[컴퓨터월드] 2018년에도 기업 IT시장의 주요 화두는 ‘디지털 트랜스포메이션(Digital Transformation: DT)’이었다. 인공지능(AI)과 머신러닝(ML), 빅데이터 분석, 클라우드, 사물인터넷(IoT) 등을 포함하는 IT기술은 이제 모바일·인터넷 기반의 기업뿐만 아니라 금융·공공·제조·유통·서비스·농수산업 등 다양한 분야의 기업들에게 ‘DT’라는 혁신을 위한 필수 역량이 되고 있다.

그러나 한편으로 IT는 혁신 성장을 위한 수단임과 동시에, 제대로 대응하지 못하면 기업의 생존을 장담할 수 없게 만드는 부담요소가 되고 있는 것도 사실이다. 기업들이 어떻게든 최신 IT트렌드를 확인하고, 또 따라잡으려 노력하는 것은 이러한 이유에서다. 이에 본지 컴퓨터월드/아이티데일리는 2019년을 맞아 ▲소프트웨어(SW) ▲하드웨어(HW) ▲보안 등 각 분야별로 나눠 지난해 주요 이슈를 정리하고, 올해는 어떤 트렌드에 주목해야할지를 살펴봤다.

클라우드 보안 시장 본격화

올해도 지난해와 같이 보안시장의 가장 큰 화두는 클라우드와 사물인터넷(IoT)으로 예상된다. 클라우드, IoT가 확산되면서 보호해야할 대상이 늘어나고 있는 상황에서 각 IoT 디바이스를 노린 크립토재킹, 봇넷 공격 등이 나타나고 있다. 또한 클라우드 환경에 있는 기업의 자산을 보호하기 위한 요구사항도 늘어나고 있다.

국내 클라우드 보안 시장이 올해 본격적으로 개화하면서, 기업들의 경쟁도 한층 치열해질 것으로 전망된다. 지난해는 대기업을 중심으로 대규모 인프라의 클라우드 전환이 진행됐다면, 올해는 중소·중견기업들도 클라우드를 통해 디지털 트랜스포메이션에 필요한 IT 시스템을 구축하고 비용 및 운영의 효율성을 꾀할 것으로 보인다. 더불어 ‘공공기관 민간 클라우드 이용 가이드라인’이 폐지됨에 따라 정부부처 및 지자체의 민간 클라우드 이용률도 빠르게 증가할 것으로 보인다. 금융권에서의 클라우드 확산도 본격화될 것으로 예상된다. 개인신용정보와 고유식별정보 등 금융기업의 개인정보를 클라우드를 통해 처리할 수 있게 됨으로써 시장이 본격화될 것으로 보인다.

이러한 클라우드 확산 가속화는 보안 업계에 새로운 과제를 부여하고 있다. 클라우드로의 전환은 중요한 비즈니스 데이터와 시스템을 써드파티 사업자와 공유하고 있다는 것을 의미한다. 데이터는 안전하게 전송돼야 하며, 승인된 사람만 접근할 수 있는 방안이 필요하다. 보안 업계에서 클라우드 환경에서의 기업 자산에 대한 가시성을 확보하고, 보호할 수 있는 솔루션을 선보이고 있는 것도 이런 이유에서다.

특히 클라우드 보안은 서비스 사업자가 단독으로 책임질 수 없으며 데이터, 애플리케이션, 운영체제, 네트워크 구성 등의 보안 문제를 해결해야하는 기업과 책임을 공유해야 한다. 이런 상호연결된 에코시스템이 보안을 복잡하게 만들고, 특히 사이버 보안 담당 인력을 관리하고 많은 보안 제품을 관리해야 하는 기업일수록 어려움을 겪을 것으로 보인다.

아러한 클라우드 보안에 대한 요구가 늘어나면서 시장이 빠르게 성장할 것으로 전망된다. 실제 클라우드 전환이 가속화됨에 따라 기업 및 기관들의 클라우드 보안에 대한 관심 역시 높아지고 있다. 보안 기업들도 클라우드 환경에서 기업의 자산을 보호하기 위한 다양한 솔루션을 출시하고 있다.

