산업 제조
산업용 사물 인터넷 | 산업자재 | 장비 유지 보수 및 수리 | 산업 프로그래밍 |
home  MfgRobots >> 산업 제조 >  >> Industrial Internet of Things >> 사물 인터넷 기술

소비자 IoT 기기 보안:글로벌 표준이 필요한 이유

소비자의 경우 IoT(사물 인터넷)의 성장은 가정의 점점 더 많은 개체가 인터넷에 연결되어 잠재적으로 사이버 공격의 위험에 처하거나 개인 정보 침해로 개인 데이터가 노출될 수 있음을 의미합니다.

ETSI 회장 Alex Leadbeater는 지난 몇 년 동안 사이버 보안 기술 위원회(TC CYBER)에 따르면 이러한 종류의 소비자 IoT 문제에 대한 보고가 증가하고 있습니다. 예를 들어 보안 연구원은 최근 ZipaMicro , 스마트 홈 허브는 장치에 하드 코딩된 각 허브에서 동일한 개인 키를 사용했습니다. 인터넷에서 찾은 스크램블 암호와 결합하여 연구원들은 허브에서 제어하는 ​​잠금 장치를 열 수 있었습니다.

위험에 처한 장치에는 원격으로 액세스할 수 있는 카메라와 마이크가 포함된 연결된 장난감이 포함됩니다. 인터넷을 통한 공격뿐만 아니라 일부 장난감은 이제 잠재적인 약점인 Bluetooth를 사용합니다. Amazon과 같은 스마트 스피커 의 Echo도 사적인 대화를 엿듣는 해커에게 취약합니다.

이러한 종류의 문제는 일반적으로 새 제품에 대한 경고를 받으면 장치 공급업체에서 신속하게 수정하지만 이미 시장에 나와 있는 문제를 수정하거나 회수하는 데 일관성 없는 접근 방식이 있을 수 있고 너무 늦을 수 있습니다. 정부는 더 높은 기준을 요구하는 법률을 도입하려고 시도하고 있습니다. 예를 들어, 영국은 제품의 의무적 표시 및 최소 기준을 포함할 수 있는 새로운 법률에 대해 협의하고 있습니다. 캘리포니아가 이미 일반 기본 비밀번호를 금지하고 있는 미국도 크게 뒤처지지 않습니다. 그런 다음 데이터 보호 측면에서 저장된 모든 개인 정보에 적용되는 EU의 GDPR과 같은 법률이 있습니다.

그러나 이는 제품 공급업체의 삶을 어렵게 만들 수 있습니다. 규정이 아직 정의되고 있는 빠르게 변화하는 시장에서 다양한 국가의 다양한 요구 사항을 비용 효율적으로 충족하도록 어떻게 보장할 수 있습니까?

표준은 보안 권장 사항을 제공합니다.

이 문제를 해결하기 위해 ETSI는 최근 소비자 IoT 보안을 위한 최초의 글로벌 표준인 ETSI TS 103 645를 발표했습니다. 새로운 표준은 기업이 인터넷에 연결될 모든 소비자 제품을 어떻게 보호해야 하는지에 대한 벤치마크를 설정하고 모범 사례를 홍보하는 것을 목표로 합니다.

동시에 특정 방법론보다는 결과에 중점을 두고 작성되었으므로 기업이 특정 제품에 대한 최적의 솔루션을 찾고 혁신할 수 있는 충분한 유연성이 있습니다. 이 표준은 장난감, 웨어러블 피트니스 트래커, 스마트 홈 어시스턴트, 스마트 TV, 도어록 및 홈 자동화 시스템을 비롯한 다양한 연결 장치의 요구 사항을 해결하는 것을 목표로 합니다.

ETSI의 새로운 표준에 대한 조언과 이것이 어떻게 커넥티드 소비자 기기를 더 안전하게 만들 것인지 살펴보겠습니다.

