- 애플 기기·기간시설 겨냥 공격 증가, 암호화·생체인식 보안 확대
- 랜섬웨어와 악성코드 유포 집단 간 갈등, 경쟁 삼화 예상

[디지털데일리 이유지기자] 2016년 최대 보안이슈로 ‘사물인터넷(IoT)’이 지목됐다. IoT 기기 사용이 확대되면서 이를 겨냥한 공격이 증가할 것이란 예측이다.

시만텍은 3일 싱가포르에서 열린 아시아태평양·일본지역 미디어 행사에서 ‘2016년 주목해야 할 보안시장 전망’을 발표했다.

이에 따르면, 내년에는 ▲IoT 기기의 보안 이슈가 확대되는 것을 비롯해 ▲애플 기기를 공격하는 사이버 범죄가 크게 증가할 것으로 예상된다. 또 ▲데이터 유출로 인한 사이버 보안 보험의 성장 ▲주요 기간시설 대상 공격 위험 증가 ▲암호화 필요성 증대 ▲생체인식 보안 본격화 등도 주목해야 할 보안 동향으로 꼽혔다.

특히 시만텍은 올해 피해가 급증했던 ‘랜섬웨어’의 위세가 더욱 확산될 것으로 예상되는 가운데 유포 집단과 기존의 악성코드 유포집단이 서로 세력다툼을 벌일 것이란 전망도 내놨다.

닉 사비데스(Nick Savvides) 시만텍 태평양지역 수석 책임 시스템 엔지니어는 이같은 2016년 보안 이슈 전망을 소개하면서 가장 먼저 “IoT 기기가 폭발적으로 증가하고 있지만 보안 위험은 간과하고 있다”고 지적하고 “IoT 기기에 보안을 내재화하는 문제가 아주 중요해질 것이다. 반드시 개발 초기부터 IoT 보안을 적용해야 한다”고 강조했다.

시만텍은 사이버범죄가 뛰어난 기술력과 풍부한 자원을 기반으로 점차 대규모 사업화가 되고 있는 가운데 올해에는 IoT, 모바일, 클라우드 등 새로운 IT 환경이 확대되면서 사이버범죄 영역이 확대되고 있음을 보여준 한 해였다고 평가했다.

◆IoT 기기의 보안 이슈 확대=스마트 시계, 활동 트래커, 홀로그램 헤드셋 등 IoT 기기를 사용하는 소비자가 증가함에 따라 IoT 기기의 보안 강화 필요성은 더욱 커지고 있다.

시장조사기관인 가트너는 2020년까지 다양한 산업 전반에서 약 300억대의 연결된 사물이 사용되고 기업 내 부서 곳곳에 IoT가 사용될 것으로 전망했다.

최근 몇 년간 모바일 영역에서 안드로이드 플랫폼을 겨냥한 공격이 증가한 것처럼, 특정 생태계의 성장과 맞물려 IoT 기기를 겨냥한 공격이 증가할 것으로 전망된다. 아직까지는 IoT 기기 시장이 성장하고 있지만 값싼 하드웨어 플랫폼과 운영체제(OS)가 다수 존재하는 등 여전히 세분화가 많이 돼 있는 상태다.

시만텍은 2016년 새롭게 떠오를 IoT 관련 보안 위협 분야로 의료기기를 지목했다. 아직은 실제 해킹 사례가 보고된 바는 없지만 인공심장박동기(pacemaker)나 인슐린 펌프와 같은 생명 유지 기기의 해킹 가능성은 이미 알려진 사실이다.

모바일 헬스(mHealth)의 발전으로 환자들이 점차 집에서 의료 기기를 사용하게 되고, 이에 따라 공용 네트워크에 의료 기기가 연결된다거나 스마트폰과 같은 개인기기를 통해 의료 정보가 포함한 개인의 데이터를 주고받게 되는 변화가 급격하게 일어나면서 관련 규제가 필요해진 상황이다. 일부 국가나 산업에서는 IoT 기기와 관련한 정보 사용, 데이터 소유권, 동의 등 새로운 문제를 해결하기 위한 가이드라인을 마련하게 될 것으로 관측된다.

