올해에도 주요 기업 시스템과 웹사이트에 대한 사이버 해킹이 지속되었다. 이는 내년에도 어김없이 되풀이 될 것으로 보인다. 전 세계적으로 유명한 많은 기업이 올해 심각한 보안 침해 피해를 입었다. 흔한 기업 공격 외에도 2018년에는 광범위한 표적과 피해자를 겨냥한 위협 활동이 가속화되었다. 정부의 지원을 받는 공격 집단은 기업 기밀에서부터 민감한 정부 및 인프라 시스템에 이르는 모든 것에 접근하기 위해 사이버 탐색과 공격을 이용하고 있으며 이러한 집단이 증가하고 있다. 이에 시만텍은 2019년 사이버 보안 전망을 발표했다.
양날의 검 AI, 공격과 방어 양측에 도움
5G 확산과 IoT의 대중화, 새로운 공격 유발
공급망 익스플로잇 공격 빈도와 영향력이 증가
2018년 사이버 공격 주요 사례
2019년의 주요 사이버 보안 및 개인정보 보호 동향은 2018년의 그것에서 힌트를 얻을 수 있다.
2018년에도 주요 기업 시스템과 웹사이트에 대한 사이버 해킹이 지속되었으며 이는 2019년에도 어김없이 되풀이 될 것으로 보인다. 전 세계적으로 유명한 많은 기업이 올해 심각한 보안 침해 피해를 입었다.
마케팅 및 데이터 수집 기업 이그잭티스(Exactis)에서 약 3억4000만 건의 개인정보 기록이 저장된 데이터베이스가 유출된 사례가 단일 데이터 유출 사고로는 가장 큰 규모일 것으로 업계에선 보고 있다.
흔한 기업 공격 외에도 2018년에는 광범위한 표적과 피해자를 겨냥한 위협 활동이 가속화되었다. SNS 분야에서 페이스북은 해커들이 약 3000만 명의 사용자 정보를 탈취한 것으로 추정되고 있다.
정부의 지원을 받는 공격 집단은 기업 기밀에서부터 민감한 정부 및 인프라 시스템에 이르는 모든 것에 접근하기 위해 사이버 탐색과 공격을 이용하고 있으며 이러한 집단이 증가하고 있다.
개인 사용자 측면에서는 언더 아머(Under Armor)의 마이피트니스팔(MyFitnessPal) 앱에서의 계정 유출로 1억5000만 명의 개인 데이터가 탈취되었다.
시만텍 2019년 보안 전망
이에 시만텍은 17일, 2019년 사이버 보안 전망을 다음과 같이 발표했다.
첫 번째, 공격자들은 AI 시스템을 익스플로잇하고 AI를 통해 공격을 지원할 것이다
AI의 상업적 가능성이 최근 몇 년간 실현되기 시작했다. 이미 많은 비즈니스 운영 분야에서 AI 기반 시스템이 이용되고 있다. 이러한 AI 시스템은 수작업을 자동화하고 의사 결정 및 인간의 다른 활동을 개선하는데 도움을 준다. 하지만 많은 AI 시스템에는 방대한 양의 데이터가 들어가 있기 때문에 공격자들이 유망 타깃으로 주목하고 있다.
또 연구 인력들 사이에서 이러한 AI 시스템이 시스템의 로직을 손상시키고 운영에 영향을 미칠 수 있는 악성코드의 유입에 취약하다는 것에 대한 우려가 점차 높아지고 있다. 2019년에는 일부 AI 기술이 가진 취약성에 대한 우려가 커질 것이다. 중요한 AI 시스템이 공격 타깃이 되는 것은 20년 전 인터넷이 등장했던 당시 관찰됐던 일련의 사건을 답습하는 것을 의미할 것이다. 특히 당시 인터넷은 인터넷 기반 전자상거래의 폭발적인 증가 이후 빠른 속도로 사이버 범죄자와 해커의 관심을 끌었다.
공격자들은 AI 시스템만 겨냥하지 않을 것이다. AI 기술 자체의 힘을 빌려 공격 활동을 더욱 강화할 것이다. AI 기반의 자동화된 시스템은 네트워크와 시스템을 뒤져 아직 발견되지 않았지만 악용될만한 취약점이 있는지 찾을 수 있다. 또한, AI는 목표로 삼은 개인 사용자를 속일 목적으로 실제와 매우 유사한 동영상과 오디오, 또는 잘 제작된 이메일을 만들어 피싱 및 다른 사회공학적 공격을 더욱 정교하게 만드는 데 이용될 수 있다. 더불어 AI는 사실과 같이 보이는 허위정보 캠페인에 이용될 수 있다.
