침해사고/위협동향

엔사이퍼 시큐리티, ‘PKI·IoT 동향 보고서’ 발표··· IoT 보안 취약

이종현
[디지털데일리 이종현기자] 지난 5년간 전 세계 공개키 기반 구조(PKI) 애플리케이션(앱) 배포가 20%가량 증가한 것으로 조사됐으며 사물인터넷(IoT)이 성장의 주요 원인으로 조사됐다. 시장이 성장하는 가운데 취약한 IoT 보안이 큰 위협이 될 수 있을 전망이다.

6일 하드웨어(HW) 보안 모듈 기업 엔사이퍼 시큐리티는 ‘2019 글로벌 PKI & IoT 동향 보고서’를 발표했다. 이 보고서는 전 세계 14개 지역 1800여명의 정보기술(IT) 보안 실무자들의 답변을 바탕으로 작성됐다.

◆취약한 IoT 보안=엔사이퍼 시큐리티는 보고서를 통해 많은 기업들이 IoT 보안을 우선시하지 않아 사이버 공격에 취약하다고 밝혔다.

보고서의 응답자들은 우려되는 주요 IoT 보안 위협으로 ▲멀웨어 혹은 다른 위협으로 인한 IoT 장치 기능 변경(응답자의 68%) ▲인증되지 않은 유저의 장치, 원격 통제(54%) 등을 꼽았다. 다만 기업들은 가장 중요한 IoT 보안 역량 다섯 가지를 조사한 항목에서 패치, 장치 업데이트 등 기능 조작으로부터 장치를 보호하는 조치를 가장 적게 택했다.

엔사이퍼 시큐리티는 이번 보고서에서 전체 IoT 장치 중 42%의 신원 확인 및 인증 절차가 향후 2년 내로 디지털 인증서를 통해 진행될 것으로 내다봤다. 하지만 IoT 장치 암호화와 IoT 플랫폼 및 데이터 저장소 암호화 비율은 각각 28%, 25%에 그치는 것으로 나타났다.

존 그림 엔사이퍼 시큐리티 전략 & 사업개발 담당 이사는 “만약 IoT 장치나 데이터를 신뢰할 수 없다면 IoT로부터 발생된 데이터를 수집하고 분석해 사업에 관한 결정을 내리는 것이 아무런 의미가 없다”며 “IoT 위협에 대응할 보안을 우선순위에 두고 IoT 생태계에 걸쳐 진실성과 무결성을 확보하는 것이 신뢰 구축의 시작”이라고 강조했다.

◆PKI 활용하려면 보안성 강화해야=보고서 응답자의 대부분은 조직 내에서 PKI를 폭넓게 사용하고 있었다. 이들은 SSL(Secure Sockets Layer)/TLS(Transport Layer Security) 인증서(79%), 프라이빗 네트워크 및 가상사설망 서비스(VPNs)(69%), 퍼블릭 클라우드 기반 애플리케이션 및 서비스(55%) 등에 PKI를 활용한다고 답했다.

하지만 전체 응답자의 절반이 넘는 56%가 PKI는 새로운 애플리케이션을 지원할 역량이 부족하다고 밝혔다. 또한 많은 응답자들이 PKI 활용에 조직적, 기술적인 한계가 있다고 했으며 그 이유로 기존 레거시 애플리케이션을 교체할 역량 부족(46%), 인적 기술 부족(45%), 자원(38%) 등을 꼽았다. 또 응답자 중 약 30%는 어떠한 인증서 폐기 기술도 사용하지 않는 것으로 조사됐다.

다만 몇몇 기업들은 특정 부문에서 PKI 보안을 활발히 도입하고 있었다. 인증기관(CA) 보안 방안에 대해 ‘비밀번호만 사용’이라고 답한 응답 비율은 2018년 24%에서 2019년 6%로 현저히 줄었다. 또한, 42%의 응답자들이 개인 키 관리에 하드웨어 보안 모듈(HSM)을 사용한다고 답했다.

포네몬 연구소 설립자 겸 회장인 래리 포네몬 박사는 “기업들이 디지털 트랜스포메이션을 맞이하면서 PKI 사용이 계속 확대되고 있다”며 “IoT의 급성장은 분명 PKI 사용에 큰 영향을 미치고 있다. 조직들이 PKI가 커넥티드 장치에 대한 핵심적인 인증 기술을 제공한다는 사실을 깨닫고 있기 때문이다. 이들이 디지털 이니셔티브가 가져다 주는 모든 이점을 누리기 위해서는 PKI의 보안 성숙도를 지속적으로 개선해야 한다”고 강조했다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널