새해, 새로운 보안 – 1부: IoT 활용 사례

사물 인터넷 및 클라우드 기반 네트워크의 미래 보안 및 개인정보 보호 활용 사례

새해 복 많이 받으세요! 새해 전야를 앞두고 지난 한 해를 되돌아보며 좋았던 점과 아쉬웠던 점, 무엇을 배웠는지, 그리고 앞으로 어떻게 성장하고 싶은지 생각해 봅니다. 이제 2019년이 공식적으로 시작되었으니, 미래를 내다볼 시간입니다. 스윔레인의 CEO로서 저는 다가오는 한 해 동안 보안 업계가 직면할 개인정보 보호 과제에 대해 이야기해 보고자 합니다. 이 글은 사물 인터넷(IoT)과 클라우드 컴퓨팅으로의 가속화되는 전환이 보안 운영 센터(SOC)와 개별 사용자에게 어떤 새로운 과제를 제시하는지, 그리고 보안 오케스트레이션, 자동화 및 대응(SOAR) 활용 사례는 어떤 모습일지 살펴보는 두 편의 시리즈 중 첫 번째입니다.

연휴 시즌이 끝나갈 무렵, 전 세계 가정에서는 사물 인터넷(IoT)으로 연결된 다양한 기기들이 개봉되어 배치되고 있습니다. 이러한 기기들은 여러 면에서 우리의 삶을 편리하게 해 주기 위해 만들어졌지만, IoT를 이용한 개인정보 침해 사례, 예를 들어 개인 정보 유출과 같은 문제도 발생하고 있습니다. 해커들이 카메라를 통해 사용자들과 대화하고 있습니다. 전자레인지가 자신을 감시하고 있다고 느끼는 사람들의 우려는 보안과 기술에 대한 논쟁을 계속해서 불러일으키고 있습니다.

토스터가 공격하는 경우는 언제일까요?

보안 전문가로서 저는 본래 편집증적인 성향이 있지만, 토스터나 전자레인지가 저절로 작동해서 사람을 덮칠까 봐 걱정할 필요는 없다고 생각합니다. 카메라와 적절한 타이밍을 활용하면 쌓아 올릴 수 있는 세탁기/건조기가 얼굴을 때릴 가능성은 이론적으로 있지만, 사물 인터넷(IoT)의 더 큰 문제는 개인정보 보호입니다.

세탁기/건조기를 계속 사용하신다면 다음 사항들을 고려해 보세요. 아마존 대시 버튼. 점점 인기를 얻으면서, 여러분은 "아, 이제 세탁세제도 이렇게 사야겠네"라고 생각하게 될지도 모릅니다. 그다음에는 세탁기/건조기, 아니 더 중요한 건 아마존과 타이드가 여러분이 세탁하는 옷의 종류에 따라 사용하는 세제량을 추적하고 세제가 부족해지면 감지하기 시작할 겁니다. 좋은 점은 세제가 제때 배송된다는 것이고, 어쩌면 세탁하는 옷에 맞는 세제를 추천받을 수도 있다는 겁니다. 하지만 반대로, 누군가는 여러분이 청바지를 필요한 만큼 자주 세탁하지 않는다는 사실을 알고 있을 수도 있습니다. 또는 좀 더 덜 우스꽝스럽게는, 여러분이 한 곳에서 빨래를 하는 동안 다른 곳에 없어서 어떤 좋은 일이나 나쁜 일이 일어났을 수도 있다는 거죠.

그래서 제 생각에 IoT 보안 문제는 전자레인지가 저에게 해를 끼치는 것보다는 제 생활 습관과 위치 정보를 전 세계에 노출시키는 데 더 큰 의미가 있습니다. 이제 우리는 이러한 정보가 마케팅이나 판매에 어떻게 활용될 수 있을지, 그리고 법 집행에는 어떻게 이용될 수 있을지 자문해 봐야 합니다.

“널 지켜볼 거야.”

