D.S

www.ciokorea.com

'사물 인터넷의 그림자' 보안 위협에 노출되는 스마트 빌딩 - CIO Korea

'사물 인터넷의 그림자' 보안 위협에 노출되는 스마트 빌딩 - CIO Korea '사물 인터넷의 그림자' 보안 위협에 노출되는 스마트 빌딩 검색|인터넷 / 비즈니스|경제 / 소프트스킬 / 신기술|미래 / 인문학|교양 Computerworld 스마트 빌딩이 소비자 기술보다 더 위험한 보안 위협일 수 있다. 사물인터넷(Internet of Things, IoT)의 확산으로 인한 부작용이다. 웹 기반 기술이 범람함에 따라 빌딩의 에너지 효율성, 보안, 환경 변화의 대응방안에 대한 연구가집중적으로 이뤄지고 있다. 빌딩 관리 시스템은 상호적으로 긴밀하게 연결되어 있을 뿐만 아니라 스마트 그리드(Smart Grid)과 같은 외부 시스템과도 통합되어 있다. 분석가들은 이러한 시스템으로 인해 보안 위협은 배로 늘어난다고 주장했다. 현대적인 빌딩에 내장된 웹 기반 지능형 기기 대다수는 자체 보안 기능을 갖추고 있지 않아 건물 운영을 저해하고 안전상의 위험을 가할 수 있는 공격에 무방비로 노출되어 있다. 제대로 된 보호를 받지 못하는 스마트 빌딩 관리 시스템은 악의를 가진 공격자가 기업의 경영 시스템에 침투할 수 있는 새로운 수단을 제공할 수 있다. 예를 들어, 타겟(Target)에서 발생했던 막대한 규모의 데이터 절도는 누군가에 의해 타겟의 ‘난방, 환기, 공기조화(Heating, Ventilation and Air Conditioning)’ 시스템을 관리하고 있는 업체의 접속인증 데이터가 도용되어 발생한 것이다. 이 사건은 타겟이 자사의 데이터 네트워크에 적절한 경계를 설정하지 않았기 때문에 벌어진 것으로 보인다. 영국 IET(Institution of Engineering and Technology)의 사이버보안 책임자 휴 보이즈는 “이와 같은 문제는 빌딩과 관리 시스템이 점차 지능화되고 상호 연결되면서 더욱 보편화될 수 있다”고 경고했다. 보이즈는 "비즈니스 IT업계에 흥미로운 과제가 생겼다. 이제는 빌딩 내부에 제어 범위를 벗어나는 고도로 복잡한 네크워크가 있다는 사실을 깨달아야 한다”고 설명했다. 보이즈는 많은 빌딩에서 사용되기 시작한 IP 기반 폐쇄회로 보안 카메라를 지적했다. 경우에 따라, 이 보안 카메라가 본래의 동작 감시 용도뿐만 아니라 누군가 방에 있는지, 또는 조명이나 난방을 켜 놓을지에 대한 여부를 판단할 때 사용될 수도 있다. 이를 위해서는 카메라, 조명, 난방 시스템 모두를 통합할 필요가 있다. 아니면, 웹에 각 시스템을 연결해 외부에 있는 제 3자에게 관리 및 지원 업무를 맡길 수도 있다. 보이스는 "머지않아 건물 내에 설치돼 있었던 네트워크가 건물 외부로 이동하는 상황이 발생할 것"이라고 말했다. 이런 방식으로 통합된 것은 비단 난방, 조명, 보안 시스템뿐만이 아니다. 엘리베이터 또한 스마트 센서가 장착되어 고장을 사전에 감지하게 될 수도 있다. 또는, 빌딩의 수자원을 모니터링하고 절약할 수 있는 기술이 빌딩 관리자를 대신할 수도 있을 것이다. 보이즈는 “이와 같은 수많은 기술은 빌딩 내부에 국한되어 처리되는 것이 아니라 IP 네트워크를 통해 제 3의 공급 및 서비스 업체와 연결되어 건물 외부에서 자생할 것이다. 이런 시스템의 데이터는 종종 단순한 실시간 의사결정 지원 외에도 장기적인 데이터 분석을 위해 수집된다”고 설명했다. 스마트 빌딩스 LLC(Smart Buildings LLC)의 총괄이사 짐 시노폴리는 “BAC넷(BACnet)과 론토크(LonTalk)와 같은 빌딩 자동화 및 제어 네트워크에 대한 많은 통신 규약은 현재 개방성과 투명성을 보장하고 있다. 그러나 이로 인해 빌딩 자동화 네트워크가 위협에 노출될 가능성이 커짐에 따라 상황이 악화되고 있다”고 주장했다. 시노폴리는 "모든 시스템이 연결되어 있다. 