보안

2013년 컴퓨터 보안 위협 전망 : 클라우드봇넷, SEP, 모바일

Jon Gold | Network World 2012.11.20
"2013년 가장 큰 보안 이슈는 클라우드 봇넷, SEP(Search Engine Poisoning), 그리고 모바일 공격이 될 것이다."
 
네트워크 월드와 조지아 공대(Georgia Tech) 정보 보안 센터는 2013년 사이버위협에 대한 공식 전망 보고서를 발표했다. 이 보고서는 내년도 가장 큰 위협이 될 컴퓨터 보안 문제에 대해 자세히 설명하고 있다. 
 
클라우드, 프로비저닝 기술로 순식간에 좀비 네트워크 양산
이번 보고서에서 첫 번째 꼽힌 위협은 클라우드 컴퓨팅이 악성 공격에 사용된다는 것이다. 클라우드는 적법한 기업들이 신속하게 컴퓨팅 파워를 추가 또는 제거하는 융통성 있는 프로비저닝(provisioning) 역량을 제공한다. 
 
그런데 악당들 또한 이런 역량을 악용해 강력한 좀비 네트워크를 순식간에 구성해 악의적인 목적에 사용할 수 있다.
 
마이크로소프트 윈도우 애저의 저명한 엔지니어인 유세프 칼리디는 이번 보고서에서 "만약 악당이 알고 있는 제로데이 취약점을 클라우드 공급업체가 제때 패치를 하지 않았다면, 그 악당은 온갖 종류의 공격을 할 수 있는 큰 능력을 갖게 된다"고 지적했다.
 
공급망, 글로벌 제품의 백도어 문제
조지아 공대 연구원들은 글로벌화된 공급망에 한층 심각한 보안 문제들이 존재한다고 지적했다. 화웨이(Huawei)와 ZTE 등 일부 중국 업체가 생산한 제품에 보안 취약점이 있을 수 있다는 논란이 계속되고 있다. 
 
이에 기업들은 자사 시스템에 공격에 취약한 백도어가 자리잡고 있지 않을까 걱정하고 있는 실정이다. 연구원들이 인용한 워싱턴 씽크탱크의 보고서들에 따르면, 중국 또한 미국에서 생산된 제품들에 동일한 문제가 있을 가능성에 대해 걱정하고 있다.
 
이 보고서는 이 문제를 다루기가 어렵다고 설명했다. 이를 다루기 위해서는 많은 비용과 지속적이면서도 철저한 감시가 필요하기 때문이다. 이런 문제가 바로 연구원들이 이를 아주 심각한 위협으로 받아들이는 이유 가운데 하나다.
 
SEP, 사용자 검색 히스토리를 이용한 공격
이 보고서는 기업들이 각별히 관심을 기울여야 할 위험으로 SEP(Search Engine Poisoning)을 꼽았다. 일반적인 SEO와 정상적인 웹사이트에 대한 직접 공격도 상당한 위협이기는 하지만, 보고서는 사용자 검색 히스토리를 이용하는 새로운 공격 양상이 등장했다고 말했다.
 
웬케 리 교수는 "컴퓨터를 공격해 성공했다손 치더라도 피해자가 컴퓨터를 바꾸면 그 공격은 무용지물이 된다. 그러나 사용자의 검색 히스토리와 온라인 프로필을 공격했다고 가정한다면, 피해자가 어떤 기기에서 로그인을 하든지 악성 검색 결과를 유도해낼 수 있다"고 지적했다.
 
모바일 보안, 우려할만큼은 아니다
당연히 모바일 부문에 대한 우려도 제기됐다. 그러나 일부에서 주장하는 정도로 심각한 위협이 아니다. 
 
모바일 소프트웨어 대부분은 앱 스토어를 통해 배포된다. 그리고 앱 스토어들은 많은 스마트폰 기반 악성코드 공격에 탄탄한 1차 방어체계를 갖추고 있다. 그러나 연구원들은 OEM이나 통신 업체가 한층 적극적으로 패치를 한다면 더 도움이 될 것이라고 덧붙였다.
 
이에 대한 해결책은? 조지아 공대 연구소 산하 사이버 기술 및 정보 보안 실험실 책임자 보 로토로니는 이 문제들에는 일부 예방적인 대책이 필요하다고 강조했다.
 
로토로니는 보고서와 함께 배포한 성명서에서 "학계, 산업, 정부가 협력해 개발한 탄탄한 정책, 최고의 도구, 협력 교육과 인식 제고가 점차 증가하고 있는 사이버 공격에 대항할 수 있는 최고의 방어책"이라고 언급했다. editor@itowrld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.