IoT 배포로 인해 IoT 장치 기능과 관련된 다양한 IoT 보안 문제가 발생합니다., 처리 및 저장 기능 측면에서 경량 암호화 알고리즘의 필요성 등, 그리고 표준 프로토콜의 사용.IoT 장치 처리 능력이 낮고 메모리 리소스가 제한되어 있어 기존 인터넷 기반 컴퓨터보다 보안 위협에 더 취약합니다., 보호 강화. 현재 인터넷 네트워크 프로토콜이 IPv4에서 IPv6로 전환된다는 것은 점점 더 많은 IoT 장치가 글로벌 IP 주소를 갖게 됨을 의미합니다., 이러한 장치를 보안 공격의 대상으로 식별하는 데 도움이 될 수 있습니다.. IoT 장치의 자율적인 작동과 통신은 보안 공격을 촉진하기도 합니다.. 그러므로, IoT 시스템을 위한 새롭고 더욱 강력한 보안 솔루션이 시급히 필요합니다.. 이 기사에서는 네트워크에서 하드웨어까지 사물 인터넷을 안내합니다., 소프트웨어, 토론의 모든 수준에서 기타 보안 문제.
1. IoT 보안 문제란 무엇입니까??
IoT 보안 문제는 IT 보안과 공통점이 많습니다.. 하지만, IoT 시스템은 이러한 시스템이 등장하고 개인의 사생활을 디지털화함에 따라 더 높은 민감성과 기밀성을 요구합니다.. IoT 기술의 민감성은 보안에 대한 높은 요구 사항에서 비롯됩니다., 극도로 높은 기밀성을 가지고, 확실성, 은둔, 그리고 진실성. IoT 보안에는 물리적, 논리적 문제가 있습니다.. 한편으로는, 물리적 문제는 장치의 에너지입니다. 대부분의 IoT 장치는 배터리로 구동됩니다., 그래서 에너지가 상대적으로 부족해요.. 반면에, IoT 장치는 처리 능력이 상대적으로 낮고 메모리 리소스가 제한되어 있습니다.. 인증에 논리적 문제가 존재합니다., 맬웨어 방지, 개인 정보 보호, 그리고 감시.
인터넷과 그 기술 스택은 수십 년 동안 존재해 왔습니다.. 이 기간 동안, 중앙 집중식 클라이언트 및 서버 아키텍처는 현재 플랫폼과 서비스가 구축되는 기반이었습니다.. 이러한 아키텍처는 IoT 관점에서도 번거로울 수 있습니다.. 예를 들어, 수많은 무선 센서가 중앙 집중식 서비스에 데이터를 다시 제출해야 하는 경우, 모놀리식 서비스는 분산형 또는 분산형 센서 네트워크에 보안 업데이트를 배포할 수 있어야 합니다.. 이러한 센서 네트워크는 일반적으로 분산형 통신 아키텍처의 이점을 얻습니다., 어느 정도 자체 관리가 가능합니다.. 전통적으로, 분산형 아키텍처를 만드는 데 있어 장애물은 다른 참가자의 신뢰였습니다.. 암호화폐 비트코인의 도입은 두 당사자 간의 신뢰가 필요하지 않다고 가정합니다.. 이는 이전 거래 내역을 현금화하는 동시에 새로운 거래 검증의 증거로 분산 합의 메커니즘을 통합함으로써 달성됩니다.. 따라서 이는 암호화폐 범위를 벗어난 일반화된 거래 설계로 확장됩니다.. 오늘, 이 일반화된 메커니즘은 종종 블록체인이라는 이름을 사용합니다..
규제 당국의 최근 관심, 특히 유럽연합에서는, IoT 공간에서 보안 및 개인 정보 보호에 대한 관심이 높아졌습니다.. 블록체인 기술의 채택은 규제 요구 사항을 충족하는 미래의 IoT 시스템을 위한 실행 가능한 솔루션으로서 큰 잠재력을 가지고 있습니다.. IoT 장치 설계에 대한 규제 요구 사항에 대해, 유럽 의회는 최근 새로운 지침과 규정을 통과시켰습니다.. 이러한 요구 사항, 세계에서 가장 엄격하다고 할 수 있는, EU에 제공하거나 EU 거주자의 개인 데이터를 처리하는 경우 장치 제조업체와 서비스 및 플랫폼 제공업체에 적용됩니다..
게다가, EU 회원국은 민감한 정보를 다루는 영역에 대해 일부 부문별 규정을 제공합니다., 의료, 금융 서비스 등. 미국은 일반적인 데이터 보호법이나 개인정보 보호법이 부족하고 주로 업계와 관련된 소수의 개인정보 관련 법률에 의존하고 있습니다.. 정보 시스템 설계에 대한 미국식 접근 방식은 특정 수준의 개인 정보 보호 유지에 대한 공통 결론에 도달하기 어렵게 만듭니다.. 예를 들어, 동일한 IoT 시스템을 다른 지역에서 사용할 수 있습니다., 일반적인 개인 정보 보호 요구 사항이나 정의가 부족하여 이를 시사합니다.. 따라서 제조업체는 설계 시스템의 의도된 사용을 적어도 어느 정도 예상해야 합니다., 미국 입국이 제한된 경우 디자인 시스템의 의도된 사용. 시장.
반면에, 사람들은 EU 규제 요건을 개인 데이터를 다루거나 특정 중요한 인프라 운영자와 거래할 때 충족해야 할 의무의 기준으로 볼 수 있습니다.. 정보 시스템의 개발 및 관리를 담당하는 두 가지 EU 법률 및 규정이 있습니다.. 일반 데이터 보호 규정입니다. (GDPR) 네트워크 및 정보 시스템 보안 지침 (NIS 지시어).
GDPR은 회원국 간에 약간의 차이가 있을 수 있습니다., 그러나 이는 EU 내 통합된 디지털 단일 시장을 위한 토대를 마련합니다.. 지시어로, 회원국은 NIS에 대해 다른 접근 방식을 취할 수 있습니다., 정보 시스템에 대한 최소한의 보안 책임 수준을 정의하지만.
사물 인터넷이란 무엇입니까?(IoT) 은둔?
개발과 함께 IoT 기술, 디지털 기술은 우리의 삶과 환경에 더욱 파고들었습니다.. Strategy Analytics에 따르면, 전 세계적으로 연결된 장치 수가 도달했습니다. 22 말까지 10억 2018 도달할 것으로 예상됩니다. 50 10억 단위로 2030. 낙관적인 데이터를 바탕으로, IoT와 인공지능의 결합은 더욱 지능적인 의사소통 방식을 만들어 낼 것입니다. 전반적인, 사물 인터넷의 사회적, 경제적 영향은 상당할 것입니다., 연결된 장치가 우리 삶의 모든 측면에 통합되어 있습니다., 웨어러블부터 차량 인터넷, 스마트 홈, 모든 것의 인터넷까지. 사물 인터넷의 편리성과 편재성은 엄청난 이점을 가져올 것입니다., 하지만 이는 정보 수집이 온라인 세계에서 오프라인 세계로 이동한다는 의미이기도 합니다., 우리의 몸과 사적인 공간이 정보 수집의 원천이 되면서. 이러한 맥락에서, 사물 인터넷, 특히 소비자 사물 인터넷과 관련된 개인 정보 보호 문제, 관심의 초점이 되었습니다. 9 월 19, 인터넷학회(Internet Society)는 IoT 개인정보 보호에 관한 '정책 브리핑(Policy Brief)'이라는 보고서를 발표했습니다.: 정책입안자를 위한 IoT 개인정보 보호 “, 사물 인터넷이 개인정보 보호에 가져오는 위험과 과제를 분석합니다., 정책 입안자를 위한 구체적인 조치 권장 사항을 제시합니다., IoT 서비스 제공업체 및 기타 이해관계자, 다중 이해관계자 협력 참여의 거버넌스 모델 강화를 요구합니다..
