ClickCease KernelCare로 IoT 사이버 보안 개선법 규정을 충족하세요 - TuxCare

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

KernelCare로 IoT 사이버 보안 개선법 규정을 준수하세요.

2020년 12월 18일 TuxCare 홍보팀

KernelCare로 IoT 사이버 보안 개선법 요건 충족지난주 미국 의회는 초당적인 법안에 공식 서명했습니다, 2020년 사물 인터넷 사이버 보안 개선법또는 IoT 사이버 보안 개선법(2020)을 후원합니다. Reps. 윌 허드(R-Tex) 의원과 로빈 켈리(D-Ill) 의원이 후원한 이 법은 정부가 안전한 디바이스만 구매하고 기존 취약점을 폐쇄하도록 하기 위해 만들어졌습니다. 이 법안은 주로 미국 연방 정부 애플리케이션, 공급업체 파트너, 장비 제조업체 및 연방 정부와 거래하는 이해 관계자에게 영향을 미칩니다. 그러나 이 법은 정부 기관의 보안 보호 조치를 넘어 민간 업계와 소비자도 새로운 커넥티드 디바이스 표준의 혜택을 받을 가능성이 높기 때문에 파급 효과가 클 것으로 예상됩니다.

콘텐츠:

  1. 사이버 보안 위협 및 정부 데이터 유출
  2. IoT 패치에 관한 새로운 법률 요건
  3. 이는 정부에 어떤 의미가 있나요?
  4. IoT용 KernelCare가 기업 IoT 보안에 어떤 도움을 줄 수 있나요?
  5. 적시에 패치를 적용하는 것이 규정 준수의 핵심입니다.
  6. 결론

 

 

사이버 보안 위협 및 정부 데이터 유출

사이버 보안 위협 및 정부 데이터 유출

최근 Accenture 보고서에 따르면 공격자는 데이터를 훔치는 것뿐만 아니라 파괴하는 것도 목표로 삼고 있다고 합니다. 랜섬웨어와 같은 멀웨어를 통해 데이터를 파괴하면 신뢰성, 생산성, 데이터 무결성에 더 큰 영향을 미칠 수 있습니다. 설문조사에 따르면 지난 5년 동안 공격이 72% 증가했으며 침해 비용이 1,170만 달러에서 1,300만 달러로 증가했습니다. Ponemon의 데이터 유출 비용 조사에 따르면 유출을 식별하고 억제하는 데 평균 280일이 걸리며, 이는 공격자가 조직이 침해에 대응하고 수정하기 전까지 거의 1년 동안 데이터에 액세스할 수 있다는 것을 의미합니다.

ABI Research는 2026년까지 모든 주요 IoT 시장에서 IoT 연결이 230억 개를 넘어설 것이며 끊임없이 진화하는 사이버 위협에 직면할 것으로 예측했습니다. 이러한 위협으로 인해 구현업체와 IoT 공급업체는 새로운 디지털 보안 옵션을 수용하고 보안 디바이스 인증 서비스에 대한 투자를 추진해야 하며, 2026년까지 해당 시장의 매출은 84억 달러에 달할 것으로 예상됩니다. 한편, 노키아의 '2020 위협 인텔리전스 보고서'에 따르면 모바일 네트워크에서 관찰된 모든 감염의 32.72%가 IoT로 인해 발생했으며, 이는 2019년의 16.17%에서 증가한 수치입니다.

IoT 데이터 유출

지난 10년 동안에만 상위 10건의 정부 데이터 유출 사고로 인해 3억 4,800만 명의 미국인 개인 데이터가 유출되었으며, 유출된 개인 데이터에는 사회보장번호, 생년월일, 운전면허 번호, 신용카드 및 직불카드 번호, 집 주소, 전화번호, 유권자 등록 및 정당 가입 정보, 환자 기록 및 처방전 등이 포함되어 있습니다. 이러한 데이터 유출 중 일부는 사람의 실수로 인한 것이었지만, 일부는 데이터가 공용 서버에 저장되었거나 하드 드라이브 오작동, 암호화되지 않은 데이터, 정부 보건 웹사이트 침해로 인한 것이었습니다.

