IoT 보안:위험을 최소화하면서 디지털 혁신을 주도하는 방법

단 몇 년 만에 사물 인터넷(IoT)은 우리가 생활하고 일하는 방식을 근본적으로 변화시켰습니다. 우리의 손목과 가정에 있는 장치에서부터 우리가 직장 생활을 하는 연결된 건물과 스마트 공장에 이르기까지 조직에 새로운 성장 기회를 제공하는 동시에 우리를 더 안전하고, 행복하고, 더 생산적으로 만들고 있습니다. 이 기술은 이미 대다수의 비즈니스에 침투하여 보다 효율적이고 민첩하며 고객 중심적인 비즈니스를 만드는 데 도움이 되는 디지털 혁신 혁명의 최전선에 있습니다.

그러나 디지털 확장은 더 큰 디지털 위험을 의미하기도 합니다. 최신 수치에 따르면 IoT 공격이 전년 대비 100% 증가한 것으로 나타났습니다. 따라서 IT 팀의 핵심은 새로운 연결 시대에 적합한 모범 사례 보안을 통해 이러한 사이버 위험을 최소화하면서 비즈니스 성장을 지원하는 것입니다.

디지털화

IoT는 비교적 짧은 시간에 먼 길을 왔습니다. Gartner는 2019년에 142억 개의 연결된 사물이 사용되며 2021년에는 총 250억 개에 이를 것으로 예측합니다. 이러한 급증하는 장치 볼륨으로 인해 데이터가 폭발적으로 증가했습니다. Cisco는 모든 장치에서 생성되는 데이터의 총량이 2015년 연간 145제타바이트에서 2020년까지 연간 600제타바이트에 이를 것으로 추정합니다. 이는 엄청난 양의 데이터입니다. 1제타바이트는 10억 테라바이트에 해당합니다.

IoT가 지난 몇 년 동안 비즈니스 환경에 완전히 침투하기 시작한 이유는 무엇입니까? Forbes Insights에서 2018년 700명의 임원을 대상으로 실시한 설문 조사가 이를 설명하는 데 도움이 됩니다. 기업의 60%가 새로운 비즈니스 라인을 확장하거나 혁신하고 있으며, 비슷한 수(63%)가 고객에게 신규/업데이트된 서비스를 제공하고 있으며, 3분의 1 이상(36%)이 새로운 비즈니스 벤처를 고려하고 있습니다. 향후 12개월 동안 거의 모든(94%) 응답자가 IoT 덕분에 수익이 5-15% 증가할 것으로 예상했습니다.

IoT 센서, 수집 및 분석을 위해 클라우드로 전송된 데이터는 공개된 통찰력 덕분에 고객 경험을 향상하고 복잡한 비즈니스 프로세스를 간소화하며 새로운 서비스를 생성할 수 있는 새로운 주요 기회를 제공합니다. 여기에는 누수 또는 정전의 조기 경고 신호를 모니터링하는 유틸리티 회사, 공장 현장에서 운영 효율성을 개선하는 제조 회사, 예측 유지 관리를 기반으로 고객에게 새로운 애프터 서비스를 제공하는 하드웨어 제조업체가 포함될 수 있습니다.

위험은 어디에나 있습니다

IoT 및 산업용 IoT(IIoT) 시스템 사용을 늘리는 기업이 직면한 과제는 그 과정에서 기업의 공격 표면이 확대된다는 것입니다. OWASP의 IoT 공격 노출 영역 간단히 살펴보기 문서는 얼마나 많은 새로운 가능한 취약점이 도입되었는지 보여줍니다. 펌웨어, 메모리, 물리적/웹 인터페이스를 포함한 기기 자체부터 백엔드 API, 연결된 클라우드 시스템, 네트워크 트래픽, 업데이트 메커니즘, 모바일 앱에 이르기까지 다양합니다.

이러한 시스템의 가장 큰 위험 중 하나는 IT 보안 모범 사례에 대한 적절한 이해가 없는 제조업체에서 생산한다는 것입니다. 이로 인해 소프트웨어 결함에서 공장 기본 로그인으로 배송되는 제품에 이르기까지 공격자가 악용할 수 있는 심각한 시스템 약점과 취약성이 발생할 수 있습니다. 또한 제품 업데이트가 어렵거나 보안 패치를 발행할 프로그램이 없다는 의미일 수도 있습니다.

이러한 결함은 다양한 공격 시나리오에서 악용될 수 있습니다. 데이터 도용 습격의 일환으로 기업 네트워크를 침해하거나 주요 운영 프로세스를 방해하는 데 사용될 수 있습니다. 이는 피해자 조직에서 돈을 갈취하거나 단순히 최대의 혼란을 야기하기 위한 것입니다. 보다 일반적인 시나리오에서 해커는 공장 기본값 또는 추측하기 쉬운/크랙 암호로만 보호되는 공개 장치를 인터넷에서 검색하여 봇넷에 징집할 수 있습니다. 이것은 악명 높은 Mirai 공격자가 사용한 모델이며 이후에 다른 많은 모방 공격에 적용되었습니다. 이러한 봇넷은 DDoS(분산 서비스 거부), 광고 사기, 뱅킹 트로이 목마 유포를 비롯한 다양한 작업에 사용될 수 있습니다.

