치가 방화벽을 통해 아웃바운드 연결을 만들고 인바운드 연결보다 소켓 연결을 더 쉽게 열 수 있기 때문에 이 프로세스를 "역 터널링"이라고 합니다. 방화벽은 대부분의 아웃바운드 요청을 차단하지 않습니다. 그렇지 않으면 대부분의 애플리케이션을 사용하기 어렵기 때문입니다.

나쁜 소프트웨어만 문제가 되는 것은 아닙니다. 나쁜 사람도 있을 수 있습니다. 즉, 스마트 어항을 만든 사람은 악의적인 의도를 가질 수 있으며 손에 넣을 수 있는 모든 네트워크를 악용할 수 있습니다. IoT 제품에는 강력한 OS(운영 체제) 보안의 이점이 없습니다. Apple 및 Microsoft에서 만든 것과 같은 대부분의 주요 운영 체제는 누군가가 LAN 내부에서라도 시스템을 악용하는 것을 매우 어렵게 만듭니다. 정기적으로 발생할 수 없다는 의미는 아니지만 더 어렵습니다. 그러나 IoT 제품의 경우(대부분이 덜 정교한 운영 체제를 실행하기 때문에) 소비자가 신뢰할 수 있는 유일한 것은 Wi-Fi 지원 기기를 판매한 사람들이 선의로 그렇게 했다는 것입니다.

2. IoT 엔드포인트의 업그레이드 가능성 및 패치 가능성에 문제가 있습니다.

Mac 및 Windows OS의 좋은 점 중 하나는 완전히 구성되고 정기적으로 업데이트된다는 것입니다. 둘 다 자동 업그레이드가 가능하므로 보안 취약점으로 인해 컴퓨터의 OS를 수리해야 할 때 컴퓨터가 자동으로 연락하여 업데이트 또는 "패치"할 수 있습니다.

IoT 장치의 경우 모든 종류의 패치 관련 보안 취약성에 대한 메커니즘을 갖추는 것은 장치를 판매한 회사의 몫입니다. 문제는 그런 일이 일어날 수도 있고 일어나지 않을 수도 있다는 것입니다. 이것은 새로운 문제가 아니지만 그럼에도 불구하고 문제입니다. (사실 네트워크 장비 산업은 이미 아직 처리 - 동일한 문제, 때로는 라우터 등이 보안 문제가 있기 전에 패치되지 않는 취약점이 있습니다.)

이 VentureBeat 기사에서 저자 Michael Coates는 IoT에 대해 "효과적인 패치 배포가 큰 문제"라고 말합니다. 그는 일부 보안 침해는 눈에 띄지 않게 지나갈 것이지만 나머지는 발견될 것이며 소비자는 솔루션을 요구할 것이라고 설명합니다. 그는 계속해서 이와 같은 시나리오가 어떻게 전개되고 그것이 문제가 되는 이유를 설명합니다.

“이러한 상황에서 제조업체는 패치를 발행하기 위해 분주할 수 있습니다. 하지만 그럼? 패치는 실제로 장치에 어떻게 전달됩니까? 모든 고객이 오븐, 자동차 또는 심장 박동기를 재부팅하고 업데이트 프로세스를 탐색해야 합니까? 아니면 업데이트된 소프트웨어는 실제 제품의 다음 릴리스에서만 사용할 수 있습니까? 이것은 고객이 새 토스터, 베이비 모니터 등을 구입할 때까지 패치가 적용되지 않는다는 것을 의미합니다. 불행히도 IoT에 대한 현재 당면 과제 중 하나는 패치가 발행되더라도 대다수의 장치에 도달할 수 있는 효과적인 채널이 없다는 것입니다. 적시에.”

결론은 LAN에 추가되는 항목이 많을수록 보안 문제가 더 커집니다. 우리는 업계가 IoT 장치에 대한 보안 패치에 대한 기대치를 중심으로 일종의 표준을 만들 것이라고 여전히 희망하고 있습니다.

3. 물리적 액세스 보호와 관련된 문제가 발생했습니다.

스마트 어항 앱의 예로 돌아가 보겠습니다. 소비자는 이를 고려하지 않는 경우가 많지만 물리적 장치를 사용하면 해커가 장치를 조작하여 노출된 USB 포트 또는 디버거 인터페이스에 들어갈 수 있습니다. 누군가가 임베디드 수준에서 IoT 장치의 메모리를 성공적으로 해킹할 수 있고 암호화 키를 읽을 수 있다면 배송되었거나 배송된 모든 장치가 취약해집니다. 이는 소비자와 업계 전체에 실질적인 문제입니다.

4. 개발자와 소비자로부터 엄청난 과대 광고가 있습니다.

사물 인터넷에 대한 빈번하고 강렬한 보도가 있기 때문에 기업들 사이에는 IoT 장치를 더 빨리 시장에 출시해야 하는 시급함이 있습니다. 현재의 과대 광고는 한편으로 혁신을 추진하는 동시에 개발자를 빡빡한 일정에 빠뜨립니다. 시간이 중요하고 모든 노력이 빠른 배포에 집중될 때 보안은 나중에 고려해야 할 문제가 될 수 있습니다. 이러한 일이 발생하면 IoT 장치는 취약한 암호화, 패치되지 않은 운영 체제 등으로 시장에 출시될 수 있습니다.

IoT 보안이 어떻게 자체 분야가 되었고 표준 네트워크 보안만큼 중요한 문제인지 알 수 있습니다. IoT는 개발의 "초기 단계"를 떠났고, 대중화되면서 소비자 정보를 안전하게 보호해야 할 책임이 있습니다. 제품 개발자와 소비자는 이러한 문제를 진지하게 받아들여야 하며, 또 그래야 합니다.