모든 것이 IoT로 전환되고 있습니다.

거의 모든 새로운 장치에는 인터넷에 연결하는 약간의 임베디드 기술이 있습니다. 인터넷이 활성화되는 "사물"의 유형에는 차 주전자(진지하게), 운동화(운동화) 및 텔레비전이 있습니다.

또한 인터넷에 연결되지는 않았지만 종종 로컬 네트워크에 연결되는 것들에는 심장 박동기 및 인슐린 펌프와 같은 의료 기기가 포함됩니다. 이러한 추세는 Synopsys, Inc.의 관리 컨설턴트인 Art Dahnert가 말합니다. , 지금 몇 년 동안 발생하고 있으며 곧 멈출 것 같지 않습니다.

문제는 사물인터넷(IoT)에서도 너무 많은 것들이 해킹당하고 있다는 점이다.

보안 카메라가 봇넷으로 바뀌거나 TV가 사용자를 염탐하는 데 사용되거나 피트니스 모니터가 비밀 군사 기지를 식별하는 데 사용된다는 이야기를 보기 위해 멀리 볼 필요가 없습니다. 이러한 모든 공격의 문제는 이러한 장치를 지원하는 소프트웨어가 보안을 염두에 두고 구축되지 않는다는 것입니다. 너무 늦고 그들의 IoT 장치가 뉴스에 나오기 전까지는 아무도 보안에 대해 생각하지 않는 경우가 많습니다.

취약한 차량

오늘날의 자동차보다 이것이 더 분명한 곳은 없습니다. 오늘날 현대 자동차에는 100개 이상의 CPU(코프로세서 장치)가 있으며 수백만 줄의 코드를 사용합니다. 이 모든 코드는 10년 전에는 존재하지 않았던 적응형 크루즈 컨트롤, 차선 유지 지원, 자동 주차 및 비상 제동 기능과 같은 고급 기술을 지원하는 데 필요합니다.

새로운 코드와 새로운 기능의 조합과 시장 출시 속도의 압박은 보안 제어를 포함하여 일부 모서리가 잘릴 가능성이 가장 높음을 의미합니다. 보안 요구 사항이 최종 제품에 포함될 만큼 충분히 높지 않은 것으로 간주될 수도 있습니다. 처음에 보안을 포함하지 않는 이유가 무엇이든, 보안이 취약한 차량은 공격자가 악용하고 제어할 수 있는 가능성이 무르익었습니다.

그리고 이것은 정확히 일어난 일입니다. 자동차 소프트웨어를 공격하는 대부분의 악당들은 도로를 달리면서 수천 대의 자동차를 충돌시키려 하지 않습니다. 그들은 나쁜 사람들이 하는 일, 물건을 훔치는 일을 할 것입니다. 즉, 차량을 훔치거나 최소한 차량 내부에 있는 것을 훔칩니다. 2016년 휴스턴에서 일어난 일입니다. 한 갱단이 차량 소프트웨어의 보안 제어 기능이 없다는 점을 이용하여 30대가 넘는 지프를 훔쳤습니다.

무엇을 할 수 있습니까?

첫째, 기업은 보안을 심각하게 생각하고 보안 모범 사례를 사용하여 처음부터 제품에 보안을 구축해야 합니다. 이것은 보안 소프트웨어 작성에 대해 개발 직원을 교육하는 것으로 시작하며 보안을 전체 시스템에 통합하는 아키텍처를 개발하거나 사용하는 것을 포함합니다. 모듈이나 구성 요소를 안전하게 작성하는 것도 중요하지만 시스템이 데이터(비밀번호)를 일반 텍스트로 전달하면 결국에는 여전히 타협해야 합니다.

보안 코드 및 아키텍처와 함께 기업은 프로세스 내 특정 지점에서 보안을 통합하는 SDLC에 투자해야 합니다. 여기에는 빌드가 시작될 때마다 소스를 스캔하는 정적 코드 분석 도구가 포함될 수 있습니다. 그리고 마지막으로 제품을 생산하기 전에 보안 평가(침투 테스트)를 수행하여 보안 요구 사항을 확인하는 경우가 많습니다.

소프트웨어 보안은 하나의 여정이며 이러한 단계는 시작에 불과합니다. 모든 것이 IoT로 바뀌면서 사물 인터넷의 모든 "사물"은 안전해야 합니다.

이 블로그의 작성자는 Synopsys, Inc.의 관리 컨설턴트인 Art Dahnert입니다.

저자 정보:

Art Dahnert는 19년 이상의 정보 기술 경험과 ​​9년 이상의 응용 프로그램 침투 테스트 경험이 있는 정보 보안 컨설턴트입니다. Dahnert는 웹 애플리케이션, 데스크톱 애플리케이션 및 모바일 애플리케이션에 대한 수백 건의 보안 위험 평가, 침투 테스트 및 취약성 평가를 완료했습니다.

그는 다음을 포함하여 소규모에서 대규모에 이르기까지 다양한 시스템 및 인프라의 보안을 평가했습니다. 간단한 웹 애플리케이션, 대기업 뱅킹 애플리케이션 및 완전한 기능을 갖춘 미군 전용 배치 시스템.