n-THE-large570

IoT, 미래는 왜 이리 더딘가

n-THE-large570

 

IoT는 미래, 맞다. 이른바,

 

와해성 기술의 대표선수다

 

와해성 기술이란, 널리 확산되기만 하면 기존 시장을 완전히 재편성하고 시장 대부분을 점령하게 될 기술을 뜻한다. 등장 초기엔 시장이 요구하는 상품 조건을 당장 만족시키진 못하지만, 혁신 기업들의 투쟁 그리고 숱한 희생을 통해 존속성을 확보해 가며 전투적으로 시장에 진출, 기존 시장 외곽에서부터 단숨에 중심부를 타격하고 차지한다. 그리고, 시장은 완전히 대체된다. 디지털 카메라 등장으로 필름 시장이 사라지고 MP3 등장으로 LP와 CD 시장이 사라졌듯.

IoT는 클라우드, 인공지능, 무인자동차, 3D 프린팅, 재생 에너지 등의 기술들과 더불어 막강한 와해성 기술로서 그 위세가 아주 당당하다. “이 세상 모든 것들이 인터넷에 연결된다!” 멋지다. 일단 연결되기만 하면 연결되지 않은 것들은 시장에서 싹 사라지게 될 거다. 의심의 여지 없이 확실한 미래, 맞다. 그러나, 언론 플레이는 화려한데 비해 당장 뭔가 눈에 딱 보이는 건 없다 싶다. 맨날 사물인터넷! 사물인터넷! 요란한데 뭐 하나 제대로 볼 만한 건 없다. 왜 그럴까. 왜냐면,

 

연결의 혜택 설득에 성공하지 못했다

 

연결하기만 하면 완전 끝장인데, 연결하지도 못한 것들은 싹 다 사라지게 될 텐데, 정작 연결하면 왜 좋은지를 제대로 말하지 못한 거다. 그러니 소비자 반응은 어째 좀 서먹서먹하다. 이것이 미래라며 막 떠드는데, 감이 영 멀다. 광고를 보자.

냉장고에 붙은 스크린 띡띡띡 눌러 레시피 찾아 국수 삶아 먹으며 자기들끼리 하하호호 웃는다. 이게, 감동이 있나,, 그냥 스마트폰으로 찾아 보면 될 일이다. 소프트웨어와 인터넷을 그리고 게임을 손바닥 위에 올려놓기 위해 얼마나 많은 노력이 있었나. 그에 시장도 아주 화끈하게 반응해 한때 미래의 와해성 기술로 회자되던 스마트폰은 완전한 ‘현재’가 되었다. 기술의 혜택 설득에 성공, 즉 소비자 공감을 얻었기 때문에 가능한 일이었다. 그러니 IoT는 이 아주 단순한 질문에 대답부터 해야 한다.

 

“연결하면 뭐가 좋은데?”

 

지금의 IoT는, 글쎄, “어이쿠, 뭘 이런 걸 다,,” 정도의 느낌, 아닌가. “이것이 IoT입니다!” 열심히들 떠들지만 뭐가 어째서, 어떻게, 왜 좋은지를 모르겠다. 당연한 미래란 건 알겠다. 기존 시장을 완전히 전복할 무시무시한 기술이란 것도 자명하다. 번쩍번쩍 휘황찬란한 IoT 산업 전망, 이를테면 네트워크가 폭발적으로 확장할 거라며 국내외 네트워크 설비 회사들이 잔뜩 들떠 물량전 준비하는 것도 적절한 전략이다. 하지만,

먼저 이 질문에 대답부터 해야 하지 않을까. 연결하면 뭐가 좋은데? ‘IoT’로 검색해 보자. 기사가 정말 엄청나게 많이 뜬다. 하지만 별 감동은 없다. 제조사와 언론 그리고 정부만 잔뜩 흥분해 떠드는 것 같다. 확실한 미래니까 당연한 소란이긴 하다만, 그 소란의 내용은 다시 생각해 봐야 할 듯싶다. 게다가,

 

그 미래, 더디게 와서 차라리 다행이다

 

IoT 보안 사고는 충분히 확산되지 않은 지금도 끊임없이 일어나고 있다. 충분히 확산되고 나서도 지금 같다면, 상상만 해도 정말 무섭다. 지금은 꽤 큰 보안 사고 터져도 기껏 돈 좀 잃으면 그만이다. 하지만 IoT라면, 예컨대 자동차라면! 사람 목숨이 걸린 일이다. 그러니 우선 사후대처 방식에서부터 완전히 뜯어고쳐야 한다. ‘사후’ 따지고 그럴 여유도 없다.

IoT 기기 대부분이 사용자가 직접 패치 업데이트를 하는 사용자 책임 방식으로 되어 있기 때문에 사용자가 알아서 주기적으로 최신 버전 패치 업데이트를 해야 하는데, 그런 거 안 하는 사람들 참 많다. 그리고, 최근 사건들을 보면 해커들은 기기의 취약점보다는 IoT와 연결된 클라우드 환경의 최약점을 노리는 경우가 많다. 따라서 제조사는 디바이스, 애플리케이션, 클라우드 3개 요소의 보안을 모두 다 챙겨야 한다. 대기업 규모라면 각각의 전담 팀을 운영하지만, 작은 회사들 형편으로는 감당하기 쉬운 일이 아니다.

물론 이 문제는 회사 형편 따져 주고 그럴 일도 아닌, 아주 근본적인 문제다.

 

IoT 기기의 분류

 

IoT 기기를 기능에 따라 센싱, 액츄에이팅, 데이터 수집 및 전송 등 맡은 일에 따라 나눌 수 있지만, 그보다는 성능에 따른 분류가 우선이다. 성능에 따라 기기의 성격 자체가 완전히 달라지기 때문이다. IoT 기기는 성능에 따라 0~3등급으로 분류한다. 좀 길지만 중요하니 한 번 쭉 훑어보자면,

‘등급 0’은 초소형 초경량 초절전 저성능, 너무나 보잘것없이 사소해서 기기라고 말하기도 좀 민망한 물건이다. 주로 센서 역할만 맡으며, 메모리 및 프로세싱에 상당한 제한이 걸려 있다. 따라서 안전한 통신, 아니 통신 자체가 매우 제한적이라서 게이트웨이 등 주변 다른 장치가 필수적이다. 센서로 수집한 데이터에 대한 최소한의 보안, 그리고 역시 최소한으로 제한된 최초 설정 파일에 대한 상태 확인 정도의 보안 조치만 가능하다.

‘등급 1’은 8 또는 16비트 프로세서로 작동하는 의료기기, 도어락, 온도조절기, 스마트미터, 웨어러블밴드 등의 기기다. 프로세싱 능력이 제한적이다 보니 HTTP 등 기존의 흔한 프로토콜 통신 또한 제한적이기 때문에 CoAP 등 특수 프로토콜을 사용한다. 게이트웨이 등 기타 장치 도움 없이도 통신이 가능하긴 하나, 보안 기능은 선택적 그리고 제한적으로 가능해 근본적 위험성이 있다. 특수 목적 기기다 보니 전용 어플리케이션 보안이 특히 중요한데, 어플리케이션은 업데이트가 가능하다. 단, 기기 수가 관리하기에 너무 많아지지만 않는다면.

