2019.06.20

2019년 떠오르는 보안 위협과 상반기 현황

Rick Grinnell | CSO
2019년 상반기, 사이버보안 세계에서는 흥미로운 사건들이 많이 발생했다. 필자는 올해 상반기에 발생한 많은 이슈 가운데 다음과 같은 것들을 꼽았다.

 
5G 경쟁의 시작점에 선 중국, 불길한 장점 보유

5G는 서비스 제공업체가 새로운 고 대역폭 제공을 추진함에 따라 전세계적으로 내년이나 내후년이면 모든 기업과 사람들에게 제공될 것이다. 그러나 몇 주전에 개최된 벨트웨이 컨퍼런스(Beltway conference)에서 논의한 주제는 모든 이들의 불안을 증폭시켰다. 

중국이 칩과 핸드셋에서부터 코어 인프라스트럭처까지 5G 솔루션의 모든 스택을 제조하는 유일한 국가라는 점이다. 특히 이런 사실은 중국 기술 제공업체에 대한 많은 보안 우려와 겹치면서 문제가 되는 상황이다. 

예를 들어, 세계 최대 통신업체이자 두 번째로 큰 전화기 제조업체인 화웨이(Huawei)는 오랫동안 고객 보안 및 개인 정보를 침해하는 제품을 공급한 것으로 의심받고 있다. 이런 문제는 미국 및 국제적으로 5G의 채택에 영향을 줄 수 있을뿐만 아니라 기업과 국가 안보에 영향을 미치는 새로운 취약점을 생성할 수 있다. 

화웨이는 보안 세계에서 적신호를 보낸 중국 정부와 매우 긴밀한 관계를 맺고 있다. 레코디드 퓨처(Recorded Future)가 최근 요약한 바에 따르면, 화웨이는 광범위한 기술과 제품, 그리고 전세계의 엄청난 수의 고객을 기반으로 전세계의 조직, 정부, 사람들에 대한 방대한 양의 정보에 액세스할 수 있는 위치에 있다. 화웨이는 다양한 국가 안보 법령에 따른 중국 정부에 대한 의무는 해당 데이터를 가로채고 해킹할 위험에 놓이게 한다.
  
또한 회사의 CFO이자 창업자의 딸인 맹 완저우는 지난해 캐나다에서 체포됐다. 미국 정부는 그녀가 이란에 대한 미국의 제제를 우회하는 데 도움을 주고 있다고 주장했다. 

이와 함께 미국의 이익을 보호하기 위해 미국 5G 네트워크 제공업체와 정부 기관이 중국 기업의 제품을 구매하지 못하게 하고, 구글과 같은 IT 업체가 화웨이와 같은 중국 공급업체에게 기술을 제공하지 못하도록 하는 금지 조치가 취해졌다. 이를 통해 화웨이는 더 이상 전체 안드로이드 시스템에 액세스할 수 없기 때문에 자체 운영체제를 개발해야 한다. 

세계가 5G에서 신속하고 비용 효율적으로 운영되길 바란다면 화웨이와 같은 중국 공급업체에게 의존하게 될 것이다. 이로 인해 도청을 위한 백도어로 이미 해킹된 장치와 인프라를 사용하게 될 수도 있다. 미국은 화웨이와의 거래를 막을 수 있지만, 미국과 협력하는 모든 이들이 이를 동조하는 것은 아니다. 미국의 비밀 데이터(정부 또는 기업)가 중국 네트워크를 통해 유출된다는 것은 국가 안보와 지적 재산권 보호에 치명적인 악영향을 줄 수 있다. 


싱가포르 데이터 절도

화웨이와 같이 떠들썩한 뉴스는 아니더라도 중국과 관련한 다른 보안 이야기는 바로 데이터 절도다. 중국 해커들이 싱가포르 정부의 보건 데이터베이스에 침입해 100만 건이 넘는 기록을 훔쳤다. 이는 지난해 여름에 일어난 일이지만 최근에서야 해킹 그룹의 정체가 밝혀지면서 이야기가 흘러나왔다. 

뉴욕타임스에 따르면, 두 번째 해킹은 온라인으로 공개된 수천 명의 HIV 양성 싱가포르 거주자의 의료 기록을 포함하고 있다. 이와 같은 공격의 동기가 무엇인지 확실하지 않지만 의료 데이터의 보안은 확실히 쉽게 깨트릴 수 있음을 보여줬다. 기록을 단순히 공개하는 대신, 기록을 변경함으로써 실질적으로 육체적인 해를 입히거나 심지어 죽음을 초래할 수도 있다. 

