2017.12.04

2018년을 지배할 5가지 정보 보안 위협

Thor Olavsrud | CIO
데이터 침해 측면에서 2017년이 끔찍한 한 해였다고 생각한다면 2018년에는 단단히 각오해야 할 것이다. 사이버 보안과 정보 위험 관리를 주로 다루는 정보 보안 포럼(Information Security Forum, ISF)은 기업 조직이 2018년에 직면하게 될 5가지 주요 글로벌 보안 위협으로 인해 데이터 침해 횟수와 파급력이 더욱 증가할 것으로 전망했다.


Credit: Getty Images Bank

ISF 이사 스티브 더빈은 "정보 보안 위협은 오늘날 가장 신뢰받는 기업들의 평판을 위태롭게 할 정도로 광범위하고 빠르다"면서, "2018년에는 목표물의 약점에 맞춰 또는 현재 구현된 방어에 따라 변형되는 형태의 위협 요소로 인해 전체적인 위협 상황은 더욱 복잡해질 것이다. 요즘 위험은 과거보다 훨씬 더 크다"고 말했다.

더빈은 데이터 침해가 증가하면서 기록 유출 규모도 커지게 될 것이라고 말했다. 이로 인해 2018년 공격은 조직의 규모에 관계없이 지금보다 훨씬 더 큰 비용을 초래하게 된다. 더빈은 이런 비용 중에는 네트워크 정비, 고객 알림과 같은 전통적인 비용도 있지만 다수의 당사자가 얽힌 소송과 같은 새로운 측면의 비용도 발생할 것으로 예상했다. ISF는 화가 난 고객이 더 엄격한 데이터 보호 규제를 마련하도록 정부를 압박하면 이에 수반되는 비용도 발생하게 된다고 말했다.

ISF가 예상하는 기업이 2018년에 직면하게 될 5개의 가장 큰 글로벌 보안 위협은 다음과 같다.
- 범죄 서비스(Crime as a Service, CaaS) 툴과 서비스가 확산된다.
- 사물인터넷(IoT)으로 인해 관리되지 않는 위험이 추가된다.
- 공급망은 위험 관리에서 여전히 가장 약한 고리가 될 것이다.
- 규제로 인해 중요한 자산 관리가 복잡해진다.
- 이사회의 기대를 충족하지 못하는 대규모 사고가 발생하게 된다.


1. CaaS(Crime as a Service)의 확산
ISF는 지난해 범죄 조직이 대규모 민간 기업 조직을 모방한 복잡한 계층과 파트너십, 협업을 추진하면서 CaaS가 비약적으로 성장할 것으로 예상한 바 있다.

더빈은 2017년 "사이버 범죄, 특히 CaaS(Crime as a Service)가 크게 증가하면서 이런 예측이 사실로 드러났다"고 말했다. ISF는 이 추세가 2018년에도 지속되면서 범죄 조직이 새로운 시장으로 다변화를 꾀하고 글로벌 수준으로 활동을 확대할 것으로 내다봤다. ISF는 기존의 범죄 구조에 뿌리를 두는 조직도 있지만 전적으로 사이버범죄에만 집중하는 조직도 새롭게 부상할 것으로 예상했다.

더빈은 2018년의 가장 큰 차이점은 공격 욕구는 있지만 기술적인 지식이 부족한 사이버범죄자가 CaaS를 통해 툴과 서비스를 구입, 이전에는 할 수 없었던 수준의 공격을 감행할 수 있게 되는 것이라고 말했다.

더빈은 "사이버범죄는 무조건 큰 목표물을 공격하는 과거의 형태에서 벗어나 지적 재산과 대형 은행으로 옮겨가고 있다"고 덧붙였다.

요즘 가장 인기있는 악성코드 범주인 크립토웨어를 살펴보자. 과거 랜섬웨어를 사용하는 사이버범죄자들은 비뚤어진 형태의 신뢰에 의존했다. 즉, 범죄자가 컴퓨터를 암호화하면 피해자는 데이터 몸값으로 돈을 지불하고, 돈을 받은 범죄자는 신뢰를 지켜 컴퓨터의 잠금을 풀어준다.

그러나 더빈은 이 분야에 욕심이 큰 사이버범죄자들이 대거 유입되면서 이런 "신뢰"가 깨지고 있다고 말했다. 데이터 몸값을 지불하고도 암호화된 데이터를 돌려받지 못하거나, 사이버범죄자가 동일한 피해자를 반복해서 공격하는 경우가 발생한다.