보안 기업들은 크게 2가지 방향으로 클라우드 보안 사업을 추진하고 있다. 먼저 기존의 구축형 보안 솔루션을 서비스화한 ‘서비스형 보안(SECaaS: Security as a Service)’ 솔루션으로 시장을 공략하는 경우이다. 또다른 측면에서는 클라우드접근보안중개(CASB: Cloud Access Security Broker) 솔루션과 같이 클라우드 환경에 특화된 솔루션으로 시장에 대응하고 있다.

전자의 경우 주로 애플리케이션과 데이터 보호에 특화된 기업들이 해당된다. 문서중앙화 전문기업 ‘넷아이디’는 문서중앙화 솔루션 ‘클라우독’의 모든 기능을 클라우드 서비스화해 제공하고 있다. 지란지교시큐리티는 클라우드 확산에 맞춰 기존 이메일 보안 클라우드 서비스인 ‘지란더클라우드’의 인프라를 MS 애저로 이관해 서비스 안정성을 높이고, 중소·중견기업을 대상으로 마케팅을 강화하고 있다. 더불어 문서중앙화 솔루션 ‘다큐원’의 클라우드 서비스 출시를 준비하고 있으며, 스팸메일차단, 보안파일서버 등 구축형 제품의 서비스화를 점진적으로 추진할 예정이다.

IoT 취약점 활용한 공격 증가

IoT의 확산에 따라 IoT 보안도 이슈가 되고 있다. 특히 스마트시티로 인해 집, 이동수단, 산업현장, 업무환경, 도시 인프라 등이 모두 긴밀하게 연결되고 있다. 이런 이유로 수많은 사용자와 기기, 시스템이 연결된 스마트시티는 사이버 공격자들의 매력적인 표적이 되고 있다. 특히 스마트시티 운영의 핵심 요소인 IoT 기기의 취약점을 통해 침투하거나 이를 봇넷에 감염시켜 공격에 활용하는 등의 위협은 급속히 증가할 것으로 예상돼 스마트시티의 운영 효율성과 함께 보안성을 높이기 위한 대응 방안이 시급한 실정이다.

특히 기존에 IoT 기기를 봇넷으로 감염시켜 분산 서비스 거부(DDoS) 공격 외에도 IoT를 악용한 다양한 공격이 출현할 것으로 예상된다. 보안 업계는 스마트시티 등 인프라 관련 IoT 기기를 겨냥한 공격에 많은 우려를 하고 있다. 자율주행차와 같은 IoT 기기를 해킹할 경우 생명에 직접적인 영향을 미칠 수 있기 때문이다. 배전망, 통신망처럼 주요 기반 시설을 제어하는 IoT 기기에 대한 공격 역시 크게 증가할 것으로 전망된다.

한편으론 가정용 와이파이 라우터 등 보안이 허술한 소비자 IoT 기기를 악용한 공격도 나타날 가능성이 높다. 암호화폐 채굴을 위해 IoT 기기를 모아 대규모 크립토재킹을 실행하는 공격 사례는 이미 나타나고 있다. 올해는 가정용 라우터 및 기타 IoT 허브를 통과하는 데이터를 탈취하기 위한 시도가 증가할 것이다. IoT 허브에 삽입된 악성코드는 은행 계정 정보(Credentials)를 훔치고, 신용카드번호를 캡처하거나, 기밀 정보를 유출하기 위해 악의적인 가짜 웹페이지를 표시할 수 있다. IoT 기기 관리 등의 보안 대책이 요구된다.

5G 도입으로 공격 영역 확장

지난해 말 5G가 본격적으로 상용화되기 시작했다. 5G 네트워크 인프라를 구축하기 시작햇으며, 올해는 본격적으로 5G가 확산될 것으로 보인다. 5G 네트워크와 5G 모바일 및 기타 다른 기기가 광범위하게 활용되기까지 시간이 걸리겠지만 그 속도는 매우 빠르게 이루어질 것이다. 한 예로 IDG는 2019년을 5G 측면에서 ‘중대한 해’가 될 것으로 예측했으며, 5G 및 5G와 관련된 네트워크 인프라 시장은 2018년 약 5억 2,800만 달러에서 2022년 260억 달러로 증가하는 등 연평균 118%의 성장률을 기록할 것으로 전망했다.