예를 들어 한 기업의 CEO가 대규모 금융 손실, 심각한 보안 침해 또는 기타 중대한 소식을 발표하는 실제 있을법한 가짜 동영상을 AI가 만들어낼 수 있다. 이런 가짜 동영상이 대대적으로 퍼지면 진실이 알려지기 전 해당 기업에 큰 영향을 미칠 수 있다.
공격 툴킷이 온라인에서 판매되면서 공격자들이 새로운 위협을 상대적으로 쉽게 생성할 수 있게 되었다. 결국 하찮은 범죄자들도 정교한 표적 공격을 감행할 수 있게 하는 AI 기반 공격 툴이 나타날 것이다. 과거에는 고도로 개인화된 공격을 개발하는 작업이 노동 집약적이고 비용이 많이 들었다. 이런 공격 개발을 자동화하는 툴과 함께 AI 기반의 툴킷을 이용하면 각각의 표적 공격을 추가로 개발하는 데 필요한 한계 비용을 본질적으로 0으로 만들 수 있다.
AI는 공격자와 방어자 양측에 새로운 능력을 부여할 것이다
두 번째, 보호 프로그램 역시 반격 및 취약점 파악을 위해 AI에 의존하게 될 것이다
AI와 관련해서 보안에 긍정적인 측면도 있다. 위협 식별 시스템은 이미 머신 러닝 기법을 이용해 완전히 새로운 유형의 위협을 확인하고 있다. 또한, 공격자들만이 AI 시스템을 이용해 공개된 취약점을 조사하는 것이 아니다. 보안 담당자들도 AI를 이용해 공격에 대한 방어체계를 더욱 굳건히 할 수 있다. 예를 들어 AI 기반 시스템은 반복적인 공격을 통해 취약점을 우연히 발견해 공격자에게 발견되기 전에 조치를 취할 수 있도록 일정 기간 동안 기업 네트워크에서 일련의 시뮬레이션 공격을 실시할 수 있다.
가정에서는 AI와 다른 기술들이 개인의 디지털 보안과 개인정보를 더욱 잘 보호할 수 있도록 도울 것이다. AI가 휴대폰에 내장되어 만약 특정 행동이 위험한 경우 사용자에게 이를 경고할 수 있을 것이다. 예를 들어 새로운 이메일 계정을 설정할 때 휴대폰은 자동으로 이중인증을 설정하라고 경고할 수 있다. 시간이 지날수록 이러한 보안 기반 AI는 사람들이 애플리케이션을 이용하거나 다른 부수적인 혜택을 얻는 대가로 개인정보를 포기할 때 연관된 득실을 잘 이해할 수 있도록 도움을 줄 수 있다.
세 번째, 5G 구축 및 도입으로 인해 공격 면적이 커질 것이다
2018년 12월, 우리나라에서 전 세계 최초로 5G 상용 서비스가 시작됐다. 2019년은 전 세계에서 5G 네트워크가 폭발적으로 증가하는 해가 될 것이다. 5G 네트워크와 5G 폰 및 기타 기기가 광범위하게 활용되기까지 시간이 걸리겠지만, 분명 빠르게 성장할 것이다.
공격자에게 있어 5G 과녁은 LTE보다 더 크다
IDG는 2019년을 5G에게 있어서 중대한 해가 될 것이라고 예측했다. 5G 및 5G와 관련된 네트워크 인프라 시장은 2018년 약 5억2800만 달러에서 2022년 260억 달러로 증가해 연평균 118%의 성장률을 기록할 것으로 전망했다.
5G에 대한 관심의 대부분은 스마트폰에 집중되어 있지만, 2019년에 5G를 지원하는 휴대폰의 수는 제한적일 것이다. 5G 모바일 네트워크가 확산되어감에 따라 일부 통신사업자들은 고정형 5G 모바일 핫스팟과 5G 지원 가정용 라우터를 제공할 것이다. 5G 네트워크의 최대 데이터 전송속도가 10 Gbps인 것을 고려하면, 5G로의 전환은 새로운 운영 모델, 새로운 아키텍처, 그 결과 새로운 취약점의 발생을 촉진하는 역할을 할 것이다.
