IoT Security Foundation과 FIDO Alliance, IoT에서 암호 제거를 위한 협력 발표

1월 12, 2021

공개일: 2021년 1월 5일

오늘 IoT Security Foundation(IoTSF)과 FIDO Alliance는 IoT 보안 상태를 개선하기 위해 협력하고 있다고 발표했습니다.

협업의 주요 목표는 IoT 장치에 대한 암호의 한계에 대한 인식을 높이고 제품 제조업체에 실용적인 대안을 제공하는 것입니다. 협업의 목표는 공동 메시징과 공개적으로 액세스할 수 있는 자료를 제공하여 업계가 암호 없는 인증을 구현하는 데 도움을 줌으로써 달성될 것입니다.

암호의 문제점은 무엇입니까?

암호는 사용자를 인증하고 리소스에 대한 액세스를 허용하는 전통적이고 간단한 방법입니다. 과거에는 이것만으로도 충분했을지 모르지만, 수십억 개의 장치가 네트워크에 연결되어 데이터를 수집 및 공유하거나 자동화를 제공할 것으로 예상되는 IoT 시대에는 암호가 여러 면에서 크게 부족합니다.

이것이 새로운 문제는 아니지만 사용자는 여전히 다른 계정과 앱 로그인 자격 증명을 관리하고 추적하는 데 어려움을 겪고 있습니다. 그 결과 많은 사람들이 기억하기 쉬운(그리고 추측할 수 있는) 비밀번호를 사용하거나 여러 계정에서 동일한 비밀번호를 사용하는 지름길을 택합니다¹. 이로 인해 보안이 약화됩니다. 이제 효율성, 혁신 및 사용자 이점을 제공하는 IoT의 가정, 기업, 의료, 산업 및 국가 인프라 사용이 증가하고 있음을 고려하십시오. IoT 장치는 어디에나 있으며 이 기사에서 설명하는 것처럼 추세는 계속될 것입니다. 라우터 및 웹캠과 같은 IoT 등급 제품의 경우 전통적으로 제조업체는 공장 출하 시 범용 기본 암호² 를 사용하기로 선택했으며 이러한 암호는 변경할 수 있지만 상당수는 기본값으로 설정되어 있습니다. 이로 인해 유명한 Mirai 및 다양한 변종과 같은 DDOS 공격을 위해 장치를 무기화하는 봇넷의 주요 표적이 됩니다.

이는 장치의 엄청난 양이 오늘날 암호와 관련하여 경험하는 문제를 악화시킬 뿐임을 의미합니다. 요약하면, 암호는 현재 또는 미래의 IoT 인증 요구 사항에 대한 좋은 솔루션이 아닙니다.

이 문제를 어떻게 해결할 수 있습니까?

새로운 표준과 향후 규정은 변화를 주도하는 데 도움이 됩니다. 2020년 중반에 발표된 소비자 IoT 사이버 보안 표준에 대한 ETSI 303 645³ 기준 요구 사항에는 “범용 기본 암호 없음”에 대한 조항이 있으며 이 표준은 현재 국제적으로 규정 및 인증 체계의 기초로 사용되고 있습니다⁴.

“범용 암호 없음”은 규정⁵의 좋은 시작이지만 충분하지 않습니다. 좋은 소식은 암호에 대한 좋은 대안이 있으므로 제거할 수 있으며 사용하기가 더 좋고 간단하다는 것입니다.

IoTSF와 FIDO Alliance는 어떻게 협력하고 있나요?

두 기관은 암호 없는 인증 양식에 대한 인식과 사용을 촉진하고 업계가 신제품을 설계할 때 공개적으로 사용 가능한 자료에 액세스할 수 있도록 실무 그룹 활동을 연계하기 위해 협력할 것입니다.

FIDO Alliance의 IoT Technical Working Group은 암호 없는 인증에 대한 자세한 기술 사양을 제공하는 IoT 장치에 대한 포괄적인 인증 프레임워크를 구축하는 것을 목표로 합니다.