사물인터넷(Internet of Things)의 발달로 컴퓨터가 아닌 일상의 사물과 센서에서, 사람의 개입을 최소화하면서 데이터를 교환하고 소비합니다.. 오늘, 사물 인터넷은 규모의 발전 추세를 보여줍니다 (연결된 장치의 수가 계속해서 증가하고 있습니다.), 친밀 (웨어러블 장치 및 인체에 이식되는 장치, 등.), 어디에나 있는, 항상 연결되어 있다, 똑똑하고. 그러나 이러한 개발 규모는 개인 정보 보호에 영향을 미칠 수 있습니다., 개인을 보다 쉽게 식별할 수 있도록 함, 추적됨, 프로파일링된, 그리고 영향을 받았다.
개인정보 보호에 대한 사물 인터넷의 과제는 다음과 같습니다.: 첫 번째, 사물 인터넷 보호는 광범위한 범위에 걸쳐 있습니다., 다양한 부서 및 관할권의 규제 경계를 포함합니다.. 한편으로는, 개인 정보 보호법은 도메인별로 분류되는 경향이 있습니다., 의료 프라이버시와 같은, 금융 프라이버시, 학생 개인 정보 보호, 등., IoT 장치와 서비스는 분류하기가 어렵습니다.. 반면에, 국가와 지역마다 IoT 장치 및 서비스에 대한 개인정보 보호법이 다를 수 있으며, 데이터 수집 및 처리가 다른 관할권에서 발생할 때 다른 규정이 적용됩니다.. 두번째, IoT는 사용자로부터 사전 동의를 얻기가 어렵습니다.. IoT가 구축되면, 기기 소유자로부터 사전 동의를 얻는 것 외에도, 동시에 주변 사람의 동의를 얻기가 어렵습니다.. IoT 기기는 시계 같은 평범한 사물과 다르지 않습니다., 스피커, 그리고 TV, 따라서 기기가 데이터를 수집하고 처리하고 있는지 알기 어렵습니다.. 마지막으로, IoT 과제 개인 정보 보호의 투명성 원칙. 예를 들어, 웹사이트와 달리, 앱, 등., IoT 장치 및 서비스는 사용자에게 개인 정보 보호 정책을 제공하지 못할 수 있습니다., 사용자에게 데이터를 수집하고 있음을 제대로 알리지 못할 수도 있습니다..
이러한 과제를 더 효과적으로 해결하고 사물인터넷과 관련된 개인정보 보호를 강화하기 위해, 인터넷학회는 네 가지 권고사항을 제시했습니다.: 첫 번째, IoT 장치 및 서비스에 대한 사용자의 의미 있는 제어를 강화합니다., IoT 데이터 관리 강화. 구체적으로, 그것은 포함한다: 서비스 제공자의 책임을 명확히 함, 개인 데이터를 수집할 때 사용자로부터 사전 동의를 얻는 것을 포함합니다., 투명성 강화, 데이터를 안전하게 저장하고, 등.; IoT 장치 및 서비스의 개방형 표준 및 상호 운용성을 촉진합니다.; 데이터 최소화 관행 장려. 두번째, 사용자 데이터 수집 및 사용의 투명성 향상. 예를 들어, 사용자가 이해하기 쉬운 방식으로 IoT 장치 기능 및 데이터 수집을 사용자에게 알립니다., 사용자에 대한 효과적인 동의 및 거부 기능 설정, 개인 정보 보호 정책의 명확성 향상, 데이터 수명주기 전반에 걸쳐 투명성 향상, 개인 정보 보호 및 보안을 보장합니다.. 제품 수명주기 전반에 걸쳐 보호됩니다., 등. 제삼, 개인 정보 보호법과 정책은 기술 발전과 보조를 맞춥니다. 구체적으로, 그것은 포함한다: 기존 개인정보 보호 및 소비자 보호법 개선; 개인정보 보호법의 적응성과 범위 검토; 개인정보 보호 연구자가 개인정보 문제를 조사하여 법적 위험이 발생하지 않도록 법적 보호를 강화합니다.; 네트워킹의 광범위한 사용은 차별과 불공정 관행을 악화시키지 않습니다.; IoT 개발에 개인 정보 보호 영향 평가 도입, 등. 네번째, 다중 이해관계자 참여 강화. IoT 관련 위험과 과제를 해결하려면 정부의 공동 참여가 필요합니다., 공개, 산업, 학계, 사회 단체, 및 기술 인력. 사회적 차원에서 폭넓은 대화가 이루어져야 한다, 소비자의 발언권에 관심을 기울여야 한다.
전반적인, IoT와 클라우드 컴퓨팅 등 신기술의 결합 인공지능 우리 경제와 사회를 다양한 방식으로 변화시킬 것입니다. 기술은 큰 기회를 제공합니다, 하지만 위험도 따르죠. IoT의 이점이 개인 정보 보호의 위험보다 훨씬 더 크다는 것을 보장하기 위해 적절한 조치를 취해야 합니다., 보안, 등. 이를 위해서는 모든 이해관계자의 협력이 필요합니다., 정부를 포함해, 제조업 자, 소비자, 등., IoT 기술이 책임감 있고 지속 가능한 방식으로 개발되도록 보장합니다.. 외국에서는 이미 IoT 개인정보 보호 및 보안 법안을 추진하고 있습니다.. 법률은 IoT 장치 및 서비스의 특성을 고려하고 유연하고 합리적인 규제 메커니즘을 채택해야 합니다.. 예를 들어, EU GDPR에서도, 사용자의 사전 동의는 서비스 제공자가 사용자의 개인정보를 수집하고 처리하는 유일한 법적 근거가 아닙니다.. 그러므로, 사물인터넷 개인정보 보호정책은 고지된 동의에 국한되어서는 안 되며 기술적 특성을 고려해야 합니다., 그리고 특정 상황에서는, 사전 허가에서 진행 중 및 이벤트 후 데이터 보호 의무로 전환됩니다.. 게다가, 소비자의 개인 정보 보호 인식이 깨어났습니다. 예를 들어, 설문 조사에서, 77% 의 소비자는 IoT의 개인 정보 보호 기능과 보안이 구매 결정을 내릴 때 고려해야 할 중요한 요소라고 밝혔습니다.. IoT 제조업체는 IoT를 개발하고 구축할 때 사용자 개인 정보 보호 및 데이터 보안 문제를 고려해야 합니다.. '개인정보 보호 설계' 개념을 실천하고 데이터에 대한 사용자 통제를 강화합니다..
