“새 부대가 필요하다” IoT 데이터 보안 7단계

VM웨어의 모바일 전략 시니어 디렉터 바실 하샴은 기기의 다양성은 물론 거기에서 생성되는 데이터의 분량도 지금까지와는 차원이 다를 것이라고 지적하며, 이로 인해 데이터 보호 전략의 스케일 자체가 달라져야 할 것이라고 주문했다.

스토리지 솔루션 제공업체 코헤시티(Cohesity)의 테크놀로지 에반젤리스트 닉 하웰도 스케일 자체가 달라져야 한다는 지적에 동의했다.

그는 “특히 데이터 보호라는 관점에서 봤을 때, 데이터가 많아질수록 백업 윈도우와 제2, 제3의 스토리지 솔루션, 그리고 프로세스 니즈도 기하급수적으로 증가한다. 점진적 증가가 아닌 폭발적 증가가 될 것이다. 때문에 이 문제를 개별적으로 해결하기 위한 지속적인 스토리지 확장이라는 방식은 효과가 없다. 방대한 양의 데이터를 감당하기 위해서는 새로운 방식이 필요하다”라고 말했다.

데이터 보호 서비스 제공업체 드루바(Druva)의 창립자이자 CEO인 야스프리 싱은 데이터의 양 자체가 많아질 뿐만 아니라 데이터의 분산성도 커질 것이라고 예측했다.

기존의 기업 데이터는 데이터센터에 얌전히 모여 있지만 사물 인터넷을 이용하기 시작하면 모든 곳에서, 모든 기기에서 데이터가 유입되고 처리되며 저장될 것이라는 전망이다.

하샴은 “커뮤니케이션에 사용되는 대부분의 기기 및 네트워크가 기업 IT의 통제 하에 있지 않기 때문에 데이터 보호가 더욱 어려워 질 것이다. 사물 인터넷 기기들이 보통 기계, 항공 엔진, 자동차 같은 조작을 요하는 기기(Operational Technology, OT)와 연동하여 작동한다. 이런 기기들에 대한, 그리고 주변 환경에 대한 정보(온도, 압력, 토크 등) 데이터를 계속해서 생성하는 것이다”라고 말했다.

그리고 이는 또 다른 변화를 초래할 것이라고 마이크로소프트의 애져 IoT 아키텍트 클레멘스 베스터스는 말했다.

그는 “사물 인터넷으로 인한 큰 변화 중 하나는 지금까지 개별적으로 동떨어진 것으로 인지되었던 OT 시스템이 눈에 들어올 것이라는 점이다. 그렇게 되면 기존 기업 소프트웨어와 OT 시스템의 통합이 가능해질 것이며, 결과적으로 더욱 투명하고, 효율적인 워크플로우와 비즈니스에의 혁신적인 접근이 가능해 질 것이다”라고 말했다.

그렇다면 밀려오는 IoT 물결에 대해 기업이 할 수 있는 대비에는 무엇이 있을까? 여기 기본적인 원칙들을 정리했다.

1. 전략을 세워라.
특별한 데이터 보호 전략이 없는 기업에서 IoT 를 도입하려 한다면, 우선 기업 데이터를 어떻게 다루고, 지키고, 분식이나 비상 사태에 대비할 것인지에 대한 대략적인 원칙과 가이드라인을 담은 전략을 먼저 세워두는 것이 좋다고 마이크로소프트의 베스터스는 조언했다.

물론 지금 당장 모든 데이터를 꼼꼼히 관리할 수 있는 수준의 전략을 세울 필요는 없다. 하지만 적어도 누가 데이터를 가지고 있는지, 오퍼레이터 정책이 양립 가능한지, 그리고 이러한 규칙을 지키지 않을 경우 어떤 책임을 지게 되는지에 대한 분명한 가이드라인을 정해둬야 한다.

2. 리스크를 평가하라
“내 생각엔 모든 것이 리스크 평가와 분석에서 시작된다. 누군가 나에게 IoT 보안에 대해 물어본다면 가장 먼저 그 조언을 해 줄 것이다”라고 시스코의 시큐리티 비즈니스 그룹 기업 솔루션의 제품 마케팅 매니저 마크 블래크머는 말했다.

