새로운 소식

**현재 가장 큰 문제는, 사물인터넷 장비가 설치돼 있다는 것조차 모른다는 것** ### CASE 1 캘리포니아 주에서는 사물인터넷 보안법(IoT Device Security Act, SB-327)이라는 게 등장했습니다. 2020년 1월 1일부터 시행될 예정이죠. 이 때문에 생산자들은 ‘적정 수준의 보안 기능들을 반드시 도입’해야 합니다.” ### CASE 2 미국표준기술연구소(NIST)도 올 여름 “사물인터넷 장비들을 위한 핵심 사이버 보안 기능 기준(Core Cybersecurity Feature Baseline for Securable IoT Devices)”이라는 것을 발표했다. 물론 법적 강제력을 가지고 있는 문건은 아니지만, 그렇다고 온화한 가이드라인인 것만도 아니라고 전문가들은 평가하고 있다. “꽤나 강력한 표현들이 군데군데 눈에 띕니다.” 카슨의 설명이다. NIST는 위 문건을 통해 다음과 같은 보안 기능을 자발적으로 포함시킬 것을 권고했다. 1) 네트워크 연결 시 장비 식별 2) 소프트웨어와 펌웨어 변경과 관련된 환경설정 옵션 3) 저장된 정보와 전송되는 정보를 보호할 장치 4) 로컬 및 네트워크 인터페이스에 대한 제한된 접근 5) 소프트웨어와 펌웨어의 업데이트 가능성 6) 사이버 보안 관련 이벤트 로깅 ### CASE # 영국에서도 ‘소비자용 사물인터넷 보안을 위한 직업 규약(Code of Practice for Consumer IoT Security)’이라는 것이 발간됐다. 여기에는 13개의 보안 관련 ‘베스트 프랙티스’들이 열거되어 있다. 그 중 제일 처음 등장하는 건 비밀번호다. “모든 사물인터넷 장비들은 고유하며 재설정 가능한 비밀번호로 보호되어야 하되, 공장에서 설정한 디폴트 값으로의 재설정은 불가능하도록 되어야 한다”라는 문구로서 말이다. 그 다음 강조되고 있는 건 취약점 공개와 관련된 정책이다. 보안 전문가들이 취약점을 발견했을 때 쉽고 체계적으로 보고할 수 있도록 채널을 개설하라는 게 요지다. 그 외에 더디지 않은 소프트웨어 업데이트, 안전한 크리덴셜 저장 시스템, 암호화된 데이터 전송 등이 강조되었다.