즉, 시스템 하나의 보안이 뚫리면 마치 도미노처럼 모든 빌딩 시스템과 네트워크가 무너질 수 있는 것”이라고 지적했다. 위협은 단지 누군가가 빌딩 시스템에 침입해 심각한 문제를 일으키는 것에 국한되지 않는다. 빌딩 자동화 네트워크와 IT 네트워크의 모호한 경계로 인해 발생한 빌딩 시스템 다운이 통신 두절, 또는 기업 데이터 유출과 같은 정보 피해가 발생할 수도 있다. 독일의 보안 컨설팅 기업 포르타(Forta)의 회장이자 미국 정보시스템감사통제협회(ISACA)의 멤버로 활동하고 있는 롤프 폰 로싱은 “건물이 지능화되면서 소비자 기기 제조업체들이 스마트 빌딩 시장으로 뛰어들기 시작했다”고 말했다. 로싱은 "필수 기능을 포함한 빌딩 자동화는 이제 인터넷 쇼핑과 하드웨어 및 전자제품 매장을 통해 쉽게 실현할 수 있다. 그러나 보통의 전문적인 솔루션이 자제 보안 기능을 갖추고 있는 것에 반해 일반 소비자를 대상으로 제공되는 서비스의 방어 수준은 그리 높지 않다”고 설명했다. 로싱은 “만반의 준비를 갖추기 위해 IT 실무자들은 일반적인 정보 보안 및 사이버보안 관리 프로세스를 확대하여 빌딩간 관리 시스템까지 다루어야 한다”고 덧붙였다. 로싱은 "이와 같은 빌딩 자동화는 표준 PC 장비와 일반 IP를 통한 네트워크 연결에 기반한 윈도우, 혹은 호환 인터페이스를 통해 제어될 것"이라고 강조했다. 이어, "원격 제어가 널리 알려져 있고 또 그만큼 선호되는 방식인 만큼, 보안 실무자들은 이러한 원격 제어와 관련된 모바일 기기와 앱, 그리고 이면에 감춰진 프로세스를 꼼꼼하게 살펴야 한다. 빌딩 시스템 유지 자체에 직결되는 필수적인 기능에 대한 관리가 위험에 노출된 모바일 기기에서 이루어진다면 심각한 보안 위협을 야기할 수 있다”고 경고했다. SANS의 신규 보안 트렌드 책임자 존 페스케이터는 “많은 기업들이 이와 같은 문제에 직면했다”고 말했다. 사물인터넷에 관련해 진행된 SANS의 한 설문조사에서는 스마트 빌딩과 산업 제어 시스템이 소비자 기기의 뒤를 이어 두 번째로 심각한 단기적 우려 사항으로 꼽혔다. 페스케이터는 “이 문제가 얼마나 거대한 규모인지 제대로 이해하지 못하는 경우가 많다”고 비판하며 최근 SANS 컨퍼런스에 참가했던 한 대학의 CISO를 예로 들었다. "그는 캠퍼스에 세워진 6층짜리 신규 건물에 보안 스캔을 실시한 후 엘리베이터, 문, 카메라 시스템, 조명, 난방 시스템을 통틀어 약 1,500개의 센서를 발견했다"고 설명했다. 여태까지 기존의 빌딩 관리 시스템은 IT 시스템에 포함되지 않았다. CIO들은 이 문제에 관심을 기울이지 않았을 뿐만아니라 이를 건물 및 시설 관리팀의 관할 아래 놓인 단순한 운영 기술로 치부해왔다. ISACA의 신임 사장 로버트 스트라우드는 “이러한 태도는 반드시 바뀌어야 한다. 빌딩 관리팀과 IT 기관은 상호 협력을 통해 잠재적인 위험을 규명하고 미연에 방지해야 할 것”이라고 말했다. 스트라우드는 또한 이와 같은 대응 행동은 “위험에 대한 엄격한 이해에 기초해야 할 것이며 모든 기업은 네트워크 분할, 강력한 인증 및 네트워크 모니터링 체계 구축에 힘써야 할 것”이라고 조언했다. 스트라우드는 제조업체의 관리에 특별히 더 신경써야 한다고 강조했다. 스마트 빌딩에 통합된 기기 대부분은 자체 보안 기능이 내장되어 있지 않으며, IT와는 접점이 거의 없는 업체로부터 공급되고 있다. 빌딩 자동화 부문의 공급업체들은 IT 제조업체가 자사 제품의 취약성에 대응하기 위해 수립한 것과 같은 정교한 프로세스를 보유하고 있지 않다. 다시 말해, 빌딩 자동화 관련 업체 가운데 제품에 보안 위협이 생겼을 경우, 고객에게 이를 알리는 경보 기능을 갖추고 있는 곳이 거의 없다는 것이다. 스트라우드는 이에 대해 “IT 업체들은 빌딩 관리팀과 협력해서 공급 업체의 목록을 업데이트하고 연락망을 구축해 위기 상황시의 대응력을 높여야 한다”고 말했다. editor@itworld.co.kr 인쇄