사물인터넷의 보안 “구멍 숭숭”
사물인터넷의 보안 “구멍 숭숭”
영세한 차세대 인터넷 기기 업체들은 큰돈 드는 보안에 투자하지 않아 블록체인 시스템 이용한 보안 강화가 대안이다 온 세상에 인터넷 연결 기기가 깔려 있고 앞으로도 더 많이 쏟아져 나온다. 2017년 인터넷 연결 온도조절장치·카메라·가로등과 기타 전자제품이 약 84억 대에 달했다. 2020년에는 그 숫자가 200억 대를 돌파하고 2030년에는 5000억 대를 넘어설 수 있다. 모두 항상 온라인 상태에 있기 때문에 음성인식 개인비서든 휴대폰 결제 주차미터기든 산업로봇 속에 내장된 온도센서든 모든 기기가 사이버공격에 노출되고 심지어 거기에 이용될 수도 있다.
오늘날 상당수 ‘스마트’ 인터넷 연결 기기들은 구글·애플·마이크로소프트·삼성전자 같은 유명 브랜드를 거느린 대기업이 만든다. 이들은 어떤 보안 문제도 신속하게 해결할 마케팅 인센티브와 기술 시스템을 모두 갖췄다. 그러나 전구·도어벨 심지어 택배업체가 배달하는 소포 등 갈수록 혼잡해지는 소규모 인터넷 기반 기기들의 경우는 그렇지 않다. 그런 기기들(그리고 그 디지털 ‘두뇌들’)은 통상적으로 개발도상국에서 많은 무명업체가 생산한다. 빈틈없는 보안기능을 통합할 자본이나 능력(또는 브랜드 인식의 필요성)이 없는 업체들이다.
안전하지 않은 ‘사물인터넷(IoT)’ 기기들로 대형 사이버 사고들이 발생했다. 예컨대 2016년 10월 인터넷 라우팅 업체 딘(Dyn)을 겨냥한 사이버 공격으로 미국 전역의 80여 개 인기 웹사이트가 다운되고 인터넷 트래픽이 중단됐다. ‘사물인터넷’ 기술을 연구하는 학자의 관점에서 이 문제에 대한 솔루션은 블록체인 시스템과 사이버 보안이다. 블록체인을 이용해 보안 소프트웨어 업데이트를 파악하고 배포하는 새로운 방법이 될 수 있다.
오늘날의 대형 IT 기업들은 이용자의 안전을 지키기 위해 많은 노력을 기울이지만 상당히 벅찬 일이다. 세계 각지의 시스템에서 작동하는 수천~수만 종의 복잡한 소프트웨어 패키지가 항상 에러를 일으켜 해커에게 약점을 노출한다. 대기업들은 또한 그런 에러들이 문제를 일으키기 전에 결함을 찾아내 보완하려 노력하는 연구원과 보안 분석가 팀을 운영한다.
이들은 취약점을 찾아내면 (자체 또는 외부 조사, 또는 이용자의 악성·부정행위에 관한 이용자 신고를 통해) 프로그램을 업데이트해 이용자에게 보낼 만반의 대비태세를 갖췄다. 이들 기업의 컴퓨터·휴대전화 나아가 대다수 소프트웨어 프로그램은 주기적으로 제조사 사이트에 접속해 업데이트를 확인해 내려받고 심지어 자동으로 설치할 수도 있다.
이런 노력에는 문제를 파악하고 해결하는 데 필요한 인원충원 외에도 막대한 투자가 필요하다. 거기에는 자동 조회에 대응하는 소프트웨어, 소프트웨어 최신 버전용 저장 공간, 이 모두를 수백만 이용자에게 보낼 네트워크 대역폭이 필요하다. 그런 식으로 사람들의 휴대전화·게임기, 그리고 가령 워드 프로그램이 모두 보안 프로그램을 최신 버전으로 매끄럽게 유지한다.
