미래의 IoT를 더욱 안전하게 만드는 방법

미래의 IoT를 더욱 안전하게 만드는 방법

 

사물인터넷(IoT)의 발전으로 오늘날 전 세계에는 수십억 개의 디바이스가 있습니다. 온도 조절 장치, 스토브, 냉장고, 세탁기, 건조기, 차량, 도어 잠금 장치, 심지어 잔디 깎는 기계나 진공 청소기 같은 것까지 모든 것이 컴퓨터가 되고 있습니다. 공장 현장의 로봇부터 거실의 스피커까지 커넥티드 디바이스는 곳곳에 있습니다.

 

IoT의 성장

실제로 최근 몇 년간 커넥티드 디바이스의 수가 약 300억 개로 폭발적으로 증가했습니다. 그리고 그 성장은 둔화될 조짐을 보이지 않습니다.

이것이 사회에 어떤 의미가 있을까요? 커넥티드 디바이스의 보안 및 개인 정보 보호 상태가 현재의 궤적을 지속한다면 디스토피아적인 미래가 될 수 있습니다. "스마트" 장치에는 해커가 자격 증명과 신원을 도용하고 물리적 안전을 위협하여 사용자를 강탈하거나 협박하기 위해 악용할 수 있는 취약점이 가득할 수 있습니다. 전력망 및 통신 네트워크와 같은 중요한 인프라가 손상되어 소비자에게 큰 혼란을 가져올 수 있습니다. 주요 하이테크 회사의 확장된 데이터 수집은 스마트폰을 지금보다 훨씬 더 침입하기 쉬운 감시 추적기로 만들 것입니다.

 

IoT 보안의 필요성

그러나 이 시나리오와 달리 할 수 있는 대체 현실이 있습니다. 모든 디바이스를 구동시키는 소프트웨어에 보안 및 개인 정보 보호 제어 기능이 내장되어 있는 세상이 될 수 있습니다. 또한 취약점이 발견되고 위협이 진화함에 따라 업데이트와 패치를 허용하도록 소프트웨어를 설계할 수도 있습니다.

IoT 디바이스를 완벽하게 만들 수는 없지만 훨씬 더 탄력적으로 만들 수는 있습니다. 더 나은 소프트웨어 보안은 안전벨트, 에어백, 잠김 방지 브레이크, 차선 보조 장치 및 기타 자동차 안전 기능의 디지털 버전이 될 수 있습니다. 사고를 완전히 사라지게 할 수는 없지만 운전자가 사고를 피하도록 돕고 사고가 발생했을 때 더 많은 보호를 제공합니다.

그리고 그것은 가능합니다. 커넥티드 디바이스를 실행하는 소프트웨어를 훨씬 더 안전하고 강력하게 만드는 도구, 기술 및 방법이 존재합니다. 단지, 그들은 필요한 만큼 많이 사용되지 않고 있습니다.

이에 대한 한 가지 이유는 널리 알려졌습니다. 사용자는 구매 결정에서 보안을 무시하거나 간과하는 경우가 많습니다. 주로 디바이스의 기능과 가격에 중점을 둡니다. 보안은 나중에 고려할 사항으로 여겨지며 아직 소비자를 위한 "차별화 요소"는 아닙니다. 따라서 제조업체는 IoT 보안에 대해 크게 생각하지 않고 멋진 기능과 좋은 가격을 갖춘 디바이스를 생산합니다.

또 다른 이유는 대형 가전제품의 수명과 최신 소형 모바일 디바이스의 수명이 일치하지 않기 때문입니다. 스토브, 냉장고, 식기 세척기, 세탁기 및 건조기의 수명은 대략 10년 정도인 반면, 휴대폰과 노트북은 1~2년마다 업데이트되거나 교체됩니다. 오래 지속되는 하드웨어를 구축하는 데에 전문 지식을 갖춘 제조업체는 제품에 소프트웨어 보안을 설계할 기술이 없는 경우가 많습니다.

 

SDLC에 보안 구축

보다 안전한 미래를 실현하려면 패러다임의 전환이 필요합니다. 더욱 안전한 IoT 디바이스로 미래를 만들려면 소프트웨어 개발 수명 주기(SDLC)에 보안을 구축해야 합니다. 다음은 SDLC의 각 단계와 보안을 구축하는 방법을 간략하게 살펴보겠습니다.

1. Plan

이 단계에는 소프트웨어가 수행할 작업에 대한 요구 사항을 정의하고 이를 구현하는 데 필요한 비용, 일정, 조달 요구 사항 및 담당자를 판단 및 결정하는 작업이 포함됩니다.

하지만 여기에는 위협 모델링이라는 보안 구성 요소도 포함되어야 합니다 . 때때로 "해커처럼 생각하기"라고 하는 목표는 알려진 공격의 표준 목록을 넘어서 시스템 구축 방식이나 수행할 의도에 따라 발생 가능한 고유한 위협을 식별하는 것입니다.

좋은 위협 모델링에는 자산, 위협 요소 및 제어 기능을 강조하여 공격자가 표적으로 삼을 가능성이 가장 높은 구성 요소를 결정한 다음 이러한 위협을 줄이기 위한 교정 조치를 만드는 것이 포함됩니다.

