[컴퓨터월드] 어느덧 코로나19(COVID-19) 시대도 3년을 가득 채우고 4년차에 접어들었다. 지난해부터 매섭게 체감되는 전 세계적 물가 상승과 거시경제의 불확실성이 2023년에도 여전할 것으로 전망되는 가운데, 이제 전 세계는 새로운 시련의 시기를 앞두고 있다. IT업계만을 놓고 본다면 과연 지난 2022년이 코로나19가 가져다준 예상 밖 호황의 끝자락이었을지, 아니면 2023년에도 IT 기반 4차 산업혁명의 영향이 이어질지 많은 IT업계인들이 두려움 반, 희망 반으로 새해를 맞이하고 있다. 컴퓨터월드/IT DAILY는 2023년을 맞아 △소프트웨어(SW)·데이터 △클라우드 △정보보안 등 크게 3가지 영역으로 나눠 올해 IT업계를 조심스럽게 전망한다. <편집자 주>

[SW‧데이터] 

IT 비전문가 위한 접근성 강화, LCNC와 데이터 리터러시

김성수 기자 kimss56@itdaily.kr

실증 단계 넘어서 실전성 갖춘 LCNC

디지털 혁신을 추구하는 대다수 기업들은 만성적인 개발자 부족으로 인해 어려움을 겪고 있다. 개발자 부족은 비단 어제오늘만의 일이 아니지만, 최근 몇 년 간 정부와 학계, 민간기업들이 다함께 IT 인력 양성에 힘을 쏟았음에도 여전히 공급이 수요를 따라가지 못하고 있는 실정이다. 특히 최근에는 산업 분야를 가리지 않고 디지털 기술을 활용한 혁신이 주요 과제로 자리잡으면서 비 IT 기업들 역시 우수한 개발자들을 영입하고 있으며, 이는 업계 전반의 개발자 인력난을 더욱 가속화시키고 있는 실정이다.

이에 따라 만성적인 개발자 부족 문제를 해결하기 위한 방법으로 로우코드‧노코드(Low code‧No code, 이하 LCNC) 기술이 많은 주목을 받고 있다. LCNC는 개발 과정에서 코드를 직접 작성하는 비중을 최소화하고, 기존에 만들어놓은 컴포넌트나 모듈, 기능 등을 조립해 원하는 서비스를 만들어내는 것을 의미한다. 직접적인 코딩 업무가 줄어들기 때문에 개발자들의 업무 생산성이 크게 증가하는 것은 물론, IT 기술에 대한 이해나 SW 개발 경험이 없는 사용자들도 간단한 서비스 정도는 직접 만들어 사용할 수 있으므로 사내 IT 조직의 부담이 줄어드는 효과도 기대할 수 있다.

그동안 IT 업계에서는 SW 개발을 쉽고 편하게 하기 위해 다양한 시도가 있었다. 사용자가 원하는 요구사항을 입력하면 컴퓨터가 코드 작성을 대신해주는 CASE(Computer Aided Software Engineering) 방법론 등이 대표적이다. 지금도 적지 않게 쓰이는 컴포넌트 기반 개발(CBD, Component Based Development) 역시 개발 생산성을 높이고 복잡성을 낮추는 방법 중 하나다. SW 개발은 개발자의 역량에 따라 생산성이 크게 달라지는 분야이기 때문에, 조직 내 전반적인 생산성을 높이고 표준화된 구조를 갖출 수 있도록 돕는 기술들에 대한 수요는 항상 있어 왔다.

그동안 SW 개발을 보조하는 기술들은 사용자들의 기대에 미치지 못했던 것이 사실이다. CASE 방법론을 위한 도구들은 정확한 코드 생성을 위해 요구사항을 정제하고 구체화하는 과정이 필요했고, 만들어진 서비스에 대해 수정이 필요할 경우 자동으로 생성된 코드를 역설계(reverse engineering)하는 것에 많은 어려움이 있었다. 문제가 심각하면 서비스 전반에 대한 대규모 수정을 하는 대신 차라리 처음부터 다시 개발하는 게 더 빠른 경우도 있었다. CBD 방법론 역시 과거에는 컴포넌트 하나하나가 가지고 있는 기능이 매우 단순하고 제한적이었기 때문에, 컴포넌트 이외에 개발자가 직접 개입해야 하는 부분도 상당했다. 이에 따라 개발자들 사이에서는 SW 개발을 자동화하는 것 자체에 대해 거부감을 느끼는 사람도 상당하다.

