우리는 안전하지 않은 사물 인터넷(IoT)을 만들고 있습니까? 보안 문제 및 우려 사항

사물 인터넷(IoT)은 수년 동안 업계 화두였지만 느린 개발과 제한된 상업화로 인해 일부 업계 관찰자들은 이를 "무의 인터넷(Internet of NoThings)"이라고 부르기 시작했습니다.

두 가지 말장난은 제쳐두고 IoT 개발은 곤경에 처해 있습니다. 대부분의 사교 행사에 적합하지 않은 괴짜 농담을 낳는 것을 제외하고는 과대 광고가 도움이 되지 않았습니다. 그리고 사실 저는 그것이 실제로 득보다 실이 훨씬 더 많다고 믿습니다. IoT에는 몇 가지 문제가 있지만 모든 긍정적인 적용 범위와 근거 없는 과대 광고는 우리가 없이는 할 수 있는 문제입니다. 더 많은 관심을 불러일으키는 이점은 분명합니다. 더 많은 투자, 더 많은 VC 자금 조달, 더 많은 소비자 관심이 있습니다.

그러나 여기에는 조사 수준이 추가되어 많은 단점이 고통스럽게 분명해졌습니다. 2년 동안의 낙관적인 예측과 큰 약속 후에 IoT 보안이 가장 큰 관심사가 된 것 같습니다. 2015년의 처음 몇 주는 이 신흥 산업에 호의적이지 않았으며 대부분의 부정적인 언론은 보안을 중심으로 했습니다.

정당화 되었습니까? 수년간의 과대 광고로 인해 발생한 "공포, 불확실성 및 의심"(FUD)이었습니까? 그것은 둘 다의 약간이었습니다. 일부 문제는 과장되었을 수 있지만 문제는 실제로 매우 현실적입니다.

"IoT의 해"에서 IoT를 위한 Annus Horribilis까지

많은 평론가들은 2015년을 “IoT의 해”라고 묘사했지만, 지금까지는 나쁜 언론의 해였습니다. 물론 앞으로 10개월이 더 남았지만 부정적인 보고가 계속해서 쌓이고 있습니다. 보안 회사인 Kaspersky는 최근 “ Internet of Crappy Things ”라는 제목으로 IoT 보안 문제에 대한 맹렬한 비판을 가했습니다.

Kaspersky는 IoT 비판과 논란에 낯설지 않습니다. 이 회사는 해킹된 스마트 홈, 세차장 및 경찰 감시 시스템의 예를 뒷받침하면서 한동안 경보를 울리고 있습니다. 해커가 무료로 차를 세차하고 싶어하든 피트니스 트래커를 사용하여 누군가를 스토킹하려고 하든 IoT 보안 결함이 이를 가능하게 할 수 있습니다.

Wind River는 2015년 1월 IoT 보안에 대한 백서를 발표했으며 보고서는 냉정한 소개로 시작됩니다. Searching For The Silver Bullet 이라는 제목의 이 책은 문제를 단 세 단락으로 요약합니다. 이를 몇 가지로 요약하겠습니다.

• 보안은 IoT의 기반이 되어야 합니다.
• 현재 장치에서 IoT의 보안을 구현하는 방법에 대한 합의가 없습니다.
• 일반적이고 비현실적인 기대는 25년 간의 보안 발전을 새로운 IoT 장치로 압축하는 것이 어떻게든 가능하다는 것입니다.
• 위협을 효과적으로 완화할 수 있는 총알은 없습니다.

그러나 좋은 소식이 있습니다. 지식과 경험은 이미 존재하지만 IoT 장치의 고유한 제약 조건에 맞게 조정해야 합니다.

불행히도 시스템 보안 개발자는 여기서 또 다른 문제인 하드웨어 문제를 발견하게 됩니다.

미국 연방거래위원회(Federal Trade Commission)의 에디스 라미레즈(Edith Ramirez) 의장은 올해 초 라스베이거스에서 열린 CES(Consumer Electronics Show)에서 일상적인 장치에 센서를 내장하고 우리가 하는 일을 기록하게 하는 것은 엄청난 보안 위험을 초래할 수 있다고 경고했습니다.

