[2018년 12월 17일] - 기업 존립을 위협할 정도로 치명적인 해킹 사고가 빈번한 2018년 한 해가 저물고 있다. 한 마디로 말 많고 탈 많던 보안 시장 기상도에는 연일 먹구름이 가득했는데, 2019년에도 화창한 날을 마주하기는 힘들 전망이다. 날로 고도화하고 자동화하는 시스템의 허점만 정교하게 노린 공격이 올해 못지 않게 빈번해질 것으로 예측되는 가운데 자칫 막지 못하면 천문학적인 피해는 불가피하다.
때마침 보안 기업 팔로알토 네트워크가 내년 보안 전망 리포트를 공개했다. 2019년 보안 업계가 주목해야 할 핵심만 요약하자면 ▲비즈니스 이메일 계정 공격 사례 증가 ▲공급망이 가장 취약한 고리로 노출 ▲아태지역 내 데이터 보호 규정 강화 ▲ 점점 더 어려워지는 클라우드 보안 ▲사회 주요 인프라를 향한 보안 위협 증가가 내년에 더욱 기승을 떨칠 주요 항목이다. 좀 더 구체적인 내용은 아래와 같다.
전망 1. 비즈니스 이메일 계정 공격 증가
기업 타깃 사이버 범죄는 연일 증가추세다. 지난 5년 사이 비즈니스 이메일 계정공격으로 발생한 피해 금액은 전 세계적으로 120억 달러 이상에 달한다. 기업 내에서 사용하는 패스워드 및 로그인 세부정보 탈취 사례가 대표적인데, 공격자는 파트너 및 내부 이해관계자로 위장하여 먹이감을 노렸다. 비즈니스 이메일 해킹 증가는 기업 웹사이트를 모방하는 것에서 시작했는데 직원 개인 소셜 미디어 계정 탈취에 이르기까지 공격은 갈수록 복잡한 형태로 전개됐다. 이의 흐름은 2019년에도 지속될 전망으로 내부 점검을 우회해 허점을 노릴 공격자 증가는 불가피하다.
전망 2. 공급망이 가장 취약한 고리로 노출
디지털 시대 도래에 따라 상호 연결된 글로벌 공급망 구축이 용이해지고 있다. 보다 간편하게 전세계 공급업체 및 아웃소싱 서비스가 가능해졌으며, 데이터 및 네트워크 공유를 포함한 연결성이 혁신을 끌어내는 단초다. 문제는 이를 악용해 취약점을 찾거나 새로운 공격을 시도할 기회가 된다는 것. 예컨대 MRI 및 X레이 등 헬스케어 산업군에 가해지는 공격은 전체 병원을 통제 불가능 상태로 만들 수 있다.
이에 따라 보안 위험을 정확히 파악하고 피하는 것이 점점 더 어려워질 전망이다. 어떤 개인, 조직 및 기타 제3자 중 누가 내부 네트워크에 접속했는지 파악하고 조직 내부에서 어떤 시스템 및 어떤 서비스를 사용하고 있는지 이해가 중요한 이유다. CSO는 중요한 정보가 외부 장치 및 시스템으로부터 떨어져 분리되고 안전하게 유지되도록 하기 위해 네트워크 내 트래픽 관리에 힘써 줄 것을 권고한다. 안전하지 않은 다수의 기기가 기업 네트워크에 연결되는 환경에서 사물 인터넷(IoT)은 곧 '사이버 위협의 인터넷(internet of cyberthreats)’이 될 수 있기 때문이다.
전망 3. 아태지역 내 데이터 보호 규정 강화
아시아-태평양 국가 사이에 사이버 보안 이니셔티브에 대한 협력 강화 추세에 따라, 데이터 보호에 대한 프레임워크 구축이 불가피해질 전망이다. 호주, 싱가포르에서는 이러한 프로젝트가 시행되었으며, 아태지역 내 다른 국가도 자국민 데이터 보호 대책 마련에 고심하고 있다. 국가별 디지털 성숙도에는 차이가 있으나, 자체 GDPR과 같은 데이터 보호 규정을 마련하고 대응에 나섰으니 2019년은 국가적 데이터 보호 규정의 변곡점이 되는 해가 될 전망이다.
전망 4. 점점 더 어려워지는 클라우드 보안
애플리케이션 중심 시대는 거스르기 힘든 흐름이다. 컴퓨팅 리소스에 대한 막대한 초기 투자 없이 새로운 제품과 서비스를 제공할 수 있는 ‘준비된 자원(go-to-resource)’으로 활용이 가능하기 때문이다. 클라우드 컴퓨팅은 일부 보안 영역을 단순화하는 데 도움이 되는 동시에 새로운 당면 과제를 부여하고 있다. 클라우드 전환은 중요한 비즈니스 데이터와 시스템을 써드파티 사업자와 공유함을 의미한다. 그렇기에 자산은 안전하게 저장 및 전송되어야 하며, 승인된 인력만이 액세스할 수 있어야 한다.