위협 모델링에는 여러 가지 이점이 있지만 가장 중요한 것은 시간과 비용을 절약할 수 있다는 것 입니다. 코드 한 줄을 작성하기 전에 잠재적인 문제를 조기에 찾으면 기존 테스트 및 코드 검토에서 놓칠 수 있는 설계 결함을 찾아낼 수 있습니다. 조기에 수정하거나 피하는 것이 더 저렴하고 빠릅니다.

2. Code

이 단계에는 설계 요구 사항을 충족하기 위한 소프트웨어 코드 작성이 포함됩니다. SAST(정적 애플리케이션 보안 테스트) 도구는 개발자가 코드를 작성할 때 보안 및 품질 결함을 찾아 수정하는 데 도움이 됩니다. 동종 최고의 도구는 백그라운드에서 신속하고 증분 분석을 실행하여 중단을 최소화합니다. 개발자는 IDE에서 직접 CWE 정보 및 문제 해결 지침을 포함한 실시간 결과를 얻을 수 있습니다.

3. Build

최신 소프트웨어는 단순히 개발자팀에 의해 작성되는 경우가 거의 없고 조립되어 있습니다. 일부 구성 요소는 독점적이지만 다른 구성 요소는 상용 또는 오픈 소스 라이브러리에서 제공됩니다.

4. Test

보안팀이 SDLC가 끝날 즈음 소프트웨어의 취약점을 조사할 때 이는 더 이상 별도의 단계가 아닙니다. 테스트는 코딩이 시작되기 전의 위협 모델링부터 프로덕션에 이르기까지 광범위하게 이루어져야 합니다. 오픈 소스 코드와의 라이선스 충돌이나 취약점을 찾기 위해서 정적, 동적 및 대화형 테스트, 개발 전반에 걸친 퍼즈 테스팅 그리고 소프트웨어 구성 분석(SCA)을 포함한 여러 테스트 도구가 필요합니다. 또한 소프트웨어를 배포하기 전에 침투 테스트도 필요합니다.

디바이스와 통신하는 프로토콜이 서로 다른 경우 퍼징 테스트를 통해 전체 시스템이 안전하고 견고하다는 것을 확인할 수 있습니다. 일반적인 프로토콜에는 IPv6와 같은 인터넷 프로토콜이나 Bluetooth와 같은 단거리 프로토콜이 포함되며, 저전력 및 낮은 대기 시간 사용을 위한 Thread와 같은 최신 프로토콜이 더욱 널리 배포되고 있습니다.

마지막으로 침투 테스트 다양한 테스트 도구와 수동 테스트를 사용하여 소스 코드 없이도 웹 애플리케이션 및 웹 서비스 실행 시 비즈니스에 중요한 취약점을 찾아 제거합니다. 이는 악의적인 공격자가 애플리케이션과 서비스를 손상시키고 악용할 방법을 모색할 수 있는 더 넓은 세상에 노출되기 전에 심각한 취약점을 포착하고 수정할 수 있는 "마지막 기회"입니다.

분명히, 위협 행위자가 결함을 발견하기 전에 테스터가 먼저 결함을 발견하도록 하는 것이 훨씬 더 좋습니다. Synopsys는 테스트된 각 응용 프로그램의 위험 프로필을 기반으로 두 가지 수준의 침투 테스트를 제공합니다. 필수 단계에서는 자동화된 검사와 수동 테스트가 포함됩니다. 또한 탐색적 위험 분석(예: 자동화 방지, 복잡한 인증)에 중점을 둡니다. 표준 단계에서는 필수 서비스와 비즈니스 로직을 탐색하기 위한 테스트 시간 및 노력이 포함됩니다. 이는 사전 정의된 목록 외부의 공격이나 딱히 고려되지 않았을 수 있는 공격을 포괄합니다(예: 비즈니스 로직 데이터 검증 및 무결성 검사). 또한 오탐지를 식별하기 위한 수동 검토와 결과를 설명하기 위한 판독 호출도 포함됩니다.

Synopsys Software Risk Manager는 개발 속도를 늦추지 않고 모든 AppSec 분석 도구를 관리할 수 있습니다. 각 조직이 설정한 사전 정의된 위험 정책을 사용하여 적시에 적절한 보안 테스트를 작동 시킵니다. 그 결과 모든 파이프라인에서 정책을 준수할 수 있도록 개발자와 보안팀에 올바른 정보가 전달됩니다. 정책, 테스트 조정, 상관 관계, 우선 순위 지정, 내장된 SAST 및 SCA 엔진을 통합함으로써 조직은 기업 전체적으로 보안 활동을 간소화할 수 있습니다.