Ramirez는 IoT의 미래에 대한 세 가지 주요 과제를 설명했습니다.

• 유비쿼터스 데이터 수집.
• 소비자 데이터가 예기치 않게 사용될 가능성이 있습니다.
• 보안 위험이 높아졌습니다.

그녀는 기업이 보안 중심 접근 방식을 채택하고 IoT 장치가 수집하는 데이터의 양을 줄이고 투명성을 높이고 소비자에게 데이터 수집을 거부할 수 있는 선택권을 제공함으로써 개인 정보를 강화하고 안전한 IoT 장치를 구축할 것을 촉구했습니다.

Ramirez는 계속해서 IoT 장치 개발자가 사이버 공격으로부터 장치와 서비스를 보호하는 방법에 대해 생각하는 데 시간을 보내지 않았다고 말했습니다.

Ramirez는 "연결된 많은 장치의 작은 크기와 제한된 처리 능력으로 인해 암호화 및 기타 강력한 보안 조치가 억제될 수 있습니다."라고 말했습니다. “게다가 일부 연결된 장치는 비용이 저렴하고 기본적으로 일회용입니다. 그러한 유형의 장치에서 취약점이 발견되면 소프트웨어를 업데이트하거나 패치를 적용하는 것이 어려울 수 있으며, 심지어 소비자에게 수정 사항에 대한 뉴스를 받기도 어려울 수 있습니다.”

Ramirez는 대부분의 면에서 눈에 띄지만 인터넷은 20년 전에 비슷한 단계를 거쳤습니다. 많은 보안 문제가 있었고 90년대에는 인터넷 기반 맬웨어, DDoS 공격, 정교한 피싱 등이 출현했습니다. 할리우드는 일부 영화에서 디스토피아적인 미래를 묘사했지만 소셜 네트워크의 새끼 고양이와 여기저기서 세간의 이목을 끄는 보안 침해 사고가 발생했습니다.

인터넷은 여전히 ​​안전하지 않으므로 IoT도 안전하다고 기대할 수 없습니다. 그러나 보안은 새로운 도전 과제를 해결하기 위해 끊임없이 진화하고 있습니다. 우리는 이전에도 보았고 IoT 및 후속 연결 기술을 통해 다시 보게 될 것입니다.

IoT 하드웨어는 문제이며 앞으로도 계속 문제가 될 것입니다.

FTC 사장이 언급한 하드웨어 문제가 해결될 것이라고 생각하는 사람도 있을 것입니다. 예, 그들 중 일부는 아마도 그럴 것입니다.

IoT 시장이 성장함에 따라 더 많은 투자를 보게 될 것이고 하드웨어가 성숙할수록 보안이 향상될 것입니다. Intel 및 ARM과 같은 칩 제조업체는 보안이 시장 차별화 요소가 될 수 있기 때문에 새로운 세대마다 더 나은 보안을 제공하기 위해 열심일 것입니다.

기술은 항상 발전하는데 왜 안 될까요? 새로운 제조 프로세스는 일반적으로 더 빠르고 효율적인 프로세서로 이어지며 조만간 격차가 줄어들어 개발자에게 더 나은 보안 기능을 구현하기에 충분한 처리 능력을 제공합니다. 그러나 이것이 현실적인 시나리오인지 확신할 수 없습니다.

무엇보다도 IoT 칩은 작고 일반적으로 구식 아키텍처를 기반으로 하기 때문에 큰 돈을 벌지 못할 것입니다. 예를 들어, 1세대 Intel Edison 플랫폼은 본질적으로 동일한 CPU 명령어 세트와 고대 Pentium P54C 설계의 많은 부분을 사용하는 Quark 프로세서를 기반으로 합니다. 그러나 차세대 Edison 마이크로컴퓨터는 오늘날 많은 Windows 및 Android 태블릿에 있는 Atom Silvermont 코어를 기반으로 하는 훨씬 빠른 프로세서를 기반으로 합니다. (Intel은 2014년에 ~4,600만 개의 Bay Trail SoC를 출하했습니다.)