이 데이터는 IoT 디바이스와 상호 작용하는 정부, 기업 및 최종 사용자에게 개인 및 기업 정보가 완벽하게 보호되고 있음을 보장하는 데 있어 IoT 디바이스의 보안이 가장 중요해지고 있음을 보여주는 또 다른 증거입니다. 전 세계적으로 규제 당국은 제품 출시 전후에 디바이스의 보안을 최대한 보장할 것을 요구하고 검증하는 사례가 늘고 있습니다. 예를 들어, 미국 식품의약국(FDA)은 디바이스 개발 및 유지 보수의 여러 측면을 의무화하는 의료 디바이스 요건을 설명하는 지침을 발표했습니다.

 

 

IoT 패치에 관한 새로운 법률 요건

IoT 패치에 관한 새로운 법률 요건

연방 정부는 2020년 12월 4일에 IoT 사이버 보안 개선법을 공식적으로 법으로 제정했습니다. 이 법은 미국 정부가 안전한 장치만 구매하도록 하고 기존의 취약점을 차단하기 위한 것입니다. 이 법은 정부의 IoT 인프라 보안을 강화하기 위한 목적으로 시행되었지만, 더 높은 디바이스 보안 표준으로 민간 산업과 소비자에게 영향을 미칠 수 있습니다.

사이버보안 개선법은 보안 표준을 정하지는 않지만, 미국 국립표준기술연구소(NIST)에 보안 표준을 정하도록 지시하고 있습니다. 아직 보안 표준이 만들어지거나 발표되지는 않았지만, 어떤 보안 표준이 결정되든 민간 부문과 소비자에게 큰 영향을 미칠 것입니다.

NIST는 법 서명 후 90일 이내에 연방 기관이 통제하거나 소유하는 IoT 디바이스의 보안에 관한 표준 및 지침을 개발해야 하며, 특히 개발, ID, 패치 및 구성 관리와 같은 IoT 디바이스에 대한 다른 노력과 일관성을 유지해야 합니다.

타임라인

초기 표준에 따라 NIST는 법이 서명된 후 180일 이내에 연방 기관과 관련된 보안 취약성에 관한 모든 정보를 보고, 게시, 조정 및 수신하기 위한 지침을 만들어 연방 정부의 모든 계약자 또는 공급업체에 적용해야 합니다.

관리예산처(OMB)는 NIST에서 제공하는 정보 시스템의 보안 취약성을 해결하는 데 필요한 정책, 원칙, 표준 또는 지침의 이행을 개발하고 감독하는 임무를 맡고 있습니다.

또한 이 법안은 NIST가 5년마다 표준 및 지침을 적절히 검토하고 개정하도록 요구하며, OMB는 NIST 개정에 부합하도록 정책 또는 원칙을 업데이트해야 합니다.

이 새로운 법률은 "기관이 계약을 검토하는 과정에서 해당 장치의 사용이 표준 및 지침을 준수하지 못한다고 판단하는 경우, 국가 안보를 위해 필요한 경우, 연구 목적으로 필요한 경우 또는 해당 장치가 다른 효과적인 방법을 사용하여 보안이 유지되는 경우 면제를 조건으로 기관이 IoT 장치를 조달, 획득 또는 사용하는 것이 금지됩니다."라고 명시하고 있습니다.

2020년 사물 인터넷 사이버 보안 개선 법안을 지지한 윌 허드 의원(R-Tex)은 성명에서 "알려진 취약점이 있는 새로운 위젯을 연방 인프라에 도입하려면 해당 취약점을 해결해야 합니다."라고 말했습니다.

 

이는 정부에 어떤 의미가 있나요?

이는 정부에 어떤 의미가 있나요?

미국 정부는 시스템, 공급업체 파트너, 장비 제조업체 및 이해관계자와 관련하여 보안 취약점을 지속적으로 파악하고 있습니다. 2020년 사물 인터넷 사이버 보안법 외에도 정부는 잠재적인 해킹 시도에 대처하는 데 도움이 되는 다른 법안을 발표했습니다.

이러한 기술 세계에서 시스템과 정보를 보호하기 위해 노력하는 방법 중 하나는 공급업체가 FedRAMP를 준수하도록 요구하는 것입니다. FedRAMP는 연방 위험 및 권한 관리 프로그램입니다. 이 정부 프로그램은 "클라우드 제품 및 서비스에 대한 보안 평가, 승인 및 지속적인 모니터링에 대한 표준화된 접근 방식을 제공합니다. FedRAMP는 기관이 보안 및 연방 정보 보호에 중점을 두고 최신 클라우드 기술을 사용할 수 있도록 지원하며, 안전한 클라우드 솔루션의 채택을 가속화하는 데 도움을 줍니다."

