한국어
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
홈페이지IoT 장치 보안을 유지하기 위해 내장형 침투 테스트 채택
IoT 및 연결된 장치의 채택이 증가함에 따라 조직은 임베디드 시스템 보안에 집중해야 합니다.
많은 조직에서 정기적인 애플리케이션 및 네트워크 침투 테스트를 수행하지만 연결된 장치의 취약성을 평가하는 것을 종종 잊어버립니다. 내장된 펜 테스트는 IoT 제품을 포함한 연결된 장치를 분석하여 잠재적인 약점을 찾아냅니다.
보안 팀과 관심 있는 개인이 적절한 임베디드 펜 테스트를 수행할 수 있도록 Jean-Georges Valle는 Practical Hardware Pentesting을 작성했습니다. Valle에서 근무하는 동안 그는 임베디드 침투 테스트, 보안 아키텍처 및 위험 관리 분야에서 일했습니다. 그는 현재 사이버 위험 및 금융 서비스 컨설팅 회사인 Kroll에서 수석 부사장으로 재직하고 있습니다.
현재 제2판으로 출간된 이 책은 독자들에게 내장형 장치의 취약성과 약점을 테스트하기 위해 공격적인 기술을 수행하는 방법을 가르칩니다.
목표는 소프트웨어 펜 테스트와 동일하지만 테스터에게는 다른 경험입니다. Valle는 "이것은 실용적인 활동입니다."라고 말했습니다. "당신은 장치와 물리적으로 상호 작용하고 있습니다. 납땜하고, 부품을 열고, 물리적 장치를 리버스 엔지니어링하고 있습니다."
인터뷰에서 Valle은 임베디드 시스템 보안, 임베디드 침투 테스트 및 침투 테스트 수행 방법의 과제에 대해 논의했습니다.
임베디드 펜 테스트 중에 동적 리버스 엔지니어링을 수행하는 방법을 설명하는 10장에서 발췌한 내용을 확인하세요.
편집자 주: 다음 인터뷰는 명확성과 길이를 위해 편집되었습니다.
조직이 더 잘 고려해야 할 임베디드 시스템 보안과 관련하여 가장 큰 약점은 무엇입니까?
Jean-Georges Valle: 가장 큰 약점은 임베디드 시스템이 그 자체로 존재하지 않는다는 것입니다. 그들은 항상 백엔드의 무언가 및 클라우드 어딘가의 다른 서비스와 상호 작용합니다. 문제는 이러한 임베디드 시스템과 장치가 일반적으로 공격 벡터가 아닌 완전히 신뢰할 수 있는 것으로 간주된다는 것입니다.
이러한 사고방식은 전혀 사실이 아니며, 제가 찾아낸 바로는 유감스럽습니다. 공격자는 내장된 장치와 시스템을 조직의 IT 인프라에 대한 공격 경로로 활용하고 거기에서 이동할 수 있습니다. 임베디드 장치에 대한 이러한 잘못된 신뢰 개념으로 인해 최소 권한, 강화, 분할 등의 일반적인 원칙이 잊혀집니다. 조직에서는 내장된 장치와 잠재적인 취약점을 간과할 수 있습니다. 이로 인해 명령 주입과 같은 일반적인 공격 벡터에 노출되거나 내장된 장치가 API 키와 같은 비밀에 액세스할 수 있게 되어 공격자가 IT 인프라를 더 깊이 파고드는 데 사용할 수 있습니다.
IoT 및 유사 장치의 보안 개선에 관해 조직에서 최근 인정을 받은 적이 있습니까?
Valle: 약간이지만 이는 유럽 연합이 임베디드 시스템 보안을 단속하고 있기 때문입니다. EU는 2022년 사이버 복원력법 제안에서 이러한 유형의 장치에 대한 법적 제약을 도입했습니다. 이 법안은 연결된 장치가 준수해야 하는 보안 기준을 설정합니다. 그렇지 않으면 CE 마크를 받지 못합니다. 이는 사실상 유럽 경제 지역에서 판매할 수 없음을 의미합니다. 임베디드 장치 강화에 대한 업계 인센티브가 부족하기 때문에 규제 기관이 개입하여 단속을 시작해야 했습니다.
공급업체는 디지털 제품을 대부분의 다른 산업과 다르게 취급하고 보안 사고에 따른 책임을 거부하는 경우가 너무 많습니다. 예를 들어, 상점에 가서 사과파이를 샀다가 중독되면 해당 식품의 제조업체가 책임을 집니다. 이는 실제로 디지털 제품에 적용되는 방식은 아니지만 규제 관점에서는 변화하고 있으며 이는 좋은 일입니다. 이제 제조업체가 취약한 디지털 제품을 판매하면 책임을 질 수 있습니다. 이로 인해 제조업체는 제품을 재고하고 저렴하고 안전하지 않은 연결 장치 제공에 덜 집중하게 됩니다.
임베디드 펜 테스트의 목표는 기존 네트워크 또는 애플리케이션 펜 테스트와 동일합니까?
발레: 그렇죠. 제조업체가 장치의 문제를 찾아 알리고 자체 위험을 관리하도록 돕는 것이 일반적입니다. 결국 자동차, 산업용 PLC(프로그래밍 가능 논리 컨트롤러), IoT 제품 또는 웹 사이트에 대한 침투 테스트를 수행하는 경우 위험 관리를 돕는 목표는 모두 동일합니다. IoT 장치가 깜박이는 LED가 있는 상자가 아니기 때문에 얼핏 보면 분명히 컴퓨터가 아니라고 해서 제조업체나 조직이 위험을 주도할 수 있도록 테스트할 필요가 없다는 의미는 아닙니다. 그들은 여전히 자신이 노출된 위험에 대해 알고 싶어합니다.