하지만 최근에는 이러한 분위기가 빠르게 변화하고 있다. 만성적인 개발자 부족 문제가 앞으로 최소한 몇 년 사이에는 해결될 기미가 보이지 않는데, 이를 지원할 수 있는 LCNC 기술들의 전반적인 수준이 높아져 만족스러운 생산성 향상을 기대할 수 있게 됐기 때문이다. 특히 기업들에게 있어서 디지털 혁신을 추구하는 것이 당연시되면서, 간단한 서비스 개발 업무 정도는 비 개발자들이 LCNC 기술을 활용해 자체적으로 해결하도록 함으로써 소수의 전문 개발자들이 혁신을 위해 보다 가치있는 업무에 집중하도록 하는 경우가 늘어나고 있다.

이러한 LCNC 기술에 대한 수요는 2023년에 더욱 빠르게 증가할 것으로 예상된다. 그동안 LCNC 확산의 가장 중요한 과제는 해당 기술에 대한 국내 산업계 전반의 인식을 개선하는 것이었는데, 2022년 한 해 동안 공공기관과 민간기업을 가리지 않고 다수의 LCNC 프로젝트들이 성공을 거두면서 상당 부분 해결되고 있기 때문이다. 지난해 7월 발족한 국내 노코드‧로우코드협의회를 중심으로 LCNC 분야 핵심 기업들이 주요 성공사례 공유와 기술 고도화 등에 힘을 모으면서, 산업계 전반의 인식 개선과 관심 제고에도 혁혁한 성과를 보이고 있다.

차세대 데이터 전략의 핵심, 데이터 가상화

데이터는 중요한 의사결정을 내리는 데에 있어 가장 핵심적인 요소이며, 데이터를 관리하고 활용하는 능력은 비즈니스 혁신을 이끌어나가기 위해 반드시 갖춰야 할 역량으로 자리잡았다. 오늘날 선도적인 비즈니스를 펼치고 있는 기업 중 데이터의 중요성을 간과하는 기업은 거의 없다.

그럼에도 불구하고, 자사의 데이터 관리 역량이 비즈니스 혁신을 달성하는 데에 충분하다고 생각하는 기업은 드물다. 여전히 많은 기업들이 폭발적으로 증가하는 데이터 수집과 저장, 무질서한 데이터 정리와 이기종 데이터 간의 통합, 분산된 저장소 간의 데이터 중복 및 사일로화 제거 등 해묵은 문제에 어려움을 겪고 있다. 특히 하이브리드 및 멀티 클라우드 전략이 대다수 기업들의 디지털 전략에서 핵심으로 자리잡으면서 이러한 문제는 더욱 가속화되고 있다.

몇 년 전부터 선도적인 데이터 기업들은 서로 다른 데이터 저장소를 통합해 사용자 접점을 단일화하는 것이 중요하다고 강조해왔다. 사용자가 원하는 데이터를 찾기 위해 조직 내 수많은 저장소들을 직접 돌아다니고 탐색하는 대신, 단일한 공간에서 모든 데이터에 접근하고 활용할 수 있는 체계를 만들어야 한다는 것이다. 이러한 요구는 데이터 카탈로그(data catalog) 기술을 활용해 손쉽게 원하는 데이터를 검색할 수 있는 포털(data portal)이나, 조직 내 모든 데이터들을 날것 그대로(raw data) 한 곳에 모아두는 데이터 레이크(data lake) 등을 만들어냈다. 하지만 이들 역시 기업들이 원하는 데이터 관련 요구들을 모두 해결해주지는 못했다. 특히 데이터 레이크는 DB와 DW 등으로 구성된 전통적인 데이터 아키텍처를 대체하지 못해, 초기에 받았던 기대에 미치지 못하는 성과를 올렸다.

