“IoT 장치를 사용-3”… 기업의 IoT 장치 보안 팁
IoT 내부 피어링 HIG는 500억 달러 이상 자기 자본인 4개 대륙 26개 사무소를 둔 글로벌 투자 회사
[디지털비즈온 김맹근 기자] IoT 장치를 안정적으로 검색하고 인벤토리를 작성하면 다른 네트워크 장치와 마찬가지로 엄격하게 관리하고 보안을 유지해야 한다. 이를 위해서는 구성 관리, 취약성 검색, 트래픽 모니터링 및 기타 기능이 필요하다.
외부 네트워크에 연결되지 않은 장치도 회사 내부를 가로질러 이동하는 단호한 공격자의 중간 준비 지점 또는 은신처가 될 수 있다. HIG Capital의 CISO인 Marcos Marrero는 1년 전에 바로 이 딜레마에 직면했다.
HIG는 500억 달러 이상의 자기 자본을 관리하고 4개 대륙에 26개의 사무소를 두고 있는 글로벌 투자 회사이다. 이 회사는 컴퓨터실 내부의 온도, 습도 및 전력을 모니터링하는 카메라, 물리적 보안 장치 및 센서와 같은 수백 개의 장치를 네트워크에 보유하고 있다. IoT 장치 보안은 "큰 문제"라고 Marrero는 말한다. "그리고 그것은 끊임없이 진화하고 점점 더 커지고 있다."
금융 회사로서 HIG는 보안 팀이 네트워크에 설치된 모든 장치를 감독하므로 보안에 매우 민감하다. Marrero는 "나무를 두드리십시오. 우리 환경에서 불량 IoT를 발견하지 못했습니다."라고 말한다.
그러나 장치를 찾을 수 있다는 것은 여정의 시작일 뿐이다. "그러면 취약성과 구성에 대한 가시성이 있습니다."라고 그는 말한다.
약 1년 전에 Marrero는 방 경보 장치 중 하나에 대한 취약성 스캔을 실행했고 인증이 필요하지 않은 열린 포트를 발견했다. 회사는 제조업체에 연락하여 장치를 강화하는 방법에 대한 지침을 얻을 수 있었다. "하지만 우리는 그것을 요청해야 했습니다. 즉시 우리에게 주어진 정보가 아니었다."라고 그는 말한다.
그리고 회사에서 실행한 취약성 스캔은 외부에서 장치만 살펴보았고 열린 포트와 운영 체제 유형을 찾았고 그 외에는 거의 없었기 때문에 가능한 다양한 문제에 대해 눈이 멀었다. "이러한 장치에 사용되는 오픈 소스 소프트웨어에는 수많은 취약점이 있습니다."라고 그는 말한다.
이 문제를 해결하기 위해 HIG는 Netrise의 펌웨어 검색 도구로 전환했다.
"우리는 개념 증명을 수행하고 펌웨어 이미지 중 하나를 업로드했으며 이 모든 취약성 데이터 및 기타 정보를 반환했다."라고 그는 말한다. "그것이 우리를 위해 봉인한 것이다."
이미지 업로드는 이미지당 몇 분이 소요되는 수동 프로세스였다. 같은 종류의 중복 기기가 많아 회사에서 업로드할 수 있는 서로 다른 이미지는 총 20개 미만이었다. 스캔 결과 회사의 예상 취약점 목록이 28% 증가했다.
"우리는 그들이 우리 환경에 존재하는지 전혀 몰랐다."라고 그는 말합니다. "예, 우리의 취약성 추세가 급증했지만 전투의 절반은 처음에 그러한 취약성이 있다는 것을 아는 것이다."
취약점이 발견된 후 HIG는 장치 공급업체에 연락하여 다른 완화 조치를 취했다. "너무 위험하고 우리 환경에 너무 많은 위험을 초래하는 경우 장치를 중단하거나 주변에 추가 제어 장치를 추가할 수 있다."라고 그는 말한다.
예를 들어, 일부 장치는 다른 시스템과 사용자가 액세스할 수 있는 것을 제한하는 액세스 제어 목록을 사용하여 네트워크에서 분리되었다. "예를 들어, 보안 카메라는 해당 장치를 지원하는 기술 자산과만 통신할 수 있습니다."라고 그는 말합니다. "그것은 부정적인 착취의 위험을 제한다."
그런 다음 제조업체가 도입했을 수 있는 새로운 취약성을 방지하기 위해 배포되기 전에 Netrise 도구를 통해 향후 펌웨어 업데이트가 실행된다.
회사가 시행하고 있는 다른 IoT 관리 정책에는 초기 구매 결정 중 보안 검색이 포함된다.
그는 회사의 보안 정보 및 이벤트 관리(SIEM) 시스템을 언급하며 "새 자산을 조달하기 전에 중앙 집중식 로깅 환경으로 보낼 수 있는 일정 수준의 로깅이 있는지 확인다."라고 말한다. "SIEM이 하는 일은 우리가 보내는 모든 다양한 로그를 가져오고 이를 상호 연관시켜 잘못된 경고 수준을 줄이는 것이다."
때때로 회사는 매우 미성숙한 로깅 수준을 가진 장치를 발견한다. "그리고 저는 '우리는 그것을 사지 않을 것입니다.'라고 말해야 했습니다."라고 그는 말한다.