HPE 아루바 "호텔 보안 위해 백오피스와 숙박객용 네트워크 분리해야 "

국내외 많은 호텔이 사물인터넷(IoT)을 활용한 혁신 서비스를 다수 내놓고 있다. 호텔 숙박객이나 방문자에게 무선인터넷 서비스를 제공하는 건 이미 오래전부터 존재했다. 요즘은 IoT 체크인이나 태블릿을 이용한 객실 환경을 조절 등 다양한 시도가 이뤄지고 있다. 동시에 고성능 보안카메라를 이용해 위험요소를 탐지하는 작업도 더욱 고도화됐다.

그러나 이같은 호텔 IoT 이면엔 무수한 잠재적 위험요소가 있다. 호텔이 소유한 IoT 기기도 늘어났고, 고객의 기기도 호텔에서 관리해야 하는 IoT 기기다. 호텔이 감당해야 하는 IoT 기기가 무한히 늘어난 것이다.

오늘날 수많은 호텔 체인들이 IoT 기기를 통해 해커의 공격받는다. IoT는 호텔을 위협하는 잠재적 공격의 노출지점이 되고 있다. 모든 호텔의 네트워크 스위치 포트는 기업 인프라의 접근권을 제공하고, 불행히도 수많은 IoT 기기가 이런 스위치 포트에 연결돼 있다. 이는 빌딩 제어 시스템부터 태블릿으로 조작되는 객실의 커튼까지 망라한다.

문제는 시중에 출시된 많은 IoT 기기들이 보안성을 고려해 설계되지 않았는 점이다. 면역력을 갖지 못한 IoT 기기의 잠재적 위험성은 최근 수년째 드러나고 있다. 호텔의 수많은 IoT 기기를 더 안전하게 하고, 해킹을 막는데 필요한 기술과 솔루션이 강력하게 요구되는 시점이다.

HPE 아루바는 이에 대해 "리스크는 절대로 잠들지 않으며, 보이지 않는 것을 방어하는 건 불가능하다"고 강조한다. 때문에 모든 호텔은 종합적이고 완벽한 가시성을 IoT와 기업 인프라에 연결된 여타 모든 기기들에 대해 확보해야 한다.

HPE 아루바에 따르면, 호텔은 예약, 운영, IoT 기기 등 백오피스 네트워크를 숙박객용 네트워크와 분리해야 한다. 네트워크 접근제어 소프트웨어가 이 목적에서 사용된다. 군사보안 수준의 액세스포인트, 스위치, 무선랜 컨트롤러 등이 시중에 나오는 것도 같은 맥락이다.

네트워크 접근제어 소프트웨어를 통해 숙박객과 운영 네트워크의 트래픽은 고속의 물리적 인프라를 동일하게 사용하면서 분리될 수 있다.

모든 기기에 대한 가시성을 확보했다면, 호텔 측은 네트워크접근제어 시스템을 백오피스와 게스트 네트워크 양측의 안전한 접근을 실현하기 위해 사용해야 한다. 이를 실행하기 위해 액세스포인트에 접속한 타입과 사용자별로 기기를 식별하고 프로필로 확보해야 한다. 사용자와 접속 유형별로 기기를 식별하는 작업이 액세스 지점에서 이뤄져야 한다.

네트워크 접근 정책은 기기와 사용자가 목적과 기능, 리스크 상태에 맞게 인프라의 특정 영역에만 접근하도록 제한하도록 만들어져야 한다.

백오피스 네트워크에 IoT 기기를 연결하도록 설정한 정책들은 매우 특정되고 최적화된 것이다. 오직 적재적소에 기반한 접근만 허용해야 한다.

IoT 기기를 해커와 여러 공격으로부터 보호하기 위한 추가적인 작업도 필요하다. 예를 들어, 몇몇 호텔들은 객실과 컨퍼런스룸 안에서 사용가능한 태블릿 기반 서비스를 출시했다. 이 서비스는 태블릿으로 조명, 온도, 커튼 등을 제어할 수 있게 한다. 만약 어떤 태블릿이 특정 방에서 도둑맞거나 유실돼 사라진다면, 호텔 네트워크 인프라의 다른 부분에 접근하는 것을 방지하기 위해 해당 기기를 접근불가능한 상태로 시스템에서 바꿔줘야 한다.