왜? 나영형티 보안 비판적인?
01. 오늘날 IoT 보안이 그토록 중요한 이유
오늘, 사물 인터넷 장치와 애플리케이션은 사람들의 업무와 생활에 널리 사용됩니다., 그리고 거의 모든 사물은 글로벌 인터넷에 연결되는 이점을 활용하기 위해 지능화될 것입니다..
초기에는, 네트워크 위협은 기업 IT 시설에 집중되었습니다., 현대 사회에서는 더 널리 퍼졌고 빈번해졌습니다.. 사물인터넷 보안대책을 논의하기 전에, 사물 인터넷을 둘러싼 네트워크 위협 벡터를 이해하는 것이 중요합니다..
02. 사물 인터넷에 대한 일반적인 위협 벡터
위협 벡터는 사이버 범죄자가 네트워크에서 작동하는 회사의 핵심 시스템에 액세스할 수 있는 경로 또는 수단을 나타냅니다.. IoT에서 가장 일반적인 위협 벡터 중 일부는 다음과 같습니다.:
(1) 물리적 경계 없음
IoT 네트워크 경계는 기존 인터넷 경계보다 더 개방적입니다.. 장치에 대한 액세스를 제한하는 기존 보안 방법은 더 이상 사용할 수 없습니다.. 이러한 IoT 장치는 필요할 때 새로운 위치로 이동하고 네트워크에 액세스할 수 있습니다..
(2) Wi-Fi 및 Bluetooth 데이터 유출
IoT의 Wi-Fi 및 Bluetooth 구성은 데이터 유출의 주요 원인입니다.. 블루투스 비밀번호가 약한 WI-FI는 데이터 전송 중에 네트워크 공격자에 의해 쉽게 도난당할 수 있습니다.. 또한, 대부분의 경우에, 구성에 사용되는 비밀번호는 각 장치마다 고유하게 설정되지 않습니다.. 하나의 장치만 네트워크에 의해 공격을 받아 손상된 경우, 무단 액세스를 위한 공백이 남아 있습니다..
(3) IoT 장치에 대한 물리적 액세스
사이버 공격자는 IoT 장치 및 워크로드에 물리적으로 접근할 수 있습니다., 모든 위협 벡터 중 최악의 벡터. 이 액세스를 사용하면, 사이버 공격자는 IoT 기기의 내부 정보와 그 내용에 쉽게 접근할 수 있습니다.. 그리고 BusPirate와 같은 도구를 사용하여, 시크라, 또는 LogicAnalyzer, 또한 네트워크의 모든 트래픽을 읽을 수도 있습니다.. 물리적 접근 가능, 사이버 공격자는 비밀번호를 추출할 수 있습니다, 프로그램을 수정하다, 또는 자신이 제어하는 다른 장치로 교체.
03. 이오티 IT와 비교
많은 IoT 장치가 엣지에 있는 동안, IT 인프라는 클라우드에 있습니다. IoT 보안에 대한 위협으로 인해 사이버 공격자가 IoT 위협 벡터를 통해 핵심 IT 네트워크에 접근할 수 있습니다.. 실제 사이버 공격은 다음과 같습니다..
- HVAC 시스템을 통해 네트워크에 접근하면 데이터 유출이 발생합니다.
언론 보도에 따르면, 타겟 주식회사, 최고 중 하나 10 미국의 소매업체, 훔치려고 해킹당했어요 40 회사에서 발행한 백만 개의 신용카드 번호. 이는 세계 최대 규모의 데이터 침해 중 하나입니다.. 해커는 타사 자격 증명을 훔쳐 HVAC 시스템을 해킹한 후 기업 네트워크에 액세스했습니다..
- SubwayPoS, 해커 공격 당해
현재 PoS와 관련된 보안 버그에 대한 보고가 있습니다.. SubwayPoS 침해로 인해 다음과 같은 손실이 발생했습니다. $10 백만, 적어도 150 Subway의 프랜차이즈 중. 미국 서점 Barnes에서도 유사한 해킹이 발생했습니다. & 고귀한, 어느 신용카드 리더기에서 63 매장이 공격을 받아 손상되었습니다..
샘샘 랜섬웨어
또 다른 잘 알려진 시스템 침해 사례는 SamSam 랜섬웨어에 의한 사이버 공격입니다., 콜로라도 교통부, 샌디에고 항 등 행정부를 타격한 사건입니다. 2018 그리고 갑자기 서비스를 중단했어요.
04. IoT 규정
일부 국가 및 지역에서는 일부 IoT 규정이 발표되었지만, 사이버 공격과 관련된 위험을 완화하는 데 충분하지 않습니다.. 캘리포니아에는 사이버 공격 억제와 관련하여 합리적인 보안 수준 규정이 있습니다.. 비슷하게, 영국은 고유한 비밀번호 정책을 시행했습니다., 기업은 취약점을 공개하고 정기적인 보안 업데이트를 수행하기 위해 로컬 IT 인프라에 연결된 IoT 장치에 대한 명확한 연락처 정보를 제공해야 합니다.. 이러한 규제 지침은 많은 보안 평론가들로부터 환영을 받고 있지만, 누가 이러한 정책을 시행할지는 불분명합니다.. 해설자는 기존 규제 기관을 통해 규정이 어떻게 시행되는지 이해하기 위해 노력하고 있다고 덧붙였습니다..
사이버 공격자의 전략과 조치가 훨씬 빠르게 업데이트됩니다., 이 규정은 매년 또는 반년마다 발행되거나 시행될 수 있습니다.. 그러므로, 규제 정책만으로는 사이버 공격자의 공격을 따라잡기 어렵습니다..
05. 기업이 취해야 할 보안 조치는 무엇입니까?
위의 규정을 준수하면서, 기업은 IoT 장치 채택을 위한 보안 대책을 개발해야 합니다..
첫 번째, IoT 장치의 보안을 결정해야 합니다.. IoT 장치에 고유한 ID가 있는지 확인하는 것이 중요합니다., 이는 다른 보안 조치의 기초가 됩니다..
그 다음에, ID 레이어를 기반으로, 소프트웨어는 서명된 코드와 같은 수단으로 보호됩니다., 펌웨어, 등.
마지막으로, 기업은 어떤 버전의 소프트웨어가 실행될지 결정하기 위해 최상위 수준에서 규정을 준수해야 합니다..
이오티 하드웨어 보안
전자제품 디자인 분야에서는, 안전이 가장 중요하다. 이는 특히 단지에 해당됩니다., 자원이 제한된, 고도로 연결된 사물 인터넷 (IoT). IoT 보안을 달성하려면 검증된 보안 원칙에 의존하고 진화하는 위협에 대한 경계가 필요합니다.. 그러나 설계 엔지니어는 제품을 시장에 출시할 때 몇 가지 IoT 보안 문제에 직면합니다..