    
안면 인식 금지 

생체인식(Biometrics)은 추가 보안 계층이 더해지지만, 일부 생체인식 사용과 관련해 개인정보보호 우려가 불거져 나오고 있다. 미국 캘리포니아의 샌프란시스코와 오클랜드와 같은 대도시는 물론, 매사추세츠 주 서머빌과 같은 소규모 자치구도 경찰과 다른 지방 정부 기관의 안면인식 소프트웨어 사용을 금지했다. 

오스트레일리아 국회에서는 기업이 고객의 동의없이 고객을 추적할 수 있는 상업용 안면 인식 기능을 사용하지 못하도록 하는 법안이 도입됐다. 안면인식 금지를 지지하는 사람들은 시민들의 프라이버시뿐만 아니라 인종적 프로파일링에 대해서도 우려하고 있으며, 이 기술이 너무 새롭고 사용 시 윤리적 지침이 부족하다는 우려를 표명했다. 

금지법안 반대자들은 수사를 방해할 수 있다고 우려했다. 생체인식 기술이 우리 일상 생활에서 좀 더 보편화됨에 따라 찬성론자와 반대론자 간 긴장감이 더해질 것으로 예상된다. 이론적으로 안면인식은 사람들을 더 안전하게 지켜줄 것이다. 이와 동시에 이 기술은 프라이버시를 침해할 것이다. 이에 대한 균형은 어떻게 찾을 수 있을까. 


구글의 데이터 개인정보보호 문제 

화웨이 기기에서 비롯된 구글 및 안드로이드 모바일 운영체제는 지금 당장 문제가 될 수 있다. 구글은 최근에 기본적인 보안 및 데이터 개인정보보호와 관련해 어려움을 겪었다. 이 문제는 2018년 말에 시작됐는데, 구글이 구글 플러스(Google+) API 버그로 인해 5,000만 개 이상의 계정을 노출해 그 결과, 구글 플러스는 서비스를 종료했다. 

지난 5월, 수백만 명의 G 스위트(G Suite) 사용자 비밀번호가 평문으로 저장되어 있음이 밝혀졌다. 구글처럼 IT에 정통한 기업이 보안 면에서 더 좋을 것이라고 생각할 수 있다. 물론 악의적인 의도라기보다는 사고일 가능성이 있지만 구글의 문제는 IT에 정통한 대부분의 기업이라도 좋은 보안 관행을 유지하는 것은 어렵다는 점을 보여준다.  


이터널블루 공격

이터널블루 사이버공격은 윈도우의 소프트웨어 취약점을 악용하는 최신 보안 이야기다. 하지만 이터널블루는 새로운 것은 아니다. 이는 NSA가 2년 전에 개발한 것이다. 이 코드는 도난 당했으며, 워너크라이(WannaCry), 낫페트야(NotPetya) 랜섬웨어 공격에 사용됐다. 

지난 5월, 이터널블루는 미국 볼티모어시 정부에 대한 랜섬웨어 공격에서 다시금 부상했다. 문제는 많은 컴퓨터가 구식 윈도우 운영체제를 계속 사용하고 있다(이 구식 운영체제를 사용하는 이는 100만이 넘을 것으로 예상되며, 해커들은 이를 이용하고 있다). 

볼티모어는 랜섬웨어 공격으로 인해 도시 사업을 제외한 모든 업무가 중단된 상태였지만, 몸값 지불을 거부하는 공무원들의 태도가 주목받는 사례였다. 그러나 많은 조직이 운영체제를 업데이트하지 않았거나 사용가능한 패치를 적용하지 않기 때문에 이터널블루 공격은 점점 더 많아질 것이다.  

이런 보안 문제는 매우 특정한 상황과 사건에 초점을 맞추지만 전체적으로 더 큰 보안 환경을 나타낸다. 해커들은 새로운 정교한 공격 형태를 계속 사용하거나 오래된 공격을 이용하고 조직은 계속해서 보안 습관을 지키지 않으며 사회는 새로운 기술과 개인정보보호의 균형을 유지하기 위해 끊임없이 노력한다. 앞서 설명한 보안 현황과 특정 쟁점들이 2019년 12월에는 어떻게 작용했는지 예상해보자. editor@itworld.co.kr 


2019.06.20

2019년 떠오르는 보안 위협과 상반기 현황

Rick Grinnell | CSO
2019년 상반기, 사이버보안 세계에서는 흥미로운 사건들이 많이 발생했다. 필자는 올해 상반기에 발생한 많은 이슈 가운데 다음과 같은 것들을 꼽았다.

