사물인터넷 장비 취약점 발견, 그리고 근본적인 해결 방법

기사원문

www.boannews.com/media/view.asp?idx=96508

억 대 넘는 사물인터넷 장비를 위험에 노출시키는 취약점 9개 발굴

 

"수많은 사물인터넷 장비들이 원격 코드 실행 및 디도스 공격에 노출되어 있다는 연구 결과가 나왔다. IoT 장비들에 내재되어 있는 TCP/IP 스택들에서 DNS 관련 취약점들이 다량으로 발견됐기 때문이다. 보안 업체 포스카웃(Forescout)과 제이소프(JSOF)가 공동으로 연구해 발표한 내용이다." - 기사 中...

 

4차 산업혁명 시대에 살아가면서, IoT 장비들이 증가하고 있다. IoT 장비들은 점차 우리 삶에 스며들어 가고 있고, 그 수는 점차 증가하고 있다.

따라서 사물인터넷에 발생하는 취약점은 그만큼 더 위험하다. 우리 삶에 밀접하게 다가가 있는 장비인 만큼, 프라이버시와 중요한 정보의 침해 가능성이 농후하기 때문이다. 그런 와중에 최근 포스카웃과 제이소프의 공동 연구에서, 9개의 취약점을 발견해 냈다. 이는 TCP/IP 스택 모든 부분에서 발견되고 있고, 이는 사물인터넷 생태계에서 광범위하게 사용되고 있기 때문에 문제가 심각하다고 경고했다.

해당 취약점들은 네임렉이라는 이름으로 통칭되었다. 익스플로잇에 성공할 경우, 공격자는 장비의 데이터를 훔치거나 기능을 정지시키는 공격이 가능하게 된다. 현재 다양한 분야의 기관들이 위험에 노출된 상태이고, 패치가 배포되고 있다.

하지만 사물인터넷의 특성상 패치를 적용하는 것이 어렵고, 해당 오류들을 공격자들이 얼마나 광범위하게 예측하기 어려울 수밖에 없다. 

필자는 이제는 사물인터넷이 삶에 밀접하게 다가온 만큼, 사물인터넷 장비에도 별도의 패치 관련 규정이 필요하다고 생각한다. 결국 보안은 아직까지는 규제산업이기 때문에, 아직은 규제 없이는 제조사가 성실하게 취약점을 패치하는 것이 어렵다. 결국 그 위험들은 사용자들에 전가되게 된다.

이는 곧 다시 보안 문화에 대한 생각으로 귀결된다. 단순히 보안을 규제로 보고, 투자 대비 수익이 돌아오지 않는 분야이기 때문에 투자가 줄어드는 것이다. 하지만, 보안성을 통해 해당 회사에 가져다주는 신뢰성, 보안 덕분에 유출되지 않은 정보들은 결국 수익으로 돌아오기 마련이다. 결국 기업들이 이처럼 생각하는 문화를 길러야 한다.