데이터 통합의 측면에서 최근 가장 주목받고 있는 것은 단연 데이터 가상화(data virtuarization)다. 앞서 데이터 레이크가 이곳저곳에 산재된 데이터 저장소들에서 물리적(physical)으로 데이터를 복사해 한 곳에 쌓는 방식을 취한 반면, 데이터 가상화는 실제 데이터의 이동이나 복사 없이 기존 저장소들을 논리적(logical)으로 연결하는 방식을 취한다. DB나 DW 등 기존의 모든 데이터 저장소들을 각각의 데이터 소스로 정의하고 이들을 연결하는 새로운 가상화 레이어를 구성한다. 가상화 레이어는 그 자체로 데이터를 저장하는 대신, 각각의 데이터 소스들이 가지고 있는 데이터에 대한 정보를 가지고 있다. 따라서 사용자는 가상화 레이어에 접근해 원하는 데이터가 어디에 저장돼있는지를 찾고, 필요하다면 각각의 데이터 소스에 쿼리를 날려 원하는 데이터를 찾고 통합할 수 있다.

데이터 가상화는 기존의 물리적인 데이터 통합 방법에 비해 훨씬 비용효율적이라는 장점이 있다. 가령 데이터 레이크를 새롭게 구축해 전사 데이터를 통합하고자 할 경우 물리적으로 데이터를 보관할 저장 공간이 최소 2배 이상 필요하다. 각각의 데이터 소스들을 그대로 유지하면서 데이터 레이크에도 동일한 데이터들을 복제해 저장해야 하기 때문이다. 반면 데이터 가상화는 각 데이터 저장소 간의 논리적인 연결구조를 만들고 최소한의 메타정보만을 담고 있기 때문에, 데이터 레이크에 비해 스토리지 구입에 드는 비용을 절약할 수 있다. 또한 사용자의 접근 경로를 단일화하고 직접적으로 데이터를 담고 있지 않으니 보안 관리 측면에서도 상당한 장점을 갖는다.

최근 기업들은 데이터 패브릭(fabric), 데이터 메시(mesh), 데이터 레이크하우스(lakehouse) 등 기존의 한계를 극복하는 새로운 데이터 관리 및 활용 전략을 고민하고 있다. 이러한 차세대 데이터 전략에서 핵심 기술로 꼽히는 것 중 하나가 바로 데이터 가상화이며, 이것이 데이터 가상화가 지난 2022년 데이터 분야에서 가장 주목받았던 이유이기도 하다. 2023년에는 데이터 가상화의 인식 확산과 검증 단계를 넘어서 본격적인 확산이 이뤄질 것으로 예상된다.

[클라우드]

경기 불황에도 상승곡선 그리는 국내 클라우드 시장

박재현 기자 pajh0615z@itdaily.kr

MSA 컨설팅 및 쿠버네티스 수요 확대

클라우드는 기업의 비즈니스에 핵심적인 기반 인프라로 자리매김했다. 최근 기업·기관, 조직들은 단순 인프라로써의 클라우드 보다 클라우드를 사용하면서 얻을 수 있는 장점을 보다 잘 누릴 수 있도록 ‘클라우드 네이티브(Cloud Native)’ 환경에 집중하기 시작했다. 이와 동시에 클라우드 네이티브를 구현했다고 평가할 수 있는 기준인 마이크로서비스 아키텍처(MSA)와 컨테이너 운영 관리 플랫폼 쿠버네티스(Kubernetes)에 대한 수요도 늘어나기 시작했다. 올해 많은 기업들은 클라우드 네이티브 환경을 구현하기 위해 애플리케이션을 MSA로 변경하고, 쿠버네티스를 통해 배포할 것으로 예상된다.

하지만 현재 여전히 국내 기업·기관의 조직에서는 하나의 큰 덩어리 형태인 모놀리식(Monolithic) 아키텍처가 적용된 애플리케이션을 운영하고 있다. 이러한 덩어리 형태의 애플리케이션을 서비스 기능 단위의 블록으로 잘게 나눠 MSA로 재구성하기 위해선 오랜 시간과 비용, 기술 전문성이 필요하다.

이에 따라 MSA를 전문으로 하는 컨설팅 기업에 많은 관심이 쏠릴 것으로 예상된다. 메타넷티플랫폼 측 관계자는 “클라우드 네이티브의 핵심은 애플리케이션의 아키텍처에 클라우드의 유연함과 민첩성을 오롯이 담을 수 있도록 변경하는 것에 있다. 하지만 넷플릭스와 같이 IT 친화적인 기업도 7년 이상이 걸린 MSA 작업을 진행했다. 그만큼 이를 구현하기 위해선 관련 전문성이 높은 MSA 컨설팅 기업이 필요하다”면서, “현재 몇몇 서비스형 플랫폼(PaaS) 기업과 클라우드 관리 서비스 제공사(MSP)가 이 역할을 자처하고 있지만, 향후에는 MSA 전문 컨설팅 기업이 등장할 것으로 예상된다”고 설명했다.

