2016년 보안 시장의 화두는?
[IT동아 이상우 기자] 시만텍(www.symantec.com)이 '2016년 주요 보안 동향 전망'을 발표했다. 2016년에도 보안 위협이 더욱 심화될 전망이며, ▲IoT 기기의 보안 이슈 확대 ▲애플 기기를 공격하는 사이버 범죄 증가 ▲랜섬웨어 범죄 집단과 악성코드 유포 집단의 경쟁 심화 ▲데이터 유출로 인한 사이버 보안 보험의 성장 ▲주요 기간시설 겨냥한 공격 위험 증가 ▲암호화 필요성 대두 ▲생체인식 보안 본격화 ▲게임화와 시뮬레이션을 통한 보안 의식 제고 등을 주목해야 할 보안 동향 전망이다.
1. IoT 기기의 보안 이슈 확대
스마트 시계, 운동량 추적기, 홀로그램 헤드셋 등 IoT 기기를 사용하는 소비자가 증가함에 따라 IoT 기기의 보안을 강화해야 하는 필요성은 더욱 커질 것이다. 시장조사기관 가트너(Gartner)는 2020년까지 다양한 산업 전반에서 약 300억대의 연결된 사물이 사용되고, 기업 내 부서 곳곳에 IoT가 사용될 것으로 전망했다. IoT 기기 시장이 성장하고 있는 것은 분명하지만, 값싼 하드웨어 플랫폼과 운영체제가 다수 존재하는 등 여전히 세분화가 많이 되어 있는 것이 사실이다. 최근 몇 년간 모바일 영역에서 안드로이드 플랫폼을 겨냥한 공격이 증가한 것처럼, 특정 생태계의 성장과 맞물려 IoT 기기를 겨냥한 공격은 분명히 증가할 것이다.
또한 2016년에는 의료기기 분야가 보안 위협의 새로운 영역이 될 것으로 보인다. 아직까지 현실에서 해킹 사례는 보고된 바 없지만, 인공심장박동기(pacemaker)나 인슐린 펌프와 같은 생명 유지 기기의 해킹 가능성은 이미 알려진 사실이다. 모바일 헬스(mHealth)의 발전으로 환자들이 점차 집에서 의료 기기를 사용하게 되고, 이에 따라 공용 네트워크에 의료 기기가 연결된다거나 스마트폰과 같은 개인 기기를 통해 의료 정보가 포함한 개인의 데이터를 주고 받게 될 것이다.
이러한 변화가 급격하게 일어나면서 2016년에는 당장 규제가 이러한 기술을 따라갈 수 밖에 없을 것이다. 일부 국가나 산업에서는 IoT 기기와 관련한 정보 사용, 데이터 소유권, 동의 등 새로운 문제를 해결하기 위한 가이드라인을 마련하게 될 것이다.
2. 애플 기기를 공격하는 사이버 범죄 증가
시장조사기관 IDC에 따르면, 애플은 전세계 스마트폰 출하량의 13.5%, 전세계 PC 출하량의 7.5%를 차지한다. 이러한 애플 기기의 인기에 발맞춰 OS X이나 iOS 기기의 감염을 목적으로 악성코드를 만들어내는 사이버 공격자의 수도 증가하고 있다. 애플 운영체제를 노리는 위협은 애플의 주요 경쟁사들(데스크톱은 윈도우, 모바일은 안드로이드)과 비교했을 때 여전히 매우 낮은 수준이지만, 애플을 겨냥한 위협이 지난 18개월간 급증했다는 것은 주목해야 할 현상이다. 지난 해 애플을 위협하는 위협들이 다수 발견되면서 보안 연구진은 애플 소프트웨어의 취약점에 더욱 집중하고 있다. 제로데이공격 브로커들은 최근 iOS 9.1 탈옥(jailbreak) 기법에 100만 달러를 지불하는 등 애플 취약점에 대한 현상금을 지급하기 시작했다. 애플의 인기가 지속적으로 늘어난다면 이러한 현상은 내년에도 계속될 가능성이 있다.
3. 랜섬웨어 범죄 집단과 악성코드 유포 집단의 경쟁 심화
데이터를 인질로 금전을 요구하는 랜섬웨어는 러시아어권 지역에서 시작되어 서유럽, 미국, 캐나다, 호주, 유럽 및 아시아 지역으로 확산되고 있다. 수익을 올릴 수 있다는 점 때문에 랜섬웨어의 규모는 더 커질 것으로 예상되는 가운데, 2016년에는 랜섬웨어 범죄 집단이 기존의 악성코드 유포 집단과 갈등을 일으킬 가능성이 예상된다.
랜섬웨어는 탐지가 어렵지 않아서 컴퓨터에서 랜섬웨어가 발견되면 보통은 즉시 컴퓨터 파일들을 말끔히 정리한다. 이때 모든 악성코드를 제거하는 과정에서 기존에 악성코드 유포자들이 심어놓은 악성코드들도 함께 삭제돼 악성코드 유포 집단의 비즈니스에도 영향을 주게 될 것이기 때문이다. 따라서 2016년에는 랜섬웨어 유포를 거부하는 악성코드 유포 네트워크가 증가해 랜섬웨어 집단이 자신들만의 유포 방식을 고안해낼 가능성이 있다.
