2023년까지 수십억 개의 IoT(사물 인터넷) 장치가 생활, 산업 및 중요 인프라의 거의 모든 영역에 적용되었습니다.영구적으로 연결된 스마트 장치는 매우 민감한 데이터를 처리하므로 최신 상태를 유지하는 것이 필수적입니다. 특히 해커 공격, 데이터 오용 또는 산업 스파이가 발생할 경우 더욱 그렇습니다.

이러한 맥락에서 새로운 Fraunhofer ISI 연구는 520억 개의 장치에 대한 데이터를 분석했습니다.지리적 위치... 그리고 설치된 펌웨어가 최신인지, 유럽 일반 데이터 보호 규정이 이에 미치는 영향이 무엇인지 여부입니다.조사 결과에 따르면 매우 심각한 사이버 공격이 쉽게 발생하는 것은 시간 문제일 뿐입니다.

사용자는 웨어러블을 통해 자신의 건강과 피트니스를 추적하고, 거실에 강력한 마이크가 장착된 스마트 스피커를 배치하고, 이름 없는 제조업체의 값싼 센서를 설치하여 스마트 홈에서 작업을 자동화합니다.예를 들어 산업용 IoT 장치가 기계를 연결하고 모니터링하는 산업에도 동일하게 적용됩니다.이러한 장치의 대부분은 일단 설치하고 실행하면 금방 잊어버립니다.

오래된 펌웨어와 업데이트 또는 패치에 있을 수 있는 취약점은 일부 IoT 장치 제조업체가 이를 제공하더라도 무시되는 경우가 많습니다. 많은 장치가 빠른 출시 시간을 우선시하고 소프트웨어 또는 펌웨어 업데이트 및 업데이트를 자주 제공하지 않기 때문에 항상 그런 것은 아닙니다.패치.이로 인해 심각한 개인 정보 보호가 발생할 수 있으며보안 위협사용자를 위해.

전 세계의 정책 입안자들은 사용자가 직면하고 있는 이러한 위협을 인식하고 유럽 GDPR과 같은 강력한 규정을 추구하고 있습니다.또한, EU 지침에 규정되어 2022년부터 시행되고 있는 "업데이트 권한"은 보다 안전한 장치를 향한 또 다른 중요한 단계입니다.최근 EU 위원회는 구매 후 몇 년 동안 소비자에게 적시에 보안 업데이트를 제공해야 하는 법적 의무를 제조업체에 도입하는 사이버 복원력법(Cyber ​​Resilience Act)에 서명했습니다.

이것이 스마트 장치 제조업체에 어떤 영향을 미치나요?

새로운 연구에서는 이 질문과 기타 질문에 대한 답을 제공하기 위해 2015년 10월부터 2021년 11월 말까지 IoT 검색 엔진 Censys.io에서 400테라바이트의 실제 데이터를 분석했습니다. 분석은 520억 개의 장치에서 수집된 데이터로 구성됩니다.그 중 1억 7,500만 개의 장치에서 분석 가능한 정보가 공개되었으며, 이는 17개의 장치 유형으로 분류된 384개 제조업체의 7,116개 개별 모델이 포함된 데이터 세트로 이어졌습니다.

이 데이터를 통해 모든 EU 회원국, G7 국가, 스위스뿐만 아니라 러시아, 우크라이나, 말레이시아, 인도네시아, 싱가포르, 일본, 영국 등 아시아 국가 등 다양한 국가 간의 비교가 가능해졌습니다.대부분의 장치가 미국(52%)에 배포되었으며, 독일(7%), 러시아(4%), 영국(4%), 일본(4%), 프랑스(4%), 캐나다가 그 뒤를 이었습니다.(3%), 폴란드(3%), 싱가포르(1%), 인도네시아(1%) 및 기타 국가(16%)입니다.

