IoT: Difference between revisions

From CS Wiki
No edit summary
No edit summary
Line 70: Line 70:
* 데이터 무결성 부재
* 데이터 무결성 부재
* 물리적 보안 취약점
* 물리적 보안 취약점
|}<ref><가전> 한국인터넷진흥원, 홈·가전 IoT 보안가이드, 2017. 7.</ref>
|}<ref>한국인터넷진흥원, 홈·가전 IoT 보안가이드, 2017. 7.</ref>


=== 보안 7대 원칙 ===
=== 보안 7대 원칙 ===
Line 97: Line 97:
| 대응체계 마련 || IoT 침해 사고 대응체계 및 책임 추적성 확보 방안 마련
| 대응체계 마련 || IoT 침해 사고 대응체계 및 책임 추적성 확보 방안 마련
- 보안 사고에 대비한 침입탐지와 사고 시 분석 및 책임 추적성 화보
- 보안 사고에 대비한 침입탐지와 사고 시 분석 및 책임 추적성 화보
|}
|}<ref>미래창조과학부, “사물인터넷(IOT) 정보보호 로드맵”, 2014.</ref>

Revision as of 19:55, 3 October 2019

Internet of Things
사물인터넷; 사물인터넷

사물인터넷 발전.png

IoT 보안 위협

  • 최소한의 프로세싱 성능과 메모리로 운영해야 하므로 보안 솔루션 탑재가 어려운 경우가 많음
  • 관심과 수요는 증가하고 있으나 보안 의식이 낮음

보안 위협 예시

유형 주요 제품 주요 보안 위협 보안 위협 원인
멀티미디어 스마트 TV, 스마트 냉장고 등
  • PC 환경에서의 모든 악용 행위
  • 카메라/마이크 내장 시 사생활 침해
  • 인증 매카니즘 부재
  • 강도가 약한 비밀번호
  • 펌 업데이트 취약점
  • 물리적 보안 취약점
생활가전 청소기, 인공지능 로봇 등
  • 알려진 운영체제 취약점 및 인터넷 기반 해킹 위협
  • 로봇 청소기에 내장된 카메라에 의한 사생활 침해
  • 인증 매카니즘 부재
  • 펌 업데이트 취약점
  • 물리적 보안 취약점
네트워크

홈캠, 네트워크 카메라 등

  • 무선신호 교란, 정보유출, 데이터 위변조, 서비스 거부
  • 사진 및 동영상의 외부 유출로 사생활 침해
  • 접근통제 부재
  • 전송 데이터 보호 부재
  • 물리적 보안 취약점

제어

디지털 도어락, 가스밸브 등

제어기능 탈취로 도어락 임의 개폐

  • 인증 매카니즘 부재
  • 강도가 약한 비밀번호
  • 접근 통제 부재
  • 물리적 보안 취약점

모바일 앱(웹) 등 앱(웹)

소스코드 노출로 IoT 기능 탈취

  • 인증정보 평문 저장
  • 전송 데이터 보호 부재

센서

온/습도 센서 등

잘못된 또는 위변조된 온/습도 정보 전송

  • 전송 데이터 보호 부재
  • 데이터 무결성 부재
  • 물리적 보안 취약점

[1]

보안 7대 원칙

원칙 내용
설계 보안 정보보호와 프라이버시 강화를 고려한 IoT 제품/서비스 설계

- “Security by Design” 및 “Privacy by Design” 기본 원칙 준수

개발 보안 안전한 SW, HW 개발 기술 적용 및 검증

- 시큐어 코딩, 소프트웨어, 애플리케이션 보안성 검증 및 시큐어 하드웨어 장치 활용

초기 설정 보안 안전한 초기 보안 설정 방안 제공

- “Secure by Default” 기본 원칙 준수

프로토콜 보안 보안 프로토콜 준수 및 안전한 파라미터 설정

- 통신 및 플랫폼에서 검증된 보안 프로토콜 사용(암호/인증/인가 기술)

보안 패치 IoT 제품/서비스의 취약점 보안 패치 및 업데이트 지속 이행

- S/W와 H/W의 보안 취약점에 대해 모니터링하고 업데이트 지속 수행

프라이버시 보호 안전한 운영/관리를 위한 정보보호 및 프라이버시 관리 체계 마련

- 사용자 정보 취득-사용-폐기의 전주기 정보의 보호 및 프라이버시 관리

대응체계 마련 IoT 침해 사고 대응체계 및 책임 추적성 확보 방안 마련

- 보안 사고에 대비한 침입탐지와 사고 시 분석 및 책임 추적성 화보

[2]

  1. 한국인터넷진흥원, 홈·가전 IoT 보안가이드, 2017. 7.
  2. 미래창조과학부, “사물인터넷(IOT) 정보보호 로드맵”, 2014.