아울러 클라우드 네이티브를 구현하는 또 다른 축인 쿠버네티스의 수요 역시 확대될 것으로 예상된다. 그간 쿠버네티스는 도입이 활발하지는 않았다. 업계에 따르면, 규모가 있는 엔터프라이즈에서 소규모로 테스트베드 환경 구축에만 일부 적용될 뿐이었다. 달리 말하면 실 사용사례가 많지 않아 신뢰도가 검증되지 않았다는 의미다.

하지만 2020년에 들어 쿠버네티스를 도입, 확대 구축하는 사례가 크게 늘기 시작했다. 업계 관계자들에 따르면, 보수적이라고 알려지는 은행·카드사·증권사 등 금융권과 공공기관에서도 쿠버네티스 도입을 적극적으로 검토하고 있으며 구축 사례도 연달아 나타나고 있다. 실제로 차세대 프로젝트를 진행 중인 몇몇 금융기관들에서는 쿠버네티스 기반의 애플리케이션 현대화를 핵심 과제로 꼽고 있다.

쿠버네티스 수요가 확대될 것이라는 전망에는 멀티 클라우드의 수요가 확대되고 있다는 점도 영향을 주고 있다. 복수 개의 퍼블릭 클라우드를 사용하는 사용 방법론인 멀티 클라우드에는 유연성과 민첩성, 관리 효율성을 확보해야 한다는 숙제가 존재하지만, 이를 하단 종속성이 없어 이식성이 뛰어난 컨테이너(Container)로 해결할 수 있기 때문이다. 또 수많은 컨테이너를 관리할 수 있는 솔루션인 쿠버네티스도 덩달아 인기를 받는 이유이기도 하다.

공공 클라우드 전환사업 규모 축소…DaaS 사업 확대

2023년에는 2021년 하반기부터 진행된 공공 클라우드 전환사업의 예산 규모가 축소될 것으로 예상된다. 행정안전부(장관 이상민, 이하 행안부)의 ‘행정·공공기관 대상 정보시스템 클라우드 전환사업(이하 전환사업)’의 규모는 줄 것으로 보이지만, 서비스형 데스크톱(DaaS) 구축사업은 확대될 것으로 전망된다.

행안부의 전환사업은 2025년까지 1만 9개의 정보시스템을 클라우드로 이관하는 사업이다. 행정 수요에 신속하고 유연하게 정부 서비스를 제공할 수 있도록 민간 클라우드 기술과 서비스를 공공에 도입하는 것이 목적이다. 2021년 하반기 1차 사업을 시작으로, 2022년 1~7차로 이뤄진 2차 사업이 진행됐다. 올해에도 3차 사업이 진행될 예정이다.

다만 올해 클라우드 전환사업의 예산이 축소된 것으로 알려진다. 지난해 상반기에만 해도 2,000억 원 이상이 배정될 것으로 예상됐지만, 업계에 따르면 9월경 300억 원으로 축소될 것으로 알려졌다. 하지만 최근 NIA에서 국회 예산 증액 검토를 재차 요구하며 7~800억 원으로 예산이 증액될 것으로 예상되고 있다.

하지만 이 사업과 관련해 클라우드 사업임에도 CSP에게 불이익이 존재한다는 의견도 일각에서 나오며 사업에 기대를 걸었던 기업들의 실망감이 커지고 있는 상황이다. 이에 대해 한 관계자는 “이 사업은 사업 예산 중 6~70%가 클라우드 전환비로 분류돼 SI 기업에 할당된다. 클라우드 사업임에도 클라우드 서비스 제공사에게는 20%만이 할당된다”면서, “계약 기간이 만료된 후 클라우드 서비스를 지속하기 위해서는 CSP와 계약 협상을 해야 한다. 그때는 가격 통제권이 CSP에게 넘어가고 가격을 올려 받더라도, 공공기관은 타 클라우드 서비스 혹은 정부 전산센터로 이관하는 비용이 더 크기 때문에 재계약해야 할 것이다. 당장 이익이 없는 사업임에도 CSP가 적극적으로 참여하는 이유도 여기에 있다”고 설명했다.

