초고속 5G 모바일 네트워크는 사람 뿐 아니라 기계, 사물, 장치에 대한 상호 연결성과 제어 능력도 향상시켜 줄 것을 약속한다. 빠른 데이터 전송 속도, 적은 지연 시간 및 고용량은 소비자와 기업 모두에게 이익이 될 것이다. 그러나 얼리어답터에게 그것은 상당한 새로운 보안 위험을 수반할 수 있다.
글로벌 가전업체 월풀은 이미 자신들의 공장 한 곳에 5G를 본격 배치하기 시작했다. 기존에는 예측유지, 환경제어, 공정감시 등의 사물인터넷(IoT) 기기에 국지적 와이파이 네트워크를 이용하고 있었다. 그러나 5G는 자율 지게차 등의 배치와 같이 와이파이로는 불가능한 일을 할 수 있도록 했다.
월풀의 북미 지역 IT 및 OT 제조 인프라 애플리케이션 매니저인 더글러스 반스는 “우리 공장에는 금속 물체가 많다. 와이파이는 금속에 반사된다. 공장에서 촘촘한 와이파이를 구축해봤자 연결 안정성 문제가 나타난다. 하지만 5G는 벽을 통과하며 금속에 반사되지 않는다”라고 말했다.
이는 일단 5G가 공장에 자리를 잡으면 극적인 변화가 나타날 수 있음을 의미한다고 그는 말했다. “이를 통해 우리는 유지보수용, 납품용, 제조 운영용 모든 장비에 대해 진정한 자율 운영을 기대할 수 있게 됐다. 이러한 비즈니스 케이스는 방대한 비용 절감 효과가 있을 수 있다. 5G에 투자할 이유가 뚜렷하다”라고 반스는 설명했다.
이 회사는 이미 공장 내에서 자율주행차가 작동하는지 확인하기 위한 테스트를 실시한 상태다. 이달 중 본격적으로 투자가 진행돼 올해 말까지 5G로 차량을 운행할 방침이다.
반스는 그러나 IoT가 기업에게 제기한 사이버 보안 문제를 잘 알고 있다면서, 5G로의 전환이 이러한 문제를 더욱 증폭시킬 것이라는 점 또한 숙지하고 있다고 전했다.
그에 따르면 은 이 같은 우려를 해소하기 위해 5G 파트너사인 AT&T와 협력했다. 그는 “우리는 매일 이러한 전투를 치르고 있다. 그래서 시작하기 전에 AT&T와 어떻게 하면 보안상 안전한 네트워크가 될 것인가에 대해 먼저 논의했다”라고 말했다.
다음은 월풀과 같은 기업이 5G 도입 계획을 만들 때 고려해야 할 7가지 사항이다.
1. 5G 네트워크 트래픽을 암호화하고 보호하기
5G를 사용하면 네트워크와 연결된 지능형 장치의 수가 급격히 증가할 것으로 예상되며, 이러한 네트워크를 따라 이동하는 트래픽의 양도 증가할 것이다. 가트너에 따르면 내년 기업용 및 자동차용 IoT 장치 수는 58억개로 올해 예상치인 총 48억 IoT 엔드포인트 보다 21% 늘어날 전망이다. 따라서 이러한 네트워크는 공격자들에게 목표대상이 풍부한 환경이 된다. 목표대상은 지금보다 훨씬 더 많아지는 것이다.
이 문제를 해결하기 위해 월풀은 5G 트래픽을 모두 암호화할 뿐만 아니라 승인된 트래픽만 수용하도록 5G 안테나를 구성할 것이라고 반스 사장은 전했다. 그는 “장치를 추가하면서 5G에서 허용 가능한 장치로 구성한다. 화이트리스트에 올라 있지 않은 기기라면, 수신하지 않는다. 그리고 암호화된 것이기 때문에, 신호를 낚아채려는 시도에 대해 우려하지 않아도 된다”라고 말했다.
트래픽이 로컬 네트워크를 떠나 공공 5G 또는 인터넷을 통해 나가는 경우에는 보호되는 VPN 터널을 통해 안전을 확보할 방침이다. 그는 “5G를 이용해 외부 세계와 소통해야 할 수도 있기 때문에, 우리는 그것을 정면에 설치했다”라고 말했다.
2. 취약한 장치를 고립시키기
그 다음 잠재적인 약점은 기기 자체다. 반스는 “IoT 기기 다수가 보안을 염두에 두지 않은 채 개발됐다. 특히 산업용 장비는 독점적인 운영 체제를 갖추고 있으며 이를 금지하는 패치나 라이센스를 설치할 수 없는 경우가 많다, 즉 그것들은 패치를 염두에 두고 디자인되지 않았다”라고 지적했다.
