|
사물인터넷 시대를 위한 ‘IoT 보안 가이드’ AhnLab / 2016-10-05
바야흐로 사물인터넷(Internet of Things, IoT) 시대로 접어들고 있다. 모든 사물이 인터넷으로 정보를 공유하게 되면 보안이 무엇보다 중요해질 수밖에 없다. PC의 개인정보만 중요한 건 아니다. 어느 누군가 사물인터넷 정보를 이용해 집안의 에어컨이나 냉장고를 컨트롤한다면 더 끔찍한 일이 벌어질 수도 다. 이러한 사태를 예방하기 위해 정부는 사물인터넷 제품이나 서비스를 설계하거나 제조할 때 업체들이 보안 사항을 준수할 수 있도록 ‘IoT 공통 보안 가이드’를 발표했다. 미래창조과학부가 최근 ‘2016 사물인터넷 보안 얼라이언스’ 정기회의를 통해 IoT 공통 보안 가이드가 그것이다.
사물인터넷 보안 얼라이언스가 발표한 IoT 공통 보안 가이드는 IoT 제품과 서비스의 보안성 확보를 지원하기 위한 것으로, 지난해 마련된 IoT 공통 보안 7대 원칙을 구체화해 제품이나 서비스의 설계 시부터 보안성을 확보하기 위한 안내서라고 할 수 있다. 일반인들에게는 크게 상관없을지 모르겠지만 IoT 제품 관련 업체들에게는 매우 중요한 보안 가이드이다.
IoT 보안 가이드를 만든 사물인터넷 보안 얼라이언스는 국내외 사물인터넷 제조 및 서비스 업체와 보안업체를 포함해 산업계, 학계, 공공기관 등 50여개 기관이 공동으로 참여하는 민간 자율 IoT 보안 협의체로, IoT 분야의 민간 자율적인 보안 기반 조성과 관련 보안산업 활성화를 위한 협력을 목적으로 하고 있다.
IoT 보안 가이드는 IoT 보안 얼라이언스와 산·학·연 전문가가 참여해 민간 주도로 개발했다. IoT 기기 생명주기를 기준으로 15가지 보안 요구사항과 기술·관리적 권고사항을 상세히 담았다. 15가지 보안 요구사항은 아래와 같다.
< IoT 공통 보안 가이드 15대 요구사항 >
[보안원칙 1: 정보보호·프라이버시 강화를 고려한 IoT 제품•서비스 설계]
1. IoT 장치의 특성을 고려하여 보안 기능의 경량화 구현 IoT 장치(센서 등)의 단순기능/저사양을 고려하여 불법 해독・도청방지, 훼손방지 등의 보안기능을 경량화하기 위한 방안으로 경량 디바이스(프로세서), 경량 암호기술, 경량 통신 방식 등을 소개하고 있다.
2. IoT 서비스 운영환경에 적합한 접근권한 관리 및 인증, 종단 간 통신보안, 데이터 암호화 등의 방안 제공 가스, 온도, 습도 등과 같이 단순 정보만을 수집하는 IoT 장치의 경우 운영환경을 고려하여 단순한 접근권한 관리 및 인증방법 등이 포함되어 있다.
3. 소프트웨어 보안기술과 하드웨어 보안기술의 적용 검토 및 안전성이 검증된 보안기술 활용 저사양 IoT 장치에 적용할 수 있는 하드웨어 기반 보안기술 및 소프트웨어/하드웨어에 대한 안전성 검증 관련 제도현황 등이 담겨 있다.
4. IoT 장치 및 서비스에서 수집하는 민감 정보(개인정보 등) 보호를 위해 암호화, 비식별화, 접근관리 등의 방안 제공 IoT 장치 및 서비스를 통해 자동 수집되는 민감 정보(개인정보 등) 보호를 위해 개인정보를 선별해서 암호화하거나 알아볼 수 없게 만드는 비식별화 기술, 접근 관리 방법 등을 소개한다.
5. IoT 서비스 제공자는 수집하는 민감 정보의 이용목적 및 기간 등을 포함한 운영정책 가시화 및 사용자에 투명성 보장 수집되는 정보의 이용 목적과 사용범위, 이용기간 등을 포함한 운영정책을 수립하고 이를 사용자에게 공개함으로써 민감 정보 이용에 대한 투명성을 최대한 보장하도록 관련 정보를 제공한다.
[보안원칙 2: 안전한 소프트웨어 및 하드웨어 개발 기술 적용 및 검증]
6. 소스코드 구현단계부터 내재될 수 있는 보안 취약점을 사전에 예방하기 위해 시큐어 코딩 적용 IoT 장치는 영세 제조업체에서 개발된 경우도 많고, 관리주체가 다양한 특성이 있어 출시 이후 발생하는 보안 취약점에 대한 패치 등 사후조치가 어려움. 개발 단계부터 보안 취약점을 예방하기 위한 시큐어 코딩 적용이 필요하며 이를 위한 상세 시큐어 코딩 방법을 소개한다.
