[CCTV뉴스=최형주 기자] 엔사이퍼 시큐리티(이하 엔사이퍼)가 포네몬 연구소(Ponemon Institute)에 의뢰해 전 세계 14개 지역 IT 보안 실무자 1800여 명의 답변을 바탕으로 작성된 ‘2019 글로벌 PKI & IoT 동향 보고서’를 발표했다.
엔사이퍼는 보고서를 통해 공개 키 기반 구조(public key infrastructure, 이하 PKI) 애플리케이션 배포가 지난 5년 간 20% 증가했으며, IoT의 증가는 이를 촉진하는 주요 원인이라고 밝혔다.
빠르게 증가하는 IoT
IoT는 분명 기술 분야에서 가장 빠르게 확대되고 있는 트렌드다. 설문을 통해 응답자들은 주요 IoT 보안 위협에 ▲멀웨어 등 악성코드로 인한 IoT 장치 기능 변경(응답자의 68%)과 ▲인증되지 않은 유저(사이버 공격자)의 장치 원격 통제(54%)를 꼽았다.
이러한 문제는 펌웨어∙소프트웨어 등의 꾸준한 업데이트를 통해 해결될 수 있는 문제이지만, 다수의 기업들이 IoT 보안 역량 항목 중 업데이트를 가장 적게 택해, IoT 보안에 대한 인식부터도 취약하다는 사실이 드러났다.
특히 엔사이퍼는 이번 보고서에서 전체 IoT 장치 42%의 신원 확인 및 인증 절차가 향후 2년 내로 디지털 인증서를 통해 진행될 것으로 전망했다. 하지만 응답 기업 중 IoT 장치 암호화와 IoT 플랫폼 및 데이터 저장소 암호화를 사용하는 비율은 각각 28%, 25%에 그치는 것으로 나타났다.
존 그림(John Grimm) 엔사이퍼 전략사업개발 이사는 “IDC에 따르면 오는 2025년까지 416억 개의 IoT 장치가 약 79.4 제타바이트에 달하는 데이터를 발생시키게 된다”며, “IoT 위협에 대응할 보안을 우선 순위에 두고 IoT 생태계에 걸쳐 진실성과 무결성을 확보해 IoT에 대한 신뢰가 우선 구축돼야 한다”고 전했다.
PKI, 기술적∙조직적 한계 봉착
PKI는 조직 IT 인프라의 중추적 역할을 담당하며, 이를 통해 클라우드∙모바일 장치 배포∙IoT 등 주요 디지털 이니셔티브에 대한 보안을 확립할 수 있다.
보고서에 따르면 응답자들이 SSL/TLS 인증서(79%), 프라이빗 네트워크 및 VPNs(69%), 퍼블릭 클라우드 기반 애플리케이션 및 서비스(55%) 등에 PKI를 활용한다고 답해 다수의 조직 내에서 PKI가 폭 넓게 사용되고 있음을 알 수 있다.
그러나 전체 응답자의 56%는 PKI가 새로운 애플리케이션을 지원할 역량이 부족하다고 밝혔다. 또한 많은 응답자들이 PKI 활용에 조직적, 기술적인 한계가 있다고 했으며, 그 이유로 기존 레거시 애플리케이션을 교체할 역량 부족(46%), 인적 기술 부족(45%), 자원 부족(38%) 등을 꼽았다.
PKI 보안 혼재
2019 글로벌 PKI & IoT 동향 보고서 응답자 중 약 30%는 어떠한 인증서 폐기 기술도 사용하지 않는 것으로 밝혀졌다. 그리고 무려 68%의 응답자들이 ‘불분명한 소유권’을 PKI에 대한 가장 큰 어려움으로 꼽았다.
다만 몇몇 기업들은 특정 부문에서 PKI 보안을 활발히 도입하고 있었다. 인증기관(CA) 보안 방안에 대해 ‘비밀번호만 사용’이라고 답한 응답 비율은 2018년 24%에서 2019년 6%로 현저히 줄었다.
또한 IoT의 신뢰성 확보를 위한 HSM 사용 비율은 2018년 10%에서 2019년 22%로 대폭 증가했다. 특히 42%의 응답자들이 개인 키 관리에 하드웨어 보안 모둘(HSM)을 사용한다고 답했다.
응답자의 44%는 IoT에 대한 PKI 배포가 클라우드와 기업이 결합된 형태를 기반으로 실행될 것이라 답했으며, IoT에 대한 PKI의 핵심적인 역량은 수 많은 인증서에 대한 확장성(46%)과 온라인 인증서 폐기(37%)였다.
IoT와 함께 성장하는 PKI, 보안 성숙도 개선 필요
래리 포네몬(Larry Ponemon) 포네몬 연구소 설립자 겸 회장은 “디지털 트랜스포메이션 시대가 도래해 기업들의 PKI 사용이 계속 확대되고 있고, 40%가 넘는 응답자들이 IoT뿐 아니라 클라우드 및 모바일 이니셔티브 역시 PKI 사용을 촉진하는 주요 동인이라고 답했다”고 강조했다.
이어 그는 “조직들이 PKI가 커넥티드 장치에 대한 핵심적인 인증 기술을 제공하기 때문에, IoT의 급성장이 PKI 사용에 크게 영향을 미치고 있고, 이를 제대로 이용하기 위해선 PKI의 보안 성숙도가 지속적으로 개선돼야 한다”고 지적했다.
한편 클라우드, 매니지드 및 호스티드 형태 등 PKI 배포 옵션이 다양해지고 있지만 여전히 조직들은 내부 인증기관을 가장 많이 사용하고 있었다. 전체 응답자 중 63%가 내부 인증기관을 사용한다고 답했으며 해당 수치는 지난 5년 간 19% 증가했다. 특히, 금융 서비스 기관의 경우 80%가 내부 인증기관을 사용하는 것으로 나타났다.
