선진국의 많은 일상용품이 이제 인터넷에 연결되어 있는데, 종종 설명할 수 없는 경우가 많습니다. 그것은 개인용 가전 제품의 경우 재미있는 골칫거리가 될 수 있는 잠재적인 기술 실패의 또 다른 계층을 추가합니다. 열리지 않는다, 마이크로파 시간 변화에 적응하지 마십시오, 냉장고 펌웨어 업데이트가 필요합니다.
그러나 기업에서 사물 인터넷 장치가 실패하면 Twitter 스레드 농담이 아닙니다. 공장 조립 라인이 멈춥니다. 병원의 심박수 모니터가 오프라인으로 전환됩니다. 초등학교 스마트 보드가 어두워집니다.
스마트 장치 오류는 엔터프라이즈 세계에서 증가하는 위험이며 그 이유는 자주 논의되는 보안 문제. 인터넷에 안전하게 연결하는 데 필요한 일부 기기의 루트 인증서가 만료되기 때문입니다.
보안 연구원인 Scott Helme는 "기기는 무엇을 신뢰해야 하는지 알아야 하므로 루트 인증서가 인증 도구로 기기에 내장되어 있습니다."라고 설명합니다. 루트 인증서 만료 문제에 대해 광범위하게 작성됨. “기기가 야생에 있으면 API 또는 제조업체의 서버인 '홈'을 호출하려고 시도하고 이 루트 인증서를 확인하여 '예, 올바른 보안 대상에 연결하고 있습니다.'라고 말합니다. 본질적으로 [루트 인증서는] 트러스트 앵커이며 장치가 무엇을 말하는지 알기 위한 참조 프레임입니다.”
실제로 이 인증은 웹이나 체인과 같습니다. 인증 기관(CA)은 모든 종류의 디지털 인증서를 발급하고 엔티티는 때때로 여러 수준으로 서로 "대화"합니다. 그러나이 체인의 첫 번째이자 가장 핵심적인 링크는 항상 루트 인증서입니다. 그것 없이는 위의 어떤 수준도 연결을 가능하게 할 수 없습니다. 따라서 루트 인증서가 작동하지 않으면 장치는 연결을 인증할 수 없으며 인터넷에 연결되지 않습니다.
문제는 다음과 같습니다. 암호화된 웹의 개념은 2000년경에 개발되었으며 루트 인증서는 약 20~25년 동안 유효한 경향이 있습니다. 2022년이면 만료 기간이 한창입니다.
CA는 지난 20년 이상 동안 만료되기 훨씬 전에 많은 수의 새로운 루트 인증서를 발급했습니다. 이는 대부분의 사람들이 새 휴대폰으로 자주 업그레이드하고 랩톱을 클릭하여 업데이트하는 개인 장치 세계에서 잘 작동하여 이러한 최신 인증서를 갖게 됩니다. 그러나 기업에서는 장치를 업데이트하는 것이 훨씬 더 어렵거나 불가능할 수 있습니다. 제조와 같은 부문에서는 실제로 기계가 25~XNUMX년 후에도 여전히 공장 현장에 있을 수 있습니다.
컴퓨터 ID 관리 서비스 제공업체인 Venafi의 보안 전략 및 위협 인텔리전스 부사장인 Kevin Bocek은 인터넷 연결이 없으면 "이러한 장치는 아무 가치가 없습니다."라고 말합니다. “[루트 인증서가 만료되면] 본질적으로 벽돌이 됩니다. 더 이상 클라우드를 신뢰할 수 없고, 명령을 수행할 수 없으며, 데이터를 보낼 수 없으며, 소프트웨어 업데이트를 받을 수 없습니다. 특히 당신이 어떤 종류의 제조업체나 운영자라면 그것은 진짜 위험입니다.”
경고 사격
위험은 이론적이지 않습니다. 30월 XNUMX일 대규모 CA에서 발급한 루트 인증서 암호화하자. 만료 — 및 인터넷의 여러 서비스가 중단됨. Let's Encrypt는 오랫동안 고객에게 새 인증서로 업데이트하라고 경고해 왔기 때문에 만료는 놀라운 일이 아닙니다.
그래도 Helme는 블로그 게시물 만기 10일 전, “아마 그날 몇 가지가 망가질 거라고 장담합니다.” 그는 옳았다. Cisco, Google, Palo Alto, QuickBooks, Fortinet, Auth0 및 더 많은 회사의 일부 서비스가 실패했습니다.
Helme는 Dark Reading에 다음과 같이 말했습니다. 기계나 API를 통해 수행해야 합니다. 이 사용자들은 고급이었고 여전히 정말 큰 문제였습니다. 그렇다면 이러한 대기업 고객을 보유한 레거시 CA의 [만료]를 확인하면 어떻게 될까요? 파급력은 분명히 더 클 것”이라고 말했다.
앞으로 나아가는 길
그러나 약간의 변화로 연쇄 효과가 발생하지 않아도 된다고 Venafi의 Bocek은 말합니다. Venafi의 Bocek은 도전을 지식과 명령 체계의 하나로 보고 있으므로 인식과 초기 협업 모두에서 해결책을 봅니다.
"최고 보안 책임자와 그 팀이 제조업체 및 개발자 수준에 참여하는 것을 보면 정말 기쁩니다."라고 Bocek은 말합니다. “문제는 '안전한 것을 개발할 수 있을까?'가 아닙니다. 하지만 '계속 운영해도 될까요?' 이러한 고가치 연결 장치에는 운영에 대한 공유 책임이 있는 경우가 많기 때문에 비즈니스로서 이를 어떻게 처리할 것인지 명확히 해야 합니다.”
테너블(Tenable)의 운영 기술 및 IoT 부 CTO인 마티 에드워즈(Marty Edwards)는 인프라 부문에서도 비슷한 대화가 일어나고 있다고 말합니다. 그는 유틸리티 회사 및 미국 국토안보부에서 일한 산업 엔지니어입니다.
"솔직히 유틸리티와 공장이 있는 산업 공간에서 생산 중단이나 손실로 이어지는 모든 이벤트는 우려됩니다."라고 Edwards는 말합니다. "따라서 이러한 전문 분야에서 엔지니어와 개발자는 [만료되는 루트 인증서의] 영향과 이를 수정할 수 있는 방법을 확실히 살펴보고 있습니다."
Edwards는 이러한 대화와 조달 프로세스 중 사이버 보안 고려 사항에 대해 "낙관적"이라고 강조하지만 더 많은 규제 감독도 필요하다고 생각합니다.
Edwards는 "인증 시스템의 무결성을 유지하는 방법에 대한 언어를 포함하는 기준 관리 표준과 같은 것"이라고 말합니다. "예를 들어 미션 크리티컬 장치의 추적 가능성에 대해 다양한 표준 그룹과 정부 간에 논의가 있었습니다."
Helme의 경우, 그는 현실적이고 사용자나 제조업체에게 힘들지 않은 방식으로 업데이트되도록 설정된 엔터프라이즈 시스템을 보고 싶어합니다. 아마도 XNUMX년마다 새 인증서가 발급되고 업데이트가 다운로드됩니다. 그러나 제조업체는 기업 고객이 요구하지 않는 한 그렇게 하도록 장려되지 않을 것이라고 그는 지적합니다.
"일반적으로 저는 이것이 업계에서 수정해야 할 문제라고 생각합니다."라고 Edwards는 동의합니다. “좋은 소식은 이러한 도전의 대부분이 반드시 기술적인 것은 아니라는 것입니다. 모든 것이 어떻게 작동하는지 알고 올바른 사람과 절차를 마련하는 것이 더 중요합니다.”