오래된 펌웨어 및 장치 노후화로 인한 주요 사이버 보안 위험

2021년 말 현재 상황을 살펴보면, 독일의 장치에서 실행되는 펌웨어의 수명은 각각 689일, 1.9년(y)입니다.또한 장치는 다른 업데이트를 받지 못했습니다(소프트웨어 업데이트, 패치 등)을 거의 1년(351일) 동안 진행했습니다.

EU 수준에서는 펌웨어 업데이트 지연이 930일(2.5년)이고 다른 업데이트가 411일(1.1년) 동안 무시되는 등 상황이 더욱 악화됩니다.이는 이러한 장치 중 다수의 사용이 주요 사이버 보안 위험과 관련되어 있으며 여기서는 데이터 보호가 더 이상 불가능하다는 것을 의미합니다. 예를 들어 장치는 해커 공격에 취약하고 쉽게 먹이가 됩니다.

기기 수명과 지리적 차이를 살펴보면 아일랜드의 기기가 가장 최신 상태인 것으로 나타났습니다(239일). 반면 포르투갈은 786일로 뒤쳐졌습니다.동남아시아를 살펴보면 싱가포르가 가장 좋고(299일) 말레이시아가 가장 좋지 않습니다(477일, 1.3y).가장 오래된 장치는 일본에서 찾을 수 있습니다(716일, 거의 2년).

GDPR이 설치된 펌웨어의 최신성을 향상시켰습니까?

유럽 ​​일반 데이터 보호 규정(GDPR)이 발효된 이후 상황이 더 좋아졌는지 여부에 대한 질문과 관련해, 이 규정에는 이 문제에 대한 명시적인 규정이 포함되어 있습니다. 연구에서는 흥미로운 결과를 보여줍니다. 글로벌 수준에서는 장치가' 수명이 감소했지만 유럽의 상황은 상당히 다릅니다. 실제로 35개 EU ​​회원국 중 28개 국가의 경우 장치 수명이 평균 99일 증가했습니다.

두 권의 저자인 Frank Ebbers 박사연구 논문이 주제에 대해(2023 IEEE 8차 소프트웨어 엔지니어링 및 컴퓨터 시스템 국제 컨퍼런스(ICSECS)그리고 하나는소프트웨어 엔지니어링에 관한 IEEE 거래), 결과를 해석합니다."낮은 업데이트율은 제조업체와 사용자 모두에게 경각심을 불러일으키고 정책 입안자들에게도 경각심을 불러일으키고 이 문제에 대한 관심을 더욱 높여야 합니다. 또한 GDPR이 EU 내 소프트웨어 업데이트에 예상되는 영향을 미치지 않았다는 점도 놀랍습니다.

"이는 사용자들이 이제 GDPR이 시행되어 회사만이 업데이트에 책임이 있고 이러한 조직이 고객의 개인 정보 보호에 더 관심을 갖고 있다고 믿고 있다는 사실로 설명될 수 있습니다."

Ebbers는 제조업체가규제 당국여기서는 사용자 자신이 책임을 집니다."이 세 파트너의 공동 노력을 통해서만 보다 안전한 IT 인프라를 구축할 수 있습니다."

자동 업데이트, 이른바 '무선 업데이트'를 통해 상황을 개선할 수 있다는 얘기도 자주 나온다.그는 이에 대해 비판적인 견해를 갖고 있다."여기서 발생하는 첫 번째 질문은 자동 업데이트 오류로 인한 피해에 대한 책임이 누구에게 있느냐는 것입니다. 휴대용 ECG 장치의 잘못된 업데이트로 인해 생명을 잃을 수 있는 의료 부문을 생각해 보십시오."

따라서 규제 당국은 제조업체가 최종 사용자가 쉽게 이해할 수 있도록 좋은 업데이트 메커니즘을 장치에 통합하도록 강제(또는 넛지)하는 권장 사항을 제시해야 합니다.또한 업데이트는 CE 라벨링의 일부로 유럽에서 시운전하기 위한 전제 조건이 되어야 합니다.