보안

2018년 사이버보안 예측 TOP 7

Michael Nadeau | CSO 2017.12.19
현실을 직시하자. 2017년은 더 많은 피싱 사기 사건과 랜섬웨어, 국가 후원의 공격, 새로운 공격 경로 등을 포함해 사이버보안에 있어 끔찍한 한해였다. 2018년이라고 썩 달라질 거 같진 않다.


Credit: Getty Images Bank 

에퀴팍스 데이터 유출, 국가 후원 공격, 러시아의 소셜 미디어 조작, 워너크라이(Wannacry), 더 많아진 피싱 사기 등. 2017년에 일어난 일들을 감안한다면, 2018년이라고 달라질 것이 없음을 알 수 있을 것이다. 유출 사건은 더 커질 것이고, 해커들은 더 똑똑해질 것이며, 보안팀과 예산은 이런 공격 속도를 따라잡지 못할 것이다.

하지만 낙관적인 이유가 있다. 상황이 나아지기 전에 일부 상황은 더 악화될 것이다. 그러나 몇 가지 영역에서 실제 진전이 있을 것으로 기대한다. 2018년 생각해야 할 것들은 다음과 같다.

1. 많은 기업이 GDPR 준수를 완수하지 못한다
설문 조사들에 따르면, EU의 GDPR(General Data Protection Regulation)을 적용받는 기업 상당수가 규정 준수 기한인 5월 25일까지 준비를 끝내지 못할 것으로 보인다. 일부 기업에게는 이것이 문제가 되지 않을 수도 있다.

규제당국은 GDPR 준수 여부를 감사하지 않기 때문에 기업은 위반 또는 EU 시민들의 신고가 있을 경우에만 벌금을 받을 수 있다. 기업이 이 규정을 위반하거나 시민들이 불만을 신고한다면 규제 당국은 해당 기업이 준수를 성실히 노력했는 지의 여부를 면밀히 검토할 것이다.

GDPR을 심각하게 받아들이지 않은 채 규제당국의 조사가 시작되는 시점에 처한다면 해당 기업은 심각한 위험에 처할 수 있다. 그랬을 경우 다음과 같은 예측이 가능하다.

2. GDPR 규제 당국은 신속하게 위반 본보기를 보일 것이다
규제당국이 우선적으로 목표로 삼는 두 가지 대상이 있다. 어떤 기업은 벌금에 맞서 싸울 가능성이 적기 때문에 EU와 선례를 맺을 것이라고 말한다. 다른 기업은 규제기관은 미국 기업뿐만 아니라 이미 생각해 둔 특정 기업이 있다고 믿는다.

특정 기업이 어디인지 추측하는 것은 그리 어렵지 않다. 구글, 애플, 아마존, 페이스북은 모두 개인정보보호와 독점 금지 문제에 대해 이미 유럽집행위원회와 논쟁적인 관계에 있다. GDPR의 4가지 항목 가운데 하나라도 준수하지 않는 징후가 포착되면 EU 규제기관은 성명을 발표하고 수사에 착수할 것이다.

다른 기업들은 GDPR 규칙을 준수해 예방하거나 최소화해야 하는, 특별히 심각한 사건이 발생하지 않는 한 초기 규제 대상이 되지 않을 것이다. 그러나 안전 계획은 5월 25일까지 준수하도록 최선을 다하는 것이다.

3. 비밀번호 단일 인증 거부는 가속화될 것이다
에퀴팍스와 엔썸의 유출 사건은 많은 소비자에게 온라인 계정의 안전성에 대해 일깨워주고 있다. 대부분의 경우, 다중요소인증(multi-factor authentication, MFA), 위험 기반 인증과 같은 비밀번호 대안이나 향상된 인증 방법에 대해 아직 잘 모르고 있지만, 더 이상 비밀번호만으로는 충분하지 않다는 사실은 알게 됐다. 실제 비트디펜더(Bitdefender)가 실시간 조사에 따르면, 미국 시민들은 전자메일 해킹(70%)이나 가정 침입(63%)보다 도난당한 신원정보(79%)에 대해 더 우려하고 있다.

