전체메뉴

[애플경제 김향자 기자] 사물인터넷(IoT, Internet of Things) 시스템에도 ‘제로 트러스트’가 매우 중요하다는 지적이다. 애초 제로 트러스트는 어떤 사용자도 인증되지 않고 네트워크에 접속할 수 없게 한 것이다.

여기서 사물인터넷의 ‘사물’(Things)는 곧 ‘사용자’ 내지 ‘사람’이 될 수 있다. 그렇다면 원격으로 연결된 ‘사물’의 개념이기도 한 ‘사용자’에 대해서도 철저한 ‘제로 트러스트’ 원칙이 적용되어야 한다.

기업의 수많은 디바이스 연결, 그 자체가 취약점

특히 기업들은 늘 온도 조절기, 흡연 감지기, 실내 엔트리 관리 시스템 등을 IoT에 의존해야 한다. 전문가들은 “이 모든 소프트웨어를 사용하여 데이터를 완료하고 다른 장치에 데이터를 공유할 수 있게 하는 것이 IoT”라며 “그로 인해 내부 인프라 도메인으로 제어하는 기업 네트워크의 범위를 벗어나는 접속이 이뤄질 경우가 많아서 IoT 보안 위험이 제기된다”고 강조했다.

한국IT산업서비스협회의 한 관계자는 최근 “각종 디바이스를 통한 네트워크로 인해 취약성이 발생할 수 있다.”면서 “IOT 디바이스의 증가는 IoT 장치를 연결하는 채널에서 공격이 이뤄질 수 있는 확률을 크게 높이고 있다”고 ‘제로 트러스트’의 중요성을 강조했다.

현재 국내의 많은 기업들은 취약한 IoT 보안 시스템에 머무르고 있다. 특히 디바이스에 변경되지 않은 기본 암호를 저장, 사용하면서 펌웨어 업데이트나 패치 설치를 소홀히하곤 한다. 전문가들은 이에 “현실적으로 많은 기업들의 IoT시스템은 복수 인증(2FA)과 네트워크 트래픽 모니터링 등의 보안 제어 기능이 매우 미흡한 실정”이라고 경고한다.

실제로 새로운 소프트웨어 업데이트에 대한 알림을 제때 제공하지 않는 기업도 많다. 그래서 정기적으로 이상 유무를 점검할 수 있는 블랙박스를 그냥 간과해버리는 경우도 있다.

또 많은 IOT 디바이스의 경우, 펌웨어 업데이트를 업데이트하기 어려운 물리적 액세스를 필요로 할 수도 있어 문제다.

모든 연결망 디바이스를 ‘의심’, 감시해야

그렇다보니 자동 보안 업데이트가 이뤄지는 경우조차, IoT 장치를 신뢰할 수 없게 된다. 전문가들은 “그래서 IoT 장치는 흔히 보안 위험에 취약한 편”이라며 “너무나 많은 접속이 이뤄지고, 그냥 예사로 흘려버리즌 소프트웨어 항목이 너무 많다”고 했다.

이에 기업 프로세서의 모든 디바이스에 보안 허점이 내재되어 있는 것으로 가정할 필요가 있다. 이들 장치가 모두 항상 취약점일 수는 없어도, 그 중 상당수는 적어도 보안사고의 위험을 내재할 수도 있다. 이런 점이 보완되지 않는한 언제든지 보안 위험에 노출될 수 있는 것이다.

그래서 이에 대한 연구를 해온 한국정보통신기획평가원도 “일단 모든 작업이나 업무 환경에 ‘제로 트러스트’를 적용하는게 바람직하다”고 지적한 바 있다. 사람이 디바이스에 의한 모든 업무가 악성일 가능성이 크기 때문이다. 즉, “언제든 사이버 공격에 뚫릴 수도 있다고 전제하면서 매사를 감시, 점검하는 시스템이 중요하다”는 것이다.

그럼으로써 제로 트러스트를 통해 IoT를 악용한 사이버 공격 범위를 제한할 수 있다는 의견이다. 즉, “제로 트러스트야말로 가능한 모든 계정이나 디바이스에 대해 안전한 점검과 배치를 지속할 수 있게 한다”면서 “결국 사이버 범죄자들도 대상 기업에 침투할 수 있을 만한 발판을 확보하지 못할 것”이라고 말했다.

이처럼 IoT 시스템의 제로 트러스트 보안망을 준수함으로써 사이버 공격자들의 활동 폭을 줄일 수 있고, 설사 보안이 뚫리더라도 그 피해를 최소화할 수 있다는 조언이다.