표면적으로는 IoT 장치에서 비교적 현대적인 64비트 x86 CPU 코어로 끝날 수 있지만 저렴하지 않고 여전히 가장 작은 ARM 코어보다 훨씬 더 복잡하므로 더 많은 배터리가 필요합니다. 힘.

FTC의 가장 큰 관심사로 보이는 저렴한 일회용 웨어러블 기기는 적어도 머지 않아 이러한 칩으로 구동되지 않을 것입니다. 소비자는 스마트 냉장고나 터치스크린이 있는 세탁기와 같은 일부 스마트 제품에서 Intel Atoms 또는 ARMv8 칩과 같은 더 강력한 프로세서를 사용하게 될 수 있지만 디스플레이가 없고 배터리 용량이 제한된 일회용 기기에는 비실용적입니다.

다양한 IoT 장치에 대한 완전한 플랫폼 또는 참조 설계를 판매하면 칩 제조업체가 더 많은 수익을 창출하는 동시에 더 많은 표준화 및 보안을 도입하는 데 도움이 될 수 있습니다. 업계에 마지막으로 필요한 것은 표준화되지 않은 장치와 더 많은 파편화입니다. 이것은 논리적이고 건전한 접근 방식처럼 들릴 수 있습니다. 개발자는 결국 더 적은 수의 플랫폼과 보안을 위해 더 많은 리소스가 할당될 것이기 때문입니다. 그러나 보안 위반은 더 많은 수의 장치에도 영향을 미칠 것입니다.

돈이 쏟아지고, 분석가는 여전히 낙관적입니다. 무엇이 잘못될 수 있습니까?

기술 산업에서 문제를 해결하는 가장 일반적인 방법 중 하나는 단순히 돈을 던지는 것입니다. 그렇다면 기술보다는 자금의 관점에서 지금 우리가 서있는 위치를 봅시다.

리서치 회사인 IDC와 Gartner에 따르면 IoT는 10년 말까지 데이터 센터 산업을 변화시킬 정도로 성장할 것입니다. Gartner는 IoT 시장이 2020년까지 260억 개의 장치가 설치되어 데이터 센터 및 하드웨어 제조업체에서 개발자 및 설계자에 이르기까지 모든 당사자에게 엄청난 기회를 제공할 것으로 예상합니다. IDC는 또한 IoT 산업이 2010년 말까지 "수십억 개의 장치와 수조 달러"로 끝날 것으로 예상합니다.

2014년 5월에 발표된 Gartner의 최신 IoT 시장 예측에는 잠재적인 문제 목록도 포함되어 있으며 그 중 일부는 이미 다루었습니다.

• 보안: 자동화 및 디지털화가 증가함에 따라 새로운 보안 문제가 발생합니다.
• 기업: 보안 문제로 인해 안전 위험이 발생할 수 있습니다.
• 소비자 개인 정보 보호: 개인 정보 침해의 가능성.
• 데이터: 빅 데이터와 개인 데이터 모두에 대해 많은 데이터가 생성됩니다.
• 스토리지 관리: 업계는 비용 효율적인 방식으로 데이터를 처리할 방법을 찾아야 합니다.
• 서버 기술: 서버에 대한 더 많은 투자가 필요할 것입니다.
• 데이터 센터 네트워크: WAN 링크는 휴먼 인터페이스 애플리케이션에 최적화되어 있으며, IoT는 데이터를 자동으로 전송하여 패턴을 크게 바꿀 것으로 예상됩니다.

이러한 모든 사항(및 그 이상)은 조만간 상당한 비용을 들여 해결해야 합니다. 우리는 더 이상 작은 IoT 칩과 그러한 칩을 기반으로 하는 값싼 장난감에 대해 이야기하지 않습니다. 이것이 인프라입니다. 이것은 서버 CPU, 값비싼 DDR4 ECC RAM 및 더 큰 SSD에 있는 많은 실리콘이며, 모두 더 큰 데이터 센터의 값비싼 서버에 들어 있습니다.