기기 요구사항

우선, 표준은 모든 장치 암호가 고유해야 한다고 말합니다. 오늘날 많은 제품이 사용자가 변경하지 않는 기본 사용자 이름과 암호로 판매되는 문제를 극복합니다. 또한 비밀번호를 기본값으로 재설정하는 것은 불가능해야 한다고 말합니다. 시장에 나와 있는 많은 제품이 이미 새 표준의 이러한 요구 사항이나 기타 기본 요구 사항을 충족하지 못한다는 사실이 놀랍습니다.

<노스크립트>

개인 데이터 보호는 표준의 중요한 부분이며 모든 민감한 정보는 장치 자체와 클라우드와 같은 관련 서비스 모두에 안전하게 저장되어야 합니다. 기기에 하드 코딩된 자격 증명이 있어서는 안 됩니다. 이러한 자격 증명은 비교적 쉽게 발견할 수 있기 때문입니다.

제품은 명확한 지침이 제공되어 소비자가 원할 때 개인 데이터를 쉽게 삭제할 수 있어야 합니다. 마찬가지로 IoT 장치의 설치 및 사용은 간단하고 잘 문서화되어야 합니다. 또한 데이터는 통신할 때 보호되고 암호화되어야 합니다. 장치는 암호화 공격에 대해 적절한 보호 기능을 제공해야 합니다.

연결된 모든 장치는 공격 위험을 최소화하기 위해 사용하지 않는 소프트웨어 및 네트워크 포트를 닫는 것과 같은 우수한 보안 엔지니어링 방식을 따라야 합니다. 범위를 벗어난 값의 사용과 같은 악용을 방지하기 위해 입력된 모든 데이터의 유효성을 검사해야 합니다. 또한 장치는 일종의 하드웨어 기반 보안 부팅 메커니즘을 사용하여 소프트웨어를 확인하고 전원 또는 네트워크 중단을 성공적으로 처리할 수 있어야 합니다.

장치 자체에 대한 요구 사항뿐만 아니라 ETSI 표준에는 제품 공급업체에 대한 특정 요구 사항이 있습니다. 여기에는 취약점을 신속하게 찾아 조치를 취하는 것이 포함됩니다.

그리고 장치 소프트웨어는 쉽고 안전하게 업데이트할 수 있어야 합니다.

소비자 신뢰 구축

소비자는 IoT 보안에 대해 당연히 우려하고 있습니다. 새로운 표준은 공급업체가 고객과의 신뢰를 재구축할 수 있는 귀중한 방법입니다. 지침에 따라 제조업체는 제품이 적절한 수준의 보안 및 개인 정보 보호를 충족하는지 확인할 수 있습니다. 이는 고객이 보호되고 기업이 값비싼 침해 사고와 부정적인 평판의 영향을 피할 수 있음을 의미합니다.

더 중요한 것은 ETSI 표준이 소비자를 위한 단계적인 변화이므로 연결된 장치를 사용하여 자신의 안전, 개인 정보 보호 및 보안이 위험에 처하지 않을 것이라는 확신을 줄 수 있다는 것입니다.

여기에서 ETSI 표준을 읽을 수 있습니다.

저자는 ETSI 사이버 보안 기술 위원회(TC CYBER) 회장인 Alex Leadbeater입니다.


사물 인터넷 기술

  1. IoT용 에지 컴퓨팅이 필요한 이유
  2. IoT 기기를 위한 더 스마트한 메모리
  3. 전 세계적으로 혜택을 제공하는 IoT
  4. 글로벌 IoT 네트워크 구축
  5. IoT 위협 벡터 보호
  6. 과대 광고를 믿지 마십시오:IoT가 정체되는 이유
  7. eSIM이 소비자 IoT 및 M2M 시장에 영향을 미칠 준비가 된 3가지 이유
  8. 기만을 통한 IoT 보안
  9. 소비자 IoT 기기 보안:글로벌 표준이 필요한 이유
  10. 글로벌 IoT:모두가 그것에 대해 이야기하고 있습니다. 그렇다면 왜 발생하지 않습니까?