티스토리 뷰
스마트폰 2대, 컴퓨터 2대, 태블릿 1대, 프린터 1대. OECD 가입국의 평균적인 가정이 보유한 사물인터넷 기깁니다. OECD는 2022년 OECD 34개국의 평균적인 가정이 보유한 사물인터넷 기기가 50개에 달할 것으로 전망했습니다. 네트워크로 연결된 자동차, 에너지 소비량을 나타내는 디스플레이, 스마트 전구, 홈 오토메이션 센서 등 다양한 제품이 많이 추가될 것으로 예상했죠. 이렇듯 정보통신기술의 발전은 생활 주변을 수많은 IT기기로 채워가고 있고 우리는 이를 통해 보다 편리하고 진화된 삶을 경험하고 있습니다. 그런데 이런 사물인터넷 기기에 대한 보안은 어떻게 하고 계신가요? 혹시 개인 컴퓨터나, 중요 서버에 대한 보안에만 신경을 쓰고 있진 않나요? IT환경은 계속 발전하고 있고, 이에 따른 보안 위협도 진화하고 있습니다. 그렇다면 보안대책도 보안 위협에 맞춰 발전해야겠죠. 오늘은 사물인터넷 시대의 보안에 대해 같이 살펴보고자 합니다.
보안의 근본적인 목적은 지키고자 하는 대상을 위협으로부터 안전하게 보호하는 겁니다. 그리고 보호하고자 하는 대상이 현금이나 귀금속, 그리고 건물과 같은 유형자산일 경우 물리보안이라고 하고, 개인정보, 기술력, 금융데이터와 같은 무형자산일 때는 정보보안이라고 구분 짓고 있습니다. 이런 구분이 가능했던 이유는 지금까지 각 대상에 대한 보안 위협들이 명확히 구분 가능했기 때문이죠. 하지만 사물인터넷 시대에서는 이러한 경계들이 허물어지고 있습니다. 침입, 도난, 테러, 화재와 같은 물리보안위협과 정보 데이터의 유출, 변조, 해킹 등의 정보보안위협들이 서로 연계된 형태로 나타나고 있죠. 또 환경이나 에너지 자동차 등 비 IT산업으로 분류됐던 다른 분야에서도 새로운 위협들이 지속적으로 발생하고 있습니다. 스마트카를 한 번 생각해 볼까요? 기존에는 차를 도난당하지 않기 위해 안전한 곳에 주차를 하고, 문과 창문을 잘 닫고, 차키의 분실을 주의하는 등의 물리적 보안 활동에만 치중해왔습니다. 그런데 이 차가 IT기술과 융합된 스마트카로 진화하면서 전에는 생각지도 못했던 위협들이 발생합니다. 바로 해킹을 통해서 스마트카를 마음대로 조종할 수 있게 된 건데요. 실제로 2015년 미국에서 두 명의 해커가 달리는 자동차를 대상으로 원격 해킹 실험을 했는데, 시속 110Km로 달리던 차의 속도를 80km로 떨어뜨리기도 하고 에어컨이나 윈도 와이퍼 등을 조작하는 데 성공했습니다. 결국 기존의 보안 대책만으로는 부족하다는 얘깁니다. 이것이 바로 사물인터넷 시대에 물리보안과 정보보안의 결합, 즉 융합보안이 필요한 이윱니다. 그렇다면 일반 기업에서는 융합보안에 대해 어떻게 접근하고 대비해 나가야 할까요? 수많은 고려사항 중 기본이 되는 세가지를 안내드리고자 합니다.
첫째는 보호대상 선정과 기본적인 가이드라인의 수립입니다. 보안이 보호대상을 안전하게 보호하는 것인 만큼 보호해야 하는 대상이 무엇인지를 선정하는 것이 최우선이며, 바로 보안의 시작입니다. 중요도에 따라 보호대상의 우선순위를 선정하고 각 대상별 기본보안 가이드라인을 수립하고 관리해 가야 합니다. 여기서 가이드라인은 예를 들어 모바일 기기와 내부 서버는 반드시 분리한다. 원격 접속은 차단하고 필요시 VPN을 사용한다 등 큰 틀에서의 보안규정을 의미합니다.
둘째는 보안체계구축 및 지속적인 최신 트렌드 파악입니다. 대상선정 및 가이드라인 수립 후에는 그에 맞는 보안시스템을 구축하고 모니터링 체계를 구축해야 하는데, 지속적인 보안 동향과 트렌드를 파악하고 있어야 그에 맞는 설루션을 선정할 수 있고, 효율적인 업그레이드 및 유지관리가 가능합니다.
셋째는 엔드 포인트 보안 및 사용자교육의 강화입니다. 네트워크에 연동되는 스마트 기기들이 증가할수록 관련 데이터는 기하급수적으로 증가할 것이며 이에 따른 빅데이터 처리 및 네트워크 보안의 중요성이 부각될 것입니다. 하지만 가장 중요한 것은 바로 엔드포인트 보안입니다. 임직원 개개인이 사용하는 PC와 노트북, 스마트폰과 추가되는 스마트기기들에 대한 비밀번호 설정 및 백신사용, 불필요 사이트 접속 차단 등 기본적인 내용들이 잘 유지될 수 있도록 제도를 마련하고 사용자 개개인의 보안의식 강화를 위한 주기적 교육이 수반되어야 합니다.
그런데 문제는 이러한 체계를 수립하고 전문 인력을 운영 하는 것이 현실적으로 쉽지 않다는 것에 있습니다. 많은 기업에서 비용문제로 보안시스템 도입을 꺼려하고, 또 도입하더라도 전문지식이 부족해 효율적 운영을 하지 못하고 있는 것이 현실입니다. 그렇다고 손 놓고 있을 수는 없겠죠. 이런 문제를 해결할 수 있는 효율적인 대안 중 하나로, 보안관제서비스의 도입을 생각해 볼 수 있습니다. 보안전문업체의 노하우를 활용하여 보호하고자 하는 대상을 선정하고 거기에 맞는 보안 설루션이 무엇이며, 어떻게 구축/운영해야 하는지 많은 도움이 될 수 있습니다. 하지만 역시, 가장 중요한 것은 보안에 대한 지속적인 관심과 관리라는 것을 잊으면 안되겠습니다. 미국의 설루션 기업 시스코는 2020년까지 약 500억 개의 사물이 인터넷에 연결될 것으로 내다보고 있습니다. 그만큼 사물인터넷은 우리의 삶과 밀접하게 연관돼 가겠지만, 그럴수록 보안문제는 더욱 심각해질 겁니다. 여러분의 보안 대책이 진화하는 환경에 맞춰 업그레이드되고 있는지 한 번 살펴보시길 바라겠습니다. 읽어주셔서 감사합니다.