◆애플 기기 공격하는 사이버 범죄 증가=시장조사기관인 IDC에 따르면, 애플은 전세계 스마트폰 출하량의 13.5%, 전세계 PC 출하량의 7.5%를 차지한다. 이러한 애플 기기의 인기에 발맞춰 맥 OS X나 iOS 기기의 감염을 목적으로 악성코드를 만들어내는 사이버 공격자의 수도 증가하고 있다.

애플 운영체제를 노리는 위협은 윈도나 안드로이드와 비교할 때 여전히 매우 낮은 수준이지만, 애플을 겨냥한 위협이 지난 18개월간 급증했다는 것은 주목해야 할 현상이다.

지난해 애플을 위협하는 위협들이 다수 발견되면서 보안 연구진은 애플 소프트웨어의 취약점에 더욱 집중하고 있다. 제로데이 공격 브로커들은 최근 iOS 9.1 탈옥(jailbreak) 기법에 100만달러를 지불하는 등 애플 취약점에 대한 현상금을 지급하기 시작했다. 애플의 인기가 지속적으로 늘어난다면 이러한 현상은 내년에도 계속될 가능성이 있다.

◆랜섬웨어 범죄 집단과 악성코드 유포 집단 간 경쟁 심화=데이터를 인질로 금전을 요구하는 랜섬웨어는 러시아어권 지역에서 시작돼 서유럽, 미국, 캐나다, 호주, 유럽 및 아시아 지역으로 확산되고 있다. 수익을 올릴 수 있다는 점 때문에 랜섬웨어의 규모는 더 커질 것으로 예상되고 있는 가운데, 2016년에는 랜섬웨어 범죄 집단이 기존의 악성코드 유포 집단과 갈등을 일으킬 가능성이 예상된다.

랜섬웨어는 탐지가 어렵지 않아서 컴퓨터에서 랜섬웨어가 발견되면 대개 그 즉시 컴퓨터 파일들을 말끔히 정리한다. 이 때 악성코드를 제거하는 과정에서 기존에 악성코드 유포자들이 심어놓은 악성코드들도 함께 삭제돼 악성코드 유포 집단의 비즈니스에도 영향을 주게 될 것이라는 점에서 두 집단 간의 세력 다툼이 생겨날 것으로 시만텍은 내다보고 있다.

이에 따라 2016년에는 랜섬웨어 유포를 거부하는 악성코드 유포 네트워크가 증가해 랜섬웨어 집단이 자신들만의 유포 방식을 고안해낼 가능성이 있다.

◆데이터 유출로 인한 사이버 보안 보험 성장=기업의 정보 유출 대응을 의무화하는 규제가 생기고 탈취한 정보를 이용한 결제 사기, 계정 절도 등의 사이버 범죄가 늘어나는 상황이 사이버 보안 보험의 성장을 이끌고 있다. 데이터 유출은 기업의 신뢰도에 심각한 타격을 입히고 많은 비용을 초래하기 때문에 2016년에는 많은 기업이 보안 강화의 일환으로 보험에 가입하게 될 것으로 예상된다.

사이버 보안 보험은 보안 유출 사고에 직면했을 때 기업의 브랜드와 명성을 지키면서 지속적인 비즈니스 운영을 가능하게 할 수 있도록 가입시에 보장 범위를 신중하게 선택해야 한다.

사이버 보안 보험은 기술만큼 빠르게 발전하고 있다. 요즘 제공되는 핵심 보장 범위는 불과 3년 전만 해도 이용할 수 없었다. 데이터 유출 및 사이버 위험이 진화하면서 보장 범위를 확대, 강화하는 논의가 계속될 것으로 보인다.

◆주요 기간시설 겨냥한 공격 위험 증가=주요 기간시설을 대상으로 한 사이버공격은 2016년에 더욱 증가할 것으로 예측된다. 국가와 정치 조직이 사이버 전쟁을 일으키고 수익이나 몸값을 요구하는 사이버 범죄자들에서 볼 수 있듯이 핵심 기반시설을 겨냥한 공격은 정치적인 동기나 범죄 의도를 가지고 있다.