실제로 IoT 보안 오류의 대부분이 해결되지 않았다고 바라쿠다 네트워크(Barracuda Networks)의 수석 보안 연구원인 조나단 태너는 평가했다. 일부 장치에는 펌웨어 업데이트로 수정할 수 없는 문제가 있거나 펌웨어 업데이트 메커니즘이 없다. 특히 구형 기기들에 이러한 사례가 흔하다.
태너 박사는 “어떤 제조사들은 아예 보안을 무시하기도 했었다. 일부 제조사는 망해 사라지기도 했다”라고 말했다.
기업이 이러한 불안정한 IoT 기기 중 하나에 발이 묶여 있을 때 무엇을 할 수 있을까? 네트워크 격리는 다른 네트워크 보안 기술과 결합하여 그들을 보호하는 데 도움이 될 수 있다고 월풀의 반스는 말했다.
그는 “우리는 이중 접근법을 가지고 있다. 모든 트래픽을 모니터링하는 네트워크 보안, 그리고 프로토콜 내에 포함된 그러한 악의적인 유형의 활동을 찾는, 보다 프로토콜 중심적인 2차 수준의 보안이 그것들이다”라고 말했다.
그리고 거기에 더해 모든 장치에 대한 정기적인 보안 감사, 네트워크의 모든 항목에 전체 장치 인벤토리를 갖는 것과 같은 일반적인 보안 점검이 있다고 그는 덧붙였다.
3. 더 큰 디도스 공격에 대비하기
일반적으로 5G가 이전 세대의 무선 기술보다 보안이 더 취약한 것은 아니다. 노키아 위협 인텔리전스 랩의 케빈 맥나미 소장은 “사실 5G는 4G나 3G에서는 사용할 수 없는 새로운 보안 기능을 가지고 있다. 5G로 인해 제어판 전체를 웹 서비스 유형의 환경으로 이동시켰는데, 이 환경에서는 강력한 인증과 보안이 이루어지고 있다. 개선된 것이다”라고 말했다.
그러나 이러한 보안 개선은 봇넷에 대한 기회 증가로 상쇄될 것이라고 맥나미는 지적했다. 그는 “5G는 기기에 사용할 수 있는 대역폭을 상당히 늘릴 것이다. 그리고 대역폭을 증가시키면 IoT 봇이 사용할 수 있는 대역폭도 증가한다”라고 말했다
5G는 유지보수가 어려운 원격지에서의 활용 가능성을 높여줄 수 있다. ESET의 연구원이자 무선인터넷사업자협회의 오리건 주 공동 회장인 카메론 캠프는 “날씨부터 대기 질, 비디오 피드에 이르기까지 모든 것을 기록하는 센서들이 무리 지어 있을 것이다. 이는 잠재적으로 해킹되어 봇넷에 가입할 수 있는 새로운 기계들이 많이 있다는 것을 의미한다. 이 센서들은 대부분 사람의 관리를 받지 않기 때문에 해킹을 포착하고 대응하기가 어려울 것이다”라고 말했다.
IoT 기기들은, 제 기능을 수행하는 한 유지되는 경향이 있다. 패치를 사용할 수 있거나 제조사가 업데이트된 보다 안전한 버전의 기기를 판매하더라도 고객들은 변경하려고 하지 않을 수 있는 셈이다.
이에 더해 많은 스마트 IoT 기기들은 임베디드 리눅스와 같이 거의 완전한 기능을 갖춘 컴퓨터로서 동작할 수 있다. 이로 인해 감염된 장치는 불법 콘텐츠, 악성 프로그램, 명령 및 제어 데이터 및 공격자에게 중요한 기타 시스템과 서비스를 호스팅하는 데 사용될 수 있다. 사용자들은 이러한 기기를 바이러스 백신 보호, 패치 적용 및 업데이트가 필요한 컴퓨터라고 생각하지 않는다. 많은 IoT 장치들이 인바운드 및 아웃바운드 트래픽의 로그를 보관하지 않는다. 이것은 공격자들이 익명으로 남도록 허용하고 봇넷을 차단하는 것을 더 어렵게 만든다.