더빈은 "이와 동시에 사이버범죄자들의 소셜 엔지니어링 수법도 더욱 교묘해지고 있다"고 말했다. 공격 목표는 주로 기업보다는 개인이지만 이런 공격은 조직에도 여전히 위협이 된다. 더빈은 "기업과 개인 사이의 경계가 점차 흐려진다. 개인이 곧 기업인 경우가 점점 더 많아지고 있다"고 말했다.

2. IoT 확산으로 관리되지 않은 위험 추가
기업 조직은 IoT 기기를 적극적으로 도입 중이지만 대부분의 IoT 기기는 기본적으로 안전하지 않다. 게다가 ISF는 빠르게 발전하는 IoT 생태계에 투명성이 갈수록 부족해지고 있음을 경고했다. 조직에서 고객이 의도하지 않은 방식으로 개인 데이터를 사용할 수 있도록 허용하는 모호한 사용 약관도 문제다.

기업 측에서는 네트워크 외부로 나가는 정보가 무엇인지, 또는 스마트폰이나 스마트 TV와 같은 기기에서 비밀리에 캡처되어 전송되는 데이터가 무엇인지 파악하기가 어렵다는 문제가 있다.

데이터 침해가 실제 발생하거나 투명성 위반이 드러나는 경우 규제 기관이나 고객이 조직에게 책임을 물을 수 있다. 최악의 시나리오에서 산업용 제어 시스템에 내장된 IoT 기기의 보안 결함은 부상 또는 사망 사고의 원인이 될 수도 있다.

더빈은 "제조업체 관점에서 사용 패턴을 알고 개별 기기를 더 잘 이해하는 것이 중요하다"면서, "어쨌든 이런 모든 요소는 이전까지는 없었던 더 많은 공격 수단을 열게 될 것”이라고 말했다. 더빈은 "기기에 통제 권한을 넘겨주지 않고 사람이 통제를 유지하고 기기를 보호하려면 어떻게 해야 할까? 이와 관련된 보안 인식이 높아지게 될 것으로 예상된다"고 덧붙였다.

3. 공급망, 여전히 약한 고리
ISF는 수년째 공급망의 취약점 문제를 제기해왔다. ISF가 강조하듯이 기업은 민감하고 귀중한 여러 가지 정보를 공급업체와 공유하는 경우가 많다. 정보가 공유하면 직접적인 통제력을 상실한다. 이는 해당 정보의 기밀성, 무결성 또는 가용성이 손상될 위험이 높아짐을 의미한다.

더빈은 "지난해부터 대규모 제조 기업들이 가동 불능 상태에 빠지고 공급망이 영향을 받는 상황이 발생하기 시작했다"고 말했다.

더빈은 "업종을 불문하고 공급망은 모든 곳에 있다"며, "현재 직면한 문제는 정보가 라이프사이클의 모든 단계에서 어디에 있는 지를 어떻게 알 수 있느냐다. 그 정보가 공유될 때 정보의 무결성을 어떻게 지킬 것인가?"라고 덧붙였다.

ISF는 2018년 기업 조직들은 공급망의 가장 약한 부분에 집중해야 한다고 전했다. 모든 보안 사고를 사전에 예방할 수는 없지만 기업과 공급업체는 미리 대비해야 한다. 더빈은 직면한 위험에 비례하는 강력하고 확장 및 반복 가능한 프로세스 도입을 권고했다. 조직은 기존 조달 및 공급업체 관리 프로세스 내에 공급망 정보 위험 관리를 통합해야 한다.

4. 규제로 인한 자산관리의 복잡성 추가
규제는 복잡성을 높이며 2018년부터는 전면적인 유럽 연합 일반 데이터 보호 규정(GDPR)도 실행되므로 핵심 자산 관리에 또 다른 복잡성 계층이 추가된다.

더빈은 "전 세계 다양한 사람과의 대화에서 GDPR이 대화 소재로 등장하지 않은 경우가 거의 없을 정도"라면서, "단순히 규정 준수의 문제가 아니다. 기업과 공급망 전반에서 모든 시점에 걸쳐 개인 데이터의 위치를 정확히 찾고, 해당 데이터가 어떻게 관리되고 보호되는지 파악해야 한다. 기업은 규제 기관뿐만 아니라 개인에게도 언제든 이를 입증해야 한다"고 말했다. 더빈은 "이를 제대로 구현하려면 비즈니스를 수행하는 방법 자체를 바꿔야 할 것"이라고 덧붙였다. 

ISF는 GDPR 의무 사항에 대처하는 데 필요한 추가 리소스로 인해 규정 준수와 데이터 관리 비용이 증가하면서 상대적으로 다른 활동에 대한 관심과 투자가 줄어들 가능성이 높다고 예측했다.

