ETSI IoT 표준:규제 기관이 IoT 장치를 보호하기 위해 충분히 노력하고 있습니까?

ETSI의 사물 인터넷(IoT) 보안에 대한 새로운 표준 발표 2020년 6월 기술 위원회는 인포섹 업계에서 큰 환영을 받았습니다. ETSI EN 303 645는 인터넷 연결 제품에 대한 보안 기준을 설정하고 제조업체가 장치를 보호하고 규정 준수를 보장하기 위해 취할 수 있는 단계를 설명하는 13개 조항을 제시합니다. 앨런 그라우, IoT 및 임베디드 솔루션 부사장, Sectigo 보고합니다.

이 새로운 규정은 입법부와 규제 기관이 사물 인터넷의 사이버 보안이라는 시급한 문제에 경각심을 갖고 증가하는 추세에 따른 것입니다. 2020년 초에 발효된 캘리포니아의 SB-327과 호주의 2019 "실행 강령 초안:소비자를 위한 사물 인터넷 보안" 프레임워크에 이어 정부와 국제 기구가 정면으로 도전하세요.

영국이 2020년 1월에 새로운 IoT 프레임워크를 발표했을 때 이러한 움직임은 IoT 보안이 수년간 불충분했으며 규제 기관이 이를 수정할 준비가 되어 있다는 주장을 더욱 강화했습니다.

그러나 문제는 여전히 남아 있습니다. 이러한 법률과 표준이 IoT 장치의 보안을 충분히 다룰 수 있습니까?

IoT 보안을 위한 입법의 역할

수년 동안 장치는 방어 가능한 경계로 보호되는 폐쇄된 독점 네트워크에서 작동했습니다. 인터넷의 출현으로 이러한 시스템은 TCP/IP를 통해 점점 더 서로 연결되었습니다. IoT 장치가 기업의 네트워크는 물론 소비자의 삶의 중심 부분인 만큼 이점에 대해 많은 논의가 있었습니다. 그리고 그들의 성장은 멈출 수 없습니다. 분석가 하우스 IDC 2025년까지 416억 개의 연결된 IoT 장치가 사용될 것으로 예측합니다.

그러나 입법부의 합의는 이러한 성장을 따라가지 못했습니다. 시장이 확장됨에 따라 새로운 공급업체와 제조업체는 인기 있고 접근 가능한 시장 출시 제품을 만들기 위해 가격 면에서 경쟁업체를 낮추는 경우가 많습니다. 비용을 절감하면 솔루션을 신속하게 출시할 수 있지만 적절한 수준의 인증 및 보안을 통합하는 데 충분한 시간과 조직적 초점을 투자하는 사람은 너무 적습니다.

효과적인 IoT 입법 프레임워크가 없는 상황에서 제조업체는 보안이 거의 또는 전혀 내장되지 않은 장치를 생산하는 데 수십 년을 보냈으며 종종 정적 자격 증명만 사이버 범죄자에 대한 장벽으로 사용했습니다. 보안이 의무화되지 않는 한 제조업체는 계속해서 안전을 희생하면서 모퉁이를 돌게 될 것입니다. 입법과 철저한 거버넌스만이 IoT 보안이 설계, 제조 시점 및 기기 수명 주기 전반에 걸쳐 구현되도록 보장할 수 있습니다.

보안을 향한 작은 진전

한편으로는 IoT 장치를 보호하기 위한 점진적인 단계를 보는 것이 좋습니다. 다른 한편으로는 아직 더 많은 변화가 있어야 하고 더 넓은 공감대가 필요하다는 것이 분명합니다.

예를 들어 미국을 보면 SB-327은 제조업체가 차세대 보안 및 인증 도구를 사용할 수 있는 명확한 프레임워크를 제시했습니다. 이는 중요한 단계였으며 이전 보안 관행에서 심각한 부적절함을 드러낸 봇넷을 대상으로 하도록 설계된 단계였습니다. 불행히도 그것은 캘리포니아 주에 국한된 별개의 법률이며 전국적으로 구속력이 없습니다.

ETSI EN 303 645의 렌즈를 통해 보면 비슷한 결론에 도달할 수 있습니다. 이는 업계, 학계 및 정부 관계자 간의 협력의 결과이지만 새로운 표준은 시행할 수 없고 법적 구속력이 없습니다.

제조업체와 IoT 이해 관계자가 나아가야 할 단일 목표를 제시하지만, 여전히 느슨한 보안 프로세스를 구현하는 경향이 있는 일부가 업계에 있을 것입니다. 이는 비용 부담 없이 가능하기 때문에 더 저렴하고 종종 가능하기 때문입니다.

IoT 전반에 걸친 보안 문제를 해결하는 미래 지향적인 표준을 만드는 것이 중요하지만 제조업체가 기기를 만들 때 사이버 보안 프레임워크를 준수하도록 하는 입법 의제로 보완해야 합니다.

내장 기능이 가장 좋은 이유

정부와 업계 기관이 IoT 보안 합의를 만드는 데 더 적극적이어야 한다는 것은 분명하지만 이러한 장치를 보호하기 위한 모범 사례가 무엇인지에 대한 논의가 있습니다. 현재 일반적으로 알려진 것은 제조 시점에서 내장 보안 및 PKI 인증의 중요성입니다. 공급망이 점점 복잡해짐에 따라 OEM은 장치가 생성되는 순간에 보안을 유지하도록 하는 데 중점을 두고 있습니다.

장치를 인증하고 암호화하려면 악의적인 행위자가 공급망을 따라 더 이상 변조할 수 없도록 PKI가 내장되어 있어야 합니다. 칩셋이 제조의 파운드리 단계에서 인증서로 인증되고 보호되는 경우에만 장치 수명 주기 동안 보안이 유지됩니다.

글로벌 공급망 – 글로벌 표준이 필요한 시점입니까?

IoT는 장치, 사람, 기업 간의 비할 데 없는 연결성을 제공하지만 가정 및 비즈니스 네트워크에도 위험을 초래합니다. 업계의 엄청난 성장은 제조 프로세스를 복잡하게 만들었으며, 이제 장치는 매우 복잡한 공급망과 국경을 넘어 생산됩니다.

이 문제를 해결하려면 입법부가 함께 협력하여 수명 주기의 모든 단계에서 장치를 보호하는 글로벌 합의를 만들어야 합니다. 그래야만 공급망과 최종 제품이 안전하게 유지되고 재산, 생명 및 데이터 보안에 대한 위험이 방지됩니다.

저자는 Sectigo의 IoT 및 임베디드 솔루션 부사장인 Alan Grau입니다.