5G에 대한 관심의 초점이 상당부분 스마트폰에 집중돼 있지만 2019년 5G를 지원하는 휴대폰의 수는 제한적일 것으로 보인다. 5G 모바일 네트워크 확산에 따라, 일부 통신사업자들은 고정형 5G 모바일 핫스팟과 5G 지원 가정용 라우터를 제공할 것이다. 하지만 5G 네트워크의 최대 데이터 전송속도가 10Gbps(4G의 경우 1Gbps)인 것을 고려하면 5G로의 전환은 새로운 운영 모델, 새로운 아키텍처가 필요하며 그 결과 새로운 취약점의 발생을 촉진하는 역할을 할 것으로 전망된다.

시간이 지날수록 와이파이 라우터를 경유하기 보다 5G 네트워크에 직접 연결되는 5G IoT 기기가 늘어날 것이다. 이로 인해 5G IoT 기기들은 직접적인 공격에 더욱 취약하게 될 것이며, 가정 사용자의 경우 모든 IoT 기기가 중앙 라우터를 우회하기 때문에 모든 기기를 모니터링하는 것이 더욱 어려워질 것이다. 이런 문제를 해결하기 방안 마련이 보안 업계의 또다른 과제로 대두되고 있다.

공급망 공격, 비즈니스 이메일 침해, 랜섬웨어 등 기존 위협도 심화

클라우드, IoT 이슈 외에도 SW 공급망(Supply Chain) 공격 및 비즈니스 이메일 침해, 랜섬웨어 등 기존의 사이버 위협도 계속될 것으로 전망된다.

먼저 소프트웨어 공급망을 악용한 공격의 빈도와 영향력도 증가할 것으로 예상된다. 실제 공격자들이 일상적인 배포 위치에서 합법적인 소프트웨어 패키지에 악성코드를 이식하는 등 소프트웨어 공급망을 겨냥한 공격이 늘어나고 있다. 이런 공격은 소프트웨어 공급기업이나 써드파트 공급기업의 제조단계에서 발생할 가능성이 있다. 전형적인 공격 시나리오는 공격자가 목표로 삼은 표적에 빠르고 은밀하게 배포하기 위해 합법적인 소프트웨어 업데이트를 악성코드가 있는 버전으로 변경한다. 소프트웨어 업데이트를 받으면 자동으로 컴퓨터가 감염되는 것으로, 공격자는 이를 활용해 컴퓨터를 해킹하거나 다른 공격에 활용할 수 있다.

최근 제기된 중국 스파이칩 논란에 따라, 소프트웨어가 아닌 하드웨어를 노린 공급망 공격도 부각되고 있다. 공급망은 일반적으로 정상적인 제품을 개발, 제조, 유통하기 위한 통로 역할을 하므로 공급자와 사용자 모두에게 큰 신뢰를 얻고 있다. 특히, IT 기기 제조 과정에서 스파이칩이나 백도어를 심을 경우 발견하기 어려워 대형 보안 사고로 이어질 가능성이 존재하므로, 소프트웨어와 더불어 하드웨어 공급망의 보안성을 검증할 수 있는 보안 체계 구축이 시급히 이뤄져야 할 것으로 보인다.

비즈니스 이메일 침해로 인한 피해도 날로 증가하고 있으며, 이런 공격은 앞으로도 지속될 것으로 예측된다. 지난 5년 동안 비즈니스 이메일 계정을 타깃으로 진행한 공격으로 발생된 피해 금액은 전세계적으로 120억 달러 이상으로 추정된다. 기업에서 사용하는 패스워드 및 로그인 정보가 탈취되는 사례가 증가하고 있는데 공격자들은 파트너 및 내부 이해관계자로 위장해 표적을 노리고 있는 상황이다. 비즈니스 이메일 해킹 증가는 기업 웹사이트를 모방하는 것부터 직원의 개인 소셜미디어 계정에 이르기까지 다양한 형태의 복잡한 공격으로 이어지고 있다. 올해는 이런 공격이 더욱 고도화돼 내부 점검을 우회하는 공격 시도가 늘어날 것으로 예측된다.

랜섬웨어, 암호화폐 거래소 공격, 크립토재킹 등 암호화폐와 관련된 사이버 위협도 지속될 것으로 보인다. 공격자들은 불특정 다수에게 무차별적으로 랜섬웨어를 유포하던 것에서 더 나아가, 암호화폐 거래소의 임직원과 고객 등 암호화폐를 보유한 표적을 대상으로 지능적인 APT공격을 시도하거나, 취약점 등을 이용해 사용자의 PC 혹은 서버를 장악한 뒤 크립토재킹을 실행하는 등 다양한 공격 수법을 동원하며 공격의 효율성을 높이고 있다. 이런 추세는 올해도 지속될 것으로 예상된다.
 