5. 충족되지 않은 이사회의 기대치
ISF에 따르면, 이사회의 기대치와 정보 보안 부서의 현실적인 역량 간 불일치는 2018년에 위협 요소로 작용할 전망이다.

더빈은 "이사회는 사이버 공간에서 사업을 한다는 사실 자체는 이해한다. 많은 경우 이사회가 이해하지 못하는 것은 그 사실이 내포하는 다양한 현실적 장벽"이라면서 "이들은 CISO가 모든 사항을 완벽히 통제한다고 생각한다. 많은 경우 이사회는 무엇을 물어야 하는 지를 여전히 모르고 있으며, CISO는 이사회 또는 사업부에 어떻게 이야기해야 하는지를 여전히 모른다"고 지적했다.

ISF는 이사회가 지난 수년 동안 정보 보안 예산 증액을 승인해왔으며 CISO와 정보 보안 부서로부터 즉각적인 결과를 기대하지만 애초에 완벽하게 안전한 조직이란 달성 불가능한 목표라고 말했다. 이사회가 그 사실을 이해한다 해도 정보 보안을 유의미한 수준으로 개선하는 데는 (조직이 적절한 기술과 역량을 보유했다 해도) 오랜 시간이 걸린다는 점은 이해하지 못하는 경우가 많다.

이런 기대와 결과의 불일치는 대형 사고가 발생할 경우 그 영향이 조직뿐만 아니라 이사회 구성원 개개인과 이사회 전체의 평판에도 미치게 될 가능성이 높다는 것을 의미한다.

더빈은 따라서 CISO의 역할이 진화해야 한다고 말했다. 더빈은 "이제 CISO 역할은 예측하는 것이다. 단순히 방화벽이 제대로 작동하는지 확인하는 것만으로는 안 된다"며, "앞으로 발생할 문제가 비즈니스에 어떻게 영향을 미칠지 예측하고 이를 이사회에 설명해야 한다. 유능한 CISO는 영업맨이자 컨설턴트가 되어야 한다. 둘 중 하나라도 없으면 안 된다. 세계 최고의 컨설턴트라 해도 자신의 아이디어를 설득하지 못한다면 이사회 회의실에서 아무런 결과도 얻지 못할 것이다"고 말했다. editor@itworld.co.kr  

2017.12.04

2018년을 지배할 5가지 정보 보안 위협

Thor Olavsrud | CIO
데이터 침해 측면에서 2017년이 끔찍한 한 해였다고 생각한다면 2018년에는 단단히 각오해야 할 것이다. 사이버 보안과 정보 위험 관리를 주로 다루는 정보 보안 포럼(Information Security Forum, ISF)은 기업 조직이 2018년에 직면하게 될 5가지 주요 글로벌 보안 위협으로 인해 데이터 침해 횟수와 파급력이 더욱 증가할 것으로 전망했다.


Credit: Getty Images Bank

ISF 이사 스티브 더빈은 "정보 보안 위협은 오늘날 가장 신뢰받는 기업들의 평판을 위태롭게 할 정도로 광범위하고 빠르다"면서, "2018년에는 목표물의 약점에 맞춰 또는 현재 구현된 방어에 따라 변형되는 형태의 위협 요소로 인해 전체적인 위협 상황은 더욱 복잡해질 것이다. 요즘 위험은 과거보다 훨씬 더 크다"고 말했다.

더빈은 데이터 침해가 증가하면서 기록 유출 규모도 커지게 될 것이라고 말했다. 이로 인해 2018년 공격은 조직의 규모에 관계없이 지금보다 훨씬 더 큰 비용을 초래하게 된다. 더빈은 이런 비용 중에는 네트워크 정비, 고객 알림과 같은 전통적인 비용도 있지만 다수의 당사자가 얽힌 소송과 같은 새로운 측면의 비용도 발생할 것으로 예상했다. ISF는 화가 난 고객이 더 엄격한 데이터 보호 규제를 마련하도록 정부를 압박하면 이에 수반되는 비용도 발생하게 된다고 말했다.

ISF가 예상하는 기업이 2018년에 직면하게 될 5개의 가장 큰 글로벌 보안 위협은 다음과 같다.
- 범죄 서비스(Crime as a Service, CaaS) 툴과 서비스가 확산된다.
- 사물인터넷(IoT)으로 인해 관리되지 않는 위험이 추가된다.
- 공급망은 위험 관리에서 여전히 가장 약한 고리가 될 것이다.
- 규제로 인해 중요한 자산 관리가 복잡해진다.
- 이사회의 기대를 충족하지 못하는 대규모 사고가 발생하게 된다.