이것은 삼중의 위협을 초래한다. 잠재적으로 이용당할 수 있는 기기의 수, 봇넷 확산에 사용할 수 있는 대역폭, 그리고 디도스 공격을 수행하는 장치에 사용할 수 있는 대역폭이 모두 증가하고 있다. 기업들은 현재보다 5G 환경에서 대규모로 발생하는 디도스 공격에 대비해야 한다. 많은 기기는 여전히 불안정하고 일부는 탐지할 수 없기 때문이다.
4. IPv6로의 이동으로 프라이빗 인터넷 주소가 공개될 수 있음을 이해
기기가 보급되고 통신 속도가 향상됨에 따라 기업들은 오늘날 흔히 볼 수 있는 IPv4 대신 IPv6을 사용하려는 유혹에 빠질 수 있다. IP주소를 더 길게 할 수 있는 IPv6은 2017년 인터넷 표준으로 정해졌다.
IPv4 주소는 충분하지 않으며 43억 개 정도만 가능하다. 일부 레지스트리는 2011년부터 숫자가 부족하기 시작했고, 기업들은 2012년부터 IPv6으로 이동하기 시작했다. 그러나 인터넷 소사이어티 데이터에 따르면 오늘날 구글 사용자 중 30% 미만이 IPv6을 통해 이 플랫폼에 접속한다.
노키아의 맥나미는 수많은 장치와 이동전화 네트워크가 프라이빗 IPv4 주소를 사용한다고 전했다. 그는 “그것들이 인터넷에 보이지 않기 때문에 공격으로부터 자연적으로 보호해준다”라고 말했다.
그러나 세계가 5G로 이동함에 따라 통신사들은 자연스럽게 IPv6으로 이동하여 수십 억 개의 새로운 장치를 지원할 것이다. 그리고 만약 그들이 프라이빗 IPv6 주소 대신에 퍼블릭 IPv6 주소를 선택한다면, 그러한 장치들은 이제 눈에 띄게 될 것이다. 맥나미는 기업의 자신의 기기를 IPv4에서 IPv6으로 옮기는 경우, 해당 기기를 우연히 공공 주소에 넣을 수도 있다고 지적했다.
5. 엣지 컴퓨팅이 공격면을 넓힐 수 있음
대기 시간을 줄이고 고객 또는 분산된 자체 인프라를 위해 성능을 개선하고자 하는 기업들은 점점 더 엣지 컴퓨팅에 주목하고 있다. 5G를 사용하면 엔드포인트 장치가 더 많은 통신 능력을 갖게 되기 때문에 에지 컴퓨팅의 이점도 훨씬 더 커진다.
그러나 엣지 컴퓨팅은 또한 잠재적인 공격면을 극적으로 증가시킨다. 아직 제로 트러스트 네트워크 아키텍처로의 전환을 시작하지 않은 기업이라면, 엣지 컴퓨팅 인프라에 집중 투자하기 전에 지금 그것에 대해 생각하기 시작해야 한다. 보안이 사후 고려사항이 되어서는 안된다고 맥나미는 강조했다.
6. 신생 IoT 공급업체들의 습성 이해해야
IoT 골드러시는 새로운 공급업체가 현장에 진출하고 기존 공급업체가 새로운 기기를 시장에 출시할 수 있도록 고무시킬 것이다. 취약점을 찾는 보안 연구자들보다 IoT 장치가 이미 더 많다고 바라쿠다의 태너는 진단했다. 그는 “새로운 제조업체가 뛰어들면서 보안 실수의 새로운 사이클을 보게 될 것”이라고 말했다.
태너는 같은 실수가 반복되는 것을 목격하고 있다며, IoT 기기의 취약성이 줄어들지 않고 상승하고 있다고 지적했다. 그는 “다른 사람들의 실수로부터 배우지 않고 있다”라고 말했다.
에이라인 컴플라이언스 앤 시큐리티(A-Lign Compliance and Security)에서 침투 테스트 연습의 역할을 맡아 기업 네트워크에 침투하는 조 코테스는 “수많은 공급업체들이 보안에 개의치 않는 모습을 보인다. 올해 초 소등 및 점등과 관련된 기기 5대를 구입했는데 집 밖에서 그 중 4대에 접근할 수 있었다. 기기들에는 공급업체가 심어 둔 테스트 모드가 있으며 그들은 이 모드를 절대 없애지 않는다”라고 말했다.
공급 업체들이 보안을 도외시하는 데에는 이유가 있다. 모든 공급업체들은 먼저 시장에 진출하기를 원한다. 그리고 장치를 출시하는 가장 빠른 방법은 임베디드 리눅스처럼 즉시 사용할 수 있는 플랫폼을 사용하는 것이다. 그는 “나는 정보분야에서 일한 적이 있다. 그리고 나는 최근에 7줄의 코드만으로 장치를 무너뜨릴 수 있는 IoT 맬웨어의 일부를 입수했다”라고 말했다.