IoT Security Foundation은 IoT 시스템 제품 제조업체 및 사용자를 위한 모범 사례 사이버 보안 조언을 게시합니다. IoT 보안 규정 준수 프레임워크 워킹 그룹은 구조화된 질문 및 증거 수집 프로세스를 통해 개발자를 안내하는 프레임워크의 생성 및 유지 관리에 전념하고 있습니다. 이를 통해 기업은 설계에 따른 보안을 갖춘 더 나은 제품을 만들 수 있습니다. 이 영역에서 두 조직은 암호 대안의 옹호를 보완하기 위해 기술 수준에서 협력하려고 합니다.

IoTSF의 전무 이사인 John Moor는 “보안을 위해 암호를 사용하는 것은 디지털 시대에 시대에 뒤떨어진 보안 관행입니다. 기술적 관점에서 더 강력하고 사용자 관점에서 더 나은 솔루션이 있습니다. FIDO Alliance와 긴밀히 협력하여 암호 사용을 없애고 제조 회원을 위한 더 나은 관행을 추진할 수 있게 되어 기쁩니다.”

FIDO Alliance의 전무 이사 겸 COO인 Christina Hulka는 “FIDO Alliance의 사명은 불행히도 기본 또는 취약한 암호 인증에 계속 의존하는 IoT를 포함하여 더 간단하고 강력한 인증을 통해 암호에 대한 전 세계의 의존도를 줄이는 것입니다. IoT Security Foundation과의 협력을 통해 IoT에 암호 없는 인증을 도입하는 과정을 가속화할 수 있기를 기대합니다.”

참조

¹ https://en.wikipedia.org/wiki/List_of_the_most_common_passwords
² https://www.router-reset.com/default-router-password-lookup
³ https://www.etsi.org/deliver/etsi_en/303600_303699/303645/02.01.00_30/en_303645v020100v.pdf
⁴ https://www.iotsecurityfoundation.org/consumer-iot/
⁵ https://www.gov.uk/government/news/government-to-strengthen-security-of-internet-connected-products

사물 인터넷 보안 재단(IoTSF) 정보

IoTSF는 비영리 기업 및 전문 회원 협회입니다.

IoTSF의 사명은 사물 인터넷의 채택을 지원하고 이점을 극대화하기 위해 사물 인터넷을 보호하는 것입니다. 이를 위해 IoTSF는 IoT 제품 및 시스템을 지정, 제조 및 사용하는 사람들에게 적절한 보안에 대한 지식과 명확한 모범 사례를 홍보할 것입니다.

IoTSF는 보안 우선 접근 방식의 보안 가치, 목적 적합성 및 운영 수명 전반에 걸친 복원력을 촉진합니다. 보안 가치는 IoT 에코시스템의 주요 단계, 즉 제품 및 서비스를 구축, 구매 및 사용하는 단계인 Build Secure를 대상으로 합니다. Secure를 구매하세요. 보안을 유지하세요.

IoTSF는 사물 인터넷 애플리케이션의 기존 및 새로운 위협에 대응하기 위해 형성되었습니다.

IoTSF는 IoT 에코시스템에 의해 주도되고 기술 제공업체 및 서비스 수혜자를 포함한 모든 당사자를 포함하는 국제적이고 협력적이며 공급업체 중립적인 회원의 이니셔티브입니다.

자세한 정보, 뉴스 및 추가 공지 사항은 공식 웹 사이트 www.iotsecurityfoundation.org 를 방문하십시오.

FIDO 얼라이언스 소개

2012년 7월, 강력한 인증 기술 간의 상호 운용성 부족을 해결하고 사용자가 여러 개의 사용자 이름과 비밀번호를 생성하고 기억하는 데 겪는 문제를 해결하기 위해 FIDO(Fast IDentity Online) 연합( www.fidoalliance.org)이 결성되었습니다. FIDO 얼라이언스는 비밀번호에 대한 의존도를 낮추는 개방적이고 확장 가능하며 상호 운용 가능한 메커니즘 세트를 정의하는 더 간단하고 강력한 인증 표준을 통해 인증의 본질을 바꾸고 있습니다. FIDO 인증은 온라인 서비스에 인증할 때 더 강력하고 비공개적이며 사용하기 쉽습니다.