01. IoT가 보안 위협에 직면하다
IoT는 현재 대부분의 산업 및 상업 운영에 통합되고 있습니다., 공공 시설을 포함하여, 중요 인프라, 운송, 재원, 소매, 그리고 건강 관리. IoT 장치는 물리적 세계를 감지하고 측정하며 다양한 인간 활동에 대한 데이터를 수집할 수 있습니다., 지능형 솔루션의 광범위한 배포를 촉진합니다., 자동화된, 자율 명령 및 제어 기술. 스마트 기기를 상호 연결하는 유비쿼터스 IoT를 통해, 기업은 미래에 인류 사회와 경제 생활의 모든 측면을 개선할 진정한 혁명적인 기술을 창조할 수 있습니다.. 그러나 거의 매주 주류 언론에서는 디지털 보안 침해에 대해 보도합니다.. 보고된 손실은 소비자 신용 카드 정보의 도난이나 오용인 경우가 많습니다., 매일 발생하는 수천 건의 사이버 공격에 비하면 이는 매우 적은 양입니다.. 보안 공격에는 귀중한 데이터를 훔치고 광범위한 피해를 입히는 것이 포함됩니다., 그리고 훨씬 더, 중요 시스템 제어. 소비자 관점에서, 분산 서비스 거부 (DDoS) 공격은 아마도 가장 일반적인 위협일 것입니다.. 미라이 봇넷, 인터넷 전체를 혼란에 빠뜨린 사건 2016, 첫 번째 경보음을 울렸다, 기관에 위협을 알리는 것. 미라이 이후, 에이드라, 위패치, 그리고 가프짓, BCMUPnP와 같은 새로운 봇넷도 포함됩니다., 헌터52, 그리고 Torii53, DDoS 악성 코드를 확산시키기 위해 수백만 대의 IoT 장치에 누적적으로 침투했습니다., 암호화폐 채굴자, 그리고 스팸.
점점 더 많은 IoT 기기가 우리의 일과 삶에 등장하면서, 잠재적인 보안 공격은 어디에서나 더 큰 규모로 발생합니다.. 지능형 교통 통제를 예로 들어보자. 센서 인프라가 있는 주요 도시를 상상해 보세요., 신호등, 자동차 메쉬 네트워크, 트래픽 흐름을 제어하는 제어 장치가 적에게 노출됩니다.. 중요한 교차로에서 무선 네트워크를 통해 신호등을 제어하거나 차량 간 통신을 제어하는 것은 더 이상 할리우드 블록버스터의 일이 아닙니다., 하지만 현실적이고 심각한 문제는.
인터넷 지원 의료 기기도 생각해 보십시오., 소매 쇼핑 경험을 개선하는 데 도움이 되는 매장의 스마트 라벨, 가전제품이 어떻게 연결되어 있는지. 스마트폰으로 스토브를 시작할 수 있다면, 자물쇠를 풀고 경보 시스템을 끄십시오, 다른 사람들은 어때??
위의 예는 우리 모두에게 관련이 있습니다., 하지만 일반 소비자에게는 보이지 않는 상황이 많이 있습니다. 상상해 보세요 산업용 사물 인터넷 (IIoT) 자동화된 제조 환경을 위해 배포됨. 보안 침해가 발생하면 혼란은 어떻게 될까요?, 생산 중단 시간 및 장비 손상으로 인한 재정적 비용은 얼마입니까??
기하급수적으로 증가하는 공격 가능성, IoT 보안은 포괄적이고 강력해야 합니다., 빠른 회복능력을 가지고.
02. 너 해서는 안 된다 소프트웨어 접근 방식에만 의존
정보를 도청하거나 불법적으로 취득하려는 시도는 새로운 것이 아닙니다.. 네덜란드 컴퓨터 연구원인 Wim Van Eck는 그 이후로 이 문제를 연구해 왔습니다. 1985. 그는 디스플레이의 전자기장을 가로채고 이를 디코딩하여 디스플레이에서 정보를 추출하는 데 성공했습니다.. 그의 선구적인 작업은 저렴한 부품을 사용하여 값비싼 보안 조치를 우회할 수 있다는 사실을 강조했습니다..
이러한 비침해적이고 수동적인 전자기 부채널 공격은 이제 더욱 정교해지고 있으며 많은 공격 무기 중 하나입니다.. 다른 에지 채널 공격 방법에는 차등 전력 분석이 포함됩니다. (DPA) 다른 사람, 일반적으로 전자기 에지 채널 공격과 함께 사용됩니다.. 이번 공격을 통해, 암호화 키와 같은 민감한 정보, 비밀번호, IoT 장치의 마이크로컨트롤러에 있는 개인 신원은 암호화 처리 명령이 실행될 때 전자기 신호의 형태로 "손상"됩니다.. 소프트웨어 정의 무선 애플리케이션인 광대역 수신기는 현재 매우 저렴하며 작동 중인 전자기 신호를 감지하고 저장하는 데 사용할 수 있습니다..
DPA는 좀 더 복잡한 도둑질 방법입니다., 간단한 전력 분석을 통해 장치 작동 중 프로세서 전력 소비를 이해할 수 있습니다.. 처리 장치가 소비하는 전력은 수행되는 기능에 따라 달라지므로, 전력 소비를 알면 개별 기능을 식별할 수 있습니다.. AES 기반 암호화 알고리즘의 기능, ECC, 및 RSA는 많은 계산이 필요하며 전력 측정 분석으로 식별할 수 있습니다.. 마이크로초 간격으로 전력 소비를 조사하면 암호화에 자주 사용되는 다양한 숫자 연산이 드러납니다., 합계 제곱 곱셈과 같은. DPA는 간단한 전력 분석에 통계 및 오류 수정 기술을 추가합니다., 기밀 정보의 고정밀 디코딩을 실현할 수 있는 제품.
유무선 통신을 통한 데이터 유출로 인해 기밀 정보도 노출될 수 있습니다.. 비밀 채널과 "중간자 공격"은 IoT 장치와 호스트 시스템 간의 통신을 청취하여 데이터를 수집하는 효과적인 방법입니다.. 이 데이터를 분석하면 원격으로 연결된 장치의 작동을 인계받는 데 필요한 장치 제어 프로토콜과 개인 키가 드러날 수 있습니다..
해커가 사용하는 또 다른 공격 기술은 보호되지 않은 마이크로 컨트롤러 및 무선 시스템 온 칩에 대한 임플란트 공격입니다. (SoC) 장치. 가장 간단한 경우, 이 기술은 마이크로컨트롤러의 공급 전압을 줄이거나 방해할 수 있습니다., 이상한 오류를 범하다. 이러한 오류는 다른 보호 장치가 기밀 정보가 들어 있는 레지스터를 열도록 유발할 수 있습니다., 이로 인해 침입에 노출됩니다.. 주파수를 변경하여 시스템의 클록 신호 변조, 잘못된 트리거 신호 심기, 또는 신호 레벨을 변경하면 IoT 장치에 이상 현상이 발생하여 기밀 정보가 노출되거나 제어 기능이 조작될 수 있습니다.. 두 경우 모두 신체적 필요, 그러나 침습적이지는 않다, 장치 내부의 인쇄 회로 기판에 대한 액세스.