공격자들은 이를 이용하여 공장이나 중요한 인프라를 폐쇄하거나 점유함으로써 몸값을 요구할 수 있다. 코테스는 “아직 그런 일이 일어나는 것을 보지 못했지만, 5G가 아직 널리 배치되지 않았기 때문이다. 5G 채택이 늘어나고 IoT가 증가함에 따라 제조업과 같은 시스템의 악용도 크게 증가할 것으로 보인다”라고 말했다.
7. 위장공격에 유의
5G 네트워크는 대부분 비독립형이며, 이로 인해 4G와 구형 프로토콜에 내재된 일부 결함에 여전히 취약하다. 4G와 그 이전의 네트워크에서 사용자 전송과 트래픽 제어에 사용되는 GTP 프로토콜이 하나의 예다. 여기에는 사용자 데이터의 가로채기를 허용하는 취약성이 있어 위장공격을 초래할 수 있다.
포지티브 테크놀로지(Positive Technologies)는 최근 GTP 취약성과 이것이 5G 네트워크에 미치는 영향에 대한 보고서를 발표했다. 그것이 설명하는 한 가지 취약성은 GTP가 사용자의 위치를 확인하지 않아 어떤 트래픽이 합법적인지 판단하기 어렵게 만든다는 것이다.
공격자가 사용자를 가장하기 위해 필요한 것은 IMSI 가입자 ID와 TEID 터널 식별장치 뿐이다. 후자는 쉽게 얻을 수 있지만 공격자는 여러 가지 방법으로 IMSI를 획득할 수 있는데, 그 중 가장 간단한 방법이 다크 웹에서 데이터베이스를 구입하는 것이다.
위장 공격은 편의상 패스스루 인증을 수행하는 서비스에 의해 촉진되는 경우가 많다. 이는 제3자 파트너를 인증 받지 않은 액세스에 노출시킬 수도 있다.
포지티브 테크놀로지 연구원들은 조직이 사용자나 장치 위치를 추적할 것을 권고하면서도, 이를 위해 필요한 보안 툴이 대부분의 네트워크에 배치되지 않는다는 지적한 바 있다.
8. IoT 보안의 책임 소재
IoT 보안의 가장 큰 하나의 장벽은 기술적인 것이 아니라 심리적인 것이다. 아무도 책임을 지고 싶어하지 않는다. 대신 다른 누군가를 비난하고 싶어한다. 구매자들은 그들의 기기를 안전하게 만들지 못한 것을 공급업체들의 탓으로 돌린다. 공급업체들은 구매자들이 더 저렴하고 안전하지 않은 제품을 선택했다고 비난한다. 5G 세계에서는 IoT 보안의 책임을 미룰 경우 그 결과가 걷잡을 수 없이 커질 수 있다.
지난해 래드웨어(Radware)가 발표한 조사에 따르면 IoT 보안 책임이 자신에게 있다고 생각하고 비율이 34%에 불과했다. 11%는 서비스 제공업체가 있다고 믿고 있으며, 21%는 민간 소비자에게 해당된다고 생각하고 있었다. 35%는 비즈니스 조직이 책임을 져야 한다고 생각하고 있다.
래드웨어의 전략 담당 부사장인 마이크 오말리는 “다시 말해 중구난방이다. 소비자들은 지식이나 기술을 가지고 있지 않다. 기업은 충분한 직원을 고용할 수 없다. 제조업체들은 너무 협력적이지 않고 너무 많아서 통제가 불가능하다”라고 말했다.
기업은 일부 부담을 떠안기 위해 서비스 제공업체를 고용할 수 있지만, 그렇다고 해서 안전하지 않은 소비자 장치, 변화를 원하지 않는 제조업체, 그리고 일관된 글로벌 규제와 집행의 부재 등의 문제를 해결하지는 못한다.
IoT 보안은 모두가 책임질 필요가 있다. 구매자들은 통신 기능이 암호화되고 인증되며, 기기가 정기적으로 패치 및 업데이트를 받아야 한다고 요구해야 한다. 공급업체들은 뉴스 헤드라인에 등장하기 시작한 후가 아니라 제품 설계 과정의 시작부터 보안에 대해 생각해야 하며 안전하지 못한 기기들은 판매하지 않아야 한다. dl-ciokorea@foundryco.com
