IoT 장치 보호를 위한 ‘제로 트러스트’ 전략

IoT 장치 보호를 위한 ‘제로 트러스트’ 전략

 

사물인터넷(IoT) 장치에 대한 관심이 요즘 부쩍 높아지고 있습니다. 이는 엣지 컴퓨팅 열풍이 불면서 활용 가치가 높아지고 있기 때문입니다.

그렇다면 제조, 의료, 소매 등 다양한 산업 분야에서 엣지 컴퓨팅 도입을 확대하고 있는 2022년 현재  IoT 장치 관련 가장 큰 고민은 무엇일까요? 늘 그렇듯이 통제가 가능한 사내 네트워크를 벗어난 위치에 있는 장치는 보안에 대한 우려가 있습니다. 

 

관련해 최근 기술 트렌드는 IoT 장치를 위한 제로 트러스트입니다.

제로 트러스트는 요즘 워낙 핫(HOT)해서 다들 잘 알 것입니다. 최근 하이브리드 컴퓨팅 환경을 위한 인증 및 접근 제어 프레임워크로 요즘 주목받는 것이 바로 제로 트러스트입니다. 이 개념을 사용자가 아니라 장치에 접목하는 것이 요즘 IoT 보안에서 주목할 추이 중 하나입니다.  

이번 포스팅에서는 제로 트러스트를 전제로 한 IoT 보안을 알아볼까 합니다. 😃

 

 

😃 IoT 장치 보호가 시급한 이유 

 

무엇이건 새로운 기술이나 서비스를 도입할 때 IT 부서는 “왜, 지금이어야 하는가?”에 대한 근거를 제시할 수 있어야 합니다.

IoT 보안을 강화하기 위해 제로 트러스트 기반을 갖추는 것을 왜 지금 해야 하는가?

이 답을 함께 찾아보겠습니다 🙂 

 

『 IoT 보안을 강화하기 위해 제로 트러스트 기반을 갖추는 것을 왜 지금 해야 하는가? 』  의 이유는 명확합니다. 

바로 IoT 장치 수 증가에 따른 잠재적인 보안 위험입니다. 요즘 엣지 컴퓨팅 열풍이 불면서 IoT 장치의 수가 빠르게 늘고 있습니다. 스마트 도시의 눈 역할을 하는 카메라 수가 늘고 있는 것은 모두 잘 알고 있는 사실입니다. 이외에도 연결된 장치로 개념이 바뀌고 있는 자동차, 관리 방식을 사람의 손이 아니라 지능화/자동화 기반으로 바꾸고 있는 각종 건축물 등 예가 많습니다.

 

그렇다면, IoT 장치 수가 늘어 난다는 것은 무엇을 뜻할까요?

공격자 측면에서 보면 흔히 말하는 공격 표면적이 늘어나는 것이라 할 수 있습니다. 풀어 말하자면 노릴 대상이 많아지는 것입니다.

 

 

 

😃  IoT 장치 보안도 이제는 제로 트러스트 

 

IoT 장치는 독립적으로 운영하기도 하지만 대부분 연결된 장치로 기능을 합니다. IoT 장치 간 연결을 통해 상호작용을 할 수도 있고, IoT 장치와 데이터센터 또는 퍼블릭 클라우드와 연결될 수도 있습니다. 이는  IoT 장치가 지속적인 커뮤니케이션을 통해 맡은 바 역할을 한다는 것을 말합니다. 

 

IoT 장치 보안을 고려할 때 아마 대부분 전통적인 엔터프라이즈 보안에 적용했던 기술과 솔루션을 검토해 볼 것입니다. 그러고 나서 “기존 방식은 IoT에 맞지 않는다”는 공통된 결말에 도달했을 것입니다. 

대표적인 2가지 이유를  살펴보겠습니다.

✔️  IoT 장치는 다양성의 특징을 갖고 있습니다. 장치의 펌웨어나 운영체제 종류와 버전이 다양합니다. 그리고 숫자가 많고 배포 위치가 다양합니다. 네트워크 연결 조건도 제각각일 수 있습니다.

✔️  IoT 장치는 생명주기가 깁니다. 일단 한번 배포하면 꽤 오랜 시간 동안 사용합니다.

▶ 이런 특징을 전통적인 보안 솔루션으로 대응한다는 것은 보안 솔루션의 라이선스 체계나 유지보수 등을 고려할 때 비용이 상당할 수밖에 없을 것입니다. 

 

 

복잡할수록 기본에 충실해야 합니다. IoT 장치의 다양성과 긴 생명주기를 고려한 보안 체계를 구축하는 데 있어 가장 심플한 접근이 바로 ‘제로 트러스트’입니다. IoT 장치 배포, 장치 간 또는 클라우드와 통신을 함에 있어 신뢰할 수 있는 자격 증명 체계를 갖추면 복잡한 IoT 보안을 꽤 심플하게 해결할 수 있습니다.

 

 

 

 

😃  Certificate Authority Service 등장이 반가운 이유  

 

구글 클라우드는 Certificate Authority Service(이하 CAS)를 제공합니다. 이 서비스는 하이브리드 클라우드 환경을 위한 제로 트러스트 기반인 동시에 엔터프라이즈 IoT 장치를 위한 제로 트러스트 기반이기도 합니다. 구글 클라우드 CAS를 이용하면 표준 인증서(RFC 5280) 기반으로 IoT 장치를 위한 제로 트러스트 토대를 마련할 수 있습니다. 보안 운영자는 IoT 장치 배포부터 장치 간 통신, 데이터센터나 퍼블릭 클라우드와의 연결을 신뢰할 수 있는 자격 증명 기반으로 할 수 있습니다. 보안 메커니즘은 간단합니다. 구글 클라우드 CAS가 발급한 인증서를 기반으로 장치를 인증하고, 장치에 대한 모든 연결과 접근의 무결성도 보장합니다. 

 

 

 

살펴본 바와 같이 구글 클라우드 CAS는 아이디 기반 제로 트러스트 정책을 IoT 장치까지 확대 적용할 수 있는 다재다능한 서비스입니다.

엣지 컴퓨팅 로드맵을 수립 중이라면, 제로 트러스트의 기반으로 구글 클라우드 CAsS를 검토해보는 것을 추천합니다.

 

 

 

이상으로 『 IoT 장치 보호를 위한 ‘제로 트러스트’ 전략 』 에 대해 알아보았습니다. 😎

 

제로 트러스트의 기반으로 구글 클라우드 CAS를 검토 중이시라면, 언제든지 메가존소프트로 문의 바랍니다. 👉 메가존소프트 문의 바로가기