Home > 전체기사
모질라 등 11개 조직, 대형 유통 업체에 보안 강화 서신 보내
  |  입력 : 2019-02-18 23:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사물인터넷 장비 제조사 관리해달라는 요구...최소한의 보안 지킬 수 있게
통신 암호화, 강력한 비밀번호, 프라이버시 정책 등 크게 5가지 요구


[보안뉴스 문가용 기자] 11개의 조직들이 미국의 대형 유통업자들에 “안전하지 않은 사물인터넷 장비를 유통하지 말아 달라”는 내용의 촉구가 담긴 서신을 만들어 발송했다. 적어도 “최소한의 보안 및 프라이버시 보호 장치를 가진 장비만을 취급해 달라”는 것.

[이미지 = iclickart]


이미 업계 내에서는 사물인터넷 장비가 2020년까지 100억 대 이상 활성화되어 있을 것이라는 예측이 정설처럼 굳어져 있다. 그러나 시장의 성장만 예견되어 있지, 성숙은 요원한 일이다. 아직도 사물인터넷 장비는 수많은 취약점들로 점철되어 있고 따라서 사용자의 보안과 프라이버시를 심각하게 위협하고 있는 실정이다.

여기에는 특히 아동들의 피해가 심각하다. 사물인터넷 기술이 접목된 장난감이 속속 등장하고 있는데, 하나 같이 취약한 것들이기 때문이다. 2017년의 클라우드펫츠(CloudPets) 데이트 유출 사고나, 최근의 아동용 스마트워치 대규모 리콜 사태는 수많은 사례들 중 일부일 뿐이다.

소비자들이 자꾸만 피해를 입는 상황을 멈추기 위해 11개의 조직들이 손을 잡았다. 모두 프라이버시와 보안을 옹호하는 쪽이었다. 이들은 미국의 유명 도소매 업자 및 유통 업자들에게 서신을 보내, “최소한의 보안 및 프라이버시 보호 가이드라인을 발표하라”고 요구했다. 이들 업체를 통해 소비자들에게 물건을 파는 사물인터넷 제조사가 최소한의 보안 장치를 마련할 수밖에 없도록 하기 위함이다.

서신을 받은 곳은 타깃(Target), 월마트(Walmart), 베스트바이(Best Buy), 아마존(Amazon)이다. 서신에 작성과 서명에 참여한 조직은 모질라(Mozilla), 인터넷학회(Internet Society), 국제소비자기구(Consumers International), 컬러오브체인지(ColorOfChange), 열린 미디어와 정보 기업 이니셔티브(Open Media & Information Companies Initiative), 커먼센스미디어(Common Sense Media), 스토리오브스터프(Story of Stuff), 민주주의기술센터(Center for Democracy and Technology), 미국소비자협회(Consumer Federation of America), 18밀리언라이징(18 Million Rising), 홀라백(Hollaback)이다.

서신은 “다섯 가지 필수 항목을 만들라”고 요구하고 있다.
1) 네트워크 통신의 암호화
2) 디폴트로 설정된 자동화 업데이트
3) 원격 인증 시 강력한 비밀번호 필수 적용
4) 제조사의 취약점 관리 프로그램
5) 프라이버시 보호 정책

모질라는 “사실 많은 사물인터넷 제품들이 이 다섯 가지보다 훨씬 더 강력하고 높은 수준의 프라이버시 보호 및 보안 기능을 가지고 있어야 하지만, 일단 이 다섯 가지만으로도 ‘나쁘지 않은 시작’을 할 수 있겠다는 데 생각이 모였다”고 설명한다. 즉 앞으로 이러한 맥락의 조치는 이어질 것이라는 뉘앙스다.

“네트워크 통신의 암호화는 장비와 서버 간 통신을 도청하거나 불법적으로 가로채고 조작할 수 없도록 합니다. 자동으로 보안 업데이트가 되면, 업데이트를 지독히도 하지 않는 사용자들이라도 최소한의 시간 안에 안전한 상태로 옮겨올 수 있게 됩니다. 비밀번호를 강력하게 하도록 유도하고, 디폴트 비밀번호를 사용불가로 만들어버리면, 역시 비밀번호 사용 습관이 좋지 않은 사용자도 보호할 수 있게 됩니다.”

한편 개발사가 직접 취약점을 관리한다는 개념도 중요하다. “이는 다른 게 아니라 장비 제조사가 보안 전문가들로부터 취약점 제보를 받을 채널을 갖추고, 그 후 패치를 개발할 인프라를 마련하며, 배포할 수 있는 채널을 설정하는 걸 말합니다. 앞으로 취약점이 생겼을 때 실질적인 대처를 하겠다는 걸 행동으로 보여달라는 것이죠.” 모질라 측의 설명이다.

그러면서 모질라 측은 “정책에 대한 부분도 놓칠 수 없다”고 짚었다. “정책은 누구라도 이해하기 쉽게, 직관적으로 작성되어야 하며, 반드시 소비자들에게 설명되어야 합니다. 또한 정책이 변경되는 때에도 소비자들을 이해시킬 수 있어야 합니다. 이러한 대책 마련을 장비 제조사들이 해야 한다고 생각합니다. 어차피 GDPR 준수를 위해서도 필요한 내용이고요.”

3줄 요약
1. 11개 단체, 타깃, 아마존, 월마트 등 대형 유통 업체에 서신 보내다.
2. “당신들 매장에서 유통하는 사물인터넷 장비가 최소한의 안전 장치를 갖출 수 있도록, 제조사에 요구해달라”는 요구.
3. 비밀번호, 암호화, 정책 등과 관련된 5가지 ‘가이드라인’ 제시됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)