사이버 공격에 어떻게 대비해야 할까요?
사이버 공격에 어떻게 대비해야 할까요?
"선제적인 포괄적 보안 계획을 통해 제조업체는 사이버 보안 위험과 규제를 관리하면서 비용이 발샐하는 리콜, 설계 변경 및 벌금을 방지할 수 있습니다."
사이버 보안 제품 세일즈의 GDP 성장률이 두 배로 증가하는 데는 그럴 만한 이유가 있습니다. 사물인터넷(IoT) 시대에 가정용 모니터부터 어린이 장난감까지 모든 커넥티드 전자제품은 데이터 보안과 개인 정보 보호에 대한 잠재적인 위험을 갖고 있습니다.
Gartner에 따르면 2018년까지 70억 개 이상의 IoT 가전제품이 설치되었으며, 2020년까지 약 130억 개로 증가할 것으로 예상합니다. 제조업체에게 가전제품 IoT 시장의 성장은 새로운 소프트웨어 및 서비스 기반 수익 모델을 개발할 수 있는 좋은 기회입니다. 하지만 전 세계적으로 이러한 시장의 성장은 2021년까지 6조 달러에 이를 것으로 예상되는 사이버 범죄 비용과 맞물려 있습니다.
사이버 범죄의 비용은 도난당한 돈을 월등히 초과합니다. 이는 법의학 조사, 손상 시스템 복구 및 후속 브랜드 손상으로 인해 악화된 데이터 또는 지적 재산(IP)의 파괴 및 도난, 사기 또는 비즈니스 중단으로 인한 생산성 손실이 포함됩니다.
그렇다면 제조업체는 사이버 범죄 위험을 완화하고 데이터 보호를 내장하기 위해 충분한 노력을 기울이고 있을까요? 예방적 보안 조치는 기술 스택 전반에 걸쳐, 설계 및 제조에서 구현 및 제품 노후화에 이르기까지 제품 수명 주기와 IoT 생태계 전반에 걸친 통합이 필요합니다. GDPR은 규제 프레임워크를 준수하지 않을 경우의 결과로 인해 이러한 조치를 취하는 것의 중요성을 높였습니다. 이전에는 브랜드 평판에 영향을 미칠 수 있었지만, 이제 GDPR 위반은 최대 2천만 유로 또는 매출의 4% (둘 중 큰 금액)에 달하는 벌금으로 이어질 수 있습니다.
따라서 선제적인 포괄적 보안 계획은 제조업체가 사이버 보안 위험과 규제를 관리하면서 많은 비용이 발생하는 리콜, 설계 변경 및 벌금에 미리 대응할 수 있습니다.
모든 동전에는 양면이 있습니다. IoT 제품에서 가치 창출을 가능하게 하는 기술이 동일한 기술로 공격 벡터를 생성합니다. 일반적인 공격 벡터에는 취약한 비밀번호, 하위 구성 요소 또는 통합 라이브러리의 취약성, 암호화 부족, 인터넷 노출 및 장치 제조업체가 설계한 숨겨진 "백도어"가 포함됩니다. 이러한 벡터는 여러 일반적인 유형의 사이버 공격을 수행하는 데 사용됩니다.
IoT 봇넷(botnet)은 가장 유명한 분산 서비스 거부(DDoS) 공격 중 일부에서 사용되었습니다. DDoS 공격은 네트워크를 트래픽으로 과부하 시킵니다. 해커는 쉽게 손상될 수 있는 비밀번호를 가진 장치를 인터넷에서 검색하여 연결된 카메라에서 베이비 모니터에 이르기까지 다양한 IoT 제품으로 봇넷을 만듭니다. DDoS는 너무 만연하여 소프트웨어를 다크 웹에서 시간 단위로 대여하여 IoT 봇넷을 사용하여 공격을 수행할 수 있습니다.
랜섬웨어는 빈도가 증가하는 또 다른 공격입니다. 전통적인 랜섬웨어 공격에서는 해커가 중요한 데이터를 암호화합니다. 피해자가 일반적으로 비트코인으로 비용을 지불하면 복호화 키가 공유됩니다. 보안 회사 Senrio와 Pen Test Partners의 화이트 해커들은 최근 스마트 온도 조절기를 원격으로 감염시킬 수 있음을 보여주었습니다. 출장 중에 온도 조절기가 해킹되어 최고 온도로 설정되었다는 말을 들었다고 상상해보십시오. 난방비, 고양이, 화초를 구하기 위해 비용을 지불하시겠습니까? 장치 가용성은 이렇게 다양한 시나리오에서 매우 중요할 수 있습니다. 장치를 재설정할 수 있지만 일반 고객에게는 어려운 과정이며 최악의 경우에는 데이터 및 설정 손실과 같은 매우 큰 문제가 발생할 수 있습니다. 공격이 빨리 감지되지 않으면 암호화된 데이터가 백업(백업이 있는 경우)되고 백업이 결국 회전되어 데이터 복구를 방지합니다.