 
5G 경쟁의 시작점에 선 중국, 불길한 장점 보유

5G는 서비스 제공업체가 새로운 고 대역폭 제공을 추진함에 따라 전세계적으로 내년이나 내후년이면 모든 기업과 사람들에게 제공될 것이다. 그러나 몇 주전에 개최된 벨트웨이 컨퍼런스(Beltway conference)에서 논의한 주제는 모든 이들의 불안을 증폭시켰다. 

중국이 칩과 핸드셋에서부터 코어 인프라스트럭처까지 5G 솔루션의 모든 스택을 제조하는 유일한 국가라는 점이다. 특히 이런 사실은 중국 기술 제공업체에 대한 많은 보안 우려와 겹치면서 문제가 되는 상황이다. 

예를 들어, 세계 최대 통신업체이자 두 번째로 큰 전화기 제조업체인 화웨이(Huawei)는 오랫동안 고객 보안 및 개인 정보를 침해하는 제품을 공급한 것으로 의심받고 있다. 이런 문제는 미국 및 국제적으로 5G의 채택에 영향을 줄 수 있을뿐만 아니라 기업과 국가 안보에 영향을 미치는 새로운 취약점을 생성할 수 있다. 

화웨이는 보안 세계에서 적신호를 보낸 중국 정부와 매우 긴밀한 관계를 맺고 있다. 레코디드 퓨처(Recorded Future)가 최근 요약한 바에 따르면, 화웨이는 광범위한 기술과 제품, 그리고 전세계의 엄청난 수의 고객을 기반으로 전세계의 조직, 정부, 사람들에 대한 방대한 양의 정보에 액세스할 수 있는 위치에 있다. 화웨이는 다양한 국가 안보 법령에 따른 중국 정부에 대한 의무는 해당 데이터를 가로채고 해킹할 위험에 놓이게 한다.
  
또한 회사의 CFO이자 창업자의 딸인 맹 완저우는 지난해 캐나다에서 체포됐다. 미국 정부는 그녀가 이란에 대한 미국의 제제를 우회하는 데 도움을 주고 있다고 주장했다. 

이와 함께 미국의 이익을 보호하기 위해 미국 5G 네트워크 제공업체와 정부 기관이 중국 기업의 제품을 구매하지 못하게 하고, 구글과 같은 IT 업체가 화웨이와 같은 중국 공급업체에게 기술을 제공하지 못하도록 하는 금지 조치가 취해졌다. 이를 통해 화웨이는 더 이상 전체 안드로이드 시스템에 액세스할 수 없기 때문에 자체 운영체제를 개발해야 한다. 

세계가 5G에서 신속하고 비용 효율적으로 운영되길 바란다면 화웨이와 같은 중국 공급업체에게 의존하게 될 것이다. 이로 인해 도청을 위한 백도어로 이미 해킹된 장치와 인프라를 사용하게 될 수도 있다. 미국은 화웨이와의 거래를 막을 수 있지만, 미국과 협력하는 모든 이들이 이를 동조하는 것은 아니다. 미국의 비밀 데이터(정부 또는 기업)가 중국 네트워크를 통해 유출된다는 것은 국가 안보와 지적 재산권 보호에 치명적인 악영향을 줄 수 있다. 


싱가포르 데이터 절도

화웨이와 같이 떠들썩한 뉴스는 아니더라도 중국과 관련한 다른 보안 이야기는 바로 데이터 절도다. 중국 해커들이 싱가포르 정부의 보건 데이터베이스에 침입해 100만 건이 넘는 기록을 훔쳤다. 이는 지난해 여름에 일어난 일이지만 최근에서야 해킹 그룹의 정체가 밝혀지면서 이야기가 흘러나왔다. 

뉴욕타임스에 따르면, 두 번째 해킹은 온라인으로 공개된 수천 명의 HIV 양성 싱가포르 거주자의 의료 기록을 포함하고 있다. 이와 같은 공격의 동기가 무엇인지 확실하지 않지만 의료 데이터의 보안은 확실히 쉽게 깨트릴 수 있음을 보여줬다. 기록을 단순히 공개하는 대신, 기록을 변경함으로써 실질적으로 육체적인 해를 입히거나 심지어 죽음을 초래할 수도 있다. 

