레이블이 필요합니다. 개인적으로 라벨의 존재는 내 건강에 절대적으로 중요합니다. 디지털 트러스트의 부사장인 Mike Nelson은 그들이 내가 먹는 음식의 영양 성분을 이해하고 얼마나 많은 인슐린을 섭취해야 하는지를 결정해야 한다고 말합니다. DigiCert.
우리는 그것을 눈치채지 못할 수도 있지만 제품 라벨링은 종종 우리의 개인 안전에 매우 중요합니다. 그것은 우리에게 음식의 영양 성분을 보여주고 전기 제품의 효율성과 우리가 가정에서 사용하는 도구와 제품의 안전성을 알 수 있게 해줍니다.
라벨은 우리가 무엇을 구매하는지 근본적으로 이해할 수 있게 해주며, 결과적으로 공급업체가 우리의 소비 선택에 책임을 지도록 합니다. 미국에서는 곧 IoT 장치에 동일한 요구 사항이 적용될 것입니다. 사실, 백악관의 국가 안전 보장 위원회(National Security Council)는 곧 IoT 제품에 대한 새로운 라벨 요구 사항을 발표할 예정입니다.
이것은 백악관의 2021년 행정 명령에 따른 것입니다. 미국 국립 표준 기술 연구소(NIST) IoT 라벨링 프로그램을 만듭니다.
이러한 새로운 요구 사항의 롤아웃은 앞으로 몇 달 안에 예상되지만 이 IoT 라벨링 프로그램이 요구할 수 있는 것에 대한 몇 가지 중요한 세부 정보가 아직 없습니다.
중요한 이유
IoT의 잠재력 범위는 도시를 변화시키는 센서 어레이에서 자율 주행 차량, 말하는 어린이 장난감에 이르기까지 광범위한 적용 가능한 사용 사례입니다. 그 결과 전 세계적으로 장치 수가 급증하고 있습니다. 사실에 따르면 IHS 마킷, 장치의 수는 125년까지 2030억 개에 이를 것입니다.
IoT 장치의 폭발적인 증가의 불행한 현실은 종종 매우 불안정하다는 것입니다. 취약성과 안전하지 않은 설계 결정은 처음부터 이 분야를 괴롭혔고 위험에 대한 인식이 높아짐에도 불구하고 많은 약점이 새로운 장치에서 완고하게 재현됩니다.
이러한 문제는 잠재적인 위험을 인식하지 못한 채 IoT 장치를 맹목적으로 구입하여 집으로 가져오는 사용자에게는 대체로 불투명했습니다.
이것이 라벨이 IoT를 보다 안전하게 만드는 중요한 단계가 될 수 있는 이유입니다. 이는 소비자 공간에 대한 디지털 신뢰의 근본적인 확장입니다. 레이블을 사용하면 필요한 기술 지식이나 자체 평가 능력 없이도 우리가 참여하고 있는 대상을 이해할 수 있습니다.
라벨링 요구 사항
라벨링 체계에 대한 구체적인 세부 사항은 아직 공개되지 않았습니다. 그러나 NIST는 2022년 XNUMX월에 최소 보안 요구 사항에 대한 권장 사항을 게시했습니다.
결정적으로 그들은 IoT 장치를 레이블 지정 고려 사항이 확장되어야 하는 시스템의 일부로 봅니다. 여기에는 IoT 장치 자체뿐만 아니라 모바일 앱 또는 특수 네트워킹 하드웨어와 같이 장치 작동에 필요한 구성 요소 및 시스템도 포함됩니다.
권장 사항은 계속해서 자격에 사용해야 하는 여러 기본 기준을 지적합니다. 그 중 첫 번째는 "자산 식별"로 고객과 관련 기관에서 장치를 고유하게 식별할 수 있습니다. 이는 디지털 인증서를 사용하여 제조 단계에서 장치 ID를 할당함으로써 달성할 수 있습니다. IoT 제품은 각 IoT 제품 구성 요소를 식별하고 최신 재고를 유지해야 한다고 덧붙입니다.
그런 다음 NIST는 고객과 같이 권한이 있는 개인이 기본 보안 설정으로 복원하는 기능과 같이 IoT 장치 및 적용 가능한 구성 요소를 구성할 것을 권장합니다. 이를 통해 사용자는 자신의 필요에 맞게 보안 설정을 조정할 수 있습니다.
데이터 보호는 또 다른 주요 권장 사항입니다. NIST의 보고서는 IoT 제품과 그 구성 요소가 무단 액세스로부터 저장되고 전송된 데이터를 보호한다고 선언합니다. 이는 해당 데이터의 기밀성, 무결성 및 가용성을 유지하기 위해 디지털 인증서로 수행할 수 있습니다.
이 보고서는 계속해서 장치가 안전하고 구성 가능한 메커니즘을 사용하여 소프트웨어 업데이트를 수신, 확인 및 적용할 수 있어야 한다고 권장합니다. 이는 유효한 업데이트를 인증하고 IoT 장치에 대한 공격의 핵심 벡터인 업데이트로 위장한 악성 패키지를 중지하는 데 도움이 되는 코드 서명 인증서를 통해 달성할 수 있습니다.
IoT 제품은 또한 보안 위험이 발생할 때 고객에게 경고할 수 있도록 장치 및 구성 요소의 보안 상태에 대한 정보를 기록해야 합니다.