차세대 인터넷 기기 제조업체에선 그런 작업이 이뤄지지 않는다. 예컨대 중국 상하이 인근에 본사를 둔 항저우 시옹마이 테크놀로지의 예를 보자. 이 회사는 자체 브랜드의 인터넷 연결 카메라 액세서리를 만들고 다른 공급업체에 부품을 판매한다. 그들 그리고 다른 많은 유사 업체 제품 중 다수의 관리 패스워드가 공장에서 설정돼 변경이 어렵거나 불가능하다. 그에 따라 해커들이 시옹마이 테크놀로지에서 생산된 기기에 접속해 사전 설정된 비밀번호를 입력하고 웹캠이나 기타 기기를 장악해 엄청난 양의 악의적인 인터넷 트래픽을 생성할 길이 열렸다.
이 문제와 그 세계적인 영향이 확연히 드러났을 때도 소기업인 시옹마이 테크놀로지와 기타 제조업체들로선 자신들의 제품을 업데이트할 만한 방법이 거의 없었다. 이와 같은 미래의 사이버공격을 막는 능력은 문제가 발견될 때 이들 업체가 소프트웨어 업데이트를 고객에게 빠르고 쉽고 싸게 공급하는 방법을 어떻게 마련하느냐에 달렸다.
간단히 말해 블록체인은 거래를 기록해 동시에 다른 많은 곳에 저장하는 컴퓨터 데이터베이스다. 일면 사람들이 거래 공고를 올릴 수 있는 공개 게시판 격이다. 각 게시물에는 디지털 서명이 수반돼야 하고 변경 또는 삭제가 불가능하다.
블록체인 시스템을 이용한 인터넷 연결 기기의 보안 강화를 제안하는 사람은 나뿐이 아니다. 2017년 1월 바로 그런 시스템을 개발할 목적으로 미국 네트워킹 대기업 시스코, 독일 엔지니어링 업체 보슈, 뉴욕멜론은행, 중국 전자제품 제조업체 폭스콘, 네덜란드 사이버 보안업체 제말토, 그리고 다수 블록체인 스타트업 기업을 포함한 그룹이 결성됐다.
IT 대기업들처럼 자체 소프트웨어 업데이트 인프라를 구축하기 어려운 기기 제조사들이 이를 대신 활용할 수 있게 된다. 이들 중소 업체들은 자사 제품을 프로그램할 때 새로운 소프트웨어가 있는지 주기적으로 확인하도록 설계해야 한다. 이렇게 하면 업데이트가 개발될 때 안전하게 업로드할 수 있다. 기기마다 암호화된 강력한 ID를 갖게 돼 제조업체가 올바른 기기와 소통하도록 한다. 결과적으로 기기 제조사와 고객은 그 장비의 보안이 효율적으로 최신 버전으로 유지되리라는 확신을 갖게 된다.
이런 시스템은 제한된 메모리 공간과 처리성능을 가진 소규모 기기에 쉽게 프로그램돼야 한다. 소통하면서 업데이트의 진위를 가려내는, 해킹 시도와 공식 메시지를 구분하는 표준 방식이 필요하다. 비트코인 SPV와 이더리움 라이트 클라이언트 프로토콜 등의 기존 블록체인이 유망해 보인다. 그리고 블록체인 혁신가들이 더 나은 방법을 찾아내 수십억 대의 ‘사물인터넷’ 기기들이 자신들의 보안을 자동으로 확인하고 업데이트하는 작업을 더 쉽게 만든다.
‘사물인터넷’ 기기를 보호할 수 있는 블록체인 기반 시스템의 개발만으로는 충분하지 않다. 기기 제조사들이 그런 시스템을 실제로 사용하지 않는다면 모든 사람의 사이버 보안이 여전히 위험에서 벗어나지 못한다. 이익마진이 적은 저가 제품 생산업체들은 외부의 도움과 지원 없이는 이런 보호막을 추가하지 않을 것이다. 그들이 현재 관행에 변화를 주려면 정부 규제와 소비자 기대를 통한 기술적 지원과 압력이 필요하다. 그들의 제품 보안이 강화돼야 팔린다는 점이 분명해지면 무명의 ‘사물인터넷’ 제조업체들은 이용자와 인터넷을 더 안전하게 만들기 위해 많은 노력을 기울이게 된다.
- 니르 크셰트리
※ [이 기사는 온라인 매체 컨버세이션에 먼저 실렸다. 필자는 노스캐롤라이나대학(그린즈버러) 경영학 교수다.]
ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지
오늘날 상당수 ‘스마트’ 인터넷 연결 기기들은 구글·애플·마이크로소프트·삼성전자 같은 유명 브랜드를 거느린 대기업이 만든다. 이들은 어떤 보안 문제도 신속하게 해결할 마케팅 인센티브와 기술 시스템을 모두 갖췄다. 그러나 전구·도어벨 심지어 택배업체가 배달하는 소포 등 갈수록 혼잡해지는 소규모 인터넷 기반 기기들의 경우는 그렇지 않다. 그런 기기들(그리고 그 디지털 ‘두뇌들’)은 통상적으로 개발도상국에서 많은 무명업체가 생산한다. 빈틈없는 보안기능을 통합할 자본이나 능력(또는 브랜드 인식의 필요성)이 없는 업체들이다.
안전하지 않은 ‘사물인터넷(IoT)’ 기기들로 대형 사이버 사고들이 발생했다. 예컨대 2016년 10월 인터넷 라우팅 업체 딘(Dyn)을 겨냥한 사이버 공격으로 미국 전역의 80여 개 인기 웹사이트가 다운되고 인터넷 트래픽이 중단됐다. ‘사물인터넷’ 기술을 연구하는 학자의 관점에서 이 문제에 대한 솔루션은 블록체인 시스템과 사이버 보안이다. 블록체인을 이용해 보안 소프트웨어 업데이트를 파악하고 배포하는 새로운 방법이 될 수 있다.
오늘날의 대형 IT 기업들은 이용자의 안전을 지키기 위해 많은 노력을 기울이지만 상당히 벅찬 일이다. 세계 각지의 시스템에서 작동하는 수천~수만 종의 복잡한 소프트웨어 패키지가 항상 에러를 일으켜 해커에게 약점을 노출한다. 대기업들은 또한 그런 에러들이 문제를 일으키기 전에 결함을 찾아내 보완하려 노력하는 연구원과 보안 분석가 팀을 운영한다.
이들은 취약점을 찾아내면 (자체 또는 외부 조사, 또는 이용자의 악성·부정행위에 관한 이용자 신고를 통해) 프로그램을 업데이트해 이용자에게 보낼 만반의 대비태세를 갖췄다. 이들 기업의 컴퓨터·휴대전화 나아가 대다수 소프트웨어 프로그램은 주기적으로 제조사 사이트에 접속해 업데이트를 확인해 내려받고 심지어 자동으로 설치할 수도 있다.
이런 노력에는 문제를 파악하고 해결하는 데 필요한 인원충원 외에도 막대한 투자가 필요하다. 거기에는 자동 조회에 대응하는 소프트웨어, 소프트웨어 최신 버전용 저장 공간, 이 모두를 수백만 이용자에게 보낼 네트워크 대역폭이 필요하다. 그런 식으로 사람들의 휴대전화·게임기, 그리고 가령 워드 프로그램이 모두 보안 프로그램을 최신 버전으로 매끄럽게 유지한다.
차세대 인터넷 기기 제조업체에선 그런 작업이 이뤄지지 않는다. 예컨대 중국 상하이 인근에 본사를 둔 항저우 시옹마이 테크놀로지의 예를 보자. 이 회사는 자체 브랜드의 인터넷 연결 카메라 액세서리를 만들고 다른 공급업체에 부품을 판매한다. 그들 그리고 다른 많은 유사 업체 제품 중 다수의 관리 패스워드가 공장에서 설정돼 변경이 어렵거나 불가능하다. 그에 따라 해커들이 시옹마이 테크놀로지에서 생산된 기기에 접속해 사전 설정된 비밀번호를 입력하고 웹캠이나 기타 기기를 장악해 엄청난 양의 악의적인 인터넷 트래픽을 생성할 길이 열렸다.
이 문제와 그 세계적인 영향이 확연히 드러났을 때도 소기업인 시옹마이 테크놀로지와 기타 제조업체들로선 자신들의 제품을 업데이트할 만한 방법이 거의 없었다. 이와 같은 미래의 사이버공격을 막는 능력은 문제가 발견될 때 이들 업체가 소프트웨어 업데이트를 고객에게 빠르고 쉽고 싸게 공급하는 방법을 어떻게 마련하느냐에 달렸다.