IoT 기기 보안에 사용되는 보안 기술 중 상당수는 소프트웨어 기반이기 때문에, 보안정보를 불법적으로 읽을 가능성이 있음. AES와 같은 표준 암호화 암호화 알고리즘, ECC, RSA는 마이크로컨트롤러 및 임베디드 프로세서에서 소프트웨어 스택으로 실행됩니다.. 다음보다 저렴한 장치 및 소프트웨어 $100 전력 소비를 확인하는 것뿐만 아니라 DPA 기술을 사용하여 키 및 기타 민감한 정보를 얻는 데에도 사용할 수 있습니다.. 이제 이러한 분석 방법에 능숙하지 않아도 전체 프로세스를 자동화할 수 있는 기성 DPA 소프트웨어 도구를 쉽게 구할 수 있습니다..
이러한 공격은 더 이상 이론의 영역에 국한되지 않습니다., 전 세계 해커들이 널리 사용하고 있습니다..
공격 강도가 높아지면서, IoT 장치 및 시스템 개발자는 보안 보호 방법을 재고하고 보안 보호 기능을 개선하여 더욱 강력하고 탄력적으로 만들어야 합니다..
03. 하드웨어 접근 방식 나는 보호한다영형티 보안
새로운 IoT 장치를 설계하기 전에, 장치가 어떤 공격에 노출될 가능성이 있는지 포괄적으로 이해하는 것이 가장 좋습니다., 어떤 종류의 위협으로부터 보호해야 하는지. 처음부터 보안 요구 사항을 검토하고 이를 제품 사양에 통합하는 것이 현명합니다.. 대부분의 IoT 장치는 수년 동안 지속되는 경향이 있습니다., 이것만으로도 더 많은 공격이 발생할 수 있습니다, 그래서 고려해 볼 필요가 있어. 그러므로, 펌웨어 업데이트는 무선으로 수행되어야 합니다. (오타), 모든 공격으로부터 보호하기 위해, 하드웨어 기반 보안 설계를 구현하려면 칩-클라우드 접근 방식이 필요합니다..
Infineon이 최근 출시한 OPTIGA® Trust M2 ID2 보안 칩은 완전한 하드웨어 기반 보안 솔루션입니다., 가장 큰 장점은 하드웨어 수준의 공격에 저항할 수 있다는 점입니다.. 데이터 저장을 더 잘 보호하기 위해 특별히 설계된 간소화된 논리를 사용합니다.. 매우 전문적인 리버스 엔지니어링임에도 불구하고, 원본 데이터는 쉽게 해킹되거나 크랙될 수 없습니다.. 일부 전문적인 디자인과 비표준 코드 구현은 실제로 분석하고 이해하기 어렵습니다.. 가장 중요한 점은 하드웨어 기반의 보안 칩 솔루션이 전체 시스템에 대한 신뢰할 수 있는 “루트”와 시스템에 대한 신뢰의 원천을 제공할 수 있다는 것입니다..
이오티 펌웨어 보안
IoT 단말기 수가 비약적으로 증가함에 따라, IoT 보안 관련 규정 및 표준이 점차 상륙하고 있습니다., 저자원 임베디드 장치의 펌웨어 보안이 점차 주목을 받게 될 것입니다.. 엔드투엔드 IoT 보안 탐지 플랫폼으로, TinyScan은 소스로부터 숨겨진 민감한 정보와 보안 위험을 실제로 스캔하고 마이닝합니다.. 펌웨어 개발자와 펌웨어 사용자 모두 이 도구를 사용하여 지정된 펌웨어의 보안 상태를 파악하고 표적 보호 또는 회피를 수행할 수 있습니다., 이를 통해 펌웨어 취약점으로 인해 발생하는 IoT 보안 문제의 수를 줄입니다..
사물인터넷 시대에, 지각의 3층 구조 모델, 전염, 그리고 응용 프로그램이 자주 사용됩니다, 센서와 같은 임베디드 장치, 게이트웨이, 3개 계층에 분산된 컨트롤러로 인해 수많은 새로운 보안 문제가 발생했습니다.: 건축학.
01. 에스시스템 보안
현재, 주류 임베디드 운영 체제는 여전히 Linux 또는 Linux 파생 제품이 지배하고 있습니다., 다양한 회사가 제품 요구 사항 및 특성에 따라 Linux 시스템을 맞춤화하고 개발합니다.. 하지만, 임베디드 장치의 자원은 제한되어 있기 때문에, 기존 보안방어 솔루션을 IoT 기기에 완벽하게 이식하기는 어렵습니다..
02. 구성 요소 보안
임베디드 장치는 Linux를 운영체제로 사용하기 때문에, 많은 오픈 소스 구성 요소가 사용될 수밖에 없습니다.. C/S 모드에서 일부 오픈소스 컴포넌트의 숨은 문제점이 사물인터넷 시대에 재발견되어 활용될 수 있다. 한 공간에 동일한 IoT 기기가 동시에 다수 존재하기 때문에, 취약점이 발생한 후 기기의 펌웨어가 제때 업그레이드되지 않은 경우, 큰 손실을 초래할 수 있습니다.
03. 아르 자형&D 안전
인터넷 시대에, 클라이언트는 서버에 직접 접근하거나 제어할 수 없습니다., 하지만 이러한 현상은 사물 인터넷 시대에 바뀌었습니다.. 오픈소스 리버스 도구를 통해, 사용자는 장치 펌웨어에 남아 있는 구성 파일과 일반 텍스트 정보를 쉽게 얻을 수 있습니다., 그런 다음 장치의 액세스 권한을 직접 얻습니다., 동일한 사양의 다수의 장치에 위협을 가하는 행위.
우리는 다음과 같은 차원에서 펌웨어에 대한 보안 분석을 수행해야 합니다., 분석 결과를 보고서 형태로 출력.
(1) 파일 시스템 서비스 보안 분석
● 펌웨어 파일 시스템의 기본 정보를 자동으로 검색하고 가져옵니다., CPU 아키텍처를 포함한, 설정 시간, 압축 모드, 유형, 크기, 파일 시스템의 저장 모드.
● 파일 시스템에 대한 기본 정보를 얻은 후, 검사 대상 유형을 결정하고 다른 검사 엔진으로 전환할 수 있습니다..
(2) 시스템 & 서비스 분석 코딩
● 시스템 서비스 정보 얻기, 시스템 서비스 경로 및 MD5 값 포함.
● 시스템 서비스 정보를 획득함으로써, 시스템 서비스 자체 시작 상태를 알 수 있습니다., 그리고 셀프 스타트업 서비스에 알려지지 않은 악성 스크립트가 존재하는지 등의 정보를 빠르게 학습할 수 있습니다..
(3) 구성품 & 소프트웨어 안전성 분석 SPA
● 방향 스캐닝, 시스템 구성 요소 얻기 & 소프트웨어 정보, 구성 요소 포함 & 소프트웨어 경로, 설명, 그리고 홈페이지 주소;
● 구성요소를 획득함으로써 & 소프트웨어 정보, 구성 요소의 버전 정보를 빠르게 얻을 수 있습니다. & 펌웨어에 설치된 소프트웨어, 그런 다음 그에 따라 보안 검색을 수행합니다..
(4)사용자 비밀번호 검색
● 방향 스캔, 사용자 비밀번호 정보 얻기, 비밀번호 관련 파일 경로 포함, 및 비밀번호 정보;
● 사용자 비밀번호 검색 후, 펌웨어 비표준 개발로 인한 비밀번호 정보 유출 가능성.
