decodr

IoT 보안에 있어 사물 그리고 사용자를 인증하는 일은 가장 먼저 일어나고 또 가장 중요하다. 그리고 그 중요성은 앞으로 IoT 기술이 점차 발전해 사람:사물 연결을 넘어 사물:사물 연결로 향해 갈수록 더욱 커질 것이다.
"IP 카메라"가 또 털렸다. 혼란 와중에 "이때다!" 달려드는 장사치들이 있다. 그리고 엉뚱한 말로 겁주며 뭘 자꾸 사라고 한다. 물론 헛소리다. 이번 사건 경위와 1도 관계 없다. 왜들 이러나, 이 시장은 왜 이리 혼탁한가, 뭘 어떻게 해야 깔끔해질까, 어지럽다. 이번에 터진 사건은 "해킹"이라 할 만한 짓도 아니다.
요즘 각종 앱 관련 사고들이 빵빵 터지고 그에 비해 전엔 흔했던 웹사이트 사고 소식은 뜸해 보이니 '앱이 웹보다 위험한 건가?' 뭐 그리 흘러간, 그러니까 "누가 돈을 훔쳤다. 돈이 위험하다!" 이것과 비슷한 흐름 같다. 그러나, 순전히 오프라인에서만 동작하는 단순한 앱이 아니라면 앱은 결국 웹에 연결되고 대부분의 사고는 웹 영역에서 터진다. 최근 떠들썩했던 사고들을 보더라도
작년 가을의 군 내부망 해킹 사고를 보더라도 그 원인은 '백신' 그리고 '망분리' 등 어떤 도구의 효과를 지나치게 믿었기 때문 아닌가 싶다. 국방부 전산 시스템에는 다른 정부기관이 그러하듯 내부망과 외부망을 나눠 쓰는 소위 망분리가 적용되어 있다. 안과 밖에 아예 다른 망을 씀으로써 위험을 애초에 차단하자는 의도였을 것이다. 그런데 그 망과 망 중간에다가 백신을 관리하는 중계 서버를 둔 것, 게다가 그 중계 서버만도 800대나 필요한 복잡한 구조였다. 이럴 거면 망분리를 왜 했나, 상식적으로도 이해할 수 없는 일이다. 안전한 시스템 설계의 실패, 즉 보안이 성립하지 않았던 것이다.