시간이 지날수록 Wi-Fi 라우터를 경유하기보다 5G 네트워크에 직접 연결되는 5G IoT 기기가 더욱 늘어날 것이다. 이러한 추세로 5G IoT 기기들은 직접적인 공격에 더욱 취약하게 될 것이다. 가정 사용자의 경우 모든 IoT 기기가 중앙 라우터를 우회하기 때문에 모든 기기를 모니터링 하는 것이 더욱 어려워질 것이다.
광범위하게 봤을 때 대량의 데이터를 클라우드 기반 스토리지로 쉽게 백업 또는 전송할 수 있는 능력은 공격자에게 새로운 공격 타깃을 풍부하게 제공할 것이다.
네 번째, IoT 기반 이벤트가 대규모 DDoS 공격을 넘어 보다 위험하고 새로운 공격 형태로 진화할 것이다
몇 년 간 대규모 봇넷 기반의 DDoS 공격은 수만 대의 감염된 IoT 기기를 이용해 공격 대상의 웹사이트를 마비시킬 정도의 트래픽을 유발했다. 이런 공격은 언론의 많은 관심을 받지 못하고 있지만 지속적으로 일어나고 있으며, 앞으로도 계속 위협이 될 것이다.
IoT 기기의 보안은 이제 국가 안보와 연결될 것이다
동시에 보안이 허술한 IoT 기기들이 다른 유해한 목적으로 사용될 것으로 예상된다. 가장 문제가 되는 것은 디지털 세상과 실제 세상을 연결하는 IoT 기기를 겨냥한 공격이 될 것이다. 이러한 IoT 기기 중에는 자동차 등과 같이 동력으로 움직이는 것이 있는 반면, 중요한 시스템을 제어하는 것도 있다.
배전망과 통신망처럼 주요 기반 시설을 제어하는 IoT 기기에 대한 공격이 날로 증가할 것으로 예상된다. 또한, 가정용 IoT 기기가 더욱 보편화되면서 미래에는 이러한 기기를 무기화하는 공격 시도가 있을 수 있다. 이를 테면 혹독한 겨울에 한 나라가 적국에 있는 가정용 온도조절기들을 정지시키는 일이 일어날 수 있다.
다섯 번째, 공격자들이 전송 중인 데이터를 더 많이 캡처할 것이다
가정용 Wi-Fi 라우터 등 보안이 허술한 소비자 IoT 기기를 새로운 방식으로 악용하는 공격이 나타날 가능성이 있다. 암호화폐 채굴을 위해 많은 IoT 기기를 모아 대규모 크립토재킹 공격을 하는 사례가 이미 등장했다.
전송 중인 데이터를 탈취하려는 시도가 늘어날 전망이다
2019년부터 가정용 라우터와 기타 IoT 허브를 통과하는 일부 데이터를 탈취하기 위해 이러한 기기에 접근하려는 시도가 증가할 것으로 예상된다. 이러한 라우터에 삽입된 악성코드는 은행 계정 정보를 훔치고 신용카드 번호를 캡처하거나 기밀정보를 유출하기 위해 악의적인 가짜 웹페이지를 표시할 수 있다.
민감한 데이터는 오늘날 움직이지 않고 저장된 상태일 때 더욱 안전하게 보호되는 경향이 있다. 예를 들어 전자상거래 판매자들은 신용카드 CVV 번호를 저장하지 않기 때문에 공격자들이 전자상거래 데이터베이스에서 신용카드 정보를 탈취하는 것이 더욱 어렵다. 따라서 소비자의 전송 중인 데이터를 탈취하기 위한 공격 기법이 계속 진화할 것이라는 것은 의심할 여지가 없다.
기업 측면에서 볼 때 2018년에 전송 중인 데이터가 유출되는 수많은 사례가 있었다. 메이지카트라는 공격 그룹은 표적 웹사이트에 직접 악성 스크립트를 심어두거나 사이트에서 이용하는 서드파티 공급업체를 감염시키는 방식을 통해 전자상거래 사이트에서 신용카드 번호와 기타 민감한 소비자 정보를 빼냈다.
이러한 ‘폼재킹’ 공격에 최근 수많은 글로벌 기업의 웹사이트들이 피해를 입었다. 기업의 전송 중인 데이터를 겨냥한 또 다른 공격의 경우 VPN필터 악성코드가 다수의 라우터와 NAS(network-attached storage) 장치를 감염시켜 계정 정보 탈취, 네트워크 트래픽 변경, 데이터 암호 해독, 표적 조직 내 다른 악의적인 활동을 위한 진입점 제공 등의 활동을 했다.