AI로 고도화되는 사이버 위협

AI의 상업적 가능성이 최근 몇 년간 실현되고 있다. 이미 많은 비즈니스 운영 분야에서 AI기반 시스템이 활용되고 있다. AI는 수작업을 자동화하고 의사결정 및 인간의 다른 활동을 개선하는데 도움을 주지만, 방대한 양의 데이터가 있기 때문에 주된 공격 목표가 되기도 한다.

보안 업계에서는 이런 AI 시스템이 시스템의 로직을 손상시키고 운영에 영향을 미칠 수 있는 악성코드의 유입에 취약하다는 것에 우려를 나타내고 있다.

특히 공격자들은 AI 시스템만 겨냥하지 않고 AI 기술을 활용해 공격 활동을 더욱 강화할 것으로 예측된다. AI 기반의 자동화된 시스템은 네트워크와 시스템을 뒤져 아직 발견되지 않았지만 악용될만한 취약점이 있는지 찾을 수 있다. 또한 AI는 목표로 삼은 개인 사용자를 속일 목적으로 실제와 매우 유사한 동영상과 오디오, 또는 잘 제작된 이메일을 만들어 피싱 및 다른 사회공학적 공격을 더욱 정교하게 만드는데 이용될 가능성도 있다.

공격 툴킷이 온라인에서 판매되면서 공격자들이 새로운 위협을 상대적으로 쉽게 생성할 수 있게 됐다. 하찮은 범죄자들도 정교한 표적 공격을 감행할 수 있게 하는 AI 기반 공격 툴이 나타날 것으로 전망된다. 과거에는 고도로 개인화된 공격을 개발하는 작업이 노동 집약적이고 비용이 많이 들었는데, 이런 공격 개발을 자동화하는 툴과 함께 AI 기반의 툴킷을 이용하면 각각의 표적 공격을 추가로 개발하는 데 필요한 비용을 본질적으로 제로로 만들 수 있다.

보안업계는 AI로 고도화되는 사이버 위협에 대한 대응방안으로 AI를 제시한다. AI로 자동화된 위협을 방어하기 위해선 똑같이 탐지 및 대응에도 자동화가 필요하다는 것이다. 이미 많은 보안 기업들은 머신러닝을 악성코드 탐지 등에 활용하고 있다. 이런 추세는 올해도 지속될 것으로 전망된다.

국내 기업 중 AI 기술을 적극적으로 활용하는 기업은 이글루시큐리티를 꼽을 수 있다. 이글루시큐리티는 오탐과 미탐 정보를 가려내 위협에 보다 빠르게 대응하기 위해 AI 기반 보안 관제 시스템을 구축하고 있다. 지난해 1월에는 ‘대구 AI 기반 지능형 보안관제 체계(D-Security)’를 구축했으며, 이 경험을 바탕으로 올 1월 중 AI 플랫폼 기반 보안관제시스템(SIEM) 솔루션 ‘스파이더(SPiDER) TM AI에디션’ 상용화 버전을 발표할 계획이다.

이글루시큐리티 관계자는 “차세대 ICT 기술 도입 가속화, IT 인프라 환경 변화와 함께, 기존의 방어 체계로는 대응하기 어려운 복합적이고 지능적인 공격이 점점 더 늘어날 것으로 전망된다”며, “이에 맞서는 방어자들은 AI 기반 보안관제, 위협 헌팅, 위협 인텔리전스 등 정확한 보안 위협 분석, 빠른 보안사고 대응에 초점을 둔 능동적인 보안 기술 및 방법론을 활용해 보안의 효율성을 높임으로써, 개인의 삶, 공공 안전, 기업 생산성에 큰 영향을 미칠 수 있는 보안 위협에 보다 빠르고 능동적으로 대응해야 할 것”이라고 말했다.

