안녕하세요데이터 지킴이 보메트릭입니다. :-)

인터넷이 그러했던 것처럼, IoT는 이제 우리 생활의 일부분이 되고 있습니다. 형광등에서부터 커넥티드카까지 IoT는 우리 생활 곳곳에 영향을 미치고 있습니다. 그러나 IoT로 인해 증가된 연결성이 종종 취약점으로 이어지기도 합니다.

연결성 증가 = 리스크 증가

해커들은 인터넷에 연결된 물건들을 쉽게 해킹합니다. 실제로 우리는 이러한 해킹 사건들을 많이 목격했지요. 최근 장난감 업체인 브이테크와 헬로우 바비에서 발생한 데이터 유출 사건 그리고 와이파이를 통해 지프(Jeep)의 멀티미디어 시스템을 해킹한 사건들 말입니다. 지프 해킹에서 해커들은 자동차 핸들, 엔진, 송출기, 브레이크 시스템에 대한 권한을 얻었습니다. 설상가상으로 스프린트 셀룰러 네트워크를 통해 원격으로 이 모든 것을 조종할 수 있었죠.

오늘날의 자동차는 포드 머스탱보다는 애플의 아이폰과 더 유사합니다. 또한 오늘날의 자동차에 적용된 첨단 기술은 운전자의 운전 경험은 향상시켰을 지라도, 이는 새로운 보안 취약점과 사생활 문제로 연결됩니다.

최근의 진행된 IoT와 관련 보메트릭 조사에 따르면, 미국인들이 가장 두려하는 것은 바로 자동차에 대한 해킹이었습니다. 조사에 참여한 응답자의 24%는 이미 커넥티드카를 소유하고 있었죠. 새롭게 떠오르는 분야일지라도 미국인들은 IoT 기술을 적극적으로 도입하고 있습니다.

산업에서의 노력

각 자동차 회사들 역시 사이버 보안을 위해 발빠르게 행동하고 있습니다. 대표적으로, GM은 제품 보안 최고 담당자를 두고 그 아래 80명의 직원을 채용했습니다. 제품 보안 최고 담당자는 2년 전에는 존재하지 않았던 직책이지요. 또한, 폭스바겐은 최근 CyMotive라는 새로운 사이버 보안 회사를 공동 창업했습니다. 이 회사의 목표는 "차세대 커넥티드카를 위한 지능형 보안 솔루션"을 제공하는데 있다고 합니다.

물론 GM과 폭스바겐이 보안을 위해 노력하는 유일한 자동차 회사는 아닙니다. 전 세계 자동차 업계의 사이버 보안 인식을 높이기 위해, 2015년 미국에서는 자동차 산업의 정보공유 및 분석 센터인 ‘Auto-ISAC’가 설립됐습니다. 이 조직의 멤버들은 이제 경량 자동차 98%를 차지할 정도로 규모를 키웠습니다. 이 센터의 목표는 주요 위협 정보 공유와 실시간 대응을 촉진하고 각 자동차 회사의 사이버 보안 역량을 향상하는 것이지요. 새로운 시작인 만큼 아직은 어떻게 Auto-ISAC가 커넥티드카 보안에 도움을 줄 수 있을지는 미지수입니다. 그러나 센터를 통해 한가지 확실한 것은 협력 공동체와 보안 기준의 필요성에 대한 경각심이 증가하고 있다는 것입니다.

이와 동일선상에서 말하자면, 미국 연방 통상 위원회(FTC)는 8월 말 레터카 이용 고객들은 네트워크에 연결된 자동차를 이용할 때 개인정보 유출에 대비해야 한다고 권고했습니다. 이는 커네티드카 해킹의 결과는 차가 도로에서 벗어나는 것에서 그치는 것이 아니라 개인 정보 유출에 까지 영향을 미친다는 것을 의미합니다. 따라서 FTC는 렌터카 이용자들에게 충전 등을 위해 자동차 엔터테인먼트 시스템에 모바일 기기를 연결하지 않고 렌터카를 반납하기 전 데이터를 모두 삭제할 것을 권고합니다. 

커넥티드카를 통한 데이터 유출을 대비하는 것은 개개인과 조직들에게 중요한 이슈가 됐습니다. 탈레스는 최근 선도적인 F1팀인 윌리엄스와 새로운 기술 파트너십을 맺었습니다. 이 파트너십을 통해 탈레스는 윌리엄스가 전 세계적으로 경쟁력있는 F1팀으로서 보유한 기밀 데이터를 데이터 유출로부터 보호하고 있습니다.

탈레스가 어떻게 오늘날의 커넥티드카를 보호하는지 더 궁금하신 분들은 보고서를 확인 하세요. 

신고
Posted by 보메트릭코리아

안녕하세요데이터 지킴이 보메트릭입니다. :-)

지난 FBI와 애플의 암호화 배도어 관련 논쟁은 전세계적인 이슈였습니다. 애플-FBI의 논쟁과 같이 정부가 특별 접근 권한을 가질 수 있는지에 대한 논쟁이 현재 또 다른 국가에서 일어나고 있습니다. 영국에서 '수사권 강화법안(Investigatory Powers Bill)'이 승인되면서 이와 관련된 논쟁이 점화되고 있는 것입니다.

논쟁의 여지가 있는 해당 법안은 영국 정부 기관에게 시민들의 온라인 활동을 모니터링할 수 있는 권한을 부여합니다. 이는 생명을 구하는데 필요할 시 정부가 시민들의 이메일, 휴대폰, 인터넷 행적 또한 열람할 게 합니다. 본질적으로 이 법안은 영국 정부가 상황이 된다면, 기업들에게 암호화된 데이터를 복호화하라고 명령할 수 있으며 정보와 커뮤니케이션에 대한 접근할 수 있도록 하는 권한을 부여하는 것입니다.