기업들은 강력한 인증에 대한 요구가 부족하다는 점을 MFA를 제공하지 않는 이유로 들기 때문에 이 점은 상당히 중요하다. 기업은 복잡한 인증이 사용자 경험을 저하시키기 때문에 이를 도입하는 것을 꺼린다고 주장한다.

이런 우려는 널리 사용되는 위험 기반 인증 도구로 완화될 것이다. 이 도구는 접속하려는 사람이 실제로 권한을 부여받을 가능성을 결정하기 위해 사용자의 행위나 기타 데이터를 백그라운드에서 작동, 평가한다. MFA와 함께 위험 기반 인증은 권한이 없는 접속에 대한 강력한 방어막이 된다.

위험 기반 인증은 종종 ID 및 접속 관리(Identity and Access Management, IAM) 도구와 번들로 제공된다. 스트래티스틱스(Stratistics) MRC에 따르면, IAM 시장은 2018년에 연평균 성장률 14.8%로 성장할 것으로 예상되는데, 이는 비밀번호 단일 인증이 멸종 위기로 나아가고 있다는 징표가 된다.

위험에 노출된 자격 증명에 대한 책임 문제로 인해 기업은 더욱 강력한 인증을 추진하고 있다. 익스페리언(Experian)은 자체 데이터 유출 산업 예측(Data Breach Industry Forecast) 보고서에서 한 회사의 주요 데이터 유출 사건 이후, 자격 증명 재사용은 다른 회사에 영향을 미친다고 지적했다. 이는 해커들이 훔친 자격 증명을 사용해 악의적으로 서비스에 접속할 때 사용자에게 이를 알리도록 강제한다.

익스피리언은 이를 여진 위반(aftershock breach)이라 부르며, 이 보고서는 2차 인증 방법을 적용할 것을 촉구했다.

이 보고서는 "사용자 이름과 비밀번호와 관련된 여파가 계속 발생한다면 사회보장번호나 의료정보와 같은 더 많은 개인정보가 포함된 다른 유형의 공격에서도 동일한 접근방법을 취할 것이라는 걸 예측할 수 있다"고 전했다.

4. 국가 후원의 공격이 증가할 것이다
북한, 이란, 러시아 등 국가가 후원하는 공격을 주도하는 공격자들은 정보시스템에 침투해 탈취, 도둑질, 스파이, 파괴 등을 시도하는데 비해 잃을 것은 별로 없다. 모두가 이미 전적으로 승인받았으며, 국가가 후원하는 공격에 대한 대응책으로 할 수 있는 것은 많지 않다.

이로 인해 공격이 확대하는 데 위험은 낮다. 그래서 국가가 후원하는 공격자는 자신의 공격 규모와 범위를 지속적으로 확대, 강화할 것으로 예상된다. 특별히 우려되는 분야는 전력 및 통신 그리드와 같은 중요한 인프라스트럭처다.

익스피리언의 2017년 보고서는 "국가 주도의 사이버 공격은 의심할 여지 없이 십중팔구 주요 기반 시설에 초점을 맞출 것이며, 수백만 명의 무고한 시민들에게 영향을 줄 수 있는 광범위한 정전 또는 개인정보 유출을 유발할 수 있다"고 예상했다.

피해를 입은 국가들과 국제사회는 이런 공격자들에 대해 많은 압력을 가할 것이다. 책임이 있는 것으로 간주되는 외국인에 대한 제재와 기소가 더 많아질 것이다. 이 보고서는 "불행하게도 사이버공간에서의 교전 규칙에 관한 명확한 국제 협약이 생길 때까지 이런 공격은 증가하고 확대될 것"이라고 전했다.

또한 국가가 후원하는 공격은 국가들로 하여금 동맹을 형성하도록 자극할 수 있다. PAS CEO 에디 하비비는 "주요 인프라에 대한 공격 증가로 인해 국가들은 사이버보안 동맹을 논의하기 시작할 것이다. 이런 동맹 관계를 수립하면 관련된 모든 국가에 대한 상호 방위가 체결될 것이며, 서로 공격하지 않겠다는 합의뿐만 아니라 국가 기반의 공격에 직면해 정보를 공유할 것이다"고 설명했다.

