NIST, IoT 제조업체를 위한 보안 권장 사항 초안 발표

새로운 NIST 권장 사항은 제조업체가 IoT 장치를 고객에게 판매하기 전에 수행하는 것을 고려해야 하는 사이버 보안과 관련된 자발적 활동을 제공합니다.

NIST(National Institute of Standards and Technology)는 사물 인터넷(IoT) 장치 제조업체를 위한 두 번째 권장 사항 초안을 발표했습니다.

이 문서에서 연방 기관은 "IoT 장치 손상의 확산 및 심각성을 줄이기"를 목표로 상용화 전에 수행할 일련의 질문과 평가를 요청합니다.

주요 하이라이트:

• 예상 고객을 식별하고 IoT 기기의 예상 사용 사례를 정의합니다. 이것은 NIST에서 처음으로 지적한 사항이며 매우 중요합니다. 장치가 무엇을 위해 사용될 것인지, 어디에 사용될 것이며 무엇에 연결될 것인지 파악함으로써 제조업체는 판매 전에 약점을 식별하고 보강할 수 있습니다.

• 고객 사이버 보안 목표 조사: 이는 장치가 배송되기 전에 약점을 식별하는 첫 번째 지점부터 이어집니다. NIST는 장치가 물리적 세계와 어떻게 상호 작용할지, 어떻게 액세스할지, 누가 모니터링할지, 어떤 데이터를 보유하고 어떤 규정을 따라야 하는지 묻습니다. 캘리포니아는 최근 IoT 보안에 대한 주법을 제정했으며 올해 더 많은 주와 국가에서 동일한 조치를 취할 것으로 예상할 수 있습니다.

• 고객 목표 달성 방법 결정: 외부 위협을 파악한 후 장치 제조업체는 장치 식별, 구성, 데이터 보호, 논리적 액세스 제한, 소프트웨어 및 펌웨어 업데이트를 파악하여 온보드 보안을 강화해야 합니다.

• 고객과 소통하기 위한 접근 방식 정의: 제품이 판매되면 제조업체는 모든 문제에 대해 고객과 소통할 수 있어야 합니다. NIST는 제조업체가 정보를 최대한 쉽게 이해하고 액세스할 수 있도록 할 것을 권장합니다.

• 고객에게 전달할 내용 및 전달 방법 결정: 구매자가 갖는 가장 큰 걱정 중 하나는 제조업체가 지원을 종료하면 장치가 모든 기능을 잃게 된다는 것입니다. NIST는 제조업체가 고객에게 얼마나 오랫동안 지원을 제공할 것인지와 지원 종료 후 장치에 어떤 기능이 제공될 것인지 명확히 할 것을 권장합니다.