FTC가 제조업체에 IoT 장치 보호를 위한 더 많은 조치를 취할 것을 권고
미국 소비자 보호 기관인 FTC(Federal Trade Commission, 연방통상위원회)는 최근 장치 제조업체에 IoT 장치의 데이터 무결성을 보호하기 위해 더 많은 조치를 취할 것을 권고했습니다. 당연하게도 그 권고에서는 제품의 개발 및 제조 단계뿐만 아니라 제품 수명 동안 지속적인 업데이트를 통해 IoT 연결 제품에 보안을 구축하기 위해 기업이 구현해야 하는 중요한 작업들이 설명되었습니다. 그렇지 않으면 기업은 제품 무결성이 침해될 경우 조치를 취할 준비가 되어 있어야 합니다.
IoT 연결 장치의 확산을 인식한 기관은 지난 달에 CPSC(소비자 제품 안전 위원회)의 공청회 통지와 사물 인터넷과 소비자 제품 위험에 대한 RFC(서면 의견 요청)에 대한 보고서를 발표했습니다.
전구와 스마트 TV에서 웨어러블 피트니스 트래커, 의료 기기, 커넥티드 카에 이르기까지 IoT의 이점을 강조하는 한편 FTC는 IoT 장치에서 데이터 무결성이 침해되어 소비자에게 위험을 초래할 수 있다고 말합니다.
이를 해결하기 위해서는 IoT 장치를 제조 및 판매하는 기업이 무단 액세스로부터 장치를 보호하기 위해 합당한 조치를 취해야 한다고 제안합니다. 보안이 취약한 IoT 장치는 공격자가 장치 제어를 탈취할 수 있는 기회를 만들어 안전 위험을 포함한 위험이 생깁니다. 핀란드의 보호되지 않은 주거용 건물 관리 시스템에 대한 해커의 DDoS(분산 서비스 거부) 공격에 사용되었던, 악성 소프트웨어에 감염된 IP 카메라 및 라우터와 같은 IoT 장치로 구성된 미라이 봇넷(Mirai botnet)과 같은 예를 인용합니다. 인터넷 액세스를 차단함으로써 해커는 이러한 연결된 관리 시스템을 끝없는 재부팅 주기로 보내 아파트 거주자들이 한겨울에 중앙 난방을 이용하지 못하게 했습니다.
또한 FTC는 IoT 장치의 보안 위험을 해결하기 위한 프로그램을 설정하는 기업이 개인 정보 보호 및 안전 문제 모두를 위해 해당 장치를 해커로부터 보호하기 위한 조치를 취해야 한다고 덧붙입니다. CPSC에 대한 권고는 세 가지 높은 수준의 요구 사항에 중점을 두고 있습니다:
- 보안 위험의 예측 및 완화를 위한 최상의 관행 보장
- 소비자가 취약성 공개를 포함하여 안전 경고와 리콜 정보에 등록하도록 장려하는 프로세스 개발
- IoT 보안에서 정부의 진화하는 역할 이해
안전 위험을 예측하고 완화하기 위한 최상의 관행에 대한 지침에서 FTC는 기업이 장치 수준 및 클라우드와의 인터페이스 모두에서 위험 평가의 일부로서 보안 프로그램을 평가해야 한다고 말합니다. 기업은 또한 출시 전에 제품의 보안 조치를 테스트할 의무가 있습니다. 이는 보안에 대한 기업의 이해와 아직 학습 중인 제3자 전문가를 활용하려는 의지를 전제로 합니다.
많은 조직에서 이것은 "미인지된 무지"의 경우로, 무엇을 모르는지 모르기 때문에 직면하게 될 위협에 대한 무지로 인해 심각한 문제를 겪을 수 있습니다. 그러나 법률에 대한 무지는 법정에서 변명이 되지 않으며 조직은 초연결된 세상에서 자신의 책임을 빨리 받아들여야 합니다.
이 보고서는 보안 보호는 일반적으로 제조사의 책임이지만 IoT 장치는 다양한 서비스 공급자의 구성 요소 및 소프트웨어 제품인 경우가 많다고 덧붙입니다. 따라서 IoT 장치 제조사는 소비자에게 제품을 판매하기 전에 서비스 공급자가 가져올 수 있는 위험을 포함하여 해당 제품의 전반적인 보안 상태를 평가하기 위한 합리적인 조치를 취해야 합니다. 기업은 서비스 제공자 선택 시 실사하고, 계약에 보안 표준을 통합하고, 진화하는 보안 표준에 대한 준수를 지속적으로 확인하기 위한 합리적인 조치를 취함으로써 감독 및 리더십을 제공해야 합니다. 앞에서 설명한 것처럼 문제는 조직이 최상의 관행 지침을 따르고 있는지 확인하는 방법입니다.
FTC는 또한 위협, 안전 위험, 기술 및 비즈니스 모델이 진화함에 따라 기업이 보안 관행을 따라잡기 위한 지속적인 프로세스를 구현해야 한다고 권고합니다. 여기에는 기업이 제품 출시 후 업데이트와 패치 발행 등을 통해 개인 정보 보호, 보안 및 안전에 대한 위협을 해결하기 위한 합리적인 조치를 취하는 것이 포함됩니다. FTC가 수행한 모바일 보안 업데이트에 대한 연구에 따르면 보안 업데이트 프로세스는 모바일 장치 제조사마다 크게 다르며 개선되었다고는 해도 여전히 병목 현상이 발견되었습니다. 따라서 생태계의 모든 행위자가 소비자의 합리적인 기대와 일치하는 기간 동안 장치가 보안 업데이트를 받도록 보장해야 한다고 강조합니다.
이러한 권고 사항은 보안에 대한 전체적인 접근 방식을 취하고 신제품 개발 초기부터 신뢰의 공급망을 구축하는 중요성을 강조합니다. 보안은 더 이상 나중에 생각할 수 없으며 보안(또는 보안 부족)은 이제 모든 기업에서 실존적 위협으로 전환되어 최고경영진의 고위급 토론 대시보드에 올라갑니다. 모든 CEO는 보안이 기업에 미치는 영향, 즉 다가오는 위협과 기회 모두를 이해해야 합니다. 제품은 DNA에 통합된 고유한 아이덴티티와 기밀성을 유지하면서 개발되어야 합니다. 조직은 제품의 전체 수명주기에 걸쳐 제품을 지원하고, 통합업체와 사용자에게 보안 업데이트를 제공하고 기존의 수명 종료 시점을 훨씬 넘어서 취약성에 대해 알려줄 수 있는 방법을 갖추어야 합니다. 또한 이러한 새로운 요구의 소용돌이 속에서 강력하면서도 신뢰할 수 있는 공급망이 필요한 지적 재산에 내재된 브랜드 가치와 값비싼 연구 비용을 보호해야 할 필요성이 있습니다.
연방 기관이 IoT 연결 장치의 위험과 잠재적 위험으로부터 소비자를 보호해야 할 필요성을 인식함에 따라 실제로 보안은 개발 및 제조 단계뿐만 아니라 제품의 수명주기 전체에서 올바르게 고려되어야 합니다. 이제 어떻게 대응할 것인가는 업계의 몫입니다.
Haydn Povey는 IAR시스템즈(IAR Systems)의 최고 전략 책임자로서 이러한 새로운 보안 요구를 충족하는 데 필요한 도구를 개발하고 신뢰의 공급망을 위한 신뢰할 수 있는 프레임워크를 제공하기 위해 실리콘 벤더 생태계와 협력하고 있습니다. Haydn은 IoT 보안협회(IoT Security Foundation)의 집행 운영 위원회에도 속해 있습니다.