그것은 빙산의 일각일 뿐입니다. 업계는 대역폭 문제, 데이터 관리 및 개인 정보 보호 정책, 보안을 해결해야 합니다. 그렇다면 Gartner의 IoT 과제 목록의 맨 위에 있는 보안을 위해 얼마나 많은 돈이 남을까요?

이미 많은 돈이 업계에 쏟아지고 있고 VC가 참여하고 있으며 투자 속도가 빨라지고 있는 것으로 보입니다. 또한 Google, Qualcomm, Samsung, Gemalto, Intel 등과 같은 대기업을 포함하는 다수의 인수가 있었습니다. Postscapes에 IoT 관련 투자 목록이 있습니다. 이러한 많은 투자, 특히 VC에서 오는 투자의 문제는 그들이 잠재적으로 놀라운 ROI를 가진 곧 출시될 수 있는 장치인 "빛나는" 것에 초점을 맞추는 경향이 있다는 것입니다. 이러한 투자는 기본적으로 IoT 수요를 따라가야 하는 보안이나 인프라에 별로 도움이 되지 않습니다.

빅 플레이어는 VC가 지원하는 신생 기업과 장난감 제조업체가 아니라 무거운 짐을 들어야 합니다. 민첩하고 혁신적인 스타트업은 채택을 촉진하고 수요를 창출함으로써 확실히 큰 역할을 할 것이지만 모든 것을 할 수는 없습니다.

이렇게 생각해보자. 작은 회사라도 자동차, 수만 대의 자동차를 만들 수 있지만 고속도로, 도로, 주유소, 정유소를 만들 수는 없습니다. 그 작은 회사가 기본 도로 안전 표준을 충족하는 기성품 기술을 사용하여 안전한 차량을 만들 수 있지만 동일한 안전 표준을 충족하는 세그웨이와 같은 차량은 만들 수 없었고 다른 누구도 할 수 없었습니다. 자동차 안전 표준은 그러한 차량에 적용할 수 없으며, 통근하는 사람들이 세그웨이로 출근하는 것을 볼 수 없으므로 기존 기술 보안 표준이 저전력 IoT 장치에도 적용될 것으로 기대할 수 없습니다.

출퇴근 시간 교통 체증을 통해 세그웨이를 타는 동안 통근자가 이메일을 확인하거나 Candy Crush를 재생하는 것은 그다지 안전하지 않은 것 같습니까? 그렇다면 훨씬 더 강력한 하드웨어와 성숙한 운영 체제를 갖춘 IoT 장치가 다른 연결된 장치만큼 안전할 것으로 기대해야 하는 이유는 무엇입니까? 이상한 비유일 수 있지만 결론은 IoT 장치가 완전한 기능을 갖춘 컴퓨터와 동일한 보안 표준을 준수할 것으로 기대할 수 없다는 것입니다.

하지만 잠깐, IoT 보안 문제는 그렇게 많지 않았습니다…

사실, 우리는 눈에 띄는 IoT 보안 침해에 대한 헤드라인을 많이 보지 못하지만 이렇게 표현하겠습니다. Android Wear에 대해 얼마나 많은 보안 관련 헤드라인을 보았습니까? 하나? 둘? 없음? 야생에 있는 Android Wear 기기는 100만 개 미만으로 추정되므로 해커나 보안 연구원의 주요 대상이 아닙니다.

귀하는 현재 몇 개의 IoT 기기를 소유하고 사용하고 있습니까? 귀하의 비즈니스는 얼마나 사용합니까? "Internet of NoThings"라는 농담이 나오는 곳입니다. 대부분의 사람들은 아무 것도 갖고 있지 않습니다. 숫자는 계속 증가하고 있지만 일반 소비자는 많이 구매하지 않습니다. 그렇다면 그 성장은 어디에서 오는 것일까요? IoT 장치가 있고 그 수는 소비자 시장이 아닌 기업이 주도하여 급증하고 있습니다.

Verizon과 ABI Research는 작년에 12억 개의 서로 다른 장치가 인터넷에 연결된 것으로 추정하지만 2020년까지 54억 개의 B2B IoT 연결을 예상합니다.