간단히 말해 블록체인은 거래를 기록해 동시에 다른 많은 곳에 저장하는 컴퓨터 데이터베이스다. 일면 사람들이 거래 공고를 올릴 수 있는 공개 게시판 격이다. 각 게시물에는 디지털 서명이 수반돼야 하고 변경 또는 삭제가 불가능하다.
블록체인 시스템을 이용한 인터넷 연결 기기의 보안 강화를 제안하는 사람은 나뿐이 아니다. 2017년 1월 바로 그런 시스템을 개발할 목적으로 미국 네트워킹 대기업 시스코, 독일 엔지니어링 업체 보슈, 뉴욕멜론은행, 중국 전자제품 제조업체 폭스콘, 네덜란드 사이버 보안업체 제말토, 그리고 다수 블록체인 스타트업 기업을 포함한 그룹이 결성됐다.
IT 대기업들처럼 자체 소프트웨어 업데이트 인프라를 구축하기 어려운 기기 제조사들이 이를 대신 활용할 수 있게 된다. 이들 중소 업체들은 자사 제품을 프로그램할 때 새로운 소프트웨어가 있는지 주기적으로 확인하도록 설계해야 한다. 이렇게 하면 업데이트가 개발될 때 안전하게 업로드할 수 있다. 기기마다 암호화된 강력한 ID를 갖게 돼 제조업체가 올바른 기기와 소통하도록 한다. 결과적으로 기기 제조사와 고객은 그 장비의 보안이 효율적으로 최신 버전으로 유지되리라는 확신을 갖게 된다.
이런 시스템은 제한된 메모리 공간과 처리성능을 가진 소규모 기기에 쉽게 프로그램돼야 한다. 소통하면서 업데이트의 진위를 가려내는, 해킹 시도와 공식 메시지를 구분하는 표준 방식이 필요하다. 비트코인 SPV와 이더리움 라이트 클라이언트 프로토콜 등의 기존 블록체인이 유망해 보인다. 그리고 블록체인 혁신가들이 더 나은 방법을 찾아내 수십억 대의 ‘사물인터넷’ 기기들이 자신들의 보안을 자동으로 확인하고 업데이트하는 작업을 더 쉽게 만든다.
‘사물인터넷’ 기기를 보호할 수 있는 블록체인 기반 시스템의 개발만으로는 충분하지 않다. 기기 제조사들이 그런 시스템을 실제로 사용하지 않는다면 모든 사람의 사이버 보안이 여전히 위험에서 벗어나지 못한다. 이익마진이 적은 저가 제품 생산업체들은 외부의 도움과 지원 없이는 이런 보호막을 추가하지 않을 것이다. 그들이 현재 관행에 변화를 주려면 정부 규제와 소비자 기대를 통한 기술적 지원과 압력이 필요하다. 그들의 제품 보안이 강화돼야 팔린다는 점이 분명해지면 무명의 ‘사물인터넷’ 제조업체들은 이용자와 인터넷을 더 안전하게 만들기 위해 많은 노력을 기울이게 된다.
- 니르 크셰트리
※ [이 기사는 온라인 매체 컨버세이션에 먼저 실렸다. 필자는 노스캐롤라이나대학(그린즈버러) 경영학 교수다.]
ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지
많이 본 뉴스
1MBK, 10년 내 고려아연 팔까…경영협력계약 ‘기한’ 명시 없어
2GS리테일 4세 허서홍 시대 열린다...오너가 세대 교체
38억 아파트, 6700억으로 '껑충'…손해만 봤다, 왜?
4이재현 CJ 회장 “마지막 기회 절실함” 당부…인사 이틀만에 소집
510조 대어 놓친 韓조선, ‘원팀’ 물꼬 튼 한화오션·현대重
6한동훈 "가상자산은 청년들의 희망, 힘겨루기 할 때 아냐"
7오데마 피게, 서울 첫 플래그십 스토어 그랜드 오프닝
8“초당 25개 판매”…무신사, ‘무진장 블프’ 6시간 만에 300억 매출
9"내 돈 갚아"...빚 독촉, '1주일에 7번'으로 제한한다