‘등급 2’부터는 그냥 일반 기기라 부를 만하다. 32비트 프로세서로 동작하는 게이트웨이나 스마트폰 등의 기기다. 보안 기능 지원은 충분하지만, 전원 관리 등의 이유로 제한적으로 사용할 때 성능 이득이 있다. 역시 어플리케이션 보안이 가장 중요한데, 등급 1에 비해 전용 어플리케이션이 아닌 경우가 많아서 범용, 즉 본격 헬게이트가 열리는 시작점이라 할 수 있다. ‘등급 3’은 등급 2 이상의 성능을 가진 기기로서 성능 면에서 따로 제한을 두고 생각할 필요가 없다.

자, 이런 사물들에 대해 기존 IT 보안 방법론을 적용해 보자면,

 

너무 작고, 너무 많다,,

 

초소형 초경량 초절전 저성능, 이는 다시 말해 보안 패치 업데이트 등의 조치를 할래야 할 수가 없다는 뜻이다. 애초에 패치가 불가능할 정도로 사소하다. 그러나 기기 수는 아주 많아서 일일이 조치하기가 사실상 불가능하다. 눈에 잘 보이지도 않는 그 쪼매난 물건에다 대고 운영체제 위변조 및 백도어 설치를 방지하고 부정한 비인가 접근을 차단하고 비밀키 유출을 방지하고 애플리케이션 취약점을 탐지해 차단하고 악성코드 감염 시 치료하고 등등등, 이걸 어떻게 하겠나,, 정말 힘든 일이다. 게다가 그런 물건들이 한두 개가 아니다.

작고, 많다. 그러니 도난 및 탈취도 큰 문제다. 따라서 데이터를 수집하되 저장하면 안 되고 송신하되 처리하면 안 된다. 보안의 3대 요소 기밀성 무결성 가용성 뭐 그런 걸 따질 수도 없는 형편인 거다.

세상 모든 사물을 인터넷에 연결했는데, 취약점이 발견되어 기기 업데이트를 해야 한다면, 그건 정말 시작할 엄두조차 나지 않는 어마어마한 일일 거다. 일단 연결하고 취약점이 발견되면 그때 되어서야 보안 조치를 취하는 기존 IT 보안 ‘선연결-후보안’ 방법론을 적용해선 안 되는 이유다. 그래서,

 

IoT는 무조건 ‘선보안-후연결’

 

이거, 아주 심각한 문제다. 예전처럼 그냥 막 연결해선 절대 안 된다. 그럼에도 미래산업 부흥을 위해 일단 띄우고 보자? 그럼 정말 무시무시한 미래가 펼쳐지게 된다. 지금 세상은, 감히 말하건대, 차라리 안전하다. 아직까지는 진짜 아닌 사이버 세계의 위험 정도로 그치고 마니까. 그런데 IoT 세계가 본격적으로 시작되고 그때도 지금처럼 ‘선연결-후보안’ 사후대처 방식으로 안일하게 대처한다면, 그 흔한 사이버 위험들은 고스란히 진짜 세상의 위험이 된다.

IoT는 사람 신체에 직접 영향을 미칠 수 있는 우리 주변 사물들을 동작하게 하는 기술이다. 그 물건들이 오늘날 온갖 사이버 사건사고들처럼 빵빵 터진다면 어떻겠나. 그래서다. 그래서 그 미래, 더디게 와서 차라리 다행이라 말하는 거다. 그래서,

‘선보안-후연결’, 선택이 아닌 필수다.

IoT

홈IoT 노리는 해킹 급증…피해 우려에도 쉬쉬하는 제조사

홈IoT 노리는 해킹 급증…피해 우려에도 쉬쉬하는 제조사

 

스마트홈시장 2019년 23조 전망
보안 허술 땐 사생활 노출 위험
계정 탈취 원격 조정 도·감청도
‘홈IoT 보안가이드’ 강제성 없어
“개발단계부터 보안 강화에 신경
취약점 발견시 즉시 공개 해야”
“주기적인 패치 업데이트 필요” 

 

홈 사물인터넷(IoT) 시대가 열리고 있는 가운데 이를 노린 해킹이 급증하고 있어, 사용자 피해가 우려된다. 특히 취약점 발견 시 기업들은 이를 내부적으로만 감추기에 급급해 사용자 피해가 더 커질 수 있다는 지적이 나온다.

정부는 지난해 9월 마련한 ‘사물인터넷(IoT) 공통 보안가이드’에 이어 지난 7월 개발자들이 설계단계부터 보안성을 확보하기 위한 ‘홈·가전 IoT 보안가이드’를 발표했지만 강제성이 없다. 기업들이 원가 상승 등을 이유로 채택하지 않아도 막을 방법이 없기 때문이다.

1일 한국스마트홈산업협회에 따르면 국내 스마트홈 시장은 지난해 12조5000억원에서 오는 2019년 23조원에 이를 전망이다. 홈IoT는 모바일 기기, 가전 등을 인터넷과 통신으로 연결해 정보를 수집하고 교환하는 플랫폼이다. 집 밖에서 스마트 기기를 이용해 집 안 가전제품을 제어하고 통제할 수 있어 편리하지만, 보안이 허술할 경우 자칫 개인 사생활이 고스란히 노출될 위험이 있다.

세계적으로 IoT 보안표준이 아직 없고 제조사들의 보안 투자가 부족해 해킹 위험이 크다는 지적이다.

실제 보안업체 체크포인트는 최근 LG전자의 홈 허브 IoT 기기인 ‘스마트씽큐'(AI 스피커)에서 보안 취약점을 발견했다. 해커들이 스마트씽큐 모바일앱과 클라우드 애플리케이션의 취약성을 활용, 원격 로그인한 후 사용자 계정을 탈취해 진공청소기와 내장 비디오카메라를 제어할 수 있는 것으로 나타났다. LG전자의 가전제품을 사용하는 수백만명 중 최신 패치 업데이트를 하지 않을 이들은 아직도 위험에 노출돼 있다. LG전자측은 지난 9월 문제를 인지한 후 보안 취약점 조치를 마무리했다.

비단 LG전자만의 문제가 아니다. 위키리크스가 지난 3월 공개한 미 정부 기밀문서에 따르면 CIA(미 중앙정보부)가 삼성전자 스마트TV의 취약점을 활용, 악성코드를 심고 원격조정해 일반인들을 도·감청한 것으로 드러났다. 지난 4월에는 이스라엘 보안업체 ‘에쿠스소프트웨어’가 삼성 스마트폰 일부와 스마트TV 등에 사용되는 타이젠 운영체체(OS)에 40건의 제로데이(알려지지 않은 악성코드) 취약점이 있다는 사실을 밝혀냈다. 삼성전자는 오는 2020년까지 자사 가전제품에 IoT, AI 등 스마트 기능을 탑재할 계획이다.