산업 분야에서는 IoT가 도입되면서 점점 더 네트워크에 긴밀하게 연결되고 있다. 이러한 변화로 전통적으로 보호가 어려운 기간시설로까지 사이버 공격이 확대되고 있다.

◆강력한 암호화 필요성 대두=‘모든 곳을 암호화하라(Encrypt everywhere)’는 말은 IT업계에서 하나의 주문(mantra)이 되고 있다. 인터넷과 같이 불안전하고 취약한 네트워크에서 인간과 시스템 간에 많은 커뮤니케이션과 교류가 이뤄지면서 오가는 데이터에 강력한 암호화를 적용해야 할 필요성은 오랫동안 제기돼 왔다. 그 결과 이제는 일반적으로 암호화가 도입되고 있다.

하지만 여전히 많은 신규 기기와 앱에 암호화가 허술하게 구축되면서 취약점을 이용해 공격자들이 통신 데이터에 접근 가능한 상황이다.

예를 들어, 대다수 사람들이 일상에서 사용하는 모바일 기기는 범죄자에게는 높은 가치가 있는 목표물이 됐다. 때문에 모바일 OS 제조사는 자사 제품의 암호화 수준을 지속적으로 개선하고 있다. 반면, 암호화가 사용자의 데이터를 사이버 공격으로부터 보호하는 데 도움이 되지만, 법 집행에 있어서 장애물이 된다고 생각하는 정부 입장에서는 불만이 높아지고 있다.

◆생체인식 보안 본격화=최근 2년간 생체인식 기술 활용이 급증했다. 주요 기업들을 중심으로 디지털 기기 자체의 새로운 센서나 파이도(FIDO), 터치아이디(TouchID)와 같은 생체인식 인증 체계를 도입함에 따라 앞으로 생체인식 활용은 더욱 늘어날 것으로 전망된다.

생체인식 보안의 활성화로 개인 사용자 입장에서 보안은 한층 강화되고, 디지털 기기의 잠금 해제나 구매·결제의 편의성은 크게 높아진다. 이러한 흐름 속에서 비밀번호 의존도를 줄이려는 기업들의 생체인식 보안 도입이 늘고 있다.

◆게임화와 시뮬레이션 통한 보안 의식 제고=인터넷 보안은 기술만큼이나 인적 요소에 대한 의존도가 높다. 이러한 맥락에서 2016년에는 보안 의식을 제고하기 위해 보안 교육에 게임화(gamification)와 시뮬레이션 도입이 확대될 것으로 전망된다.

게임화는 게임이 아닌 분야에 게임의 메커니즘과 사고방식을 접목하는 것을 뜻한다. ‘보안 게임화’는 단순한 컴퓨터 게임에서 얻는 심리적 보상과 즉각적인 만족감을 이용해 지속적인 행동 변화를 가져올 수 있다. 예를 들어, 게임 방식을 이용해 피싱 이메일이나 강력한 패스워드의 생성 및 사용에 대해서도 교육할 수 있다.

또한 기업들은 보안 침해사고에 대비하고, 현재의 방어 역량을 이해하고자 시뮬레이션과 보안 ‘워 게임(war game)’에 투자를 늘리게 될 것이다. 기업은 전통적인 침투 테스트를 시뮬레이션 대응과 사고 조치 단계로 확대함으로써 직원을 교육하고 준비 태세를 강화할 수 있다. 정부의 경우도 마찬가지다.

2015년 1월, 영국의 데이비드 캐머런(David Cameron) 총리와 미국의 버락 오바마(Barack Obama) 대통령은 ‘워 게임’ 일환으로 양국간 사이버공격을 실시하기로 한 바 있다. 앞으로는 기업도 이러한 방식을 선택하게 될 것으로 보인다.

<싱가포르=이유지 기자>yjlee@ddaily.co.kr