사물인터넷의 습격, “아는 것과 적응하는 것은 다르다”…제임스 버렐

CERT-LatestNews Security News ThreatsCybercrime

한 FBI 고위급 인사는 보스턴 연방준비은행 사이버보안 컨퍼런스에서 사물인터넷(Internet of Things, IoT)에 대해 알고 있는 것과 적응하는 것은 전혀 다른 것이라고 말했다.


Credit: Stephen Lawson

사물인터넷(Internet of Things, IoT), SDN(Software-Defined Networks), 클라우드 기반 서비스, 네트워크 가상화(Network Virtualization, NV)는 떠오르는 기술처럼 들리지 않는다. 이것들은 모두 10년 이상된 기술로, IT 세계에서는 이미 여러 세대가 지났다.

그러나 FBI 부국장보 제임스 버렐 박사에 따르면, 이들은 여전히 성장을 거듭하고 있다. 버렐은 보스턴 연방준비은행의 사이버보안 컨퍼런스 2016(Boston Fed’s cybersecurity conference 2016)에 참석한 청중들에게 “정말 중요한 것은 조직 내 채택율(adoption)과 적응율(adaption)이다. 이는 리스크를 감소시킨다”고 말했다.

그리고 버렐은 “모든 이들이 IoT를 매우 잘 알고 있지만 채택과 적응 단계에서 만물인터넷(Internet of Everything, IoE)을 위한 준비가 된 거 같지 않다”고 말했다.

이 컨퍼런스 강연자 7명 가운데 한명인 버렐은 이는 미 정부의 공식입장은 아니라고 덧붙였다. 버렐은 IoE에 대해 앞으로 5년에서 10년 내로 인터넷을 경험했던 전 시대보다 더 큰 변화를 가져올 것이라고 시스코 전 CEO 존 챔버가 말한 바를 인용했다.

버렐은 “IT는 기회를 가져온다. 그러나 엄청난 속도로 발전하는 온라인 기술에 대해 기업들은 따라가기 힘들다. 그래서 IT의 리스크와 기회는 공존한다”고 말했다.

버렐은 “이런 기회를 잡기 위해선 ‘사고의 패러다임 전환’이 필요하다. 이런 전환은 매우 중요하지만 임계점에 다다르기까지는 아주 먼 길이다”고 설명했다.

애플리케이션과 소프트웨어 세계에서는 거의 20년 전부터 이에 대한 밑그림을 그려놓고 바닥을 다지고 있다. 문제는 최우선 고민 사항은 보안이 아니라 고객들의 수요다. 자신은 그들이 만든 것을 사지 않는다고 말할 수 있지만 임직원과 고객들이 산다면 구매를 할 수밖에 없을 것이다.

버렐은 “10년 전 스마트폰과 BYOD가 일상화되고 기업들은 이를 빠르게 제공해 효과를 봤다. 그러나 기업들은 IT 보안에 대해 이해하지 못했다. 이제 IoT에서도 이런 상황이 발생하고 있다. 문제는 현재 IoT 보안에 대해 준비되지 않았다 하더라도 무엇을 해야할 지 비교할 것이 없다는 점이다”고 말했다.

IoT를 구성하는 수십억 대의 기기는 4년 동안 210억 대 또는 그 이상으로 증가할 것이지만 모바일 기기처럼 표준화가 되지 않았다. 표준화 문제는 누군가 우리의 냉장고 온도를 안다는 수준이 아니라 우리의 네트워크로 침입하는 하나의 방법이자 요소다.

버렐은 “이런 툴들의 가격이 낮아져 사이버 범죄를 위한 비용은 가파르게 낮아지고 있다. 사이버 범죄자들은 오픈소스 소프트웨어를 이용해 문 잠금장치를 무용지물로 만든다”고 말했다. editor@itworld.co.kr

http://www.itworld.co.kr/news/98695