이는 IoT 장치의 보안을 유지하기 위해 취해야 할 중요한 단계이지만 미국의 새로운 라벨링 체계가 어떻게 진행될 것인지에 대한 답이 없는 질문이 여전히 많이 있습니다.
라벨은 무엇을 나타냅니까?
NIST는 장치가 자격 여부에 따라 레이블을 받게 됨을 의미하는 이진 기반으로 레이블을 배포할 가능성에 대해 논의했습니다. 그러나 미국은 IoT 라벨링을 시작한 몇 개 국가 중 가장 최근에 불과합니다.
자체 IoT 라벨링 프로그램을 위해 싱가포르는 라벨링 시스템에 따라 장치에 대해 303단계 등급을 설정했습니다. 첫 번째이자 가장 낮은 것은 장치가 ETSI EN 645 XNUMX 표준에 대한 기본 요구 사항을 충족했음을 나타냅니다. 두 번째는 제품에 보안 수명 주기 기능이 포함되어 있고 Secure-By-Design 기능을 준수함을 보여줍니다. 세 번째는 장치가 타사 연구소에서 소프트웨어 바이너리 분석을 거쳤으며 알려진 일반적인 소프트웨어 취약성이 없음을 나타냅니다. 싱가포르 시스템의 최종 및 최고 표준은 장치가 일반적인 사이버 공격에 대한 저항력을 입증하기 위해 추가 침투 테스트를 거쳤음을 보여줍니다.
정적 레이블과 적응 레이블
좋은 사이버 보안은 끊임없이 움직이는 목표입니다. 따라서 정적 레이블은 새로운 위협과 취약점이 등장함에 따라 빠른 속도를 수용하지 못할 가능성이 높습니다. 이러한 속도를 수용할 수 있는 적응형 레이블이 최선의 방법이 될 것입니다. 그것은 사용자가 보안 위험을 쉽게 설명하고 필요에 따라 업데이트할 수 있는 웹 페이지에 액세스하기 위해 스캔할 수 있는 QR 코드의 형태로 제공될 수 있습니다.
IoT 다양성 수용
IoT는 스마트 주전자에서 스마트 도시에 이르기까지 매우 다양한 사용 사례에 걸쳐 있으며 이 두 가지 사용 사례만으로도 고유한 고려 사항과 요구 사항이 있습니다. 라벨링 표준은 다양한 장치 유형과 사용 사례를 수용하고 다양한 장치에 대해 서로 다른 솔루션을 제공할 수 있을 만큼 유연해야 합니다.
공급망은 어떻습니까?
민간 부문은 미국 계획의 최종 결과에 대한 단서를 제공할 수 있는 자체 라벨링 표준을 고안했습니다. 사이에 문제가 발생했습니다. 연결 표준 연합(CSA) 스마트 홈 장치 간의 상호 운용성 및 안전한 통신을 도입하는 것을 목표로 하는 다양한 실리콘 밸리 거대 기업.
Matter 레이블 자격을 얻으려면 개발자는 보안에 대한 계층적 접근 방식과 특정 수준의 암호화 민첩성을 갖춘 장치를 설계해야 합니다. 그러나 Matter에게 실질적인 이점을 제공하는 것은 IoT 공급망에서 PKI 및 디지털 인증서를 사용하는 것입니다.
IoT의 다양한 보안 문제 중 다수는 다면적이고 복잡한 공급망에서 발생합니다. 다양한 제조업체, 개발자 및 공급업체는 보안 배경이 없을 수 있으므로 많은 사람들이 안전하지 않은 구성 요소 및 설계 관행을 사용하거나 그렇지 않으면 장치를 안전하게 유지하는 모범 사례를 간과할 수 있습니다. Matter 레이블 자격을 얻으려면 IoT 장치에 인증서를 통해 장치 ID를 내장해야 합니다. 그런 다음 인증서를 공급망 전체에서 확인하고 소비자의 손에 넣을 수 있습니다. 공급망의 문제는 IoT 불안정의 주요 원인이며 미국 정부의 계획은 그에 따라 요구 사항을 설정해야 합니다.
미국 정부의 IoT 라벨링 프로그램의 많은 세부 사항이 아직 명확하지 않지만 IoT 라벨링을 세계 최대 소비자 시장에 도입하기로 한 결정은 널리 환영받아야 합니다. 소비자는 수년 동안 IoT 제품을 구매해 왔으며 종종 내재된 위험에 대한 지식도 없이 구매했습니다. 소비자가 이를 기반으로 결정을 내릴 수 있을 때 우수한 보안에 대한 시장 인센티브를 창출할 수 있을 뿐만 아니라 디지털 신뢰가 IoT 제품의 핵심 요구 사항이 될 수 있습니다.
저자는 DigiCert의 디지털 신뢰 부사장인 Mike Nelson입니다.
아래 또는 통해이 기사에 대한 의견 트위터 : @IoTNow_OR 뿡뿡
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoAiStream. Web3 데이터 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 미래 만들기 w Adryenn Ashley. 여기에서 액세스하십시오.
- PREIPO®로 PRE-IPO 회사의 주식을 사고 팔 수 있습니다. 여기에서 액세스하십시오.
- 출처: https://www.iot-now.com/2023/06/05/131211-how-labels-could-secure-the-iot/