김덕수 펜타시큐리티 전무는 “IoT 기기 대부분이 사용자가 패치 업데이트를 하도록 하는 사용자 책임 방식으로 돼 있어, 사용자가 주기적인 최신 버전 패치 업데이트를 하는 방법밖에 없다”면서 “최근 사례에서 볼 수 있듯이 해커들은 개별 기기의 취약점보다는 IoT와 연결되는 클라우드 환경의 취약점을 노리고 있어, 제조사들은 애플리케이션·디바이스·클라우드 세 요소 모두를 챙겨야 하는 상황”이라고 말했다. 이어 김 전무는 “대형 제조사는 조직이 커 이들 팀이 별도로 있는데, 세 요소를 모두 점검할 수 있는 조직을 갖출 필요가 있다”고 덧붙였다.

특히 최근 SKT, KT 등 통신사와 네이버, 카카오 등이 AI 스피커를 경쟁적으로 내놓고 있어서 공격 대상은 더 늘어났다. 유럽연합(EU) 산하 유럽소비자단체(BEUC)는 지난달 보고서를 통해 어린이용 스마트워치가 해킹에 취약해 해커에게 통제당하고 GPS를 추적당할 위험성이 있다고 경고하기도 했다.

김도원 한국인터넷진흥원(KISA) 취약점분석팀장은 “기업들은 보안 가이드라인을 철저히 지켜 개발단계부터 시큐어코딩 등 보안을 신경 쓰며 제품을 생산해야 한다”며 “특히 버그 발견 시 빠른 패치와 배포가 중요한데 기업 대부분이 외부 공개를 꺼리고, 공개하더라도 이를 최소화해 이유도 모르는 패치가 대부분인데 적극적으로 공개하는 식의 자세 전환이 필요하다”고 말했다.

 

[기사 원문 보기 – 디지털타임스 http://www.dt.co.kr/contents.html?article_no=2017110202100351041001&ref=naver]

 

n-1-large570

IoT 도어락은 안전 문제 해결부터

n-1-large570

IoT 사물인터넷 기술 적용해 그냥 뭐뭐뭐를 스마트 뭐뭐뭐로 바꾸면 이게 좋고 저게 좋고 싹 다 좋다는 이야기, 흔하다. 상당히 사실이긴 하다만, 뭐든 무조건 좋다는 말은 일단 의심하고 봐야겠지. 하지만 IoT가 누구나 입에 담는 지구적 유행어 된 지 한참인데도 안전 이야기는 보기 드물다.

스마트 뭐뭐뭐들 중 스마트 홈, 그중에 스마트 도어락을 보자. 스마트 홈 그러면 전등, 냉장고, 카메라, TV 뭐 그런 물건들 이야기가 많은데, 가장 중요한 건 스마트 도어락 아닐까. 문을 잠그는 행위는 단순한 동작이지만 그 의미는 아주 특별하다. 개인과 가정의 사생활과 재산 보호 및 방범 그리고 독립성 확보의 상징적 행위니까. “엄마 미워!” 외치고 방문 쾅! 닫고 잠그는 의사표현의 방법이기도 하고. 그 단순하지만 아주 특별한 장치가,

 

인터넷에 연결되면, 스마트

그냥 도어락을 스마트 도어락으로 바꾸면 가족 귀가 상황 확인, 비정상적 출입 경고, 방범 카메라 기능, 언제 어디서든 잠금 상태 확인, 방에서 대문 열기, 부재중 대문 열기 등의 편리함이 있다고 한다. 그래, 편리하겠다. 그게 뭐든 인터넷에 연결하기 전에 무조건 보안부터 챙겨야 하는 ‘선보안-후연결’ 원칙을 잠깐 잊는다면, 그저 좋기만 한 미래상 같아 왠지 흐뭇하기도 하다. 그러나,

자물쇠에 있어 가장 먼저 따질 제1의 스펙은 안전 아닌가. 스마트든 아니든 세상 모든 자물쇠들은 안전을 자랑하며 파는 물건이다. 편리는 안전의 맞교환 대상 아니다. 그러니 얼마나 새롭고 편리한 기능들이 추가되었는지에 앞서 얼마나 더 안전해졌는지부터 볼 일이다. 폰으로 문 열기 등은 모두 안전 다음의 일이다. 이것저것 다 되더라도 아무나 문 막 따면 쓸데없다. 자물쇠의 일은 안전이니까.

그래, 지금 쓰는 그냥 도어락의 안전 문제부터 보자면,

 

디지털 도어락은 한국이 1등

한국만큼 디지털 도어락 많이 쓰는 나라가 없다. 한국사람이 쓴 외국 체류기를 보면 디지털 도어락이 없어서 불편하다는 불평이 많다. “이 나라 사람들은 왜 편리한 디지털 도어락을 안 쓰는 걸까? 역시 한국은 IT 강국!” 뭐 그런.

열쇠라는 구식 아날로그 물건에 대한 정서적 애착이 강해서, 나무 문이 많아서 디지털 도어락을 설치할 수 없기 때문에, 대부분이 임대주택이라 집 주인이 따로 열쇠를 가지고 있어야 하기 때문 등, 옛날 열쇠를 고집하는 이유를 이리저리 추리하기도 한다. 그런 짐작이 대개 그러하듯 일부 사실이고 일부 사실 아니다. 실제 가장 큰 이유는,

디지털 도어락은 안전하지 않다고 의심하기 때문이다. 열쇠와 자물쇠는 일종의 인증 장치, 열쇠라는 인증 수단으로 자물쇠라는 인증 과정을 통과한다. 인증 수단은 크게 ‘가진 것’과 ‘아는 것’으로 나뉘는데, 열쇠는 ‘가진 것’ 그리고 비밀번호는 ‘아는 것’의 상징적 수단이다.

‘가진 것’과 ‘아는 것’ 둘 중 뭐가 더 안전하다고 딱 잘라 말할 수는 없다. 가진 것은 뺏기면 그만이고 아는 것은 들키면 그만이니까. 하지만 ‘아는 것’의 안전 한계에 이르면 결국 ‘가진 것’으로 교체하는 추세는 있다. 은행에서 비밀번호 대신 사용하는 OTP 발생기가 그러하고, 최근 온라인 서비스 인증 수준을 높이기 위해 도입되고 있는 보안 동글 등의 장치가 그러한 예다. 이는 뺏기기보다 들키기가 쉽기 때문이기도 하고, 사고 발생 시 뭐든 물건이 있어야 책임 추궁이 편하다는 계산도 있고, 그래서다.

