Hacker News 의견

• 보안/시스템/운영 분야에서 일하는 사람으로서, 대부분의 사람들이 일을 잘 못하고 있으며, 산업 전체가 이를 지원하도록 설정되어 있음

  • 디지털 사이니지를 배포할 때, 네트워크 접근은 서버의 IP 주소로만 허용하고, 서명된 업데이트와 인증서 고정 연결만 받아야 함
  • IoT 장치들이 보안이 취약하며, 기본 비밀번호와 열린 포트가 많음
  • 대부분의 회사들이 일을 잘 하지 않으며, "최고의 실천"이나 벤더의 지침을 따르는 것이 일을 잘하는 것을 의미하지 않음

• 스웨덴에는 인터넷과 격리된 Sjunet이라는 사설 네트워크가 있으며, 의료 제공자들이 사용함

  • Sjunet은 산업 전반에 걸친 에어갭 환경으로 볼 수 있으며, 보안을 개선하지만 비용은 적음

• 제어 엔지니어로서, 이더넷 케이블을 사용하는 기계들이 인터넷에 연결되지 않아야 함

  • 제조 공장에서는 PLC와 HMI 시스템이 이더넷을 사용하지만, 인터넷에 노출되지 않음
  • 저항 용접기와 같은 오래된 기계들은 최신 보안 시스템이 필요하지 않음

• 시스템을 에어갭하지 말아야 한다는 주장에 동의하지 않음

  • 인터넷 중심의 개발 관행을 사용하지 않아야 함
  • MRI 기계가 NPM에서 JS 종속성을 가져오는 것은 잘못된 것임

• 사설 네트워크를 운영할 때, 내부 서비스는 인기 있는 CA의 TLS 인증서를 가지지 않을 가능성이 높음

  • JRE의 신뢰 저장소 문제로 인해 많은 시간을 낭비할 수 있음

• 맥도날드 키오스크를 사용해 본 후, 다른 장소의 장비들도 테스트해 봄

  • 한 푸드 코트의 키오스크는 인터넷에 완전히 접근 가능했으며, 악성 소프트웨어를 다운로드할 수 있었음
  • 주차 키오스크는 강화되지 않았음
  • 맥주 브랜드의 인터랙티브 디스플레이는 큰 해를 끼치지 않았지만, "물 마시기" 메시지를 남김

• 주요 결론은 시스템이 인터넷에 연결되지 않아야 한다는 것이 아님

  • 시스템은 아웃바운드 네트워크 흐름을 허용하지 않아야 함
  • 많은 엔터프라이즈 소프트웨어 제품에서 자동 업데이트를 비활성화할 수 있음
  • 업데이트를 점진적으로 롤아웃하여 문제를 최소화할 수 있음

• Hamnet은 부분적으로 인터넷 라우팅이 가능하며, 아마추어 라디오 스펙트럼을 사용함

  • 상업적 사용이 금지되어 있음

• 항공사 예약 시스템은 네트워크에 연결되어야 하지만, 많은 장비들이 온라인에 연결될 필요가 없음

  • 냉장고, 주전자, 차고 문 등 인터넷에 연결된 장치들이 많음
  • 모든 보안 조치는 사용자가 불편함을 느끼게 함

• 특정 소프트웨어가 인기를 잃었고 더 이상 해를 끼치지 않음

  • 그러나 여전히 많은 블랙박스와 독점적인 소프트웨어가 존재하며, 재난 복구 능력이 부족함