(5)암호화 인증 보안 분석
● 암호화된 인증파일 정보를 자동으로 스캔하여 획득합니다., 암호화 인증 파일의 경로 및 암호화 정보를 포함;
● 암호화 인증 감지 후, 펌웨어 비표준 개발로 인한 암호화 인증 정보 유출 가능성.
(6)민감한 분석 정보 보안
펌웨어에 있는 의심스럽고 민감한 정보의 자동 검색 및 획득에는 하드 코딩된 토큰/키가 포함되지만 이에 국한되지는 않습니다., 구성 하드 코딩된 비밀번호, 하드코딩된 IP, 하드 코딩된 HTTP 주소, 캐시 파일 유출, 등., 펌웨어의 비표준 개발로 인해 민감한 정보 유출이 발생할 수 있습니다..
(7)CVE 취약점 탐지
파일 시스템의 CVE 취약점 정보를 신속하게 탐지합니다., CVE-ID 포함, 출시 시간, 설명, 그리고 레벨. CVE 취약점 탐지 후, 현재 스캔된 펌웨어에 설치된 소프트웨어의 최신 CVE 취약점 정보를 얻을 수 있습니다..
사물 인터넷(IoT) 소프트웨어 보안
72% 의 정보 보안 리더는 클라우드 컴퓨팅이 디지털 혁신의 최우선 과제라고 말합니다.. 클라우드 기반 IoT 소프트웨어는 보안의 디지털 요소와 물리적 요소를 모두 통합하여 보다 안전한 휴대폰에서 데이터에 액세스하고 활용할 수 있도록 합니다..
클라우드 기반으로 할 수 있는 것 IoT 소프트웨어 보안을 유지하다? 이 기사에서는 IoT 소프트웨어가 보안 분야의 보안 개선에 어떻게 효과적으로 도움이 될 수 있는지 설명합니다.. 또한, 보안 사고에 대처하기 위해 디지털 보안 요소와 물리적 보안 요소를 결합하는 방법도 소개합니다..
01. 클라우드 기반 IoT 소프트웨어의 영향
클라우드 기반의 IoT 소프트웨어는 비즈니스에서 다양한 방식으로 활용되고 있습니다.. 클라우드 기반 솔루션은 보안 공간에 이점을 제공합니다.. 핵심, IoT 기술이 기업 부문을 변화시키고 있습니다., 기업 운영 방식을 혁신하다.
02. 클라우드 기반 솔루션을 통합하여 데이터 활용
데이터는 모든 산업에서 매우 중요합니다., 보안 분야도 예외는 아니다. 클라우드 기반 솔루션으로, 단일 인터페이스에 데이터와 정보를 저장하면 기업이 비즈니스 상황을 파악하는 데 도움이 될 수 있습니다..
게다가, AI로 강화된 소프트웨어와 클라우드 기반 솔루션을 결합하여, 보안 담당자는 잠재적인 보안 위협을 더 잘 식별할 수 있습니다. 클라우드 기반 IoT 기술을 활용하면 생산성이 향상될 수 있습니다.. 보안요원의 책임이 광범위하기 때문에, 카메라 실시간 모니터링이 불가능합니다.. IoT 기술을 통해 보안 담당자는 언제든지 카메라 정보를 수신하고 피드백을 기록할 수 있습니다., 어딘가에, 더 나은 보안 정책 수립에 도움. 일부 IoT 솔루션은 실시간 비디오와 AI 분석 도구를 결합하여 보안 시스템 기능을 강화하고 보안 사고에 대한 대응 속도를 높이는 실시간 경고를 보안 담당자에게 제공합니다..
03. 결합하다이자형 물리와 사이버의 힘 보안
디지털 보안과 물리적 보안을 결합하면 IoT 보안 시스템을 최적화하는 데 도움이 됩니다., 온라인 위반 및 침해로부터 시스템을 보호하는 데 도움. 을 더한, 물리적 보안 조치는 해커로부터 기밀 정보를 보호하는 데 도움이 됩니다.. 디지털 보안 요소와 물리적 보안팀의 융합이 더욱 강력해집니다., 조직이 더 많이 보호될수록.
04. 자동 소프트웨어 업데이트
IoT 시스템이 침해되더라도 조직이 사이버 보안 위협에 노출되지 않도록 하려면 모든 소프트웨어를 최신 상태로 유지하는 것이 매우 중요합니다.. 전통적으로, 로컬 보안 시스템은 새로운 업그레이드가 있을 때마다 인증된 전문가에 의해 수동으로 업데이트되었습니다.. 클라우드 기반 소프트웨어 사용, 업데이트는 현장이나 원격으로만 수행할 수 없습니다., 하지만 자동화도 가능합니다, 비용 대폭 절감.
05. 원격 기능
IoT 클라우드 기술의 유연한 발전으로, 보안 인력은 모바일 기기를 이용해 원격으로 보안 도구를 작동할 수 있다.. 예를 들어, 현재 출입통제시스템에 사용되는 영상인터콤 시스템은 보안요원이 방문객의 스마트폰으로 영상통화를 통해 방문객의 신원을 확인할 수 있는 시스템이다.. 게다가, 인터콤 프로그램은 원격 잠금 해제도 지원합니다.. 방문자의 신원이 확인된 경우, 방문자가 들어갈 수 있도록 문을 원격으로 잠금 해제할 수 있습니다.. 클라우드 기반 IoT 기술을 활용하여, 방문자에 대한 인증절차를 단순화하고, 인증시간을 대폭 단축하여 방문자가 보다 빠르게 건물에 입장할 수 있도록 합니다..
06. 요약하다
클라우드 기반 채택 IoT 솔루션 기업의 보안 보호 전략은 시대에 발맞추는 보안 시스템을 구축하는 데 도움이 됩니다.. 사이버 보안은 기업이 IoT 기술을 사용할 때 직면하는 위협이자 과제입니다.. 하지만 물리적 보안 요소와 디지털 보안 요소를 결합하여, 클라우드 기반 IoT 시스템은 취약성으로부터 크게 보호되고 더 효과적으로 보호되어 기업이 변화하는 보안 환경에 대처할 수 있도록 지원합니다..
사물 인터넷(IoT) 네트워크 보안
사물인터넷의 급속한 발전과 동시에, 사물인터넷 보안 문제도 자주 등장. 일부 채굴 및 장비 탈취 사건이 반복적으로 발생. 스마트 홈 제품은 계속해서 보안 허점을 뚫고 있습니다., 허점을 악용하면 돌이킬 수 없는 경제적 손실을 초래하게 됩니다.. 동시에, 이는 사물인터넷 산업 구축 초기 단계에서 사물인터넷 응용의 인프라로서 보안의 중요성을 반영한다..
최근에는, 등 핵심 기술의 획기적인 발전으로 5G, 사물 인터넷의 발전은 비약적으로 발전했습니다.. 동시에, 코로나19의 영향으로, 사무실 형태의 원격 근무가 증가했습니다, 이는 기업에 편의를 제공할 뿐만 아니라 해커가 회사의 기밀 정보를 공격하는 데에도 편리함을 제공합니다..