열쇠가 비밀번호보다 안전하다고 단정할 수는 없다. 과거 디지털 도어락이 불안했던 이유, 이를테면 전기 충격을 가하면 문이 저절로 열린다든지 화재 발생 시 작동 불능 상태가 되어 문을 열고 탈출하지 못한다든지 등 문제들은 지금은 대부분 해결되었다. 그럼에도 여전히 디지털 도어락은 불안하다 여긴다. 아주 이상한 걱정은 아니다. 왜냐면,

 

비밀번호를 누가 본다

몰카 비밀번호 유출 사건이 자주 발생한다. 번호 누르는 걸 훔쳐보고 따고 들어온다. 현관 앞 계단에다 스마트폰을 감춘 담배갑을 세워 둔다든지 뻔히 눈에 띄는 짓을 하는 서툰 자들이나 걸려들지, 좀처럼 발견되지 않는 수법도 많다. 아파트 등 공동주택 복도 천장에는 화재탐지기, 스프링클러, 센서 전등, 방범 카메라, LTE 안테나 등이 어지럽게 붙어 있다. 뭐 하나 더 붙여도 알아차리는 사람도 없다. 그런 모양의 몰카는 인터넷 검색하면 쪼르르 뜬다. 특히 화재탐지기나 스프링클러 등 소방설비로 위장한 카메라는 꽤 잘 팔리는 인기템이다. 게다가,

비밀번호 없어도 들어온다. 문 열 때마다 번호 누르기 귀찮다고 문 닫아도 자동으로 잠기지 않게 수동 설정으로 두고 쓰는 사람들이 있다. 그러다 문 잠그는 걸 깜빡 잊고 그냥 외출한다. 열쇠 안 잠그고 그냥 가는 실수보다 번호 안 누르고 그냥 가는 실수가 더 잦은 건 열쇠라는 구체적 물건을 통한 주의 환기 효과 때문이다. 그래서 문고리 돌려 보고 열리는 집만 터는 도둑도 있다.

자동 잠금이더라도 문 닫은 뒤 잠길 때까지 걸리는 시간이 꽤 긴 것도 문제다. 기껏 몇 초 정도지만 후다닥 들이닥치기엔 충분한 시간이니, 이를 악용한 범죄가 흔하다. 대개 혼자 사는 여성을 노린 성범죄다. 그래서 어떤 도어락은 닫는 즉시 잠기는 기능을 자랑하기도 한다. 애초에 왜 그렇게 만들지 않았는지는 모르겠다만.

그래도 여기까진 조심하기만 하면 뭐 어떻게든 될 일이다. 번호 누를 때 몸과 손으로 번호판을 가린다든지, 겉보기 좀 흉하더라도 번호판 가림막을 설치한다든지, 천장이나 벽에 전에 못 보던 수상한 장치가 추가되었는지 늘 관찰한다든지, 문이 잠길 때까지 문고리를 붙잡고 있는다든지 등, 평소 버릇을 고치면 된다. 하지만 버릇만으로는 해결 못할 문제도 있으니,

 

비밀번호는 하나가 아니다

“깜짝 놀랐어요!” 사례들이 있다. 혼자 쉬고 있는데 누가 문을 열고 들어와 깜짝 놀라 달려가 보니 웬 아저씨가 “아, 죄송합니다!” 그러고 나갔다든지, 아이가 장난으로 도어락 번호판을 띡띡띡 눌렀는데 덜컥 문이 열려서 놀랐다든지 등, 이런 일은 왜 생기는 걸까.

디지털 도어락의 비밀번호는 오직 나 그리고 내 가족만 알고 있는 번호라 믿어 의심치 않지만, 비밀번호는 원래 여러 개다. 사용자용 비밀번호 말고 화재 등 비상상황이 발생하거나 세입자와 연락이 되지 않을 때를 대비해 관리자용 비밀번호가 따로 있다. 관리자용 비밀번호는 집주인뿐 아니라 부동산 중개인도 안다. 열쇠는 아무한테나 막 내주진 않아도 비밀번호는 별뜻 없이 그냥 알려 준다. ‘아는 것’은 ‘가진 것’만큼의 경계심 그리고 책임감을 일으키지 못하기 때문이다. 그러니,

비밀번호 조심하느라 아주 복잡한 번호를 짜고 또 자주 바꾸는 등 별짓을 다 해도 그 번호 말고 다른 번호로 열린다. 관리자용 비밀번호는 그저 귀찮다는 이유로 다른 번호로 바꾸지 않고 그냥 쓰는 사람들이 있다. 공장 출시 비밀번호 ‘1234’ 또는 ‘0000’을 그냥 그대로 쓴다. 그러니 공동주택의 경우 같은 번호로 모든 집 현관을 다 열 수도 있고, 공장 번호만 누르고 다니며 빈 집 터는 ‘1234 도둑’도 있다. 명색이 도둑인 주제에 어렵고 복잡한 짓 안 한다. 그냥 1234 그리고 별표 누른다. 안 열리면 0000 누른다. 띠리링, 열린다.

그런데, 이는 모두 디지털 도어락의 작동에 대해 안다면 미리 조심할 수 있는 일들이다. 그런데도 다들 참 태평하게 아무 걱정 없이 그냥 대충 쓴다. 그러고 보면 우리나라 사람들은 어떤 변화든 참 쉽게 받아들인다. 그리고 “원래 그런 것”이란 말도 즐겨 쓰고. 아니, 이상하잖아, 쉽게 변하니 어제 다르고 오늘 다른데 언제부터 그랬다고 원래 그런 거라 그래,,

그래서,

 

IoT 도어락은 그냥 도어락의 문제 해결부터

어떤 기술이든 기존 기술의 문제를 해결하고 가장 중요한 기능을 더 좋게 만드는 일부터 해야지 그건 안 하고 엉뚱한 말만 잔뜩 늘어놓으면 못쓴다. 새 TV는 헌 TV보다 화질부터 좋아야지, 화질 나빠진 대신에 리모콘 버튼 누르기 편해졌다느니 인터넷에 연결할 수 있다느니 뭐 그런 소리만 해선 안 되는 거다. 골수 안전주의자인 내게 디지털 도어락이 딱 그런 느낌이다.

위 디지털 도어락의 안전 문제들은 IoT 기술을 통해 해결할 수 있다. 블루투스나 RFID 등을 이용해 지정된 단말기를 가진 자만 접근이 가능하게 하고 필요에 따라 제한을 임의로 해제할 수도 있고, 지인이나 부동산 중개인 등 방문객에게는 일회용 비밀번호를 따로 만들어 주고, 스마트폰을 통해 비밀번호 외 다른 인증 방법을 선택할 수 있게 하는 등, 종합해 말하자면 ‘가진 것’과 ‘아는 것’의 적절한 조합을 통해 보다 안전해질 수 있다. 무엇보다도,

IoT 보안에 있어 가장 중요한 기술은 인증이다. ‘가진 것’, 이 스마트폰은 그 스마트폰이 맞나, 이 사물은 믿을 수 있는 사물인가, 즉 사물끼리 통신하며 서로를 확인하는 사물 인증이다. ‘가진 것’이 가짜라면 어떤 조치든 애초에 쓸데없어지니까.