7. IoT 제품‧서비스 개발에 사용된 다양한 S/W에 대해 보안 취약점 점검 수행 및 보안패치 방안 구현 개발단계에서 취약점 점검 및 보안패치 기능을 포함하지 않는 경우 사후 보안관리가 어려움에 따라 해당 기능의 구현을 권고. 이와 함께 취약점 점검을 위해 활용할 수 있는 공개 소프트웨어, 점검도구 등이 포함된다.
8. 펌웨어/코드 암호화, 실행코드 영역제어, 역공학 방지 기법 등 다양한 하드웨어 보안기법 적용 보안성 강화를 위한 하드웨어 기반 보안기술 적용 시 참고할 수 있는 참고사례, 보안기법 및 IoT 장치의 보안 점검항목 등을 소개하고 있다.
[보안원칙 3: 안전한 초기 보안 설정 방안 제공]
9. IoT 장치 및 서비스 (재)설치 시 보안 프로토콜들에 기본으로 설정되는 패러미터 값이 가장 안전한 설정이 될 수 있도록 ‘Secure by Default’ 기본원칙 준수 사용자가 IoT 장치 및 서비스의 보안설정을 직접 하기 어려운 경우, 제조사 등에서 대신해서 보안설정이 가능해야 함. 이를 위해 제조사 등이 참고할 수 있도록 IoT 표준 통신방식 등에서 제공하는 다양한 보안방식을 소개하고 이용자 측면에서 확인할 수 있는 초기보안 설정 방안에 대해서도 제시한다.
[보안원칙 4: 보안 프로토콜 준수 및 안전한 파라미터(매개변수) 설정]
10. 안전성을 보장하는 보안 프로토콜 적용 및 보안 서비스 제공 시 안전한 파라미터 설정 제조사 등이 IoT 장치의 동작, 서비스 중에도 보안 설정을 변경할 수 있도록 IoT 장치에서 동작하는 플랫폼(안드로이드 등)의 보안 요구사항 등을 담았다.
[보안원칙 5: IoT 제품·서비스의 취약점 보안패치 및 업데이트 지속 이행]
11. IoT 장치·서비스의 보안 취약점 발견 시, 이에 대한 분석 수행 및 보안패치 배포 등의 사후조치 방안 마련 다양한 IoT 장치 및 서비스가 연동되어 통합 서비스를 제공하는 환경은 연동과정에서 새로운 보안 취약점이 존재할 가능성이 높으므로 보안취약점에 대한 모니터링 및 발견 시 사후조치방안 마련 필요. 이에 따라 SW, HW, SW와 HW융합으로 발견되는 보안취약점에 대한 대응 및 사후조치 방안에 대해 알려준다.
12. IoT 장치·서비스에 대한 보안취약점 및 보호조치 사항은 홈페이지, SNS 등을 통해 사용자에게 공개 IoT 장치・서비스에서 발견된 보안취약점 정보와 대응방법 등을 공개하도록 권고하고 유사사례 소개를 통해 피해확산을 방지한다.
[보안원칙 6: 안전한 운영‧관리를 위한 정보보호·프라이버시 관리 체계 마련]
13. 최소한의 개인정보만 수집‧활용될 수 있도록 개인정보보호정책 수립 및 특정 개인 식별정보의 생성・유통을 통제할 수 있는 기술적・관리적 보호조치 포함 민감정보(개인정보 등) 보호를 위한 보호조치(기술적, 관리적)를 권고하고, OWASP에서 제시한 프라이버시 문제 최소화 방안을 소개한다.
[보안원칙 7: 사물인터넷 침해사고 대응체계 및 책임추적성 확보 방안 마련]
14. 다양한 유형의 IoT 장치, 유‧무선 네트워크, 플랫폼 등 다양한 계층에서 발생 가능한 보안 침해사고에 대비하여 침입탐지 및 모니터링 수행 IoT 서비스는 다양한 형태의 IoT 장치, 유‧무선 네트워크, 플랫폼 등에서 복합적으로 발생 가능하므로 보안 침해사고에 대비한 침입탐지 및 모니터링을 권고한다.
15. 침해사고 발생 이후 원인분석 및 책임추적성 확보를 위해 로그 기록의 주기적 저장・관리 침해사고 원인분석 및 공격자 추적을 위해 로그기록의 안전한 관리를 권고하고 있다. 이를 위해 IPA에서 제시한 로그 샘플 데이터와 로그 생성 시 고려 사항 등을 소개한다. |
'<정보 및 지식> > ◈ 컴퓨터 & IT' 카테고리의 다른 글
| IT를 활용한 ‘스마트’한 체중 관리 (0) | 2016.10.21 |
|---|---|
| IoT와 결합된 이커머스, 한국서도 확산될까 (0) | 2016.10.14 |
| 영화 ‘인디펜던스 데이’, 사이버 위협의 트렌드를 그리다 (0) | 2016.10.12 |
| 생체인증 시대...보안카드-OTP 필요할까? (0) | 2016.10.07 |
| 랜섬웨어를 부르는 다운로더 (0) | 2016.10.06 |