CWN(CHANGE WITH NEWS) - 기업 IoT 데이터 트랜잭션 40% 암호화 없어

클라우드 보안 업체인 지스케일러(Zscaler)가 기업 사물인터넷(IoT) 40% 이상이 트래픽을 암호화하지 않는다는 사실을 조사했다.

지스케일러의 연구 결과는 2019년 3월에서 4월에 한 달 간 조사한 엔터프라이즈 네트워크에 있는 1,051 개 기업 네트워크에 연결된 5,600만 개 이상의 IoT 기기의 트랜잭션 측정 데이터를 기반으로 한다. 이 데이터는 지스케일러 클라우드에서 사용 중인 장치의 유형, 사용된 프로토콜, 통신한 서버의 위치, IoT 트래픽 패턴, 인바운드 및 아웃 바운드 통신의 빈도 조사를 포함한다.

지난 22일 발표한 지스케일러의 보고서에 의하면 이번 조사에서 기업 네트워크에서 IoT 기기 데이터 트랜잭션의 91.5 %가 암호화되지 않았다고 분석했다. 전체 기기의 41 %는 TLS(Transport Layer Security)를 전혀 사용하지 않았고, 41 %는 TLS를 일부 연결에 부분적으로 사용하는 것에 그쳤다. 모든 트래픽을 TLS 암호화한 기기는 전체의 18 %에 그쳤다.

연결을 암호화하지 않은 장치는 다양한 유형의 MitM 공격(중간자 공격)에 취약하고, 새로운 사이버 범죄 발생 위험이 높아진다. 악성 코드를 통해 로컬 네트워크에 접근한 해커가 ARP(Address Resolution Protocol) 스푸핑을 하거나 로컬 라우커 해킹을 통해 악의적인 업데이트를 배포하고, 전송 데이터를 탈취할 수 있다. 2016년 10월 미국 동해안의 DNS 서버에 발생한 DDoS 공격(분산 서비스 거부 공격)에 의해 전 세계적으로 서비스가 중단된 예시가 있다.

■ 방대한 기업 네트워크 속 IoT 기기 보안 문제

IT 리서치 기업 Gartner에 따르면 2020년까지 전 세계적으로 204억 개의 IoT 장치가 사용될 것이며, 65% 이상의 기업이 IoT 제품을 채택할 것이라고 한다. IoT 사용량이 증가하는 반면, 최근 몇 년간 시장에 범람한 IoT 하드웨어 장치에 보안 기능이 거의 내장되지 않았다는 문제가 있다. 보안 기능이 내장되지 않아 네트워크 공격에 취약할 뿐만 아니라 기존의 장치에 보안 패치를 추가하기 어렵다는 문제점이 있다.

IoT 연결을 사용하는 장치는 원격 조종 스마트 카, IP 카메라, 스마트 워치, 디지털 홈 어시스턴트, 의료기기, 미디어 플레이어, 데이터 수집 터널, 산업용 제어기기, 네트워킹 기기, 3D 프린터 등 가정 및 산업 작업의 자동화를 비롯해 다양한 분야에 사용된다. IoT 기기가 급속히 확산하는 만큼 취약한 보안을 보완해야 한다.

지스케일러의 보안 연구 담당 부사장 Deepen Desai는 IoT 장치의 보안을 높이기 위해 IoT 장치에 액세스 할 때 외부 네트워크를 제한하고, 인바운드 및 아웃바운드 네트워크 트래픽에 대한 제한 상항과 함께 고립된 네트워크에 IoT 장치를 설치하라고 제안했다. 또한 이미 사용 중인 IoT 장치의 가시성을 확보하고 안전장치를 확보할 솔루션을 배표해야 하며, 정기적인 보안 및 펌웨어 업데이트를 적용해야 한다고 언급했다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]