IoT 스마트 홈은 좋은 거다. 대문 잠궜나? 가스불 껐나? 에어콘 껐나? 괜한 걱정 안 해도 된다는 점만 하더라도, 아니 이거, 정말 좋지 않나. 한 번 쭉 달려가 볼 만한 방향이다. 단, 충분히 안전하다면.

profile

[펜타 뉴스레터 9월호] IoT 보안은 모바일 보안이 아니다

penta_govware

펜타시큐리티, 싱가포르 정부 주관 정보보안 행사 ‘거브웨어(GovWare)’ 참가

펜타시큐리티, 싱가포르 정부 주관 정보보안 행사 ‘거브웨어(GovWare)’ 참가

기업정보보안 제품과 IoT 보안 솔루션 모두 선보여
아시아∙태평양 최고보안기업 선정, 웹방화벽 점유율 1위 통해 현지 이해도 높아

IoT∙클라우드∙기업 정보보안 전문기업 펜타시큐리티시스템㈜ (사장 이석우 www.pentasecurity.co.kr 이하 펜타시큐리티)은 지난 9월 19일부터 21일까지 싱가포르 정부에서 주관하는 거브웨어(GovernmentWare)에 참가했다고 밝혔다.

penta_govware

<싱가포르 거브웨어 펜타시큐리티 부스 현장>

펜타시큐리티는 싱가포르 정부에서 개최하는 정보보안 행사 ‘거브웨어’에 참가하여 웹방화벽 와플(WAPPLES), 암호 플랫폼 디아모 (D’Amo), 인증 플랫폼 아이사인플러스 (ISign+) 그리고 IoT 보안 솔루션을 전시했다. 특히 아시아∙태평양 시장에서 웹방화벽 시장점유율 1위와 더불어 최고보안기업으로 선정되었던 실적을 기반으로 싱가포르 현지 관계자들과 파트너십 및 제품 도입에 대한 실질적인 협력방안을 구체화할 수 있었다.

올해로 26번째로 열린 거브웨어는 싱가포르의 정부의 사이버 안전국에서 개최하는 ‘국제 사이버 위크(Singapore International Cyber Week)’ 기간 동안 진행되는 최대 규모의 정보보안 컨퍼런스다. 이번 행사는 ‘파트너십을 통한 안전하고 탄력적인 디지털 미래 구축’ 이라는 주제로 개최되었으며, 100여명 이상의 정부 관계자 및 업계 관계자들이 참석하며 정보 보안에 관한 최신 트렌드 및 기술 구현 방법 등을 논의하는 자리를 갖게 된다. 펜타시큐리티는 지난 2012년과 2014년 거브웨어 연사로 초청되었으며, 올해 처음으로 전시부스를 통해 펜타시큐리티의 솔루션을 소개하게 되었다.

펜타시큐리티는 기업정보보안을 위한 주요 제품인 와플, 디아모, 아이사인플로서와 더불어 자동차∙공장∙에너지∙홈 IoT 보안 솔루션을 통해 수준 높은 IoT 보안 기술도 함께 소개했다.

현재 싱가포르는 ‘스마트 내이션 (Smart Nation)’을 국가 비전으로 삼아, 보다 진보된 기술로 전반적인 생활 수준 상승을 위해 노력하고 있다. 특히 싱가포르 정부는 ‘스마트 내이션’을 위한 우선 과제로 보안이 우선되어야 함을 강조하고 있는데, 이는 펜타시큐리티가 강조하는 ‘선보안 후연결’의 가치와도 상응하고 있어 업계 관계자들과의 상호 이해가 손쉽게 이루어질 수 있었다.

펜타시큐리티 기획실장 김덕수 전무는 “아시아∙태평양 시장 최고 보안 기업 선정 및 웹방화벽 와플의 시장점유율 1위 실적을 기반으로 싱가포르를 실질적인 아태시장의 비즈니스 창구로 안착시키는 것이 2018년 목표다.” 라며 “특히 이번 행사가 전문성과 파트너십을 강조한 만큼, 싱가포르의 IT 산업 전반에서 긴밀한 협력을 이끌어낼 수 있을 것으로 기대하고 있다.” 라고 밝혔다.

 

OLYMPUS DIGITAL CAMERA

싼 게 비지떡, IP 카메라

 

2017-09-22-1506067100-1938966-57_00.jpg

 

“IP 카메라”가 또 털렸다. 그쪽 컴컴한 세계와 전혀 관계 없어 보이는 흔한 대학생과 직장인 몇이서 지난 6개월 동안 일반가정 및 의류매장에 설치된 카메라 1,400여 대의 영상을 녹화하고 배포하다가 적발된 것. 비밀번호 따고 들어간 흔한 ‘디폴트 패스워드’ 사건이다. 그럼에도 이리 뜨거운 화제가 된 건, 털린 곳이 집이기 때문. 노랫말처럼,

 

“집에 있는데도 집에 가고 싶을 거야”

그래, 집이란 그런 곳이다. 집에 있는데도 집에 가고 싶은 곳, 사생활의 집대성이자 마지막 보루. 그런 무조건 은밀해야 할 곳이 털렸으니 이번 사건의 여파가 이리 큰 건 당연한 일이다. 그러니 이 논란엔 지나침이 없다. 엄청 요란하게 호들갑 떨어 온통 어수선하더라도 꼭 바로잡아야만 할 일이다. 집이란 곳은 그래야만 하는 곳이니까.

하지만 혼란 와중에 “이때다!” 달려드는 장사치들이 있다. 그리고 엉뚱한 말로 겁주며 뭘 자꾸 사라고 한다. 대표적인 게 ‘보안칩’ 장사. 이번 사건 경위와 1도 관계 없다. 왜들 이러나, 이 시장은 왜 이리 혼탁한가, 뭘 어떻게 해야 깔끔해질까, 어지럽다. 우선,

 

용어부터 정리해야

일부 보도에서 “가정용 CCTV”란 말을 쓰던데, 잘못이다. CC란 Closed-Circuit, 즉 일반 TV의 개방회로와 달리 특정 대상에게만 한정 제공되는 ‘폐쇄회로’란 뜻이다. 반면 IP란 Internet Protocol, 즉 인터넷으로 연결되었다는 뜻이니 CCTV와는 완전히 다르다. 그걸 자꾸 CCTV라고 부르니 그렇잖아도 헷갈리는데 더 헷갈리게 만드는 꼴. 근데 IP란 말도 어째 좀 어렵다 싶으니 대충 ‘인터넷 카메라’ 정도로 부르면 어떨까.

그리고 CCTV란 말의 뜻도 세월 변화 따라 퇴색해버려 요즘은 뜻하는 바가 보다 명확한 ‘감시카메라’ 또는 ‘방범카메라’라 부르는 추세다. 게다가 CCTV 그러면 중국중앙방송(China Central TV)으로 통하니 이래저래 그 말은 안 쓰는 게 낫겠다.

그리고 이번에 터진 사건은 “해킹”이라 할 만한 짓도 아니다. 그냥 아무데나 들어가 공장 비번 1111 아니면 1234 아무거나 막 눌러 본 거라, 그런 짓까지 해킹이라 한다면, 해커들 섭섭하지,, 이렇듯 용어의 정의와 개념을 혼동하면 이후 대화는 아예 의미가 없어지니 조심할 일이다. 그렇잖아도 안전 의식이 문제라면서 의식의 틀인 용어부터 어지러우니 더욱 노답.