2018년 미 행정부는 국가 사이버 전략을 발표하며 다음과 같이 말했습니다: "새로운 위협과 전략적 경쟁의 새로운 시대에는 새로운 현실에 대응하고, 취약성을 줄이고, 적을 저지하고, 미국 국민이 번영할 수 있는 기회를 보호하는 새로운 사이버 전략이 필요합니다. 사이버 공간의 보안은 우리 전략의 기본이며 연방 정부와 민간 부문 전반에 걸쳐 기술 발전과 행정 효율성이 필요합니다. 또한 행정부는 사이버 공간에 대한 순수한 기술주의적 접근 방식만으로는 우리가 직면한 새로운 문제의 본질을 해결하기에는 불충분하다는 것을 인식하고 있습니다. 미국은 또한 악의적인 사이버 행위자를 억제하고 추가 확대를 방지하려면 비용을 부과할 수 있는 정책적 선택권을 가져야 합니다." 정부의 국가 사이버 전략은 이를 보장합니다:

  • 연방 네트워크 및 정보 보호
  • 중요 인프라 보안
  • 사이버 범죄 방지 및 사고 보고 개선
  • 활기차고 탄력적인 디지털 경제 육성
  • 미국의 독창성 육성 및 보호
  • 우수한 사이버 보안 인력 개발
  • 책임 있는 국가 행동 규범을 통한 사이버 안정성 강화
  • 사이버 공간에서 허용되지 않는 행동의 귀속 및 억제
  • 개방적이고 상호 운용 가능하며 안정적이고 안전한 인터넷 촉진
  • 국제 사이버 역량 구축

 

 

 

KernelCare for IoT가 엔터프라이즈 IoT 보안에 어떻게 도움이 되나요?
KernelCare for IoT가 엔터프라이즈 IoT 보안에 어떻게 도움이 되나요?

산업 자동화 시스템을 구동하는 많은 디바이스는 24시간 연중무휴로 작동해야 하며, 조직은 사이버 보안을 강화하기 위해 항상 IoT 디바이스를 업데이트해야 합니다. 하지만 수백만 대의 디바이스에서는 이 작업이 쉽지 않습니다. Linux Kernel에서 실행되는 IoT 디바이스는 보안이 완벽해야 합니다. 모든 디바이스는 업데이트가 가능해야 합니다. 그리고 마찬가지로 중요한 것은 조직이 가능한 한 빨리 패치를 적용할 수 있어야 한다는 것입니다.

재부팅은 대부분의 기업이 보안 업데이트를 적용하는 데 사용하는 방법입니다. 그러나 재부팅은 번거롭기 때문에 Kernel 패치는 항상 몇 주 또는 몇 달 동안 지연됩니다. 정부나 기업에서 IoT 디바이스 Linux Kernel의 취약점을 해결하기 위해 디바이스를 재부팅하는 경우, 보안이 취약해질 수 있습니다.

KernelCare for IoT는 진행 중인 프로세스 및 운영을 중단하지 않고 IoT 디바이스의 Linux Kernel에 대한 실시간 패치를 제공합니다.

KernelCare IoT는 저전력, 경량, ARM 기반 칩셋 디바이스용으로 설계되었지만 에지 게이트웨이와 같은 인텔 기반 디바이스에서도 작동할 수 있습니다. 새로운 패치는 KernelCare 팀에서 개발, 컴파일 및 테스트하며 일반적으로 새로운 취약점이 공개된 후 며칠 이내에 릴리스되므로 디바이스를 안전하게 보호할 수 있습니다. IoT 디바이스의 작은 Kernel 모듈이 새로운 보안 코드를 파티션에 로드하고, 새 코드가 메모리에 심어지는 동안 모든 프로세스를 동결한 다음, 모든 프로세스의 동결을 해제하고 디바이스가 계속 작동하도록 합니다. 이 모든 과정은 나노초 단위로 이루어지므로 서비스 중단이나 페일오버 상태가 발생하지 않습니다. 패치는 디바이스가 액세스할 수 있는 경우 사설 네트워크, 무선(OTA), 클라우드 서버의 공용 인터넷 등 필요한 방식으로 IoT 네트워크 인프라 내에서 전달할 수 있습니다.

