모바일 취약점 악성코드 기승 클라우드 기반 인프라 공격 증가

"2013년은 모바일 관련 악성코드가 PC 수준을 위협할 정도로 증가할 전망이다."보안업체들이 2013년을 예측하면서 내놓은 가장 공통적인 이슈다. 작년만 해도 '안드로이드 악성코드 유포'는 거의 나올까 말까한 정도였다. 하지만 '게임 계정 탈취 악성코드', 인터넷뱅킹 계좌정보를 노리는 피싱' 등 PC와 관련된 악성코드는 기승을 부렸다. 환경적으로 취약한 시스템을 보유하고 있는 안드로이드 기기와 게임계정을 노리는 사건, 사고가 많았던 것이다. 대표적인 예로 넥슨의 '메이플스토리'해킹 사건을 들 수 있다.
개인정보보호법과 관련한 유예기간도 끝났다. 2013년은 개인정보보호법에 점검이 미흡한 기업은 처벌을 받을 수 있다.
따라서 개인정보보호관련 이슈가 지속될 것으로 보인다. 또한, 개인정보처리 시스템에 대한 망분리 조치를 의무화한 정보통신망법 개정안에 따라 망분리 솔루션 시장 성장이 가속화 될 것으로 전문가들은 예상했다.
보안업계가 보는 2013년 이슈는 한마디로 '성숙하지 않은 모바일과 클라우드 시장을 노리는 위협이 늘어난다'는 것이다. 이니텍, 시만텍 등 예측한 보고서를 보면 2013년은 모바일, SNS, 클라우드, APT 등이 보안핫 이슈로 떠오를 전망이다.
업계는 아직 기술적으로 미성숙한 모바일과 SNS, 클라우드에 다양한 방식으로 위협을 가할 것으로 예상했다. 예를 들어 APT를 이용해 지속적으로 모바일 기기와 클라우드에 해킹을 시도하는 것이다. 개인의 모바일 기기를 이용한 업무사용이 크게 증가하는 BYOD, 모바일 기기로 트위터, 페이스북 등을 즐기는 사람들이 늘어나고 있지만 보안업계의 기술이 이를 따라가지 못하고 있기 때문이다.
클라우드도 SK텔레콤, LG유플러스 등 통신사와 NHN 등 포털사이트의 경쟁이 치열해지고 있지만 보안은 아직 미완성 상태다. 하이브리드 클라우드가 엔터프라이즈 시장에 유일한 대안으로 떠오르고 있지만 아직 보완해야 할 부분이 많다.
보안위협 측면에서 2013년 가장 주목되는 것은 '다각적이며 지속적인 타깃 공격'과 'APT 공격'이 꼽힌다. 한 보안전문가는 "다각적이며 지속적인 타깃 공격은 어느 하나의 공격 형태로만 이뤄지지 않고 다양한 방식을 통해 지속적으로 타깃에 접근하는 방법"이라면서 "타깃을 삼은 기업에서 사용하는 OS나 SW 또는 문서파일 취약점을 이용해 APT공격을 시도하거나 기업의 구성원들을 대상으로 한 사회공학적 공격을 감행할 수도 있으며, 기업 환경에서 활용되는 모바일 디바이스를 노릴 수도 있다"고 설명했다. 공격자들은 다양한 방식의 공격을 지속적으로 진행해 내부에 침투하고 유의미한 정보를 수집함으로써 원하는 정보를 탈취하는 타깃 공격이 2013년에도 가장 주목되는 보안위협이 될 것으로 보인다. 2013년 주요 보안이슈를 살펴본다.


모바일기기 통한 데이터 유출과 표적 우려증가

2013년 보안트렌드의 중심에는 모바일이 자리잡고 있다.
기업의 관리를 받지 않은 모바일 기기로 기업의 업무를 수행하는(BYOD)가 성장함에 따라 이에 따른 보안이 요구되는 것이다.

시만텍은 개인 모바일 기기가 기업 네트워크에 접속하고, 안전성이 점검되지 않은 기기에 저장된 데이터가 이후 다른 클라우드 환경에 저장되면서 모바일 기기상 데이터 유출과 표적 공격 위험이 더욱 증가할 것으로 예측했다. 여기에 기존 악성코드를 수정한 새로운 모바일 변종도 속속 등장하는 등 2013년에는 모바일 기술이 지속적으로 발전함에 따라 사이버 범죄자들에게 새로운 기회를 제공해 줄 것으로 보인다는 것이다.

일례로 개인의 기기로 애플리케이션을 받을 때 악성 감염코드나 바이러스에 걸린 파일일 경우 보안이 위협받을 수 있다. 개인 IT 기기를 분실할 때도 정보 유출 등의 문제가 생길 수 있다. 또한 2013년에는 모바일 컴퓨팅 증가로 SSL(보안 소켓 계층) 모바일 인프라가 한계에 이르고 이에 따라 모바일 브라우저가 SSL 인증서를 지원하지 않는 중요한 문제가 대두될 것으로 보인다.

이니텍은 모바일 뱅킹이 현재 전체 인터넷 뱅킹 이용건수의 29.1% 를 차지하고 있을 만큼 지속적으로 늘어나고 있다고 보고 있다. 이용자수와 금액은 꾸준히 늘어나지만 스마트폰을 탈옥하거나 루팅하는 사례 역시 늘어나면서 모바일 보안에 대한 대책이 시급한 상황이라는 것. 가용성, 편의성, 경제성을 향상시키는 클라우드 환경 적용에 있어서도 저장된 정보에 대한 보안이 바탕이 돼야 한다고 이니텍은 주장했다.

따라서 데이터 손실 및 유출방지, 데이터 변조 방지를 위한 데이터 보호, 인증 및 권한관리, 시스템 및 네트워크 보안, 시스템 감사 등에 대한 정책 마련과 법령 및 규정의 준수 등 관리적 대응을 위한 보안 대책이 요구된다.

이와 관련 미국 국립과학기술표준연구소(NIST)는 많은 기업과 기관이 BYOD를 적극 채택함에 따라 급증하는 모바일 디바이스 우려에 대응하기 위해 보안 표준 수립 가이드라인 초안을 지난해 11월 발표했다. 가이드라인에서는 보안 과제해결을 위해 모바일 디바이스들의 '디바이스 무결성''독립성''보호 스토리지'등 3가지 핵심 보안 기능을 갖출 것을 권고했다. 디바이스 무결성은 디바이스의 하드웨어, 펌웨어, 소프트웨어에 취약성이 없음을 보장하는 기능을 말한다. 독립성은 개인 및 조직의 데이터 컴포넌트와 프로세스를 서로 분리해 유지하는 것으로 같은 디바이스 상에서 정보 소유자들 간 우연한 접촉도 피하도록 하는 기능이다. 보호 스토리지는 암호 이용 및 정보 접근 제한을 통행 데이터를 안전하게 보존하는 기능으로 디바이스 사용 여부와 관계없이 중요 데이터의 기밀성과 무결성을 유지하는 것이다.


<이하 상세 내용은 컴퓨터월드 1월 호 참조>

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지