아무튼, 그래서, 구글서 ‘ip c’까지만 쳐도 자동완성 ‘ip camera korea’ 뜬다,,

 

까다로우신 고객님들

당연한 질문이 떠오른다. “공장 비번을 일정 수준의 안전도 확보한 패스워드로 변경하지 않으면 카메라가 아예 작동 안 되게 만드는 등의 조치를 미리 취했어야지!?” 그렇다. “보안은 신경도 안 쓰고 팔고 나면 그만이라는 거냐!” 그만 아니다. 그러나,

공장 입장도 참 난처한 게 제작 공정 추가는 즉 돈인데, 소비자님들께서 ‘가성비’를 그리들 따지시니 싸게 무조건 싸게 단가를 맞춰야 하는데, 뭐든 그냥 싸질 수는 없는 법이니 공정을 뺀다. 무조건 싸게 만들기 위해 이것저것 닥치는 대로 빼되 특히 겉으로 드러나지 않는 보안 관련 공정부터 뺀다. 사고 터지지 않는 한 누가 보안 따위 신경 쓰겠어. 그리고,

적절한 보안 조치 적용해 물건을 만들었다 쳐도 까다로운 소비자님들께서는 이번엔 또 “아니, 이게 왜 안 돼? 그냥 꽂기만 하면 대충 돌아가게 만들지, 왜 이리 고객을 귀찮게 하고 그래!?” 따지신다. “왜 이리 비싸? 저기 저 물건은 싼데!” 화도 내신다. 그러니, 결국 부메랑처럼 되돌아오는 업보다,,

 

보안은 일이고, 일은 돈이 든다

인터넷 카메라, 아니 인터넷에 연결되는 모든 물건에 적용해야 하는 보안 조치는 정말 많다. ‘이딴 초간단한 물건에?’ 싶겠지만, 제아무리 간단해 보이더라도 인터넷에 연결되기만 하면 무조건 꼭 필요한 조치다. 왜냐면,

생활형 IoT 기기들은 표면적으로 하드웨어일 뿐 일종의 앱으로 봐야 하고 앱은 웹으로 연결되니, 보안은 당연한 일이다. 그리고 웹이 앱보다 위험하니 필요한 보안은 겉보기 짐작보다 훨씬 더 많다. 그리고 IoT는 IoT만의 보안이 따로 필요하다. 그리고 무엇보다도 가장 시급한 건 IoT 기술의 이해 아닌가 싶다. (링크 붙이다 보니 어째 잡지 PPL 느낌,,)

당장 필요한 보안 조치들을 떠오르는 대로 쭉 나열해 봐도, 시큐어코딩 취약점제거 물리보안 정기적보안업데이트 정보위변조확인 무결성검증 기기인증 사용자인증 웹어플리케이션보안 전구간데이터암호화 등, 아주 많다. 이게 모두 다 공정이요, 따라서 돈이다. 그럼, 비싸진다. 그런데 비싸면, 안 산다,, 이번에 털린 물건들도 모두 다 중국산 저가품이다.

요즘은 그게 뭐든 제품 관련 문제들의 원인은 모두 다 ‘가성비’란 말로 수렴되지 않나 싶다. 가성비, 가격 대비 성능 비율. 소비자들은 가격 대비 성능을 따진다. 이는 당연한 일이다. 뭐든 싸게 사면 좋지, 까닭 없이 괜히 비싼 걸 누가 사겠어. 그러나,

 

보안도 성능이다

그것도 꼭 필요한 성능이다. ‘안전’이 그러하듯. 당연히 가성비 필수요소로서 따져야.

탈탈 털려 보면 안다. 뭣이 더 중헌지.

0921 SBS CNBC

‘중국서 내 모습 떠돈다’…IP카메라 해킹 방지하려면?

‘중국서 내 모습 떠돈다’…IP카메라 해킹 방지하려면?

 

이번주 가정집이나 의류매장에 설치된 IP카메라 1,400여대가 해킹되어 논란이 일었습니다. 모 포털 사이트에는 계속해서 ‘IP 카메라’ 키워드가 하루 종일 자리잡고 있었는데요. 펜타시큐리티가 SBS CNBC에서 IP 카메라 보안에 대해 이야기 나눴습니다. 자세한 내용은 아래의 링크를 참고하여 주시기 바랍니다.

 

 

 

 

[기사 원문 보기 – SBS CNBC http://sbscnbc.sbs.co.kr/read.jsp?pmArticleId=10000875567]

2017-08-31-1504153118-1941-54_00-thumb

IoT 보안은 모바일 보안이 아니다

2017-08-31-1504153118-1941-54_00.jpg

 

 

사물 인터넷 기술 이야기, IoT 담론이 활발하다는 건 좋은 일이다. 감히 거스를 수 없을 만치 크나큰 전 세계적 변화라면 결국 어떤 모습으로든 맞이할 수밖에 없을 테고, 담론이 활발한 만큼 변화의 충격은 덜하고 잘만 하면 무탈히 매끄럽게 적응할 수도 있을 테니까. 그런데,

IoT의 온갖 문제들, 특히 보안 문제를 기존 모바일 보안의 일종에 불과한 것인양 쉽게 말하고 그에 따른 위험만 경고하는 글들이 많아 염려스럽다. 그런 ‘오해’는 글쓴이가 의도한 바 위험 경고 효과도 없을뿐더러 상황을 잘못 그림으로써 오히려 위험을 더 크게 만드는 일이기도 하다. 어떤 큰 변화에 적절히 대응하려면 기존과 아예 다른 사고방식의 변화부터 필요하고, IoT도 물론 그러하다. 이에 중요하다 생각되는 몇 가지 오해들을 짚어 본다.

 

IoT 보안은 모바일 보안과 다르다.

어째서 IoT 보안을 모바일 보안의 일부로만 보는 걸까. 사물 인터넷의 ‘사물’을 무엇으로 보는지, 정체성 문제겠다. 지금은 그저 스마트폰에 연결하는 물건 정도의 뜻. 이를테면, IoT의 대표선수 ‘커넥티드 카’도 그저 스마트폰에 연결해 사용하는 보조적 장치쯤으로 보기도 한다. 아직까진 스마트폰에 연결해 사용하는 ‘테더링’ 방식이 많아서 그럴 텐데, 자동차가 독자적으로 인터넷에 연결되는 ‘임베디드’ 방식의 보급은 지금도 급속히 늘고 있고 머지않아 대세란 말도 초월해 원래 그런 것으로 당연하게 여겨지게 될 것이다. 그럼 저절로 자동차와 전화기는 별개의 것으로 인식되게 될 테니, 자동차 보안을 모바일 보안의 부가적 단편쯤으로 여기는 일은 짧은 과도기적 현상일 뿐일지도 모르지만 이거, 그리 쉽게 볼 일은 아니다. 왜냐면,

IoT 보안을 그저 모바일 보안의 일종으로 본다면, 그리고 그런 인식에 따라 기술이 개발되고 적용된다면, IoT 보안은 지금도 철철 넘쳐 감당 못하는 모바일 보안의 문제를 그대로 이어받게 된다. IoT 보안은 모바일 보안과 달리 애초에 안전하게 설계되어야 한다. 지금의 모바일 보안처럼 취약점을 발견하고 패치를 통해 해결하는 식의 안일한 태도는 절대 금물이다. 애초에 IoT와 모바일은,

 

설계에서부터 접근 방법이 다르다.