효과적인 억제책이 마련될 때까지 공격을 하는 국가들은 비용이 너무 많이 들 때까지 공격을 확대할 것이다. 이 비용은 같은 형태의 반격이나 심지어 물리적 공격 형태로도 나타날 수 있다. 탈냉전 시대에서 벼랑 끝 전술로 치닫지 않길 바랄 뿐이다.

5. 해킹당한 IoT 장치를 통한 공격은 더욱 악화될 것이다
수백만 개의 연결된 장치는 제어권을 얻고자 하는 해커에 대해 아무런 방어 수단을 갖고 있지 못하다. 실제로 해커들은 여러가지 IoT 장치들의 제어권을 넘겨받기가 점점 더 쉬워지고 있다. 그들이 해야 할 일은 다크웹에서 봇넷 키트를 구입하는 것뿐이다. 안드로메다(Andromeda), 가마루(Gamarue), 워초스(Wauchos) 등 상위 3개 봇넷 키트는 한달에 100만 개 이상의 장치를 해킹할 수 있는 것으로 추정된다. 리퍼(Reaper) 봇넷은 100만 개가 넘는 장치를 감염시켰다.

문제는 아직 봇넷을 제어하는 해커가 이를 통해 무엇을 할 것인지 확인하지 못했다는 것이다. DDoS(Distributed Denial of Service) 공격을 시작할 것인지, 방대한 양의 스팸을 보낼 것인지, 아니면 우리가 전에 보지도 못했던 무언가를 할 것인지를 확인할 수 없다는 점이다. 이제 2018년에는 이를 알아낼 수 있을 것이다.

리퍼와 같은 규모로 봇넷의 명령 인프라를 구축, 설정하는 데에는 시간이 걸린다. 해커가 큰 수익을 기대하지 않고는 이런 노력을 기울이지 않을 것이다. 2018년 봇넷 공격은 매우 흥미롭긴 하지만 좋은 소식은 아니다.

좋은 소식은 봇넷에 대한 대응 노력이 향상되고 있다는 것이다. 12월에 미라이(Mirai) 봇넷을 만들고 이를 사용해 DNS 서비스 업체인 딘(Dyn)에 DDoS 공격을 한 혐의를 받고 있는 용의자 3명이 유죄를 인정했다. 또한 12월에 이셋(ESET)과 마이크로소프트는 봇넷 464개와 1,200개 이상의 C&C 도메인을 제거하기 위해 협력했다고 발표했다. 게다가 벨로루시에서는 봇넷과 관련된 것으로 추정되는 개인도 체포됐다.

봇넷을 막기 위해서는 국제 협력이 필요하다. 벨로루시는 지난 봄 스페인에서
웨일댁(Waledac)과 켈리호스(Kelihos) 스팸 봇넷의 해커 피터 르바쇼프를 체포하면서 해커들이 2018년에는 안전한 피난처를 갖지 못할 것이라는 경고을 던졌다.

IoT 장치 제조업체는 장치를 안전하게 하는 방법에 대해 서서히 진전을 보이고 있다. 그러나 패치가 어렵거나 불가능한 이미 배포된 수많은 장치에 대해서는 도움이 되지 않는다. 바로니스(Varonis) 현장 기술담당 부사장 켄 스피너는 "제조업체는 이런 보안 오류를 해결하고 처음부터 보안을 탑재해 위험을 줄이기 시작할 것이다. GDPR은 기업이 IoT를 통해 개인 데이터 수집을 재고하도록 강요하지만 최소한 2019년까지는 이런 효과가 나타나지 않을 것이다"고 밝혔다.