보안팀은 애플리케이션 보안 테스트 도구의 배포 모델도 고려해야 합니다. 전통적으로 기업에서는 데이터와 인프라에 대한 제어를 보장하기 위해 온프레미스 설치를 선택했습니다. 클라우드 컴퓨팅이 부상하면서 많은 조직에서는 애플리케이션과 데이터가 클라우드에서 호스팅되는 SaaS(Software-as-a-Service) 모델을 채택하고 있습니다. 클라우드 배포의 주요 이점은 유지 관리할 물리적 하드웨어와 인프라가 적고 관련 IT팀이 온프레미스 도구를 구성하므로 비용이 절감된다는 것입니다. 또한 SaaS 애플리케이션 보안 도구를 사용하면 비즈니스에 따라 보안 오버헤드가 탄력적으로 확장될 수 있습니다.

Polaris Software Integrity Platform®은 개발 및 DevSecOps팀의 요구 사항에 최적화된 통합 클라우드 기반 애플리케이션 보안 테스트 솔루션입니다. Polaris 플랫폼은 Synopsys의 시장을 선도하는 보안 분석 엔진을 하나의 플랫폼으로 통합하여 애플리케이션, 프로젝트, 일정 또는 SDLC 이벤트에 따라 다양한 시간에 다양한 테스트를 실행할 수 있는 유연성을 제공합니다. Polaris fAST Static을 사용하면 정확한 결과를 제공하고 스캔 시간을 대폭 단축하는 빠른 증분 스캐닝을 통해 독점 코드 및 IaC(Infrastructure-as-Code) 템플릿에서 보안 결함을 찾아 수정할 수 있습니다. Polaris fAST SCA를 사용하면 자세한 BDSA(Black Duck® 보안 권고) 지침을 통해 애플리케이션 소프트웨어 공급망의 취약점을 식별할 수 있어 심각도와 영향은 물론 잠재적인 해결 방법과 업그레이드 옵션을 평가하는 데 도움이 됩니다. 또한 Polaris 플랫폼을 사용하면 현재 사용하는 DevOps 도구를 통해 검색 및 정책을 자동화할 수 있습니다. 여기에는 GitHub 및 GitLab과 같은 소스 코드 관리자, Jenkins와 같은 지속적인 통합 도구, Jira와 같은 문제 추적 도구가 포함됩니다.

5. Release

이 단계는 개발팀이 다양한 환경에서 릴리스를 위한 패키징, 관리 및 배포하는 작업이 포함됩니다.

6. Deploy

소프트웨어가 프로덕션 환경에 출시되는 단계입니다.

7. Operate

프로덕션 환경에서 소프트웨어가 사용되는 단계입니다.

8. Monitor

이 단계에서 팀은 시스템 성능, 사용자 경험, 새로운 보안 취약점, 시스템의 버그 또는 오류 분석을 포함하여 소프트웨어 성능을 추적합니다. 또한 취약점을 해결하거나 새로운 위협에 대응하기 위해 사용자에게 업데이트나 패치가 푸시됩니다.

효과적인 SDLC는 제품이 배송될 때 종료되지 않습니다. 해당 제품의 유효 수명 동안 계속됩니다. 개발 중에 "보안을 구축"하면 버그 및 기타 결함이 최소화되지만 현실적으로 완벽한 소프트웨어는 없습니다. 따라서 IoT 디바이스를 보호하는 것은 디바이스를 유지하는 것을 의미합니다.

 

개발자를 위한 온라인 학습

보안이 개발 속도에 보조를 맞추려면 자동화 이상의 것이 필요합니다. 여전히 사람이 관리해야 하는 부분이 있습니다. 개발 속도에 맞춰 보안 소프트웨어를 구축하려면 개발자에게 필요한 도구 뿐만 아니라 좋은 eLearning 프로그램과 같은 교육도 제공해야 합니다.

Secure Code Warrior는 대화형 eLearning 및 실습 랩을 통해 DevSecOps에 대한 영향력 있는 보안 교육을 제공하여 개발자의 보안 코딩 기능을 향상시켜 Synopsys AST 도구에서 감지한 문제를 해결하고 개발자 데스크톱에서 직접 새로운 문제를 방지합니다. 당사의 AST 도구 포트폴리오는 Secure Code Warrior와 통합되어 취약점 발견 사항을 쉽게 분류하고 해결할 수 있습니다.

 

IoT 보안 개선

처음에 언급했듯이 완벽한 소프트웨어를 구축할 수 있는 방법은 없습니다. 완벽한 소프트웨어 구축을 시도하는 것은 어쩌면 제품을 절대 출시하지 않겠다는 것을 의미할 가능성이 있습니다.

그러나 효과적인 소프트웨어 보안 이니셔티브와 해당 프로세스 전반에 걸쳐 소프트웨어에 보안을 내장한 SDLC를 사용하면 쉬운 작업의 결과가 되는 것을 피할 수 있습니다. 대부분의 공격자는 쉬운 목표를 찾고 있습니다. 귀하의 앱, 서비스 및 네트워크가 침해되기 어려운 경우 계속해서 이동할 가능성이 높습니다.

보안 프로그램의 정확한 ROI를 결코 알 수 없습니다. 하지만 그것을 좋은 결과입니다. 왜나하면 당신은 정말로 알고 싶지 않기 때문입니다.

 

원문 게시일: 2023.08.24

원문 기고자: Taylor Armerding

출처: https://www.synopsys.com/blogs/software-security/embedded-iot-security.html