현재 국내외 많은 호텔들이 백오피스 네트워크와 고객용 네트워크를 구분하지 않고 동일한 네트워크로 혼용하다. 호텔 네트워킹 및 보안이 별도 팀으로 구분됐을 때 많이 일어나는 양상이다.

때문에 호텔 백오피스 네트워크와 고객용 네트워크를 구분하면서 네트워킹 조직과 보안 조직의 유기적 협력이 필요하다. 나아가 두 조직을 하나로 통합한다면 더 좋다. 오늘날의 모빌리티, IoT 세계에서 네트워킹과 보안 부서가 함께 일하는 게 필수적인 것으로 바뀌었기 때문이다. 그래야 네트워크에 연결된 모든 기기를 살펴보고, 식별하고, 프로파일화하고, 엄격한 접근 정책 하에 관리하는 게 가능해진다. 또한, 조직에서 해야 하는 행위가 계속 일어나고 있는지 모니터돼야 한다. 단일팀이 최고 수준의 보호를 보증하는 필수요소라고 업계 전문가들은 지적하고 있다.

호텔 측은 IoT 기기가 고객용 네트워크에 연결되지 않고, 백오피스 네트워크에 연결되기 전에 반드시 모든 기기를 식별하고 프로파일화해야 한다. 어느 영역에 각 기기와 사용자가 접근을 허용받는지 강제하는 정책을 정의하고 채택하는 것도 요구된다.

또 숙박업체는 사용자 및 기업 행동분석(UBEA) 솔루션을 채택하는 걸 고려해야 한다. UBEA 솔루션은 머신러닝과 인공지능을 사용해 IoT 기기가 취약점을 노출하는 식의 비정상적 활동을 하기 시작할 때 이를 탐지해 보안팀에게 알려준다.

내부 보안 위협에 대한 가트너의 연구에 따르면, 기업들은 조직 내부 보안에 문제가 발생했던 수많은 사례가 존재함에도 불구하고 현재 신뢰하고 있는 사용자로 분류되는 그룹으로부터 야기되는 위험은 우선 고려 대상에 포함하지 않는다. 그러나 UEBA의 전문 분야인 내부 보안 위협 문제를 해결하고자 하는 고객이 이전에 비해 약 100% 정도 증가했다는 긍정적인 변화가 나타나고 있다.

UBEA를 통해 잠재적으로 위협에 노출된 기기가 식별되면, 취할 행동이 필요하다. 네트워크 접근제어 소프트웨어를 사용해 기기를 즉각 격리하거나, 기기가 연결된 네트워크 포트를 작동불능으로 만드는 식이다. 이런 두 기술을 결합해 IoT 기기와 모든 것을 위한 높은 수준 보안을 만들어낼 수 있다.

행동 분석 솔루션과 네트워크 접근제어 시스템을 함께 사용하면, 공격 발견 시 내부 위협으로부터 비즈니스를 보호하는 자동화된 조치를 취할 수 있다. 예를 들어 한 보안 카메라나 HVAC 시스템이 대규모 데이터를 호텔 외부에 보내기 시작한다면, 사고가 조사될 때까지 그 기기의 네트워크 연결을 끊는 정책을 시행하는 방아쇠가 된다.

관련기사

HPE 아루바는 "게스트 네트워크에서 백오피스 네트워크를 격리하는 것, 역할 기반 네트워크 접근을 수립하는 것이 기기를 해커에게 노출하는 것에서 예방하는 최우선 보호 수단"이라고 강조했다.

이어 "그 다음은 방화벽 같은 주변 보안 시스템을 꿰뚤는 내부 위협을 식별하도록 행동 분석 시스템을 배포하는 것"이라고 조언했다.