1. CaaS(Crime as a Service)의 확산
ISF는 지난해 범죄 조직이 대규모 민간 기업 조직을 모방한 복잡한 계층과 파트너십, 협업을 추진하면서 CaaS가 비약적으로 성장할 것으로 예상한 바 있다.

더빈은 2017년 "사이버 범죄, 특히 CaaS(Crime as a Service)가 크게 증가하면서 이런 예측이 사실로 드러났다"고 말했다. ISF는 이 추세가 2018년에도 지속되면서 범죄 조직이 새로운 시장으로 다변화를 꾀하고 글로벌 수준으로 활동을 확대할 것으로 내다봤다. ISF는 기존의 범죄 구조에 뿌리를 두는 조직도 있지만 전적으로 사이버범죄에만 집중하는 조직도 새롭게 부상할 것으로 예상했다.

더빈은 2018년의 가장 큰 차이점은 공격 욕구는 있지만 기술적인 지식이 부족한 사이버범죄자가 CaaS를 통해 툴과 서비스를 구입, 이전에는 할 수 없었던 수준의 공격을 감행할 수 있게 되는 것이라고 말했다.

더빈은 "사이버범죄는 무조건 큰 목표물을 공격하는 과거의 형태에서 벗어나 지적 재산과 대형 은행으로 옮겨가고 있다"고 덧붙였다.

요즘 가장 인기있는 악성코드 범주인 크립토웨어를 살펴보자. 과거 랜섬웨어를 사용하는 사이버범죄자들은 비뚤어진 형태의 신뢰에 의존했다. 즉, 범죄자가 컴퓨터를 암호화하면 피해자는 데이터 몸값으로 돈을 지불하고, 돈을 받은 범죄자는 신뢰를 지켜 컴퓨터의 잠금을 풀어준다.

그러나 더빈은 이 분야에 욕심이 큰 사이버범죄자들이 대거 유입되면서 이런 "신뢰"가 깨지고 있다고 말했다. 데이터 몸값을 지불하고도 암호화된 데이터를 돌려받지 못하거나, 사이버범죄자가 동일한 피해자를 반복해서 공격하는 경우가 발생한다.

더빈은 "이와 동시에 사이버범죄자들의 소셜 엔지니어링 수법도 더욱 교묘해지고 있다"고 말했다. 공격 목표는 주로 기업보다는 개인이지만 이런 공격은 조직에도 여전히 위협이 된다. 더빈은 "기업과 개인 사이의 경계가 점차 흐려진다. 개인이 곧 기업인 경우가 점점 더 많아지고 있다"고 말했다.

2. IoT 확산으로 관리되지 않은 위험 추가
기업 조직은 IoT 기기를 적극적으로 도입 중이지만 대부분의 IoT 기기는 기본적으로 안전하지 않다. 게다가 ISF는 빠르게 발전하는 IoT 생태계에 투명성이 갈수록 부족해지고 있음을 경고했다. 조직에서 고객이 의도하지 않은 방식으로 개인 데이터를 사용할 수 있도록 허용하는 모호한 사용 약관도 문제다.

기업 측에서는 네트워크 외부로 나가는 정보가 무엇인지, 또는 스마트폰이나 스마트 TV와 같은 기기에서 비밀리에 캡처되어 전송되는 데이터가 무엇인지 파악하기가 어렵다는 문제가 있다.

데이터 침해가 실제 발생하거나 투명성 위반이 드러나는 경우 규제 기관이나 고객이 조직에게 책임을 물을 수 있다. 최악의 시나리오에서 산업용 제어 시스템에 내장된 IoT 기기의 보안 결함은 부상 또는 사망 사고의 원인이 될 수도 있다.

더빈은 "제조업체 관점에서 사용 패턴을 알고 개별 기기를 더 잘 이해하는 것이 중요하다"면서, "어쨌든 이런 모든 요소는 이전까지는 없었던 더 많은 공격 수단을 열게 될 것”이라고 말했다. 더빈은 "기기에 통제 권한을 넘겨주지 않고 사람이 통제를 유지하고 기기를 보호하려면 어떻게 해야 할까? 이와 관련된 보안 인식이 높아지게 될 것으로 예상된다"고 덧붙였다.

3. 공급망, 여전히 약한 고리
ISF는 수년째 공급망의 취약점 문제를 제기해왔다. ISF가 강조하듯이 기업은 민감하고 귀중한 여러 가지 정보를 공급업체와 공유하는 경우가 많다. 정보가 공유하면 직접적인 통제력을 상실한다. 이는 해당 정보의 기밀성, 무결성 또는 가용성이 손상될 위험이 높아짐을 의미한다.