KernelCare의 원자 바이너리 패치

또한 우리가 빌드하는 각각의 새 패치는 원자 바이너리라는 점에 유의하는 것이 중요합니다. 즉, 각각의 새 패치는 해당 패치가 빌드된 Kernel 버전에 대한 모든 이전 취약점을 완화합니다. 이 방법은 이전 패치 위에 새 패치를 쌓아 올리는 것보다 훨씬 더 안전하고 안정적이며, 많은 KernelCare 고객이 6년 이상 재부팅 없이 디바이스를 실행할 수 있었습니다. 2,200일 이상 연속 운영, 해당 기간 동안 모든 취약점 패치 완료, 다운타임 없음. 이러한 고객들은 현재도 이러한 방식으로 계속 운영 중이며 앞으로도 계속 그럴 것입니다. 많은 IoT 시스템 사양이 20년 이상의 서비스 기간을 요구하기 때문에 이는 특히 중요합니다.

KernelCare IoT 엔지니어는 각 고객과 협력하여 고객의 개별 환경에 따라 패치를 수신, 저장 및 제공하는 가장 적합한 방법을 구성합니다. 무엇보다도 KernelCare IoT는 기존 운영 중인 디바이스를 중지하거나 재시작하지 않고도 배포할 수 있습니다. 따라서 기존 네트워크를 개조하고 패치 없이 수년 동안 운영되었을 수 있는 디바이스를 매우 빠르고 쉽게 업데이트할 수 있습니다.

 

적시 패치는 2020년 사물 인터넷 사이버 보안 개선법의 규정 준수와 안전한 정부 및 비즈니스의 핵심입니다.
적시 패치는 2020년 사물 인터넷 사이버 보안 개선법의 규정 준수와 안전한 정부 및 비즈니스의 핵심입니다.

점점 더 많은 기업이 저장, 네트워킹, 처리 능력을 위해 클라우드 기반 플랫폼을 활용하고 있지만, 플랫폼을 유지 보수하지 않으면 취약성에 노출될 가능성이 있습니다. IoT 디바이스와 인프라는 주 네트워크 외부에 존재하고 보안을 염두에 두고 설계되지 않아 해커가 민감한 정보에 쉽게 액세스할 수 있기 때문에 특히 취약합니다. 이러한 IoT 취약점으로 인해 다음과 같은 대상이 노출될 수 있습니다:

  • 운영 체제 - 각 OS의 개방형 포트와 사용 가능한 프로토콜은 공격 표면 영역으로 구성됩니다. IoT 마이크로컨트롤러 장치(MCU)의 코드는 지원 운영 체제 없이 '베어 메탈' 기반으로 실행됩니다. 기본적으로 많은 포트가 열려 있을 수 있습니다.
  • 애플리케이션 - IoT SOC(시스템 온 칩)는 여러 개의 앱 프로그램을 실행할 수 있으며, 각 프로그램에는 악용 가능한 취약점이 있을 가능성이 있습니다.
  • 종속성 - IoT 디바이스의 앱과 OS에는 외부 종속성 및 라이브러리가 있을 수 있습니다.
  • 통신 - IoT는 "중간자 공격" 및 "리플레이 공격"과 같은 통신 기반 공격에 취약합니다.
  • 클라우드 호스팅 - 연결된 서버와 함께 IoT를 지원하는 클라우드 인프라도 공격 표면입니다.
  • 사용자 액세스 - 특히 공격자가 회사 네트워크를 거치지 않고도 사용자를 가장할 수 있는 경우, 디바이스에 대한 액세스는 주요 취약점입니다.

실시간 패치를 비롯한 IoT 규정 준수를 위한 모범 사례를 숙지하고 구현하면 이러한 취약성에 대응할 수 있습니다. 실시간 패치를 사용하면 Linux Kernel에 패치를 적용할 수 있으므로 다운타임이나 시스템 재부팅 없이도 보안 및 규정 준수를 강화할 수 있습니다.

 

결론

IoT 디바이스는 아직 최신 제품이지만 정기적으로 업데이트하거나 패치를 적용하지 않으면 상당한 위험을 초래할 수 있습니다. IoT 디바이스를 항상 IoT 사이버 보안 법률 요건을 준수하고 최신 상태로 유지하며 데이터 유출 가능성으로부터 보호하는 것이 KernelCare for IoT의 임무입니다. 지금 바로 문의하시거나 지금 바로 IoT용 KernelCare를 무료로 체험해 보시고 어떤 도움을 받을 수 있는지 알아보세요.

7일 지원되는 KernelCare 무료 체험판 받기 

 

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기