4차 산업혁명을 대표하는 기술 중 하나인 ‘IoT’를 도입하는 기업이 늘면서 보안에 대한 우려의 목소리도 함께 높아지고 있습니다. 사물인터넷(Internet of Things)이라고 ‘사물(Things)’만 보호하는 것이 아니라 전체 시스템의 사이버 탄력성을 구축하는 과정이 필요하기 때문이죠.
문제는 광범위한 IoT 프로젝트와 커넥티드 기술을 도입한 기업들이 단일 업체가 아닌, 서로 다른 보안 체계를 가진 여러 업체의 솔루션을 보유하고 상호운용성을 높이지 못한 채 이를 운용한다는 것입니다. 이러한 접근 방법은 사이버 범죄의 발생 가능성과 기업 데이터 손실의 위험을 증가시킵니다.
그렇다면 IoT 시대에서 기업이 사이버 보안을 강화하기 위해서는 무엇을 어떻게 해야 할까요? 기업 사이버 탄력성을 높이기 위한 5가지 필수 지침을 함께 알아보시죠!
보안개발주기 (Secure Development Lifecycle, SDL)구축: 믿을 수 있고 보안성이 높은 제품을 개발하기 위해서는 제품 디자인 및 설계 단계서부터 보안요소가 고려되어야 합니다. 보안 개발 주기는 디자인과 코딩 측면에서 나중에 이용될 수 있는 취약점을 예방하고, 감지 및 치료할 수 있는 과정과 툴을 제공합니다. 시스템 내 리스크를 분석, 필요에 따라 우선적으로 처리하는 쓰렛 모델링(Threat Modeling)과 모의 해킹 또한 보안 개발 주기에 포함되는데요. 이를 통해 기업은 취약점을 사전에 확인하고 더 나은 보안 태세를 갖출 수 있게 됩니다.
패스워드 변경: 공격자는 종종 가장 간단한 방법을 사용하기도 합니다. 계정 생성 시 기본으로 설정된 ‘1234’나 ‘0000’과 같은 비밀번호는 공격자에게 문을 열어주는 것이나 마찬가지죠. 때문에 관리자 계정을 포함한 모든 사용자는 강한 보안 수준의 패스워드를 설정해야 합니다.
펌웨어 보안 강화 및 OS 업데이트: 커넥티드 기기는 기기와 시스템(센서, 신호등, 감시카메라 등)을 제어, 모니터링 및 데이터 관리성능을 맡는 펌웨어를 내장하고 있습니다. 그래서 가장 최신의, 가장 안전한 펌웨어와 OS 사양을 가지고 있는 것은 매우 중요하죠. 물론 소프트웨어와 펌웨어를 업데이트하는 방법 역시 안전해야 하겠죠?
데이터 보안: IoT 도입에 있어 데이터는 가장 중요한 요소 중 하나입니다. IoT 데이터는 다른 비즈니스 자산만큼이나 중요하게 관리되고 보호받아야 하죠. 데이터에 대한 국가별 법률과 규정이 다른 만큼 각 업체는 국가 내 개인정보 법률과 규정을 이해하고 제품과 서비스, 직원이 데이터를 적절히 다룰 수 있도록 지원해야 합니다.
제품 보안 사고 대응:앞선 모든 사항을 충족시키더라도 보안 사고 발생은 불가피합니다. 그렇기 때문에 IoT 시스템 내 속한 모든 벤더는 즉각적으로 대응할 수 있는 제품 보안 사고 매뉴얼과 대응 프로세스를 갖추고 있어야 합니다. 이 프로세스는 사용자와 명확하게 커뮤니케이션하고, 종종 복잡한 보안 문제가 발생할 경우에 효과적인 해결책을 제공해야 합니다.
IoT 시대 사이버 공격에 대비하는 5가지 필수 지침도 사이버 공격 리스크를 완전히 제거하지는 못합니다. 하지만, 리스크를 사전에 인지하고 방어 태세를 취함으로써 피해를 상당 부분 줄일 수 있죠.
시스코 코리아는 앞으로도 기업과 개인에게 필요한 사이버 보안 솔루션과 관련 정보를 전해드릴 예정입니다. 시스코 코리아와 함께 안전한 IoT 시대를 준비해 보세요!
이번 포스팅은 시스코 Security and Trust Organization 시니어 디렉터 안토니그리코(Anthony Grieco)가 작성한 Demanding a Plan for Cyber Resilience in the IoT를 바탕으로 준비되었습니다.
