[디지털경제뉴스 박시현 기자] 범용 하드웨어 보안 모듈(GP HSM) 전문업체인 엔사이퍼 시큐리티(nCipher Security)가 ‘2019 글로벌 PKI & IoT 동향 보고서’의 결과를 발표했다.
엔사이퍼 시큐리티의 의뢰로 포네몬 연구소(Ponemon Institute)가 전 세계 14개 지역 1,800여 명의 IT 보안 실무자들의 답변을 바탕으로 작성한 이번 보고서에 따르면 공개 키 기반 구조(PKI: public key infrastructure) 애플리케이션 배포가 지난 5년 간 20% 증가했으며, IoT가 이를 촉진하는 주요 동인인 것으로 나타났다. 또 많은 기업들이 IoT 보안을 우선시 하지 않아 사이버 공격에 취약한 것으로 드러났다.
응답자들은 우려되는 주요 IoT 보안 위협으로 멀웨어 혹은 다른 위협으로 인한 IoT 장치 기능 변경(응답자의 68%)과 인증되지 않은 유저의 장치, 원격 통제(54%)를 꼽았다.
다만 기업들은 가장 중요한 IoT 보안 역량 다섯 가지를 조사한 항목에서 패치, 장치 업데이트 등 기능 조작으로부터 장치를 보호하는 조치를 가장 적게 택했다.
엔사이퍼 시큐리티는 이번 보고서에서 전체 IoT 장치 중 42%의 신원 확인 및 인증 절차가 향후 2년 내로 디지털 인증서를 통해 진행될 것으로 전망했다. 하지만 IoT 장치 암호화와 IoT 플랫폼 및 데이터 저장소 암호화 비율은 각각 28%, 25%에 그치는 것으로 나타났다.
PKI는 많은 조직들에게 IT 인프라의 중추적 역할을 담당한다. 조직들은 PKI를 통해 클라우드, 모바일 장치 배포, IoT 등 주요 디지털 이니셔티브에 대한 보안을 확립할 수 있다.
이번 보고서에 따르면 대부분의 응답자들이 조직 내에서 PKI를 폭 넓게 사용하고 있다. 응답자들은 SSL/TLS 인증서(79%), 프라이빗 네트워크 및 VPNs(69%), 퍼블릭 클라우드 기반 애플리케이션 및 서비스(55%) 등에 PKI를 활용한다고 답했다.
하지만 전체 응답자의 절반이 넘는 56%가 PKI는 새로운 애플리케이션을 지원할 역량이 부족하다고 밝혔다. 또한, 많은 응답자들이 PKI 활용에 조직적, 기술적인 한계가 있다고 했으며 그 이유로 기존 레거시 애플리케이션을 교체할 역량 부족(46%), 인적 기술 부족(45%), 자원(38%) 등을 꼽았다.
2019 글로벌 PKI & IoT 동향 보고서 응답자 중 약 30%는 어떠한 인증서 폐기 기술도 사용하지 않는 것으로 밝혀졌다. 그리고 무려 68%의 응답자들이 ‘불분명한 소유권’을 PKI에 대한 가장 큰 어려움으로 꼽았다.
다만, 몇몇 기업들은 특정 부문에서 PKI 보안을 활발히 도입하고 있다. 인증기관(CA) 보안 방안에 대해 ‘비밀번호만 사용’이라고 답한 응답 비율은 2018년 24%에서 2019년 6%로 현저히 줄었다. 또한, 42%의 응답자들이 개인 키 관리에 하드웨어 보안 모둘(HSM)을 사용한다고 답했다.
이 밖에 이번 보고서의 주요 시사점은 다음과 같다.
•IoT의 신뢰성 확보를 위한 HSM 사용 비율은 2018년 10%에서 2019년 22%로 대폭 증가했다.
•클라우드, 매니지드 및 호스티드 형태 등 PKI 배포 옵션이 다양해지고 있지만 여전히 조직들은 내부 인증기관을 가장 많이 사용하고 있다. 전체 응답자 중 63%가 내부 인증기관을 사용한다고 답했으며 이 수치는 지난 5년 간 19% 증가했다. 특히, 금융 서비스 기관의 경우 80%가 내부 인증기관을 사용하는 것으로 나타났다.
•응답자의 44%는 IoT에 대한 PKI 배포가 클라우드와 기업이 결합된 형태를 기반으로 실행될 것이라 답했다.
•IoT에 대한 PKI의 핵심적인 역량은 수 많은 인증서에 대한 확장성(46%)과 온라인 인증서 폐기(37%)였다.
포네몬 연구소 설립자 겸 회장인 래리 포네몬(Larry Ponemon) 박사는 “기업들이 디지털 트랜스포메이션을 맞이하면서 PKI 사용이 계속 확대되고 있다. 이번 보고서에서 40%가 넘는 응답자들이 IoT뿐 아니라 클라우드 및 모바일 이니셔티브 역시 PKI 사용을 촉진하는 주요 동인이라고 답했다“라며, “IoT의 급성장은 분명 PKI 사용에 큰 영향을 미치고 있다. 조직들이 PKI가 커넥티드 장치에 대한 핵심적인 인증 기술을 제공한다는 사실을 깨닫고 있기 때문이다. 디지털 이니셔티브가 가져다주는 모든 이점을 누리기 위해서는 PKI의 보안 성숙도를 지속적으로 개선해야 한다”고 강조했다.