스마트 팔찌, 토스터 및 개 목걸이는 보안 관점에서 큰 문제가 아니지만 Verizon의 최신 IoT 보고서는 좀 더 흥미로운 것, 즉 기업에 초점을 맞추고 있습니다.

제조 부문에서 Verizon의 M2M(Machine-to-Machine) 연결 수는 2013년에서 2014년 사이에 204% 증가했으며 금융 및 보험, 미디어 및 엔터테인먼트, 의료, 소매 및 운송이 그 뒤를 이었습니다. Verizon 보고서에는 다양한 산업 분야의 IoT 동향 분석이 포함되어 있어 사물의 비즈니스 측면에 대한 통찰력을 제공합니다.

보고서의 전반적인 분위기는 낙관적이지만 여러 가지 보안 문제도 나열되어 있습니다. Verizon은 에너지 산업의 보안 침해를 "상상할 수 없는" 것으로 설명하고 IoT 보안을 제조에서 "최고"로 설명하며 의료 및 운송의 잠재적 위험을 제기하지 말자.

안전한 사물 인터넷은 언제 어떻게 얻을 수 있습니까?

IoT 보안 문제를 어떻게 또는 언제 해결할 수 있는지에 대한 확실한 답변을 제공하지 않겠습니다. 업계는 여전히 답을 찾고 있으며 갈 길이 멉니다. 최근 연구에 따르면 현재 사용 가능한 대부분의 IoT 장치에는 보안 취약점이 있습니다. HP는 IoT 장치의 70%가 공격에 취약하다는 사실을 발견했습니다.

성장은 많은 기회를 제공하지만 IoT는 아직 성숙하지 않거나 안전하지 않습니다. 수백만 개의 새로운 장치, 하드웨어 끝점, 수십억 줄의 코드를 추가하고 부하를 처리하기 위한 더 많은 인프라를 추가하면 지난 20년 동안 경험한 어떤 것과도 비교할 수 없는 방대한 문제가 발생합니다.

그렇기 때문에 나는 낙관론자가 아닙니다.

나는 업계가 IoT에 많은 보안 교훈을 적용할 수 있다고 믿지 않습니다. 내 생각에 인터넷 비유는 오류입니다. 90년대의 인터넷은 그렇게 엄청나게 다른 유형의 하드웨어를 다룰 필요가 없었기 때문입니다. 보안에서 암호화를 사용하고 클록 사이클을 낭비하는 것은 큰 x86 CPU나 ARM SoC에서는 문제가 되지 않지만, 처리 능력의 일부와 전력 소비 범위가 훨씬 다른 작은 IoT 장치에서는 같은 방식으로 작동하지 않습니다.

더 큰 다이가 있는 더 정교한 프로세서는 더 큰 패키징이 필요하고 더 많은 열을 발산해야 합니다. 또한 더 많은 전력이 필요하며, 이는 더 크고 더 무겁고 더 비싼 배터리를 의미합니다. 무게를 줄이고 부피를 줄이기 위해 제조업체는 이국적인 재료와 생산 기술을 사용해야 합니다. 위의 모든 것은 더 많은 R&D 지출, 더 긴 시장 출시 시간 및 더 많은 BOM을 수반합니다. 상당히 높은 가격과 프리미엄 빌드로 인해 이러한 장치는 거의 일회용으로 간주될 수 없습니다.

그렇다면 IoT를 안전하게 하려면 어떻게 해야 할까요? 많이. 그리고 기술 거물에서 개인 개발자에 이르기까지 모든 사람이 해야 할 역할이 있습니다.

이제 IoT 보안을 개선하기 위해 수행할 수 있는 작업 및 수행 중인 작업과 같은 몇 가지 기본 사항을 살펴보겠습니다.

• 첫날부터 보안 강조
• 수명 주기, 미래 보장, 업데이트
• 액세스 제어 및 장치 인증
• 적을 알라
• 보안 침해에 대비

특히 미성숙 기술과 저개발 시장을 다룰 때 처음부터 보안을 분명히 강조하는 것은 항상 좋은 일입니다. 자체 IoT 인프라를 개발하거나 기존 솔루션을 배포할 계획이라면 조사를 수행하고 가능한 한 최신 정보를 얻으십시오. 여기에는 사용자 경험을 희생시키면서 보안을 강화할 수 있는 선택이 제시될 수 있으므로 절충이 필요할 수 있지만 올바른 균형을 유지하는 한 그만한 가치가 있습니다. 이것은 즉석에서 수행할 수 없으며 미리 계획하고 잘 계획해야 합니다.