    
안면 인식 금지 

생체인식(Biometrics)은 추가 보안 계층이 더해지지만, 일부 생체인식 사용과 관련해 개인정보보호 우려가 불거져 나오고 있다. 미국 캘리포니아의 샌프란시스코와 오클랜드와 같은 대도시는 물론, 매사추세츠 주 서머빌과 같은 소규모 자치구도 경찰과 다른 지방 정부 기관의 안면인식 소프트웨어 사용을 금지했다. 

오스트레일리아 국회에서는 기업이 고객의 동의없이 고객을 추적할 수 있는 상업용 안면 인식 기능을 사용하지 못하도록 하는 법안이 도입됐다. 안면인식 금지를 지지하는 사람들은 시민들의 프라이버시뿐만 아니라 인종적 프로파일링에 대해서도 우려하고 있으며, 이 기술이 너무 새롭고 사용 시 윤리적 지침이 부족하다는 우려를 표명했다. 

금지법안 반대자들은 수사를 방해할 수 있다고 우려했다. 생체인식 기술이 우리 일상 생활에서 좀 더 보편화됨에 따라 찬성론자와 반대론자 간 긴장감이 더해질 것으로 예상된다. 이론적으로 안면인식은 사람들을 더 안전하게 지켜줄 것이다. 이와 동시에 이 기술은 프라이버시를 침해할 것이다. 이에 대한 균형은 어떻게 찾을 수 있을까. 


구글의 데이터 개인정보보호 문제 

화웨이 기기에서 비롯된 구글 및 안드로이드 모바일 운영체제는 지금 당장 문제가 될 수 있다. 구글은 최근에 기본적인 보안 및 데이터 개인정보보호와 관련해 어려움을 겪었다. 이 문제는 2018년 말에 시작됐는데, 구글이 구글 플러스(Google+) API 버그로 인해 5,000만 개 이상의 계정을 노출해 그 결과, 구글 플러스는 서비스를 종료했다. 

지난 5월, 수백만 명의 G 스위트(G Suite) 사용자 비밀번호가 평문으로 저장되어 있음이 밝혀졌다. 구글처럼 IT에 정통한 기업이 보안 면에서 더 좋을 것이라고 생각할 수 있다. 물론 악의적인 의도라기보다는 사고일 가능성이 있지만 구글의 문제는 IT에 정통한 대부분의 기업이라도 좋은 보안 관행을 유지하는 것은 어렵다는 점을 보여준다.  


이터널블루 공격

이터널블루 사이버공격은 윈도우의 소프트웨어 취약점을 악용하는 최신 보안 이야기다. 하지만 이터널블루는 새로운 것은 아니다. 이는 NSA가 2년 전에 개발한 것이다. 이 코드는 도난 당했으며, 워너크라이(WannaCry), 낫페트야(NotPetya) 랜섬웨어 공격에 사용됐다. 

지난 5월, 이터널블루는 미국 볼티모어시 정부에 대한 랜섬웨어 공격에서 다시금 부상했다. 문제는 많은 컴퓨터가 구식 윈도우 운영체제를 계속 사용하고 있다(이 구식 운영체제를 사용하는 이는 100만이 넘을 것으로 예상되며, 해커들은 이를 이용하고 있다). 

볼티모어는 랜섬웨어 공격으로 인해 도시 사업을 제외한 모든 업무가 중단된 상태였지만, 몸값 지불을 거부하는 공무원들의 태도가 주목받는 사례였다. 그러나 많은 조직이 운영체제를 업데이트하지 않았거나 사용가능한 패치를 적용하지 않기 때문에 이터널블루 공격은 점점 더 많아질 것이다.  

이런 보안 문제는 매우 특정한 상황과 사건에 초점을 맞추지만 전체적으로 더 큰 보안 환경을 나타낸다. 해커들은 새로운 정교한 공격 형태를 계속 사용하거나 오래된 공격을 이용하고 조직은 계속해서 보안 습관을 지키지 않으며 사회는 새로운 기술과 개인정보보호의 균형을 유지하기 위해 끊임없이 노력한다. 앞서 설명한 보안 현황과 특정 쟁점들이 2019년 12월에는 어떻게 작용했는지 예상해보자. editor@itworld.co.kr 


X