6. 위협 탐지 작업의 자동화가 증가한다
보안팀은 엄청난 양의 경고와 데이터를 통해 매일 위협을 파악한다. 더 많아지는 공격과 더 많은 공격 경로에 의해 볼륨 또한 증가한다. 경고 데이터를 필터링하는 작업은 반복적이고 지루한 작업이므로, 소프트웨어를 사용해 자동화하는 데 가장 적합하다.

조직들은 이미 과부하가 걸린 보안 직원의 작업량을 줄이기 위해 경보 데이터를 필터링하는 데 도움이 되는 머신러닝 기반의 도구를 활용하고 있다. 위협 지표의 양이 증가하는 반면, 보안 인력의 풀은 제한되어 있기 때문에 2018년에는 도구를 활용하려는 추세가 가속화될 것으로 보인다.

조직이 현재 수행하고 있는 자동화 테스트는 기술에 대한 자신감을 갖게되고 기술이 도움이 될 수 있는 부분과 도움이 되지 않는 부분을 이해하는 데 도움을 준다. 이를 통해 보안팀은 의미있는 곳에서 자동화 사용을 확대할 수 있다. 자동화는 만병통치약이 아니며 직원을 대체할 수 없지만, 위협 탐지 효과를 높이고 다른 주요 업무에 직원을 배치할 수 있게 한다.

머신러닝 기반 자동화의 사용 증가는 이것이 할 수 없는 일에 대한 인식이 높아질 것이다. 예를 들어, 머신러닝은 모델 및 분석할 수 있는 데이터만큼만 우수하다. 하지만 새로운 유형의 공격을 빠트리기 쉽다. 머신러닝과 자동화에 대한 좀 더 나은 이해는 보안팀이 기술을 좀 더 효과적으로 배치할 수 있게 한다.

7. 사이버 범죄와의 전쟁 속에서 신뢰는 추락하게 될 것이다
사이버보안에 대해 모든 것을 불신하는 사람을 누가 비난할 수 있을까? 어느 누구도 개인식별정보(personally identifiable information, PII)가 안전하지 않다. 기업은 그들의 공급업체의 무결성과 파트너의 보안 역량에 의존할 수 없다. 미국 정부는 러시아에 기반을 둔 한 보안 소프트웨어 제공업체에 대해 불신을 던지고 있다. 이런 신뢰의 부족은 시장에 실질적인 영향을 미치기 시작해 2018년까지 계속될 것으로 보인다.

또한 우버(Uber)는 지난 1년동안 유출 사고를 숨겨 문제를 확대시켰다. PII를 사용하는 기업을 신뢰하지 못하게 된다면 소비자들을 불러모으는 것이 더 어려워진다. 앞서 설명한 바와 같이 이는 기업들이 좀 더 강력한 인증을 제공하도록 유도할 것이다.

많은 기업이 파트너, 공급업체, 서비스 제공업체의 보안 감사를 요구할 것으로 예상한다.
타사에 의한 유출 사고가 점점 더 흔해지고 있으며, 조직의 보안은 확장된 네트워크만큼이나 확대된 것으로 나타났다. 비즈니스를 수행하는 다른 조직이 가져오는 위험을 알지 못하면 고객과 직원에게 데이터가 안전하다는 것을 확신할 수 없다.

미국 정부는 카스퍼스키 소프트웨어를 미국 정부 기관에 사용하는 것을 금지시켰다. 러시아 정부가 이 소프트웨어를 통해 해킹할 수 있다고 믿기 때문이다. 다른 국가들도 2018년에 이와 비슷한 행동을 취할 것으로 보인다. PAS의 하비비는 "다른 국가들 또한 중국과 같은 국가주의 경향과 최근에 통과된 광범위한 사이버보안법으로 개발업체 소스코드에 대한 접속을 요구하고 있다"고 말했다.

이런 불신 환경은 데이터 보호에 대한 진정한 관심을 표명하고 적절한 보안 인프라를 갖추고 있는 업체들에게는 기회를 제공할 것이다. 다시 말해, 신뢰를 얻으려는 소비자와 조직에게 검증받은 신뢰는 오히려 자산이 된다. editor@itworld.co.kr
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.