사물인터넷은 우리 삶의 모든 면에 침투해왔습니다.. 스마트 장치에 대한 빈번한 공격은 개인 정보 보호 및 보안을 위협합니다.. 디지털 네트워킹 혁신을 실현하는 데 있어 중요 인프라도 큰 위험에 직면해 있습니다.. IoT 보안은 위험을 적시에 탐지하고 효율적으로 복구할 수 있도록 합리적인 관리 계획 및 규정 수립이 필요합니다..
IoT 보안 문제는 주로 데이터 보안과 관련됩니다., 은둔, 복제, 및 RFID 시스템 위협.
- RFID에 대한 공격: RFID 기술 널리 사용되는 사물 인터넷 기술입니다., 현재 주로 "무인 슈퍼마켓" 및 기타 분야에서 사용됩니다..
- WSN에 대한 공격: WSN은 무선 센서 네트워크입니다.. 사물 인터넷의 최하위 계층은 인식 계층입니다.. 이 레이어에는 다수의 센서가 포함되어 있습니다.. 센서가 작동할 때, 그들은 많은 양의 데이터를 생성할 것이다. 전송 과정에서 범죄자에 의해 차단되면, 그 결과는 상상할 수 없을 것이다. WSN은 현재 군에서 관련 애플리케이션을 보유하고 있습니다..
- 라우터에 대한 공격: 라우터는 매우 중요한 네트워크 장치입니다.. 공격을 받은 후, 네트워크가 마비될 수 있습니다. 게다가, 통신 회선에 공격이 있습니다, 사용자에 대한 공격, 그리고 서버에 대한 공격.
구체적으로, 현재 사물인터넷이 직면하고 있는 주요 보안 위협은 '클라우드'의 세 가지 측면으로 요약할 수 있습니다., 파이프, 그리고 끝”보안:
(1)사물 인터넷 단말기 보안
첫 번째 측면은 IoT 단말 보안이다.. 정보공간과 물리적 공간의 긴밀한 통합을 대표하는 제품으로, IoT 단말기는 개인 소비를 위한 선구적인 제품에서 경제, 사회 다양한 분야로 빠르게 확대되고 있습니다.. 교육을 제공합니다, 의료, 소매, 에너지, 건설, 자동차, 그리고 새로운 서비스 수단을 가진 많은 다른 산업, 관공서 등 도시기본기능 개선을 지원합니다., 공공 안전, 운송, 물류. 기존 IoT 단말장비는 기능 구현에 중점, 기존 장비 제조업체는 보안 역량이 부족하지만, 시간, 비용 등의 요소를 고려, 일반적으로 터미널 설계의 보안 문제를 무시합니다..
IoT 단말은 지능형 단말과 비지능형 단말로 나눌 수 있다.. 대부분의 지능형 터미널 장치에는 운영 체제와 터미널 애플리케이션이 내장되어 있습니다., 대부분의 비지능형 단말 장치는 단일한 구조와 기능을 가지고 있지만, 데이터 수집, 전송 등의 기능만 수행. 그러므로, 지능형 단말 장치는 정보 보안에 대한 위협이 더 크다.
(2) IoT 파이프라인 보안
두 번째 측면은 IoT 파이프라인 보안입니다.. 사물인터넷의 '튜브'는 '클라우드'와 '끝'을 연결하는 파이프라인이다. 사물인터넷 '튜브'의 보안은 대용량과 지능을 갖춘 정보 파이프라인의 보안이다.. 사물인터넷 정보파이프라인 조사에 따르면, 사물 인터넷의 파이프라인 보안에는 네 가지 주요 보안 위협이 있는 것으로 나타났습니다..
(3)사물 인터넷 클라우드 서비스 보안
제삼, 사물인터넷 클라우드 서비스 보안. 일반적으로 말하면, 사물 인터넷 클라우드 서비스는 정보를 다른 당사자와 공유할 때 사용됩니다.. 그러므로, 클라우드 서비스의 보안을 보호하는 것은 사물 인터넷의 보안을 보호하는 핵심 연결 고리이기도 합니다..
사물 인터넷 보안을 개선하는 방법
기업은 IoT 장치의 보안을 개선해야 합니다. 그렇지 않으면 막대한 재정적 손실과 평판 손실을 초래할 수 있습니다.. 데이터 암호화 및 내부 모니터링은 기업이 IoT 장치의 보안을 개선하는 데 집중할 수 있는 방법 중 일부입니다..
01. 클라우드 인프라 및 소프트웨어 보호 사용
적란운 네트워크 장치는 장치에 기록된 정보의 기밀성과 무결성을 유지하는 데 도움이 되므로 장치를 안전하게 유지합니다.. 동시에, 거래소의 정보는 암호화되어 해커로부터 보호될 수 있습니다..
02. 설계 ㅏ 보안 장치 별도의 네트워크를 생성하고
IoT 장치의 보안 향상에 초점을 맞춘 더 나은 장치를 설계하는 것이 중요합니다.. 특정 조건에서 장치의 동작을 적시에 내부적으로 검토하는 것은 장치의 시스템을 변경하는 데 중요합니다..
03. 적용하다 나영형티 API 에게 신원 스푸핑 방지
API 보안 보호의 역할은 승인된 장치만 서로 통신할 수 있도록 하는 것입니다.. 시스템에 대한 무단 접근 및 운영에 대해 회사 및 사용자에게 통보할 수 있습니다..
오늘날의 세계에서는, 사용되는 IoT 장치의 수가 증가하고 있습니다.. 동시에, IoT 개발은 과제에 직면해 있습니다.. 기업은 IoT 보안의 중요성을 점차 인식하고, 기기 보안을 보호하는 기술을 더욱 강화해야 합니다..
어떤 산업이 가장 취약한가 나영형티 보안 위협?
IoT 보안 문제는 모든 산업과 분야에 만연해 있습니다.. 즉 말하자면, 인명, 재산과 관련된 산업이라면, 사물인터넷의 보안 위협에 취약합니다..
예를 들어, 약물을 보관하는 냉동 시스템에 대한 공격, IoT 시스템으로 모니터링, 온도가 변하면 약물의 생존 가능성을 방해할 수 있습니다.. 비슷하게, 유정에 대한 공격의 영향, 물 시스템, 그리고 에너지 그리드, 인간 생활에 큰 영향을 미치는 핵심 인프라, 파괴적일 수 있다.
하지만, 다른 공격을 과소평가해서는 안 됩니다.. 예를 들어, 스마트 도어록에 대한 공격으로 도둑이 스마트 홈에 침입할 수 있음. 또는, 다른 경우에는, ~와 같은 2013 표적 해킹 또는 기타 보안 위반, 공격자는 연결된 시스템을 통해 악성코드를 전달할 수 있습니다. (대상 사례의 HVAC 시스템) 개인 식별 정보를 훔치고 영향을 받은 사람들에게 피해를 입히는 것.
01. 어떻게 나영형티 시스템과 장치를 보호하세요
IoT 보안 접근 방식은 IoT 애플리케이션과 IoT 생태계 내 비즈니스 위치에 따라 달라집니다.. IoT 소프트웨어 초기에는 보안 소프트웨어의 개발 및 통합이 주요 초점이 되어야 합니다.. IoT 시스템 배포에는 인증 및 하드웨어 보안에 주의가 필요합니다.. 비슷하게, 운영자를 위한, 시스템을 최신 상태로 유지, 악성 코드 감소, 감사 인프라, 자격 증명을 확보하는 것이 중요합니다.