이 논쟁은 상원의사당에서 찬성측과 반대측의 격렬한 논의를 불러일으켰지만, 결국 ‘수사권 강화법안(Investigatory Powers Bill)’을 하원표결에 부처 찬성 444표, 반대 69표의 압도적 차이로 통과시켰습니다. 해당 법안의 발의된 의도는 물론 훌륭하고 이론적으로 합리적으로 들리는 건 사실입니다. 그러나 기본적인 문제는 남아있죠.

우선, 법안은 정부가 접근 권한을 적절하게 사용한다는 것에 대한 대중들의 믿음이 필요합니다. 현 시점에서 법안의 적용 범위는 아직 모호하고 페이스북 트위터와 같은 온라인 비즈니스를 운영하는 기업체에게 까지 영국 정부는 암호화된 데이터에 대한 접근을 요구할 수 있습니다.

암호화는 데이터를 보호하기 위한 가장 효과적인 방법입니다. 특히 접근 통제와 데이터 접근 모니터링과 함께라면 더욱 강력하지죠. 백도어 접근은 이러한 보안성을 해칠 것이며 특히 다른 사람 손에 들어갈 수 있습니다. 또한, 영국의 기관들은 잠재적으로 데이터 유출의 위협에 놓여질 수 있습니다.

보메트릭에 대한 자세한 정보는 보메트릭 홈페이지에서도 확인하실 수 있습니다. 

신고
Posted by 보메트릭코리아

안녕하세요데이터 지킴이 보메트릭입니다. :-)

보메트릭은 작년 말 부터 451 리서치와 함께 내부 그리고 외부 사이버 위협에 대응하는 기업 보안 수준을 조사해왔습니다. 그 조사 결과를 바탕으로 한 2016 보메트릭 데이터 위협 보고서는 전반적으로 사이버 보안 업계에 대한 놀라운 결과를 담고 있습니다. 가장 주목할만한 것은 기업들이 보호해야 할 환경이 클라우드, 빅데이터, IoT등으로 현저하게 변화했음에도 불구하고 보안에 대한 인식은 수년 동안 변함이 없다는 것입니다.

보메트릭 데이터 위협 보고서의 글로벌판과 지역판 그리고 산업별 확장판을 살펴보면, 현재 사이버 보안에 대한 인식은 '승리했던 지난 날의 전쟁에만 집착하는 장군'과 같은 상황인 것을 알 수 있습니다. 보고서에서는 진화하는 사이버 위협을 효과적으로 대응하지 못하게 하는 요소들에 대해 짚어내고 있습니다.

우선, 데이터 위협을 방어하기 위한 가장 효과적인 보안책과 실제로 보안담당자들이 투자하는 분야의 괴리입니다. 이제 업계에서는 네트워크 및 엔드포인트 보안으로 데이터를 효과적으로 보호할 수 없다는 것을 차츰 인정하는 분위기입니다. 이러한 '보안 솔루션은 이미 죽었다'다 라는 벤더들의 마케팅 문구 역시 이제 진부해질 때가 됐죠. 그렇지만, 보안 담당자들은 아직 네트워크 혹은 엔드포인트 보안에 투자하고 있습니다. 실제로 48%의 응답자들은 다른 보안 솔루션보다 네트워크 보안 솔루션에 투자를 늘릴 계획이라고 답했습니다.

왜 이러한 문제들이 발생하는 것일까요? 보안 담당자들이 오래 전 부터 네트워크 보안 솔루션에 투자하고, 조율하고, 인증받음에 따라 이미 환경이 바뀌었음에도 불구하고 이는 하나의 바꾸기 어려운 습관이 된 것이죠.

보메트릭의 조사에서 밝혀진 바에 따르면, 보안 컴플라이언스에 대한 잘못된 이해 역시 또 다른 문제였습니다. 다시 한번 강조하지만, 컴플라이언스 충족이 결코 완벽한 보안을 의미하지 않습니다. 분명, 컴플라이언스가 보안 역량 강화를 일부 가져오는 것도 사실입니다. 예를 들면, 전반적인 보안 전략 수립을 위한 틀을 제공하고, 미래의 보안을 위한 베이스라인을 설정하는 것이 그것이죠. 그러나 컴플라이언스는 그저 시작일 뿐 그 자체로서 완성이 아닙니다. 하지만 조사에 따르면, 업계에 아직까지 잘못된 인식을 가진 사람이 많많았습니다. 거의 3분의 2의 응답자가 컴플라이언스 사항을 개인정보 유출을 방지하는데 매우 효과적 혹은 극도로 효과적이라고 답했습니다. 매주 신문에는 컴플라이언스를 충족시킨 기업들의 개인정보 유출 사건이 실림에도 말이죠.

물론, 보고서의 긍정적인 결과도 담겨 있습니다. 많은 기업들은 그저 컴플라이언스를 살펴보기 보다는 보안 우수 사례를 적용하고자 하고 있습니다. 또한 응답자의 대부분(58%)은 데이터 보안에 대한 투자 증가를 기대한다고 답했습니다. 그러나 아직 갈 길은 멀었습니다. 어제와 똑같이 살면서 다른 미래를 기대하는 것은 비이성적인 기대라는 격언이 현재의 보안 인식의 상황에 들어맞습니다. 이제 강력한 데이터 보안을 위해 변화해야할 때 입니다.

보메트릭에 대한 자세한 정보는 보메트릭 홈페이지에서도 확인하실 수 있습니다. 


신고
Posted by 보메트릭코리아


티스토리 툴바