스마트폰이란 물건은 간단히 말해 전화가 되는 컴퓨터다. 컴퓨터란 대개 일반적인 도구다. 사용자가 각자 자기 필요에 따라 어플리케이션을 선택적으로 사용함으로써 그 컴퓨터의 용도가 결정된다. 예전엔 ‘OO 전용 컴퓨터’란 말도 흔히 들을 수 있었지만, 그래서 CG 전용 컴퓨터 같은 건 값이 억대에 이르기도 했지만, 기술이 충분히 발전한 요즘은 뭐 그런 거 없다. 누가 어떤 목적에 따라 어떤 어플리케이션을 쓰느냐, 사용자 각자 결정의 문제일 뿐. 반면, IoT는 대개 특수한 도구다. 어떤 목적에 따라 만들어지고 그 목적으로만 사용되어야 한다. 왜?

여러 이유가 있지만 가장 큰 이유는, 사람의 안전 때문이다. 기존 컴퓨터는 주로 추상적 정보만을 다루기 때문에 혹시 문제가 생기더라도 가장 큰 문제, 즉 사람의 안전에 직접 관계된 문제가 일어날 일은 거의 없다. 그러나 컴퓨터가 추상적 정보가 아니라 구체적 사물을 다루게 되면 안전 문제가 치명적으로 부각되게 된다. 이를 도식적으로 단순화해 보자면, 정보를 다루는 IT(Information Tech) 그리고 사물을 다루는 OT(Operation Tech)의 차이로 볼 수 있고, 다시 말해 IoT는 IT와 OT의 결합이라 할 수 있다. 당연한 말이지만 OT는 IT에 비해 보안, 즉 안전의 기준이 훨씬 더 높다. 따라서,

 

IoT는 IT지만 OT로 봐야 한다.

보안 문제가 지금껏 그래왔듯 추상적인 정보를 다루는 일에 대한 안전 문제가 아니라 구체적이고 물리적인 사물을 다루는 일에 대한 안전 문제이기 때문이다. 그 사물이, 자동차처럼 크고 무겁고 빠른 사물이라면.. 해킹이란 말의 의미가 전과 완전히 다른 차원, 즉 사람의 목숨이 걸린 문제로까지 훌쩍 치솟는다. 그렇기 때문에라도 IoT 보안을 기존 IT 시스템 보안, 특히 모바일 보안과 동일시해선 안 될 일이다.

거듭 강조하는 바, IoT 보안은 취약점이니 뭐니 그런 것들 따지는 일이 아니고 아니어야만 한다. 애초에 취약점이 없게끔 설계해야 하는 일이라 그런 여유 부릴 틈도 없다. 그것이, IoT 보안의 제1의 원칙 ‘선보안 후연결(Secure First, then Connect)’ 개발 원칙이다. 커넥티드 뭐뭐뭐들의 가장 큰 문제는 커넥션일까. 아니, 보안 즉 안전이다. 그런데,

 

해커가 따로 있지 않다.

지금까지 해커는 그냥 범죄자였다. (‘화이트 해커’ 등의 말들은 일단 무시하기로 하자.) 국가 정보기관 그리고 무선통신 모듈을 몰래 탑재한 전기주전자를 다른 나라 주요 호텔에 납품한다든지 등 참 희한한 방법으로 정보기관과 결탁해 암약하던 컴컴한 회사 등 특이한 변종들도 있긴 하지만 어쨌든 다 범죄자들이다. 그러나 IoT 해킹, 특히 자동차처럼 사람들 관심이 집중되는 사물의 해킹은 관계된 자 모두 다 해커가 될 수 있고, 심지어 소유자도 그러하다.

우선 제조사의 해킹, 한창 요란했던 독일 폭스바겐의 ‘디젤 게이트’ 사건이 그러하다. 그 일을 부품 교체 등 하드웨어 문제로 오해하는 사람들도 있지만, 소프트웨어 해킹 사건이다. 디젤 게이트란, “클린 디젤!” 외치며 디젤 자동차를 광고하던 폭스바겐이 검사 주행인지 일반 주행인지를 판단해 검사 주행이다 싶을 때만 질소산화물 배출량을 낮추는 일종의 치팅 소프트웨어를 차에다 탑재했던 사건이다. 일반적 매연 기준치의 수십 배 오염물질을 막 내뿜고, 리콜 받아 타고 다녀도 자동차 수명이 단축되는 등 최악의 짓을 저질렀던 것. 워낙 큰 기업이다 보니 이런저런 복잡한 어른의 사정까지 더해져 수사도 제대로 진행되지 않아 백 년 쌓은 명성이 일순간에 송두리째 무너진 판국이다. 도대체 왜 그랬는지 정말 모르겠다,,

그리고, 자동차 기술이 점차 고도화됨에 따라 중요성이 급부상하게 될 정비소도 마찬가지, 경쟁을 위해 차에다가 무슨 짓을 저지를지 모른다는 위험이 있다. 심지어,

 

사용자가 해커일 수도 있다.

해킹이 ‘튜닝’처럼 될 위험이 있다. 튜닝은 기계의 성능이 나의 성능이라고 믿는 좀 딱한 심리 때문에라도 절대 사라지지 않을 마약 같은 충동이다. 지금은 거친 사내들의 소소한 취미 정도의 뜻이고 그래서 ‘마개조’ 등 장난스러운 말이 오가기도 하지만, 자동차의 소프트웨어적 성질이 커짐에 따라 뜻이 변하게 된다. 마치 컴퓨터의 CPU나 그래픽카드를 오버클러킹 하듯 자동차 튜닝도 오남용될 위험이 있다. 컴퓨터 부품의 기본 연산 속도인 클럭을 사용자가 임의로 끌어 올리는 오버클러킹, 그거 정말 참기 힘든 유혹이긴 하다. 하지만 컴퓨터 오버클러킹은 자칫 회로가 홀라당 타 버려도 자기 손해로 그치고 그 피해도 그냥 새 거 사면 그만인 수준이지만, 자동차는 그렇지 않다. 사람이 죽거나 다친다. 나 말고 다른 사람도.

부품 조립산업 쪽에서는 공정 효율을 위해 동일한 하드웨어에 대해 소프트웨어적으로 성능을 제한함으로써 제품군의 가격대를 나누기도 한다. 주로 전자제품 쪽에서 흔히 볼 수 있는 일인데, 이제 자동차도 전자제품으로 봐야 하니 이도 예의주시할 일이다. 지금 전자제품들이 그러하듯 전 세계 아마추어 자동차 해킹 대회가 열리게 될 수도 있다,, 음향 장비 등 흔하고 사소한 물건이라면 몰래 즐기는 소소한 취미일 뿐이라고 우길 수도 있겠지만, 자동차처럼 나 말고 남의 인생에까지 영향을 미칠 수 있는 물건이라면 완전히 다른 이야기가 된다. 자동차는 예일 뿐, 사물을 다루는 IoT 전반에 대해 그러하다. 따라서,

 

개조 단속이 달라지고, 절대불가 영역도 정해야 한다.