네트워크 기반의 기업 공격은 표적 기업의 운영 현황 및 인프라에 대한 가시성을 제공하기 때문에 2019년 사이버 공격자들은 계속해서 네트워크 기반으로 기업을 공격하는 활동에 집중할 것으로 예상된다.
여섯 번째, 공급망 익스플로잇 공격의 빈도와 영향력이 증가할 것이다
공격자들이 일상적인 배포 위치에서 합법적인 소프트웨어 패키지에 악성코드를 이식하는 등 소프트웨어 공급망을 겨냥한 공격이 갈수록 흔해지고 있다. 이러한 공격은 소프트웨어 벤더나 서드파티 공급업체의 제조 단계에서 발생할 수 있다.
기업들은 이제 소프트웨어 공급망 침투를 적극적으로 막아야 한다
전형적인 공격 시나리오로는 공격자가 목표로 삼은 표적에 빠르고 은밀하게 배포하기 위해 합법적인 소프트웨어 업데이트를 악성코드가 있는 버전으로 바꿔치기하는 것이 있다. 소프트웨어 업데이트를 받은 사용자는 누구나 컴퓨터가 자동으로 감염되고 공격자가 감염 환경에 침입할 수 있는 발판을 마련해준다. 이러한 유형의 공격은 점점 증가하고 있으며 또 정교해지고 있다.
미래에는 하드웨어 공급망을 감염시키려는 시도도 있을 것으로 전망된다. 예를 들어 공격자는 칩을 감염시키거나 변경할 수 있고 또는 UEFI/BIOS와 같은 구성요소가 수백만 대의 컴퓨터에 장착되기 전 UEFI/BIOS의 펌웨어에 소스 코드를 추가할 수 있다. 이러한 종류의 위협은 제거하기 매우 힘들고 감염 컴퓨터를 재부팅하거나 하드 디스크를 다시 포맷한 후에도 여전히 남아있을 수 있다.
공격자들은 목표로 삼는 조직의 소프트웨어 공급망에 침투하기 위해 새롭고 더욱 정교한 기회를 지속적으로 찾을 것이다.
일곱 번째, 보안 및 개인정보 보호 우려로 인한 법률 및 규제가 증가할 것이다
유럽연합(EU)이 2018년에 GDPR(일반개인정보보호법)을 시행함에 따라 역외 국가에서 다양한 보안 및 개인정보 보호 정책이 시행될 것으로 보인다. 캐나다는 이미 GDPR과 유사한 법을 시행했고, 브라질은 2020년 시행 예정인 GDPR과 유사한 새로운 개인정보 보호 법안을 최근 통과시켰다.
전 세계 주요국들은 EU의 GDPR을 본딴 법을 만들고 있다
호주와 싱가포르는 GDPR에서 영향을 받아 72시간 침해 통보제를 제정했고 인도는 GDPR에서 영감을 받은 법을 고려하고 있다. 이밖에 전세계적으로 많은 국가가 GDPR 적정성을 갖고 있거나 적정성 평가를 논의하고 있다.
미국은 GDPR 시행 직후 캘리포니아 주에서 미국 역사상 가장 엄격한 수준으로 평가되는 개인정보 보호법을 통과시켰다. 따라서 2019년 전세계적으로 GDPR이 가져올 영향이 더욱 분명하게 나타날 것으로 전망되고 있다.
미국 연방의회는 이미 보안과 개인정보 보호 영역을 더욱 깊이 살펴보고 있다. 이러한 법은 더욱 탄력을 받아 2019년에 구체화될 가능성이 있다. 이에 따라 미국은 2020년 대선 운동이 진행될 시기에 선거 시스템 보안에 대한 관심이 지속적으로 증가할 것이다.
보안과 개인정보 보호 요구를 해결하기 위한 법률 및 규제 활동이 증가할 것은 거의 확실하지만 일부 요구조건은 도움이 되기보다는 역효과를 가져올 가능성이 있다. 예를 들어 지나치게 광범위한 규정은 보안 기업이 공격을 식별하고 대응하기 위해 심지어 일반 정보조차도 공유하지 못하도록 막을 수 있다.
보안과 개인정보 보호 규정이 허술하게 수립된다면 다른 취약점을 해결한다 해도 새로운 취약점을 만들어 낼 수 있다.