IoT 보안 솔루션 1부 - 범용적인 기본 비밀번호는 No

사이버 보안은 더 이상 대규모 회사에 유용한 기능이 아닙니다. 이는 특히 임베디드 및 IoT 제품에 필수입니다. ETSI는 IoT 및 관련 제품의 보안 설계를 위한 새로운 규정을 발표했으며 CEPD는 이러한 발표의 시기 적절함에 매우 동의합니다.

(이미지 출처: CEPD)

IoT 제품의 보급과 인기가 시장을 강타함에 따라 이제 일부 일반적인 IoT 보안 문제에 대해 생각하고 알아봐야 할 시기가 왔습니다. 이 기사는 IoT 및 임베디드 보안에 중점을 둔 시리즈 중 한 편입니다. 일반적인 문제를 살펴보고 가능한 솔루션 경로를 제공합니다. 궁극적으로, IoT 장치를 사용하고 설계할 때 우리 모두가 보안에 대해 조금 더 알게 되기를 바랍니다.

기본 비밀번호

IoT 장치의 대부분은 보편적인 기본 비밀번호를 사용합니다(예: “admin”, “1234”, “user” 등). 설상가상으로 많은 사용자들이 이 기본 비밀번호를 업데이트하지 않습니다. 이는 이러한 비밀번호에 익숙한 사람은 누구든지 모든 기능에 액세스할 수 있음을 의미합니다. 또한 제품을 구매했거나 제품에 대해 읽은 누구라도 잠재적 “해커”가 될 수 있습니다. 말할 필요도 없이, 이 대규모 그룹은 이제 장치의 비밀번호를 알고 있는 잠재적 해커입니다.

가능한 솔루션

개발자로서 제품의 코드베이스에 비밀번호를 하드 코딩하는 것은 솔깃한 일입니다. 그러나 이점보다 위험이 훨씬 큽니다. 다행히, IoT 장치의 보안을 향상시키기 위해 선택할 수 있는 설계 선택이 있습니다.

난수 발생

처음에 전원을 켤 때 IoT 장치가 비밀번호로 난수를 생성할 수 있습니다. 보안 수단을 통해 이 난수를 최종 사용자와 공유할 수 있습니다. 이 비밀번호는 무작위이므로 다른 장치가 동일한 비밀번호를 공유할 가능성이 낮습니다.

난수 생성은 하드웨어 및 소프트웨어 수단 모두를 통해 제공됩니다. MikroElektronika MIKROE-4090과 같은 장치는 진정한 난수 시퀀스를 생성합니다. 또한 많은 최신 프로세서 및 마이크로 컨트롤러가 실제 또는 의사 난수 생성기 주변 장치를 제공합니다. 마지막으로, C 및 C++는 사전 컴파일된 라이브러리(https://www.geeksforgeeks.org/generating-random-number-range-c/) 사용을 통해 의사 난수 기능을 제공합니다.

말하려는 요지는, 오늘날에는 난수를 생성하는 방법이 많다는 것입니다. IoT 장치에 이 기능을 추가하면 보편적인 기본 비밀번호 딜레마를 회피하고, 해당 장치가 다른 장치보다 진정으로 한 단계 앞서 있음을 증명할 수 있습니다.

비밀번호 변경 요청

난수가 너무 복잡하면 사용자가 첫 번째 단계로 암호를 변경하도록 하십시오. IoT 장치가 정해진 작업을 수행하기 전에 사용자에게 자신이 지정한 암호를 입력하라는 메시지를 표시하십시오. 이는 사용자에게 크지 않은 부담이며, 이 단계를 완료하는 데 걸리는 30초 ~ 60초는 사용자의 보안과 제품의 평판을 보호하는 데 큰 도움이 됩니다.

잘못된 시도 회수 제한

3분 기간 내에 5개의 잘못된 비밀번호만 허용하는 것과 같은 규칙은 자동화 공격에 대해 IoT 제품을 보다 탄력적으로 만들 수 있습니다. 대부분의 "해킹"은 신속하게 비밀번호를 추측하는 시스템에 의해 수행됩니다. IoT가 비밀번호 입력을 지연시키는 경우, 손쉽게 목표를 달성할 수 없으며 해킹 노력이 좌절될 것입니다. 이제 이것만으로는 충분하지 않지만 이전 권장 사항 중 하나와 결합한다면 강력해질 수 있습니다

이러한 문제와 권장 사항은 ETSI의 활동 및 작업에서 비롯됩니다. 이러한 모든 사항에 대해 ETSI EN 303 645 v2.1.1(2020 – 06) 발행물을 참조할 수 있습니다.

IoT 보안에 대한 더 많은 기사/블로그를 게시할 예정입니다. 앞으로도 계속적인 관심 부탁드립니다.