[번역] 정치적 다툼으로 미국의 IoT 보안 재편이 멈춰졌다

Political Squabbling Puts the Brakes on U.S. IoT Security Reform

정치적 다툼으로 US IoT 보안 재편이 멈춰졌다

요약

• IoT기기 제조사/사용자에 기기의 보안 조치를 즉각 해야한다.
• 하지만 원인이된 중국 제품에 대한 법적 조치가 가능한가?
• 새로운 트럼프 행정부의 불확실성이 우려를 더 키우고 있다.
• 더우기 년말 연휴 이후에 감염되는 IoT 기기가 늘어날 것이다.

원문 링크

IoT (Internet of Things) 장치와 관련하여 주목을 끄는 해킹이 많아지면 누구나 걱정할 필요가 있습니다. 해킹이 발생하는 큰 이유는 IoT 장치에 대한 적절한 보안 표준의 부족과 관련이 있습니다. 저명한 전문가 중 다수는 최근 의회가 IT 산업이 아닌 정부에 의해 제정되어야 한다고 말했습니다.

The mounting number of high-profile hacks related to IoT (Internet of Things) devices should give anyone cause for concern. A big reason the hacks are occurring has to do with a lack of proper security standards for IoT devices—which a number of prominent experts recently told Congress should be enacted by the government and not the tech industry.

하원 에너지 및 상거래위원회의 위원들은 DNS 제공자인 Dyn (오라클이 인수)에 대한 지난 달의 DDoS (분산 서비스 거부) 공격에 대해 논의하기 위해 회의를 가졌으며 Bruce Schneier와 같은 보안 전문가로부터 소식을 들었습니다. 그는 준비된 발언에서 의원들에게 즉각적인 규제 조치를 취할 것을 촉구했다.

Members of the House Energy and Commerce Committee met to discuss last month's DDoS (distributed denial of service) attack on DNS provider Dyn (which has just been acquired by Oracle) and heard from security experts such as Bruce Schneier. In prepared remarks, he urged lawmakers to take immediate regulatory actios:

악용되고있는 CCTV 카메라와 DVR을 패치 할 수있는 방법은 없으며, 수십 년이 아니라해도 수 년 동안 인터넷에 남아있을 것입니다. 이 기기들은 계속 사용될 것으로 보이는데, 해당 장치의 판매자도 구매자도 취약점 수정에 관심을 두지 않습니다. 그 장치의 소유자는 상관하지 않습니다. 그들은 좋은 가격으로 좋은 기능을 갖춘 웹캠 또는 온도 조절기 또는 냉장고를 원했습니다.
There is no way to patch the CCTV cameras and DVRs that are being exploited, and those devices will remain on the Internet for years if not decades. They’ll remain in use because of an additional market failure: neither the seller nor the buyer of those devices cares about fixing the vulnerability. The owners of those devices don’t care. They wanted a webcam — or thermostat, or refrigerator — with nice features at a good price. 

기기들이 봇넷으로 변한 후에도 여전히 잘 작동합니다. 공격에 사용되었다고 말할 수조차 없습니다. 그 장치의 판매인은 상관하지 않습니다 : 그들은 이미 더 새롭고 더 나은 모델을 판매로 옮겨 가고 있습니다. 불안감이 주로 다른 사람들에게 영향을주기 때문에 시장 해결책은 없습니다. 이것은 보이지 않는 오염의 한 형태입니다. 그리고 오염과 마찬가지로 유일한 해결책은 규제하는 것입니다.

Even after they were recruited into this botnet, they still work fine — you can’t even tell they were used in the attack. The sellers of those devices don’t care: They’ve already moved on to selling newer and better models. There is no market solution because the insecurity primarily affects other people. It’s a form of invisible pollution. And, like pollution, the only solution is to regulate. 

정부는 IoT 제조업체에 최소한의 보안 표준을 적용하여 고객이 신경 쓰지 않아도 장치를 안전하게 유지할 수 있습니다. Dyn과 같은 회사는 DDoS 공격에 장치를 사용하는 경우 제조업체에 고소 할 수 있습니다. 세부 사항은 신중하게 정의해야 하지만, 이러한 옵션 중 하나를 선택하면 보안 비용이 상승하고 기업에서 장치를 안전하게 사용하기 위해 인센티브를 제공 할 수 있습니다.

The government could impose minimum security standards on IoT manufacturers, forcing them to make their devices secure even though their customers don’t care. They could impose liabilities on manufacturers, allowing companies like Dyn to sue them if their devices are used in DDoS attacks. The details would need to be carefully scoped, but either of these options would raise the cost of insecurity and give companies incentives to spend money making their devices secure.

그러나 등록 보고서에 따르면 Schneier의 말은 귀가 먹은듯 하거나, 최소한 IoT 보안에 정치 자본을 소비하기를 꺼리는 사람들이었습니다:

But as the Register reports, Schneier's words seemed to fall on deaf ears, or at least ones reluctant to expend political capital on IoT security:

마이클 버지스 (Michael Burgess, 공화당/텍사스)는 보안 문제에 대한 해답은 "모범 사례"를 개발하는 데 있었다고 강조하며 정부의 역할은 "산업계로부터 의미있는 반응"을 유도하는 것 이라고 말했다.

Michael Burgess (R-TX) stressed in his opening remarks that the answer to the security issues was in developing "best practices," and government's role was to elicit a "meaningful response from industry."