새로운 제품과 서비스를 시장에 내놓기 위해 서두르면서 많은 기업들이 장기적인 지원을 간과할 가능성이 높습니다. 빅 리그에서도 항상 발생하므로 항상 패치가 적용되지 않고 안전하지 않은 수백만 대의 컴퓨터와 모바일 장치가 발생합니다. 대부분의 회사에서 다루기에는 너무 오래되었으며 일회용 IoT 장치의 경우 더 나빠질 수밖에 없습니다. 주요 전화 공급업체는 2-3년 된 전화에서 소프트웨어를 업데이트하지 않으므로 네트워크에 몇 년 동안 있을 수 있는 20달러 IoT 장치에 어떤 일이 일어날지 상상해 보십시오. 계획된 노후화가 그 일부일 수 있지만 사실은 오래된 장치를 업데이트하는 것이 리소스와 관련하여 더 나은 일이 있기 때문에 제조업체에 재정적으로 그다지 의미가 없다는 것입니다. 보안 IoT 장치는 설계상 안전하고 처음부터 불침투성이어야 하거나 수명 주기 전반에 걸쳐 중요한 업데이트를 받아야 하며 적어도 아직까지는 두 옵션 모두 현실적이지 않다는 데 동의할 것입니다.

보안 액세스 제어 및 장치 인증을 구현하는 것은 당연한 일처럼 들리지만 여기서는 일반적인 연결 장치를 다루지 않습니다. 사용자 경험을 손상시키거나 불필요한 하드웨어를 추가하지 않고 저렴하고 컴팩트한 IoT 장치에 구현할 수 있는 액세스 제어 및 인증 방법을 만드는 것은 보기보다 어렵습니다. 앞서 언급했듯이 처리 능력의 부족은 또 다른 문제입니다. 대부분의 고급 암호화 기술은 전혀 작동하지 않기 때문입니다. 이전 게시물에서 블록체인 기술을 통해 암호화를 아웃소싱하는 한 가지 대안을 살펴보았습니다. 비트코인 블록체인을 말하는 것이 아니라 이미 여러 업계 리더들이 연구하고 있는 유사한 암호화 기술을 말하는 것입니다.

Si vis Pacem, para bellum – 평화를 원한다면 전쟁을 준비하십시오. IoT 보안을 다루기 전에 위협과 잠재적 공격자를 연구하는 것이 중요합니다. 위협 수준은 모든 장치에 대해 동일하지 않으며 고려해야 할 수많은 고려 사항이 있습니다. 누군가 딸의 테디베어를 해킹하거나 좀 더 심각한 것을 해킹하시겠습니까? 데이터 위험을 줄이고, IoT 장치에서 가능한 한 많은 개인 데이터를 유지하고, 필요한 데이터 전송을 적절히 보호하는 등이 필요합니다. 그러나 이 모든 작업을 수행하려면 먼저 위협을 연구해야 합니다.

다른 모든 방법이 실패하더라도 최소한 잠재적인 보안 침해에 대비하십시오. 조만간 당신이나 다른 누군가(바람직하게는 경쟁자)에게 일어날 것입니다. IoT 인프라를 손상시키지 않으면서 최대한 많은 데이터를 보호하고 손상된 데이터를 쓸모없게 만드는 방법인 출구 전략을 항상 가지고 있어야 합니다. 또한 이러한 위반의 위험에 대해 프로세스에 관련된 고객, 직원 및 기타 모든 사람을 교육해야 합니다. 위반 시 해야 할 일과 위반을 피하기 위해 해야 할 일을 알려줍니다.

물론 최악의 시나리오를 처리하게 된다면 좋은 면책 조항과 TOS도 도움이 될 것입니다.