단속 기준과 방법이 달려져야 한다. 지금까지는 지적재산권 등 제조사의 권리 보호를 위한 단속이 주였다면, 앞으로는 임의 개조의 위험 차단을 위한 단속이 되어야 한다. 서로 크게 문제 될 게 없다는 안일한 태도로 모든 요소가 순정 상태일 거라는 전제 하에 정기적 검사 등 단속을 하고 제조사의 서비스 기준도 그러한데, 이는 보안의 가장 심각한 문제인 “이상 무!” 확신과도 비슷하다. 오직 해킹 방어에만 집중하며 ‘해킹은 없다’는 전제에 따라 보안정책을 세우지만, 당연한 말이다만 해킹은 있다, 것도 아주 많다. 그러니 사고 발생 시 사고가 발생했다는 사실 자체를 모르게 되거나 알더라도 원래 상태로 되돌리는 회복력이 떨어지는 등, 순진한 확신은 보안의 가장 심각한 문제다. 현실을 제대로 인식해야.

그리고, 건드릴 수 있긴 하지만 우리 이것만큼은 건드리지 않기로 해요 식의 합의는 당연히 깨지기 마련이니, 아예 못 건드리는 영역도 지정해야 한다. 결국 IoT 보안은 순정 영역에 대한 확실한 지정인 듯싶다. 절대 건드려선 안 되고 건드리고 싶어도 건드릴 수 없는 영역. 이 또한 IoT 보안의 ‘선보안 후연결(Secure First, then Connect)’ 원칙의 바탕이다.

 

지금도 복잡한 책임 문제가 훨씬 더 복잡해진다.

법적 책임의 문제, 정말 어렵지만 어떻게든 풀어야 할 숙제다. 예를 들어, 자율주행 자동차 사고 시 그 책임은 누구에게 따질까. 자동차 제조사? 프로그래머? 운전자? 아니면, 자동차? 책임 문제가 지금보다 훨씬 더 복잡해져, 자동차의 기술적 문제인지 운전자의 과실 문제인지를 따지는 법정 다툼의 양상도 크게 달라진다. 모든 법적 문제는 결국 사람 중심으로 해결하는 전통이 있다. 그래서 조직 대 조직의 문제도 조직을 ‘법인’이라는 이름으로 인격화해서 사람 대 사람 문제로서 해결한다. 그러니 이 문제는 결국 기계의 인간성 문제로 풀어야 할 지도 모르겠다. 그럼, 법인 말고, 기인?

IoT 보안 이거, 엄청나게 복잡한 문제다. 뭐 그런 미래가 오고 있다고들 하니 그냥 그런가 보다 여기고 말 일이 아니다. 일상생활의 바탕 사고방식 자체를 바꿔야 할 판이라 사회 각계각층의 관심이 절실한데도 왜 이리들 한가한지, 정말 모르겠다. 이거, 엄청나게 심각한 문제인데,,

사물인터넷 보안

생활에 밀접한 ‘사물인터넷’…사용자 보안 방안은?

생활에 밀접한 ‘사물인터넷’…사용자 보안 방안은?

 

IoT는 여러 가지 사물들이 인터넷에 연결된다는 뜻의 Internet of Things 의 약자입니다. 최근  TV, 냉장고, 카메라, 스피커는 물론 도어락, 전등, 보일러 등이 인터넷에 연결돼서 편리함을 주고 있습니다. 또 산업분야에서는 자동차나 원격검침기라든가, 공장에서도 IoT를 만날 수 있습니다. 전 세계 사물인터넷 기기는 올해 84억대에서 내년에는 111억대로 증가할 전망입니다. 펜타시큐리티가 SBS CNBC에 출연하여 사물인터넷 보안에 대해 이야기했습니다. 자세한 내용은 아래의 동영상을 참고하여 주시기 바랍니다.

 

 

[기사 원문 보기 – SBS CNBC http://sbscnbc.sbs.co.kr/read.jsp?pmArticleId=10000870684]

977202_20170721142930_089_0001

이석우 펜타시큐리티 사장 ‘先보안 後연결 시대 연다’

“先 보안 後 연결(Secure First, Then Connect)’ 시대를 연다.”

21일 창립 20주년을 맞은 펜타시큐리티시스템은 사물인터넷(IoT)·클라우드·자동차 보안을 차세대 사업으로 육성한다.

이석우 펜타시큐리티시스템 사장은 “모든 것이 연결되는 시대에 기기 개발이나 서비스에 앞서 보안문제를 해결해야 한다”면서 “先보안 後연결이 4차 산업혁명 시대 초연결사회 필수조건”이라고 강조했다.

펜타시큐리티는 1997년 창업 후 20년간 암호와 웹 보안 기술을 두 축으로 성장했다. 웹방화벽 ‘와플’은 국내 시장 점유율 1위다. 암호플랫폼 ‘디아모’ 역시 DB암호 시장을 선도했다. 2012년부터 3년 연속 나라장터 DB암호화 부문 점유율 1위를 차지했다. 펜타시큐리티는 와플과 디아모를 개발하며 암호와 웹 애플리케이션 보안 원천 기술을 축적했다. 이를 기반으로 펜타시큐리티 2.0 시대를 IoT, 클라우드, 자동차 보안에서 모색한다.

 

펜타시큐리티는 아무도 자동차 보안에 관심을 갖지 않던 7년 전부터 기술 연구를 시작해 스마트카 보안솔루션 ‘아우토크립트’를 개발했다. 스마트팩토리 보안 솔루션도 내놨다. 스마트팩토리에 들어가는 IoT 기기 보안성을 보장하는 솔루션이다. 2010년부터 클라우드용 웹방화벽, 암호화, 인증 보안을 하나씩 출시했으며 지난해 펜타 클라우드 시큐리티로 통합했다.

 

펜타클라우드시큐리티

<펜타 클라우드 시큐리티(Penta Cloud Security)>
 

이 사장은 “이미 2014년부터 펜타시큐리티 재설계를 시작했다”면서 “20주년이 되는 올해까지 3년에 걸쳐 기술과 비즈니스 체계, 마케팅 등에 변화를 완성한다”고 말했다.펜타시큐리티가 신기술 개발과 시장 진출이 빠른 건 기업 문화에서 비롯된다. 이 사장은 “회사는 전략보다 문화가 중요하다”면서 “지난 20년간 실패하더라도 새로운 기술에 도전할 수 있는 문화를 만들었다”고 설명했다.

그는 “그동안 도전한 많은 기술 중에 실패한 사례도 많지만 이 역시 새로운 자산으로 재탄생한다”고 덧붙였다. 이 사장은 기업이 실패 위험을 두려워하면 새로운 기회를 얻을 수 없다고 강조했다. 펜타시큐리티는 전체 240명 중 100명이 연구원이다.

많은 보안기업은 기존 솔루션 외 신성장 동력 확보에 어려움을 토로한다. 내부 개발보다 인수합병(M&A)에 눈 돌리는 이유다.

이 사장은 “’실패해도 괜찮다’란 문화를 만들자 자연스럽게 신성장 동력을 개발하게 됐다”면서 “다양한 분야로 분화할 수 있는 기술개발이 펜타시큐리티의 현재와 미래까지 담보한다”고 말했다.

 

[기사 원문 보기- CIOBIZ+ http://ciobiz.etnews.com/20170721120017]