기업은 주의:IoT 장치는 사이버 공격의 관문입니다

사물 인터넷은 기업에 공급망에 대한 전례 없는 수준의 가시성과 통제력을 제공합니다. 그러나 잠재적으로 심각한 사이버 공격의 문을 열어주기도 합니다.

Ponemon Institute의 새로운 연구에 따르면 보안되지 않은 타사 IoT 장치로 인한 데이터 유출이 급격히 증가했습니다. 그리고 최고의 보안 전문가들이 이를 막는데 충분하지 않다는 것을 암시합니다.

제3자 IoT 위험에 대한 연구소의 세 번째 연례 연구는 "회사는 그들이 모르는 것을 모릅니다"라는 부제가 붙었습니다. 실제로 사이버 공격의 위험에 대한 무지가 많은 기업의 취약성을 높인 것으로 보입니다. 연구에 따르면 IoT 관련 침해는 2017년 이후 최소 26% 증가했습니다. (저자들은 대부분의 회사가 제3자 공급업체에서 가져온 보안되지 않은 장치나 애플리케이션을 사내에 모두 알지 못하기 때문에 그 수가 훨씬 더 많을 수 있다고 말합니다.)

데이터 침해가 만연해 있는 시기에 사이버 보안은 많은 기업에서 특히 높은 우선 순위를 차지하지 않는 것으로 보입니다. 적어도 해당 영역에 리소스를 투자하는 경우에는 그렇습니다. 특히 최고 경영자의 감독이 부족하다. 이 연구에 따르면 회사 이사회 구성원의 절반 미만이 제3자의 사이버 공격 위험을 줄이기 위한 프로그램을 승인했습니다. 21%만이 해당 위험의 특성을 완전히 이해하고 있으며 이를 해결하는 데 필요한 보안 조치에 "매우 적극적"으로 참여하고 있습니다.

사이버 위험을 예상할 때 일반적 태도는 숙명론 중 하나인 것 같습니다. 이 연구에 따르면 응답자의 87%는 자신의 조직이 향후 24개월 이내에 보안되지 않은 IoT 장치 또는 애플리케이션으로 인한 사이버 공격을 경험할 것이라고 믿고 있는 것으로 나타났습니다. 그리고 84%는 같은 기간 내에 데이터 유출을 경험할 것으로 예상합니다.

Ponemon Institute의 공동 설립자인 Larry Ponemon에 따르면 최신 버전의 연구는 600명의 자격을 갖춘 응답자와 약 450개의 고유한 회사를 대상으로 합니다. 그가 "절충적이지만 흥미로운 샘플링"이라고 부르는 참가자에는 IT, 데이터 보호, 제3자 기술 및 규제 분야의 전문가가 포함되었습니다.

"제3자"는 회사 자체 I.T. 외부의 벤더, 계약자, 채널 파트너 및 내부 계열사의 전체 범위를 의미합니다. 환경, 제3자 위험 평가를 전문으로 하는 Santa Fe Group의 한 부서인 Shared Assessments Program의 수석 고문인 Charlie Miller는 말합니다.

외부 IoT 장치는 일반적으로 센서, 스마트 장치, 프린터, 카메라, 네스트 온도 조절기, 음성 인식 개인 정보 보조 장치, 즉 회사 네트워크에 연결할 수 있는 전자 장치가 포함된 모든 형태를 취합니다.

Ponemon은 "대부분 직원의 개인 장치를 통해 네트워크에 도입되는 이러한 보안되지 않은 기술을 경멸하지만 경영진은 이를 큰 위험으로 보지 않습니다. Miller는 최근 몇 년 동안 시장에 출시된 IoT 장치의 수가 크게 증가하면서 문제가 더욱 악화되었다고 덧붙입니다.

이러한 각 장치에는 고유한 IP 주소가 있으며 해커나 사이버 도둑이 독점 데이터에 액세스할 수 있는 잠재적인 취약 지점을 나타냅니다. 이들 중 하나를 네트워크에 도입하기 전에 기업은 기기가 무엇을 하려는 것인지, 어떤 종류의 데이터를 수집해야 하는지, 해당 정보가 어떻게 전송되는지 정확히 이해해야 합니다.

"이 모든 것은 이 거대한 IoT 공간에서 아직 구체화되지 않은 기본 개념입니다."라고 Miller는 말합니다.

이러한 공격의 맹공격에 직면하여 기업은 왜 공격을 예방하는 데 더 적극적이지 않습니까? Ponemon은 문제가 조직 내에서 책무성의 부족에 있다고 제안합니다. 더욱이 IoT 장치는 사용하기 매우 편리하며 소유자는 회사 보안을 위협할 수 있는 방법에 대해 거의 생각하지 않습니다.

Miller는 보안 팀과 조직 사이에서 계몽의 조짐을 보고 있습니다. 의료 기기 제조업체와 같은 특정 산업은 다른 산업보다 이 문제에 더 중점을 둡니다. 주로 엄격한 규제가 적용되기 때문입니다. (예를 들어 식품의약국(FDA)은 "사람에게 이식하는 기기에 대한 엄격한 규칙"을 가지고 있다고 Miller는 말합니다. 캘리포니아 소비자 개인정보 보호법(California Consumer Privacy Act)과 같은 새로운 법안은 판매자가 마케팅 목적으로 소비자 데이터를 사용하는 것을 단속하고 있습니다. 또한 입법자는 IoT 기반 장치에 대해 더 높은 수준의 내장 보안이 필요한 조치로 제조업체를 목표로 삼고 있습니다. (예를 들어, 많은 사용자가 변경을 소홀히 하는 크랙이 쉬운 기본 비밀번호의 사용을 금지합니다.)

사이버 보안을 강화하기 위한 다른 노력은 표준이 전 세계적으로 승인된 국립 표준 기술 연구소(National Institute of Standards and Technology)와 해당 국가의 중앙 은행인 싱가포르 통화 당국(Monetary Authority of Singapore)과 같은 조직에서 주도하고 있습니다. 보안 강화를 위한 후자의 5가지 권장 사항 중 4가지가 Ponemon 연구에 포함되어 있습니다.

Miller는 "조직 내에 어떤 장치가 있고 타사에서 사용하도록 허용하는지 이해해야 합니다."라고 말합니다. “그리고 장치가 연결되는 방식이 생산 부서와 구분되어 있는지 확인해야 합니다. 따라서 침해가 발생하면 네트워크의 비프로덕션 세그먼트로 격리됩니다."

교육이 가장 중요하다고 Ponemon은 말합니다. 사이버 위험에 대한 인식은 각 직원에서 경영진, 외부 공급망 파트너 및 고객에 이르기까지 이루어져야 한다고 강조합니다.

Miller는 기업이 IoT 장치를 사용하기 전에 사용 사례를 수행하여 오용 가능성을 판단해야 한다고 말합니다. 예를 들어, 현대 자동차에서 볼 수 있는 모니터링 시스템을 사용하면 해커가 원격으로 차량을 제어할 수 있습니다. "운송 업계는 이것을 매우 심각하게 보고 있습니다."라고 그는 말합니다.

결국 사용자의 주의가 필요합니다. "사이버 위생은 개인의 책임입니다."라고 Ponemon은 말합니다. “그것은 중요합니다. IoT만이 아니라 모든 것에 관한 것입니다.”