그는 또 애셋 카탈로그를 만들어 둘 것을 당부했다. 또한 애플리케이션 자체의 데이터 플로우 모델과 어플리케이션 간 데이터 플로우 모델, 서드 파티 통합 등을 잘 이해해두라고 조언했다.

“IoT 보안이 복잡한 이유 중 하나는 수 많은 서드파티들이 각자 커뮤니케이션을 하기 때문에 그렇다. 이런 혼란이 지속되다 보면 기업이 먼저 두 손 들고 포기 하게 된다”고 블래크머는 말했다.

3. 인적 요소
시스코의 보안 실무 시니어 매니저인 마크 하몬은 기업들이 리스크 평가에서부터 데이터의 이해 및 카탈로그화, 중요 데이터의 최소화, 데이터 위생과 보안 통제 실무에 이르기까지 다양한 단계를 밟아 나갈 것을 추천했다.

그는 “하지만 이 모든 작업을 더욱 복잡하게 만드는 것은 단연 인적 요소이다. 인적 요소에 추가되는 정책이나 절차 역시 상당한 관심을 요하는 문제다”라고 말했다.

4. IT 조달 정책의 적용 범위
네트워크에 연결된 디지털 기기 중 IT 조달 정책을 어디까지 적용할 것인가도 고민해 봐야 한다고 베스터스는 말했다. 그에 따르면 기업 IT는 보통 모든 장비에 최저선의 보안을 의무적으로 요구하고 있다. IoT 기술로 인해 IT 장비 및 소프트웨어의 범주가 급격히 확대될 수 있으며 이는 문제를 초래할 수 있다.

5. 엔드포인트를 보호하라
드루바 사의 싱은 엔드포인트를 사물 인터넷 보안의 제1 방어선으로 여기라고 조언했다. 또한 IoT 관리 애플리케이션 및 기기를 선택함에 있어 정보의 라이프 사이클을 의사 결정의 일부로써 반드시 고려하라고 조언했다.

6. 데이터 보호 사일로의 통합
“대량의 데이터 보호 사일로(data protection silos)가 존재하며 이들을 제2의 스토리지 티어 관리를 위한 하나의 플랫폼으로 통합 하는 것이 성공의 열쇠다”라고 하웰은 말한다.

그가 데이터 보호 사일로의 통합을 추천하는 이유는 많은 기업들이 온사이트, 오프사이트, 혹은 클라우드에서 데이터를 놓치고 있기 때문이다. 기업들은 모든 데이터를 마치 위에서 내려다 보듯 훤히 꿰고 있어야 한다. 데이터가 얼마나 오래된 것인지, 위치는 어디인지 까지 알고 있어야 한다.

“하나의 플랫폼에 사일로들을 정리하는 것 만으로도 지난 십 수년 간 사용해 오던 많은 사일로들을 정리할 수 있을 것이다. 이를 통해 비용이 절감되는 것은 물론이다. 여기서 절감한 비용은 사물 인터넷 기기들이 생성해 내는 엄청난 양의 데이터를 수용하기 위한 스토리지 비용에 쓰일 수 있을 것이다”라고 하웰은 말했다.

7. 아이덴티티와 암호화 문제
기업 등급 파일 스토리지 및 공유 솔루션 업체 코바타(Covata)의 CEO 트렌트 텔포드는 개인 사용자 측면이 아니라 기기 측면에서 아이덴티티를 이해해야 한다고 주문했다.

그는 “결국 아이덴티티 문제는 ‘이 대상 또는 사람을 신뢰할 수 있는가’의 문제다. 이 부분은 기업들이 반드시 고민해봐야 한다. 왜냐면 이제는 모든 엔드포인트 또는 센서가 기업 네트워크에 로그인 할 수 있는 한 명의 사람과 같기 때문이다”라고 말했다.

또한 모든 키의 암호화 및 관리 문제도 해결해야 한다. 키 관리는 특히 어려운 문제로 지속적인 문제를 발생시킬 수 있다고 그는 지적했다.

dl-ciokorea@foundryco.com