클라우드 보안은 서비스 사업자가 단독으로 책임질 수 없으며, 데이터, 애플리케이션, 운영 체제, 네트워크 구성 등의 보안 문제를 해결해야 하는 기업과 책임을 공유해야만 한다. 이러한 상호 연결된 에코시스템이 보안을 훨씬 더 복잡하게 만들고, 특히 사이버 보안 담당 인력을 관리하고 시중의 수많은 포인트 제품을 취급해야 하는 기업들의 경우 더욱 어려움을 겪게 될수 있다.
전망 5. 사회 주요 인프라를 향한 보안 위협 증가
기간 설비 및 공공 자원을 의미하는 사회 주요 인프라의 범위가 금융 서비스, 통신, 미디어 등의 영역까지 확대되는 추세다. 주요 인프라가 디지털로 전환하고 자동화됨에 따라 기업 및 산업 네트워크 교류가 증가하고, 보다 공격하기 쉬운 범죄 타깃이 되고 있다. 특히 패치가 어려운 레거시 시스템에 의존하는 SCADA(집중 원격감시 제어시스템) 및 ICS(산업제어시스템) 등이 위험에 노출되고 있으며, 이러한 시스템의 주 사용처인 에너지, 수자원관리, 대중교통 등의 영역은 다양한 사이버 공격의 표적으로 제격이다.
기존에는 대부분의 주요 인프라 운영 주체에서 주로 정보의 기밀성에 초점을 맞추어 왔으며, 정보 보안의 다른 두 가지 원칙인 무결성과 가용성을 간과했다. 자율주행을 위한 머신 러닝 등 인더스트리 4.0 기술에 중점을 두고 있는 국가는 인프라 보안에 비중을 높일 필요가 있다. 원격 측정 및 지속적인 연결성이 필수적인 혁신 기술들은 정확하고 접근가능한 데이터를 사용해야 하기 때문이다.
총 5개 항목 나열 내년 보안 기상도 ‘최악’
기업은 가능한 구체적 내부 정보 흐름을 분석하고 보다 포괄적인 점검 및 승인 프로세스를 구축해야 한다. 이경우 패스워드는 탈취가 간편하고, 보안성이 떨어지며, 사용자 신원 증명이 어렵기 때문에 가급적 2단계 혹은 다단계 인증 및 생체 인증 등의 조치를 마련해야 한다.
아울러 디바이스 및 서비스 조달 보안 표준 마련도 시급한 항목이다. 펌웨어와 애플리케이션을 항상 최신 상태로 유지하는 것은 물론 외부 시스템 및 디바이스가 네트워크에 있는 경우 제로 트러스트 접근법을 기반으로 승인된 사용자 및 앱만 통신할 수 있게 트래픽을 배치하고 검사해야 한다. 2019년은 안전하지 않은 디바이스가 공격자들을 위한 게이트웨이가 되어 컴퓨터와 스마트폰을 노리는 공격이 늘어날 전망이다.
GDPR도 관건이다. 실제 전세계 기업이 데이터의 수집과 저장에 많은 주의를 기울이고 있다. 실제 다수 기업이 GDPR을 기준선 삼아 격차를 평가하고 보안 전략을 구축하고 있다. 아태지역은 GDPR 수준의 광범위한 프레임워크가 등장하기까지는 다소 시간이 걸릴 수 있으나, 각 기업에서는 불필요한 개인 데이터 수집을 최소화하는 방향으로 보안 정책을 시행하는 노력이 선행되어야 한다.
레거시 보안 시스템을 맹신하고 있다면 이 또한 주의가 필요하다. 실제 증가하는 사이버 공격의 양과 정교함을 막는데 부적합함이 입증됐다. 상당수가 수동 조작이며 이미 진행된 상태의 타깃 공격을 방어하기 어렵기 때문이다. 공격 라이프사이클의 모든 단계에서 알려진 위협과 알려지지 않은 위협을 탐지하고 방어하기 위해서는 통합형의 자동화된 보안 제어 전략이 필요하다.
따라서 규제 기반의 접근법에서 벗어나 모든 측면에 보안이 스며들도록 개선하는 노력이 필요하다. 규제기관과 운영주체가 협력하여 최적의 규제 프레임워크를 마련하고, 설계에서부터 유지 보수에 이르기까지 모든 단계에서 보안 우선 전략에 임하는 정책 마련에 관심을 기울여야 할 시점이다.
팔로알토 네트웍스 코리아 최원식 대표는 “클라우드와 디지털 전환으로 인해 혁신의 속도가 빨라진 만큼 공격도 늘어나고 있다. 공격자의 기술이 진화하고 공격의 비용 또한 낮아지는 상황에서 내부 인력만으로는 효과적인 방어가 점점 더 어려워질 것이다. 팔로알토는 2019년에도 통합 보안 전략과 자동화 프로세스를 갖출 수 있도록 다각적으로 지원을 지속할 계획이다”고 말했다.
By 김현동 에디터 hyundong.kim@weeklypost.kr
〈저작권자ⓒ 위클리포스트, 무단전재 및 재배포 금지〉