80년대 밴드라는 점이 적절하네요. 당신의 모든 움직임을 지켜보고 있어요 그 프로그램은 '더 폴리스'라고 불렸습니다. 오웰식 '빅 브라더' 상황에 처해 있다는 말은 아니지만, 우리의 휴대폰, 스마트워치, 피트니스 트래커몇 가지 예를 들자면, 이미 많은 기술들이 우리의 정확한 위치 정보를 제공하고 있습니다. 법 집행 기관, 기업, 사업주, 광고 대행사 모두 지오펜싱을 통해 사람들의 목록을 불러와 "이 사람들이 거기에 있었으니 우리가 이야기해 볼 대상이다"라고 말할 수 있습니다. 이것이 나쁜 것일까요? 꼭 그렇지는 않습니다. 하지만 단순히 가까이 있다는 이유만으로 범죄 용의자로 자동적으로 포함된다면 어떨까요? 그것은 분명 나쁜 일일 것입니다.

한계는 어디까지일까요?

TV 화면에 비친 카메라 영상은 사람들이 자신도 모르게 감시당하는 모습을 보여줍니다. 구글 홈이나 알렉사 같은 기기는 우리가 하는 모든 말을 녹음하고 있죠. 사물 인터넷(IoT) 개인정보 보호가 얼마나 심각한 문제인지는 우리를 감시하는 기업들을 얼마나 신뢰하느냐에 달려 있습니다. 그들이 수집하는 정보와 공유하는 정보의 양에 대한 기대치는 어느 정도인가요? 데이터 제공 요청을 받았을 때, 그들은 단순히 "네"라고 대답하고 정보를 제공하나요? 아니면 요청자가 영장이나 소환장 같은 복잡한 절차를 거쳐야만 정보를 얻을 수 있도록 하나요?

사물인터넷(IoT) 기술은 비교적 새로운 기술이지만, 이러한 질문들은 우리가 수년 동안 인터넷 서비스 제공업체(ISP)나 인터넷 통신사에 대해 나눴던 대화와 유사합니다. 정부가 내가 인터넷에서 검색하고 찾는 모든 정보를 요구하는 데 진입 장벽은 무엇일까요? 이제 정보를 보유한 것은 통신사가 아니라 아마존과 구글입니다. 따라서 우리는 침실이나 욕실, 부엌에 해당 기기를 설치하기로 결정했을 때 무엇을 감수하기로 동의했는지 스스로에게 물어봐야 합니다.

개인정보 보호인가, 보안인가?

여기서 개인정보 보호 문제는 정말 어렵고, 사물인터넷(IoT) 개인정보 보호와 보안 사이에는 항상 상충 관계가 존재할 것입니다. 볼 수 있는 정보가 적을수록 악의적인 행위를 식별하기 어렵지만, 볼 수 있는 정보가 많을수록 더 많은 것을 파악할 수 있기 때문입니다.

정보 및 사이버 보안 분야에서 이 주제에 대해 많이 논의합니다. 이는 사실상 제로섬 게임입니다. 한쪽을 많이 내줄수록 다른 쪽에서 얻는 것은 줄어듭니다. 개인정보 보호를 주장할 수도 있고, 보안을 주장할 수도 있습니다. 대부분의 경우, 최근에 개인정보 침해의 피해를 입었는지, 아니면 보안 침해의 피해를 입었는지에 따라 결정됩니다.

벤저민 프랭클린은 "일시적인 안전을 얻기 위해 필수적인 자유를 포기하는 자는 자유도 안전도 누릴 자격이 없다"라고 말했습니다. 전구가 발명되기 전의 이야기죠! 제게 있어 이것이 바로 어려운 실존적 질문입니다. 사생활인가, 보안인가? 개인으로서 저는 사생활을 선호하지만, CEO로서 사생활 보호가 어떻게 보안을 위협하는지 현실적인 사례들을 목격하고 있습니다.

사물인터넷의 인기와 기능이 점점 더 확대됨에 따라, 이러한 균형을 유지하는 것은 우리에게 지속적인 과제가 될 것입니다.