4. 데이터 유출로 인한 사이버 보안 보험의 성장
기업의 정보 유출 대응을 의무화하는 규제가 생기고, 탈취한 정보를 이용한 결제 사기, 계정 절도 등의 사이버 범죄가 늘어나면서 사이버 보안 보험의 성장을 이끌고 있다. 데이터 유출은 기업의 신뢰도에 심각한 타격을 입히고 많은 비용을 초래하기 때문에 2016년에는 많은 기업이 보안 강화의 일환으로 보험에 가입하게 될 것이다.
사이버 보안 보험은 보안 유출 사고에 직면했을 때 기업의 브랜드와 명성을 지키고, 지속적인 비즈니스 운영을 가능하게 할 수 있도록 보험 가입 시 신중하게 보장 범위를 선택해야 한다.
사이버 보안 보험은 기술만큼 빠르게 발전하고 있다. 요즘 제공되는 핵심 보장 범위는 불과 3년전만 하더라도 이용할 수 없었다. 데이터 유출 및 사이버 위험이 진화하면서 보장 범위를 강화하는 논의가 계속될 것으로 보인다.
5. 주요 기간시설 겨냥한 공격 위험 증가
이미 주요 기간시설에 대한 공격 사례가 보고된 바 있고, 2016년에는 이러한 공격이 증가할 것으로 전망된다. 국가와 정치 조직이 사이버 전쟁을 일으키고, 수익이나 몸값을 요구하는 사이버 범죄자들에서 볼 수 있듯 핵심 기반시설에 대한 공격은 정치적인 동기나 범죄 의도를 가지고 있다. 산업 분야의 IoT는 부가적인 서비스들과 연결을 통해 보고 및 기능을 개선하고자 하는 필요성 때문에 점점 더 네트워크에 긴밀하게 연결되고 있다. 이러한 변화로 전통적으로 보호가 어려운 기간시설로까지 사이버 공격이 확대되고 있다.
6. 암호화 필요성 대두
'모든 곳을 암호화하라(Encrypt everywhere)'는 말은 IT 업계에서 하나의 주문(mantra)이 되고 있다. 인터넷과 같이 불안전하고 취약한 네트워크에서 인간과 시스템 간에 많은 커뮤니케이션과 교류가 이루어지고 있는 가운데, 오고 가는 데이터에 대한 강력한 암호화가 필요하다는 것은 오랫동안 인지되어 왔고, 이제는 일반적으로 암호화가 도입되고 있다.
그러나 안타깝게도 많은 신규 기기와 앱에 암호화가 허술하게 구축되면서 취약점을 이용해 공격자들이 통신 데이터에 접근할 수 있게 되었다. 예를 들어, 대다수 사람들의 일상에서 모바일 기기는 통신이나 데이터 저장, 일반적인 기술 활용에 사용되면서 중요한 부분을 차지하게 되었고, 범죄자에게는 높은 가치가 있는 목표물이 되었다. 때문에 모바일 OS 제조사는 자사 제품의 암호화 수준을 지속적으로 개선하고 있다. 반면, 암호화가 사용자의 데이터를 사이버 공격으로부터 보호하는 데 도움이 되지만, 법 집행에 있어서 장애물이 된다고 생각하는 정부 입장에서는 불만이 높아지고 있다.
7. 생체인식 보안 본격화
최근 2년간 생체인식 기술의 활용이 급증했다. 주요 기업들을 중심으로 디지털 기기 자체의 새로운 센서나 파이도(FIDO), 터치ID(TouchID)와 같은 생체인식 인증 체계를 도입함에 따라 앞으로 생체인식은 더욱 늘어날 것으로 전망된다. 생체인식 보안의 활성화로 개인 사용자 입장에서 보안은 한층 강화되고, 디지털 기기의 잠금 해제나 구매 및 결제의 편의성은 크게 높아진다. 이러한 흐름 속에서 비밀번호 의존도를 줄이려는 기업들의 생체인식 보안 도입이 늘고 있다.
8. 게임화(gamification)와 시뮬레이션을 통한 보안 의식 제고
인터넷 보안은 기술만큼이나 인적 요소에 대한 의존도가 높다. 이러한 맥락에서 2016년에는 보안 의식을 제고하기 위해 보안 교육에 게임화(gamification)와 시뮬레이션의 도입이 확대될 것으로 전망된다.
게임화(gamification)는 게임이 아닌 분야에 게임의 메커니즘과 사고방식을 접목하는 것으로, '보안 게임화'는 단순한 컴퓨터 게임에서 얻는 심리적 보상과 즉각적인 만족감을 이용해 지속적인 행동 변화를 가져올 수 있다. 예를 들어, 게임 방식을 이용해 피싱 이메일이나 강력한 패스워드의 생성 및 사용에 대해서도 교육할 수 있다.
또한 기업들은 보안 침해사고에 대비하고, 현재의 방어 역량을 이해하고자 시뮬레이션과 보안 '워 게임(war game)'에 투자를 늘리게 될 것이다. 기업은 전통적인 침투 테스트를 시뮬레이션 대응과 사고 조치 단계로 확대함으로써 직원을 교육하고 준비 태세를 강화할 수 있다. 정부의 경우도 마찬가지다. 2015년 1월, 영국의 데이비드 캐머런(David Cameron) 총리와 미국의 버락 오바마(Barack Obama) 대통령은 '워 게임'을 통한 사이버 공격을 서로간에 실시하기로 한 바 있다. 2016년에는 기업도 이러한 방식을 선택하게 될 것이다.
글 / IT동아 이상우(lswoo@itdonga.com)