IoT 도메인에서만 독점적으로 발생하는 세 번째 유형의 공격은 장치 원격 제어입니다. 2살 딸 방에서 낯선 목소리가 들리고 베이비 모니터가 해킹당한 상황을 상상해보십시오. 이스라엘 벤구리온 대학(Ben-Gurion University)의 Yossi Oren 박사는 많은 베이비 모니터가 2018년 사건 이후에도 여전히 해킹하기 쉽다는 것을 발견했습니다. 장치 연결성이 만연함에 따라 차량, 오븐, 의료 기기 및 기타 가전제품의 원격 제어로 인한 물리적 피해 위험이 커지고 있습니다.
사이버 보안 결정사항에는 보안 수준, 시스템 복잡성, 시장 출시 시간 및 비용 간의 절충이 포함됩니다. 이 과정은 비즈니스 영향과 위험 확률 평가로 시작됩니다. 위험을 명확하게 이해하고 우선 순위를 정하지 않으면 개별 기술 구성 요소나 IoT 시스템 전체의 보안 요구 사항을 결정할 수 없습니다.
위험을 이해한 후 다음 단계는 기술 스택을 평가하는 것입니다. 위험 평가에 의해 결정된 요구 사항에 대한 개별 구성 요소 시험은 안전한 제품의 기초입니다. 제품 개발이 완료되면 보안을 소프트웨어 추가 기능으로 설치할 수 없습니다. 스택의 모든 수준은 칩셋, 센서 및 액추에이터와 같은 장치 하드웨어, 무선 통신 모듈 및 프로토콜, 장치 펌웨어(OS 및 내장 애플리케이션), 클라우드 플랫폼 및 애플리케이션 등 취약성을 평가해야 합니다. 구성 요소 시험 후에는 전체 제품 수명 주기 관리(PLM) 프로세스 전반에서 다양한 상황에서 구성 요소가 어떻게 상호 작용하는지 확인하기 위해 종단 간 평가를 수행해야 합니다. 마지막으로 제품 수명 주기 동안 업데이트를 위한 보안 검증 프로세스를 내장할 수 있습니다.
성숙한 소비자 IoT 기업은 제품에 보안을 내장하는 것 이상으로 고객 행동을 연구하여 사용자 생성 위험을 식별하고 최소화합니다. 제품 회사는 고객에게 보안 책임을 전적으로 넘길 수 없습니다. 고객이 저지를 수 있는 실수나 고객이 무시할 수 있는 모범 사례를 고려하면 '기본적으로 안전한' 제품을 구축해야 합니다.
많은 가전제품 제조업체는 내부 보안 기능을 갖추고 있지만 다양한 유형의 조직, 시스템 및 IoT 제품을 평가하는 데 더 넓은 노출 경험을 가진 외부 고문과 협력함으로써 혜택을 받을 수 있습니다. 신뢰할 수 있는 파트너 네트워크를 구축하는 것은 비용 효율적인 보안을 계획하기 위한 첫걸음입니다.
TÜV SÜD는 가전제품의 안전성과 보안을 시험하기 위한 기술 중립적 파트너입니다. TÜV SÜD는 제조업체와 파트너들이 소프트웨어 및 침투 시험을 실행하고 법적 책임을 완화하기 위해 제품 인증을 통해 고객의 IoT 생태계와 기술 요구 사항을 평가하고 확보하도록 도움을 드립니다. TÜV SÜD는 고객의 IoT 제품뿐만 아니라 다음과 같은 IoT 전 라이프체인의 보안을 시험하도록 도울 수 있습니다:
사이버 보안 위험 문제를 해결하려면 결국 설계부터 노후화관리까지 포괄적인 계획, 주기적인 평가, 업데이트 및 모니터링이 필요합니다.
관련해서 더 많은 질문이 있으신가요? TÜV SÜD의 전문가와 상담해보세요!
IoT 사이버 보안에 대한 위협요인과 규정, 소비자 사물 인터넷(CIoT) 장치의 안전성 및 보안성을 위한 TÜV SÜD 서비스를 확인하세요.
더 알아보기
TÜV SÜD는 IoT 디바이스 제조업자가 가장 관련성 높은 국제 표준에 기반한 시험 및 인증 서비스를 제공하여 제조업체가 보안성 높은 제품을 개발할 수 있도록 지원하고 있습니다.
자세히 알아보기
TÜV SÜD 전문가들은 ETSI EN 303 645 시험을 통해 특정 시장에 대한 사이버 사기 및 데이터 보안규정을 정확하게 파악하고 있으며 사이버 위협 분야에 대한 심도 깊은 이해를 바탕으로 전세계 고객들이 디지털 미래의 잠재력을 완전히 구현할 수 있도록 지원합니다.
자세히 알아보기
Site Selector
Global
Americas
Asia
Europe
Middle East and Africa