“IoT 보안, 모든 것을 의심하라”
상태바
“IoT 보안, 모든 것을 의심하라”
  • 김선애 기자
  • 승인 2018.10.11 13:54
  • 댓글 0
이 기사를 공유합니다

데릭 맨키 포티넷 보안전략가 “‘제로 트러스트’ 기반 보안 정책 필수…한국 주요 기관 타깃 공격 ‘위험’”

“IoT 보안을 위해서는 모든 기기를 신뢰하지 않는 ‘제로 트러스트’ 기반 정책이 필요하다.”

데릭 맨키(Derek Manky) 포티넷 글로벌 보안전략가는 최근 급증하는 IoT 보안위협에 대해 경고하며 “IoT 타깃 공격은 초보적인 방식을 이용하지만, 감염대상 기기가 많고 관리가 어렵기 때문에 대응이 쉽지 않다”며 “제로 트러스트 정책을 기반으로 모든 네트워크 접근을 감시하고 통제하는 정책이 필수”라고 말했다.

우리나라에서 발견되는 IoT 악용 공격 사례 중 카메라, 라우터, 웹서버 등을 이용하는 시도가 많다. 인증받지 않은 원격관리 툴을 이용하거나 하드코드 패스워드를 활용해 관리자 계정을 탈취한다. IoT 기기들은 관리자 계정을 전혀 관리하지 않거나 유추하기 쉬운 비밀번호를 이용하는 경우가 많다. 또한 리버스 엔지니어링으로 비밀번호를 쉽게 알 수 있다는 점도 문제다.

데릭 맨키 보안전략가는 IoT 위협을 관리하기 위해 ▲자동화된 패치관리 시스템을 이용한 취약점 제거 ▲네트워크 분할과 접근제어 ▲SIEM 등을 이용한 위협관리 ▲IT 전반의 취약점 점검과 보안 위협 감시 등의 활동이 필요하다고 강조하며 “포티넷은 ‘보안 패브릭’ 기반의 통합되고 자동화된 보안 전략으로 고객이 직면한 위협에 적절하게 대응할 수 있도록 지원한다”고 설명했다.

수 천개 공격그룹 활동

데릭 맨키 보안전략가는 포티넷이 최근 발표한 ‘글로벌 위협 전망 보고서’의 주요 내용을 설명하며 “전통적으로 공격에 사용돼 온 바이러스는 많이 발견되지 않지만, 제로데이 공격, 익스플로잇, 봇넷 등 새로운 방식의 공격기법이 수없이 등장하고 있다”며 “현재 네트워크에 대한 침입시도는 매 분 당 800만건, 봇넷 연결 시도는 매 분 당 6만4000건, 매 분 당 의심스러운 웹사이트 접근 시도 차단이 15만건에 이른다. 또한 수천개의 악성코드 패밀리가 등장하고 있어 사이버 범죄 커뮤니티 구성원이 다양해지고 있다는 것을 알려주고 있다”고 밝혔다.

이어 그는 “범죄조직, 특히 랜섬웨어 공격조직들은 개발조직과 공격조직이 구분돼 있으며, 40:60의 비율로 범죄 수익을 나누고 있다. 또한 개발자들은 애자일 개발방식을 이용해 악성코드를 쉽게 개발하고 효율적으로 재사용하고 있다. 범죄조직의 수익은 피해자가 많아질수록 높아진다”고 말했다.

그는 한국에서만 발견되는 주목할 만한 공격으로 우리나라 방산업체가 만든 보안USB를 노리고 공격하는 ‘틱(Tick)’과 스카크래프트이다. 틱 공격에 대한 정확한 정체가 밝혀진 것은 아니지만, 보안USB를 사용하는 망분리 시스템을 노렸을 가능성이 높다. 포티가드랩이 틱의 활동을 추적한 결과 3개월간 300건의 공격 시도가 있었던 것으로 나타났다.

그는 “한국에서 발생하는 위협 중 봇넷, MS 워드 문서 파일을 이용한 멀웨어 유포 등을 주목해봐야 하며, 특히 틱 공격과 스카크래프트 공격은 주요 기관을 노리는 타깃 공격일 수 있으므로 예의주시하면서 분석하고 있다”고 밝혔다.

이와 같은 진화하는 사이버 공격에 대응하기 위한 방법 중 하나로 맨키 전략가는 사이버 위협 연합(CTA) 활동을 설명했다. 포티넷, 팔로알토네트웍스, 시만텍, 맥아피, 시스코, 체크포인트 등이 이사회를 구성해 활동하고 있으며, 우리나라의 SK인포섹, 세인트시큐리티 등도 회원으로 활동하고 있다.

맨키 전략가는 “보안 기업들은 시장에서 공정하게 경쟁하면서 다양한 협력을 진행하며 사이버 공격에 대응하고 있다. CTA에서 공유되는 위협 인텔리전스는 40만 포티넷 고객사에게 배포돼 최신·지능형 공격을 방어한다”고 설명했다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.