사물 인터넷에 대한 보안 표준 및 법률 (미국과 유럽)
01. EU 사물 인터넷 보안 지침
EU 사이버 보안국은 사물 인터넷에 대한 보안 지침을 발표했습니다.. ~에 9 십일월 2020, 유럽연합의 사이버 보안국 (에니사) 사물인터넷 보안지침 발간 (IoT) (이하 가이드라인이라 칭함), IoT 제조업체를 돕는 것을 목표로 합니다., 개발자, 통합자, IoT 공급망을 소유한 이해관계자는 구축 시 최선의 결정을 내립니다., 배포 중, 또는 IoT 기술 평가. 지침의 목적은 IoT 공급망의 보안을 보장하기 위해 IoT 보안 문제와 위협을 정의하고 식별하는 것입니다.. 가이드라인은 5가지 권장사항을 제공합니다.: 첫 번째, IoT 기업은 서로 더 나은 관계를 구축해야 합니다., 사이버 보안을 보장하는 공급업체와의 협력 우선순위 포함, 투명성을 높이기 위해 노력하고 있습니다, 혁신적인 신뢰 모델 개발, 고객에게 보안 약속 제공. 두 번째는 네트워크 보안에 대한 전문 지식을 더욱 대중화하는 것입니다., 전문가의 유지 및 교육 강화, 사물인터넷 사용자의 보안의식 제고. 제삼, 보안은 IoT 설계 표준 개선을 통해 달성됩니다., 보안 설계 원칙 채택을 포함, 보안 제어 및 감사를 위한 최신 기술의 사용, 원격 업데이트 메커니즘 구현. 네번째, 보안을 강화하기 위해 보다 포괄적이고 명시적인 접근 방식을 취합니다., 종합적인 테스트 계획 수립 등, 인증 메커니즘을 회로에 통합, 기본적으로 공장 설정을 사용합니다.. 다섯, 공급망에서 제품 안전과 서비스 품질을 개선하기 위해 기존 표준과 성공적인 관행을 최대한 활용합니다..
02. 미국. 사물 인터넷 사이버 보안개선법 2020
해당 법안은 지난 9월 통과됐다. 14, 2020. IoT 장치 보안이 국가 안보에 우선순위를 두고 새롭게 떠오르는 사이버 과제라는 점을 고려하면, 이 법안은 IoT 장치가 연방 용도로 도입되기 전에 사이버 보안 문제를 해결하여 연방 인터넷 연결 장치의 보안을 향상시키는 것을 목표로 합니다.. 이 법안은 연방 정부에서 사용하는 모든 IoT 장치가 NIST에서 발표한 최소 보안 표준을 충족하도록 요구합니다..
03. 호주 실천 강령: 나영형티 소비자 보호
이 법안은 지난 9월 호주 정부에 의해 발표되었습니다. 3, 2020, 이는 국내 IoT 기기의 보안을 향상시키기 위한 첫 번째 단계로 여겨져 왔습니다.. IoT 장치 보안의 글로벌 특성을 고려하여, 행동 강령이 제안한 업계 표준은 다른 국제 표준과 일치하며 다음을 기반으로 합니다. 13 원칙, 주로 취약하거나 기본 비밀번호를 반복하지 않는 것을 포함합니다., 취약점 공개 정책 구현, 지속적인 소프트웨어 보안 업데이트, 자격 증명은 안전하게 저장됩니다., 개인정보 보호가 보장됩니다, 공격 표면에 대한 노출이 최소화됩니다., 통신은 보안됩니다, 소프트웨어 무결성이 보장됩니다, 시스템은 중단에 강합니다., 측정 데이터 모니터링 시스템, 등. 그 중, 암호화, 취약점 공개, 보안 업데이트 조치는 단기간 내에 최대의 보안 이점을 제공하므로 업계에서 최우선으로 생각하는 3대 원칙으로 권장됩니다..
04. 유럽의 유사점과 차이점, 우리를, 호주 IoT 보안법 및 지침
이 법안은 다양한 방식으로 IoT 장치의 보안 보호 표준을 개선합니다.. 이 기사에서는 유럽 연합의 IoT 장치에 대한 다양한 보안 표준을 소개합니다., 미국, 그리고 호주, 예를 들어 장치 비밀번호의 복잡성이 충분히 높은지 확인하는 등, 다단계 인증 방법, 보안 저장소와 같은 신원 자격 증명의 보안을 보장합니다., 적시 공개, 보안 취약점 복구, 사이버 공격 표면 등에 대한 노출을 최소화하기 위해 정기적인 보안 업데이트 제공.
세 가지 법안 모두 사물 인터넷에서의 개인정보 보호 강화에 중점을 두고 있습니다.. EU의 법률 및 지침, 우리를, 호주는 모두 개인정보 보호를 IoT 보안의 중요한 부분으로 삼고 있습니다.. 예를 들어, 호주는 IoT 장치가 기본적으로 개인 정보 보호 기능을 갖추어야 한다고 실행 강령에서 제안했습니다., 그리고 개인정보는 반드시 이용자의 사전 동의를 얻어 처리되어야 합니다.. 그리고 장치는 사용자가 언제든지 개인 데이터를 삭제할 수 있도록 지원해야 하며 개인 정보 보호를 철회할 수 있는 권리와 시간을 가져야 합니다., 사용자의 개인정보 및 민감한 데이터 보호를 극대화하기 위해.
법률의 적용 범위와 대상이 다릅니다.. 호주 행동강령은 소비자 중심입니다., IoT 장치와 관련된 보안 보호에 대한 인식 제고에 도움, IoT 기술에 대한 소비자 신뢰도 향상, 호주가 출시로 인한 혜택을 누릴 수 있도록 합니다.. EU 지침은 IoT 장치 및 소프트웨어 개발자와 같은 IoT 공급망 주체를 대상으로 합니다., 제조업 자, 보안 전문가, 조달팀, 및 기타 공급망 실체. 다양한 단계에서 공급망이 직면하는 다양한 보안 위협을 연구하고 대응함으로써, 안전한 IoT 생태계 구축 목적 달성. 미국법은 주로 미국 연방정부에 적용되며 IoT 장치에 대한 정부의 보안 평가를 규제하고 정부 기관에서 구매하고 사용하는 IoT 장치가 보안 표준을 충족하도록 보장하는 것을 목표로 합니다..
IoT 보안에 대한 정부 규제는 다양한 영향을 미칩니다.. EU 가이드라인과 호주의 실천 강령은 관련 정부 기관에서 권장하는 조치로 의무 사항은 아닙니다.. 미국. 법안은 정부에 관한 것이며 여러 가지 명령을 포함하고 있습니다., 예를 들어 국립표준기술연구소(National Institute of Standards and Technology)에 대한 명시적인 요구 사항 (NIST) 인터넷 지원 장치 보안 사용에 대한 표준 및 지침을 게시합니다. 90 연방기관이 행정부 기관 및 예산을 지도하는 법안을 제정한 날부터 인터넷 검열 실시; 연방 정부 및 기관은 보안 요구 사항을 충족하지 않는 IoT 장치를 구매하거나 사용하지 않습니다..