어둠 속에서

IT 보안 팀의 어려움은 종종 조직의 모든 IoT 엔드포인트에 대한 가시성을 확보하는 것이며 감지된 일부 IoT 장치는 종종 IT 부서의 지식 없이 작동할 수 있습니다. 이 섀도우 IT 요소는 여러 면에서 기업 BYOD 과제의 후속 조치입니다. 단, 사용자는 휴대전화 대신 스마트 웨어러블과 기업 네트워크에 연결되는 기타 어플라이언스를 가져와 사이버 위험을 증가시킵니다. 예를 들어 공격자들이 스마트 TV를 하이재킹하여 이사회를 염탐하거나 직원 식당의 스마트 주전자를 교두보로 사용하여 기업 네트워크에 대한 데이터 도용 공격을 시작하는 경우를 생각해 보십시오.

IT 보안 책임자에게 더 나쁜 것은 그들이 더 적은 수의 숙련된 전문가를 고용하여 증가하는 사이버 위험을 관리해야 한다는 것입니다. 실제로 한 채용 그룹에 따르면 IoT 역할에 대한 수요는 지난 3개월 동안 2018년 4분기에 49% 급증했습니다.

규제당국이 따라잡기

모든 주요 IoT 관련 사이버 위협의 영향은 심각할 수 있습니다. 데이터 손실, IT 시스템 중단, 운영 중단 등이 재정 및 평판 손상으로 이어질 수 있습니다. 보안 침해를 조사하고 수정하는 비용만 해도 어마어마할 수 있습니다. 심각한 가동 중단은 초과 근무 시간에 IT 직원에게 막대한 자금을 투자해야 할 수 있습니다. 규제 벌금은 명심해야 할 또 다른 점점 더 중요한 비용입니다. 고객 또는 직원의 개인 데이터에 영향을 미치는 모든 문제에 대해 고려해야 할 GDPR이 있을 뿐만 아니라 EU의 NIS 지침은 특정 중요 산업에서 운영되는 회사에 대한 모범 사례 보안을 요구합니다. 둘 다 동일한 최대 벌금을 부과합니다.

이 규제 감독은 대서양 양쪽에서 잠식하고 있습니다. 미국에서 제안된 새로운 법안은 NIST(National Institute of Standards and Technology)가 IoT 제조업체를 위한 최소 보안 지침을 작성하고 연방 기관이 이러한 기준 표준을 충족하는 공급업체로부터만 구매하도록 요구할 것입니다.

가시성 및 제어

통과된다면 이 미국 법률은 영국 정부가 제안한 업계 관행 규범을 기반으로 하는 유럽 ETSI TS 103 645 표준을 기반으로 할 수 있습니다. 확실히 좋은 출발이며 업계가 보안에 대해 더 많이 인식하도록 하는 동시에 소비자와 기업이 시장에서 더 안전한 제품을 찾도록 힘을 실어 줄 것입니다. 그러나 실제로는 이러한 단계가 시장에 적용되기까지 시간이 걸리며, 그때에도 조직은 이미 수천 개의 안전하지 않은 레거시 IoT 엔드포인트를 실행하고 있을 수 있습니다.

IT 보안 팀은 IoT 환경에 대한 향상된 통찰력을 확보하여 지금 조치를 취해야 합니다. IT 자산 관리 도구는 가장 중요한 첫 번째 단계인 가시성을 제공하여 여기에서 도움을 줄 수 있어야 합니다. 다음으로, 자동화된 패치 관리 도구를 통해 장치 펌웨어가 최신 상태인지 확인하고 이 프로세스가 올바르게 작동하는지 모니터링하기 위해 모니터링합니다. 일부 보안 업데이트는 공급업체 웹사이트 깊숙이 묻혀 있으며 이러한 업데이트가 활성화되었는지 확인하려면 사람의 개입이 필요합니다. . 또한 IT 팀은 사용자 이름/암호가 강력하고 고유한 자격 증명으로 즉시 변경되었는지 확인해야 합니다. 더 좋은 것은 다단계 인증으로 교체하는 것입니다. 다른 모범 사례에는 전송 중인 데이터의 암호화, 지속적인 네트워크 모니터링, ID 관리, 네트워크 분할 등이 포함될 수 있습니다. 마지막으로, 사이버 보안의 사람 측면을 잊지 마십시오. 직원은 IoT와 관련된 보안 위험을 이해하고 시스템 및 장치를 안전하게 사용하는 방법을 배워야 합니다.

이는 기업을 불필요한 추가 위험에 노출시키지 않고 IoT 이니셔티브에서 최대한의 가치를 얻을 수 있는 방법입니다. 현대 디지털 비즈니스의 성공에 매우 중요한 혁신 기반 성장을 약화시키려면 단 한 번의 심각한 보안 침해만 있으면 됩니다.