Bob Latta (공화당/오하이오)는 "급속하게 진화하는 기술과 보조를 맞추기위한 IoT 보안 지침이 필요했다" 면서 "감독과 규제 유연성 사이의 정교한 균형"이 있었으며 업계 최고 수준으로 발전해야한다고 "혁신을 저해하지 않는 관행" 을 강조했다.

Bob Latta (R-OH) noted that there needed to be "IoT security guidelines to keep pace with rapidly evolving technologies," but stressed there was a "delicate balance between oversight and regulatory flexibility" and that it should fall on industry to develop best practices that would "not hinder innovation."

심지어 민주당원들도 정부가 이 상황에서 직접적인 역할을 한다고 제안하는 것으로부터 명백하게 방향을 돌렸다. Anna Eshoo (민주당/CA)는 IoT 보안 문제는 "글로벌 이슈"라고 지적하면서 최근의 공격에 관련된 장치의 4 분의 1 이상이 미국에 있었으며 " 취약한 "중국에 기반했다. 그 의미는 명백했다. 중국이 진짜 문제 일 때 입법의 요지는 무엇인가?


Even Democrats steered clear from suggesting that the government take a direct role in the situation. Anna Eshoo (D-CA) noted that the IoT security problem was a "global issue" and noted that "little more than a quarter" of the devices that were involved in the recent attacks were located in the US, while the products "most vulnerable" were based in China. The implication was obvious: what's the point in legislating when China is the real problem?

분석가: IoT 보안 책임을 회피할 방법은 없다 

Analysis: There's No Way to Pass the IoT Security Buck 

Constellation Research의 수석 애널리스트이자 수석 애널리스트 인 Steve Wilson은 "인터넷은 공통점이 있으며 우리 모두가 그 부분에 참여해야 합니다". "컴퓨터에 패치를 적용하도록 사용자에게 상기 시키려면 기술 회사가 의무를 고수해야합니다. 패치가 필요한 일부 항목은 컴퓨터가 아닌 것들이다. 사람들이 토스터에 대해 마치 컴퓨터 처럼 생각하게 하는 것은 너무 싫은 현상입니다. 상자 밖으로 물건을 안전하게 보관해야합니다. "

"The Internet is a commons and we all need to be part of that," says Constellation Research VP and principal analyst Steve Wilson. "To remind users to keep their own computers patched is a relegation of duties by tech companies. Some of the things that need patching aren't even computers anymore. Getting people to think about toasters as if they're computers is just abhorrent. These things have to be safe out of the box."

또한 "제품 안전을 시장에 남겨 둘 수 없다는 것을 절대적으로 알고 있습니다." 라고 Wilson은 덧붙입니다. "회사가 옳은 일을하지 않을 것이라는 것을 알고 있기 때문에, 이 불안한 기기들은 홀로 남겨두게 되므로, 우리는 위임 받아야 할 필요가 있습니다. 우리가 정말로 필요로하는 것은 인터넷의 소비자 운동 선구자인 랄프 네이더 (Ralph Nader)입니다."

Moreover, "we absolutely know product safety can't be left to market forces," Wilson adds. "It's a thing that needs to be mandated because we know companies won't do the right thing if we leave them alone. What we really need is a Ralph Nader of the Internet."

Dyn의 인프라에 대한 DDoS 공격으로 Amazon 및 Twitter를 포함한 일부 주요 웹 사이트가 먹통 이 발생했습니다. 어떤 물리적 해를 입지는 않았지만, 범죄 기업이 두 배 강력하기 까지 앞으로 시간 문제입니다. Wilson은  "우리는 장비 제조업체의 가동을 지켜야한다"고 그는 말한다. 또한 "소프트웨어 품질을 목적에 맞게 만들면 개발 라이프 사이클 및 비용에 영향을 미칠 것입니다."라고 그는 덧붙입니다. "우리는 그것에 직면해야합니다."

The DDoS attack on Dyn's infrastructure caused outages at some major websites, including Amazon and Twitter. While nobody got physically hurt, it's a matter of time before the twin forces of criminal enterprise intent and shoddy IoT device security collide in a manner where that does happen, Wilson says. "We have to hold [IoT device makers'] feet to the fire," he says. Moreover, "if we're going to make software quality fit to purpose it will have an impact on development lifecycles and costs," he adds. "We need to face up to that." 

지난 주 회의에서 의회의 회원 관성에 대한 이유 중 일부는 들어오는 도날드 트럼프 행정부의 정책 결정을 둘러싸고있는 알려지지 않은 것에 기인 할 수있다. 또한 버락 오바마 대통령은 최근 트럼프로부터 명령을 받았다고 가정 할 때 IoT 보안에 대한보다 공격적인 태도를 이끌어 낼 수있는 미국 최초의 정보 보안 책임자 인 그레고리 투힐을 임명했습니다. 연휴 기간 동안 IoT가 가능한 수많은 소비자 장치가 확실하게 켜지면 보안 위협 수준은 더 높아질 것입니다.

Part of the reason for Congress' members inertia during last week's meeting can be attributed to the unknowns surrounding policy decisions by the incoming Donald Trump administration. Also , outgoing President Barack Obama recently appointed the country's first federal chief information security officer, Gregory Touhill, who could drive a more aggressive posture toward IoT security, assuming he's given that mandate from Trump. With untold millions more IoT-enabled consumer devices sure to be lit up during the holiday season, the security threat level will only get higher.