GDPR 등 개인정보 관련 컴플라이언스 강화

지난해 유럽 개인정보보호규정(GDPR) 발효에 이어 올해에는 아시아 등 다양한 지역에서 개인정보보호규정이 강화될 것으로 전망된다. 캐나다는 이미 GDPR과 유사한 법률을 시행하고 있고, 브라질은 2020년 시행 예정인 새로운 개인정보보호 법안을 최근 통과시켰다. 호주와 싱가포르는 GDPR에서 영향을 받아 72시간 침해 통보제를 제정했고, 인도는 GDPR에 영감을 받은 법을 고려하고 있다.

이외에도 한국과 일본을 비롯해 다양한 국가들이 GDPR 적정성을 갖고 있거나 평가를 추진하고 있다. 미국은 GDPR 발효 직후 캘리포니아 주에서 미국 법 중 가장 엄격한 수준으로 평가되는 개인정보보호법을 통과시켰다. 이에 따라 올해에는 전 세계적으로 GDPR의 영향이 더욱 분명하게 나타날 것으로 보인다.

국내에서도 지속적으로 빅데이터 활용을 위한 개인정보보호법 개정을 꾸준히 논의하고 있다. 한국인터넷진흥원과 금융보안원은 각각 PDS(Personal Data Store)를 추진한다고 밝힌 바 있으며, 학계에서는 개인정보 비식별화 등 개인정보보호법 개정 방향에 대한 논의가 활발히 진행되고 있다. 지난달 개최된 개인정보보호법학회에서는 ▲인재근 국회의원이 대표 발의한 개정안을 중심으로 가명정보 도입 관련 검토 ▲개인정보 추진체계 개편 ▲개인정보보호법 개정 3법에 대한 평가와 전망 등의 주제로 토론이 진행된 바 있다.

한편으로는 국가별 개인정보 관련 컴플라이언스로 인해 ‘데이터 보호주의’가 강화될 것으로 보인다. GDPR은 역외이전 조항을 통해 유럽권역 외부에서 데이터 이전에 대해 규제하고 있다. 더불어 많은 국가에서 GDPR에서 영감을 받은 개인정보보호법을 추진하고 있는 만큼, 전 세계적으로 데이터 보호주의는 지속될 것으로 전망된다.

시만텍 관계자는 “보안과 개인정보 보호 요구를 해결하기 위한 법률 및 규제 활동이 증가할 것은 확실하지만 일부 요구조건은 도움이 되기보다는 역효과를 가져올 가능성이 있다”며, “예를 들어 지나치게 광범위한 규정은 보안 기업이 공격을 식별하고 대응하기 위해 심지어 일반 정보조차도 공유하지 못하도록 막을 수 있다. 보안과 개인정보 보호 규정이 허술하게 수립된다면 다른 취약점을 해결한다 해도 새로운 취약점을 만들어 낼 수 있다”고 강조했다.

고도화되는 사이버 위협

올해의 사이버 보안 위협 동향은 지난해와 유사할 것으로 전망된다. 클라우드로의 전환이 본격화되면서 기존과 다른 보안 체계가 요구된다. 특히 국내에서는 공공기관 및 금융권에서의 클라우드 도입이 본격화될 것으로 전망됨에 따라 클라우드 보안 시장도 함께 급성장할 것으로 예상된다. 또한 스마트시티, 자율주행차, 스마트홈 등으로 인해 인터넷에 연결되는 IoT 디바이스가 증가하면서 공격자들이 노릴 수 있는 공격면도 늘어나고 있다.

더불어 랜섬웨어, 암호화폐 거래소 공격, 크립토재킹 등 암호화폐와 관련된 위협은 지속될 것이며, 사회공학적 기법을 활용한 비즈니스 이메일 침해 등 기업을 향한 공격도 늘어날 것으로 예상된다. 이런 공격들은 사이버 공격자들이 금전적 이득을 취할 수 있다는 점이 특징이다. 이런 사이버 위협들은 AI 기술을 통해 고도화될 것으로 보인다.

이 외에도 빅데이터 활용을 위한 개인정보보호법 개정은 전 세계적인 추세가 되고 있다. 국내에서도 세계적인 추세에 따라 논의가 활발하게 이뤄지고 있다. 하지만 이런 컴플라이언스들로 인해 데이터 보호주의가 강화되고 있는 추세며, 더불어 너무 강력한 컴플라이언스는 빅데이터 활용을 가로막는 장애물이 될 것이라는 우려도 제기되고 있다.