더빈은 "지난해부터 대규모 제조 기업들이 가동 불능 상태에 빠지고 공급망이 영향을 받는 상황이 발생하기 시작했다"고 말했다.

더빈은 "업종을 불문하고 공급망은 모든 곳에 있다"며, "현재 직면한 문제는 정보가 라이프사이클의 모든 단계에서 어디에 있는 지를 어떻게 알 수 있느냐다. 그 정보가 공유될 때 정보의 무결성을 어떻게 지킬 것인가?"라고 덧붙였다.

ISF는 2018년 기업 조직들은 공급망의 가장 약한 부분에 집중해야 한다고 전했다. 모든 보안 사고를 사전에 예방할 수는 없지만 기업과 공급업체는 미리 대비해야 한다. 더빈은 직면한 위험에 비례하는 강력하고 확장 및 반복 가능한 프로세스 도입을 권고했다. 조직은 기존 조달 및 공급업체 관리 프로세스 내에 공급망 정보 위험 관리를 통합해야 한다.

4. 규제로 인한 자산관리의 복잡성 추가
규제는 복잡성을 높이며 2018년부터는 전면적인 유럽 연합 일반 데이터 보호 규정(GDPR)도 실행되므로 핵심 자산 관리에 또 다른 복잡성 계층이 추가된다.

더빈은 "전 세계 다양한 사람과의 대화에서 GDPR이 대화 소재로 등장하지 않은 경우가 거의 없을 정도"라면서, "단순히 규정 준수의 문제가 아니다. 기업과 공급망 전반에서 모든 시점에 걸쳐 개인 데이터의 위치를 정확히 찾고, 해당 데이터가 어떻게 관리되고 보호되는지 파악해야 한다. 기업은 규제 기관뿐만 아니라 개인에게도 언제든 이를 입증해야 한다"고 말했다. 더빈은 "이를 제대로 구현하려면 비즈니스를 수행하는 방법 자체를 바꿔야 할 것"이라고 덧붙였다. 

ISF는 GDPR 의무 사항에 대처하는 데 필요한 추가 리소스로 인해 규정 준수와 데이터 관리 비용이 증가하면서 상대적으로 다른 활동에 대한 관심과 투자가 줄어들 가능성이 높다고 예측했다.

5. 충족되지 않은 이사회의 기대치
ISF에 따르면, 이사회의 기대치와 정보 보안 부서의 현실적인 역량 간 불일치는 2018년에 위협 요소로 작용할 전망이다.

더빈은 "이사회는 사이버 공간에서 사업을 한다는 사실 자체는 이해한다. 많은 경우 이사회가 이해하지 못하는 것은 그 사실이 내포하는 다양한 현실적 장벽"이라면서 "이들은 CISO가 모든 사항을 완벽히 통제한다고 생각한다. 많은 경우 이사회는 무엇을 물어야 하는 지를 여전히 모르고 있으며, CISO는 이사회 또는 사업부에 어떻게 이야기해야 하는지를 여전히 모른다"고 지적했다.

ISF는 이사회가 지난 수년 동안 정보 보안 예산 증액을 승인해왔으며 CISO와 정보 보안 부서로부터 즉각적인 결과를 기대하지만 애초에 완벽하게 안전한 조직이란 달성 불가능한 목표라고 말했다. 이사회가 그 사실을 이해한다 해도 정보 보안을 유의미한 수준으로 개선하는 데는 (조직이 적절한 기술과 역량을 보유했다 해도) 오랜 시간이 걸린다는 점은 이해하지 못하는 경우가 많다.

이런 기대와 결과의 불일치는 대형 사고가 발생할 경우 그 영향이 조직뿐만 아니라 이사회 구성원 개개인과 이사회 전체의 평판에도 미치게 될 가능성이 높다는 것을 의미한다.

더빈은 따라서 CISO의 역할이 진화해야 한다고 말했다. 더빈은 "이제 CISO 역할은 예측하는 것이다. 단순히 방화벽이 제대로 작동하는지 확인하는 것만으로는 안 된다"며, "앞으로 발생할 문제가 비즈니스에 어떻게 영향을 미칠지 예측하고 이를 이사회에 설명해야 한다. 유능한 CISO는 영업맨이자 컨설턴트가 되어야 한다. 둘 중 하나라도 없으면 안 된다. 세계 최고의 컨설턴트라 해도 자신의 아이디어를 설득하지 못한다면 이사회 회의실에서 아무런 결과도 얻지 못할 것이다"고 말했다. editor@itworld.co.kr  

X