[디지털데일리 이민형기자] 2013년에는 지난해와 마찬가지로 모바일, 클라우드 서비스와 지능화된 타깃공격이 주요 보안화두로 떠오를 것으로 전망된다. BYOD(Bring Your Own Device)와 같은 이슈를 비롯해 기업들의 클라우드 컴퓨팅 도입이 본격화됐기 때문이다.
또한 올해부터 새롭게 시행되는 개인정보보호법, 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률) 일부 조항과 관련된 산업적인 이슈도 주목된다.
먼저 스마트폰으로 대표되는 모바일 기기에 대한 보안위협이 급증될 것으로 예상된다. 이는 스마트폰에는 일반적인 개인정보 외에도 주소록 정보, 모바일 금융거래 정보 등 금전적인 이득을 취할 수 있는 다양한 데이터가 있기 때문이다.
특히 모바일 기반 애드웨어, 악성 애플리케이션이 크게 유행할 것으로 보인다. 모바일 애드웨어는 사용자 경험을 방해하고, 위치정보, 연락처 및 디바이스 식별정보를 범죄자에게 노출시킨다. 사용자가 앱을 다운받을 때 몰래 잠입하는 모바일 애드웨어는 알림바 추가 아이콘에 팝업 창을 띄우고, 브라우저 환경을 변경하며, 개인 정보를 수집한다.
또한 BYOD 이슈가 기업들에게 닥치면서 IT관리자들이 갖게 될 모바일 보안에 대한 고민도 깊어질 전망이다. 기업의 관리를 받지 않은 모바일 기기가 기업 네트워크에 접속하고 이러한 안전하지 않은 기기에 저장된 데이터가 이후 다른 클라우드 환경에 저장돼 모바일 기기상의 데이터 유출과 표적 공격 위험이 더욱 증가할 수 있기 때문이다.
해외뿐 아니라 국내에서 유독 심했던 ‘정치적 목적의 보안위협’도 증가할 것으로 예상된다. 우선 2013년 사이버상에서 무력을 앞세운 위협활동이 대두될 것으로 보인다. 국가, 조직 및 심지어 개인들이 무리 지어 사이버 공격을 이용해 힘을 과시하고 ‘위협 메시지’를 보내는 무력시위가 사이버 세계에 지대한 영향을 미칠 것으로 예상된다.
이러한 표적공격은 현재 개인이나 기업이 핵티비스트 그룹의 심기를 건드릴 때 간간히 나타나고 있지만 향후 정치 지지자, 분쟁관계에 있는 소수 집단 등 개인과 비정부 기구에 대한 공격도 증가할 전망이다.
지난 2009년에 등장한 APT(지능형지속가능위협) 공격 역시 빼놓을 수 없는 이슈 중 하나다.
APT 공격은 매년 공격 기법이 다양해지고 고도화되고 있으며, 공격 대상 역시 광범위해지고 있다. 과거 APT 공격은 어도비 PDF, 마이크로소프트(MS)의 워드 등 문서 파일에 존재하는 취약점과 스피어피싱(Spear Phising) 등을 결합한 방법으로 주로 이뤄졌으나, 앞으로는 더 진보된 형태도 나타날 것으로 점쳐진다.
특히 국내에서는 한컴오피스 사용자들을 노린 제로데이 공격이 지속적으로 발생해, 앞으로도 주의가 요망된다.
법적인 이슈도 빼놓을 수 없다. 개인정보보호를 비롯한 보안제도가 더욱 강화된다. 주민등록번호 수집 금지가 모든 웹사이트에 적용되며, ‘정보보호 안전진단제도’가 ‘정보보호관리체계(ISMS)’ 인증제도로 변경된다.
개인정보보호를 위한 기업들의 책임이 강화됨에 따라 보안업계는 올해도 지난해와 마찬가지로 ‘보안특수’를 노릴 수 있을 것으로 예상된다.