한편, 공공 DaaS 사업은 확대될 것으로 예상된다. 이에 대해 KT클라우드 이종훈 클라우드본부 클라우드 사업담당 상무는 “최근 정부 및 금융사에서 기존 VDI 구축사업을 클라우드 형태인 DaaS 사업으로 발주하는 움직임이 포착되고 있다. KT클라우드 역시 우정사업본부, 한국은행에 DaaS 공급 레퍼런스를 토대로 적극적으로 이 시장에 뛰어들 계획”이라고 설명했다.

실제로 국내 CSP들은 VDI 기업과 협력을 통해 클라우드 서비스 보안인증(CSAP) DaaS 부문을 취득 중에 있는 것으로 알려진다. KT클라우드는 틸론의 ‘디스테이션(DStaion)’으로, 가비아는 에스피소프트의 VDI 제품을 토대로 인증 받고 있는 것으로 알려진다. 아울러 네이버클라우드는 SK(주) C&C의 VDI를, NHN클라우드는 크로센트의 VDI를 토대로 공공 DaaS 사업에 뛰어들고 있다.

비용 관리 이슈로 CMP 수요 ‘봇물’

올해에는 클라우드 비용을 최적화하기 위한 시도도 늘어날 것으로 예상된다. 이에 따라 클라우드 관리 플랫폼(CMP)을 찾는 기업과 기관의 수가 증가할 것으로 전망된다.

최근 전 세계적인 경기 침체로 인해 투자 심리가 위축되는 등 기업들의 비즈니스에 먹구름이 꼈다. 이에 따라 기업들은 비즈니스 연속성을 확보하기 위해, 건전한 재무를 유지하기 위해 인적, 물적인 비용 절감에 돌입했다.

비용 절감 추세는 당연하게도 클라우드에도 스며들었다. 이는 클라우드의 비용 최적화 수요로 이어지고 있다. 디지털 혁신을 통한 시장 경쟁 우위 선점 또는 생존을 위해 클라우드 활용이나 도입은 멈출 수 없지만 좀 더 효율적으로 사용하기를 원하는 기업들이 늘어날 것으로 예상된다.

클루커스 홍성완 대표는 “최근 기업들은 멀티·하이브리드 클라우드를 사용하며 IT 환경이 복잡해지고 있다. 기업들은 퍼블릭 클라우드, 프라이빗 클라우드, 온프레미스 등 전사 인프라부터 그 윗단에서 구동되는 애플리케이션까지 한눈에 확인하고, 불필요한 자원을 없애고자 많은 노력을 하고 있다. 최근에는 클라우드 관리 플랫폼(CMP)을 도입하는 고객이 늘고 있다는 점이 이를 방증한다”고 부연했다.

베스핀글로벌 이한주 대표도 이러한 주장에 동감했다. 베스핀글로벌 이한주 대표는 “클라우드 도입이 늘어나고 멀티·하이브리드 클라우드를 채택하는 기업들도 늘어나면서 클라우드 환경이 점차 복잡해지고 있다. 또한 그동안 활용 전략이 부재한 채로 클라우드를 도입해서 사용한 기업들이 적지 않았기 때문에 자신들이 보유한 역량과 자원을 파악하고 이를 최적의 방안으로 운영하고 관리해야 할 필요성이 커졌다”면서, “조직 전체를 아우르는 클라우드 관리 방안이 필요하다는 현실적 고민에 기업들이 직면한 만큼 운영 관리를 위한 CMP에 대한 수요가 커질 것으로 보인다”고 말했다.

클라우드 특화 보안 및 이관 시 보안 전략 중요성 확대

지난해에 이어 올해 클라우드 트렌드로 업계 관계자들이 공통적으로 꼽는 것이 있다. 바로 클라우드 환경에 특화된 보안 전략을 설계하는 것이다. 최근 사이버 위협이 증가하고 있고 정도도 고도화됐다. 특히 클라우드가 IT 인프라의 기반으로 자리를 잡으면서, 기존 보안과는 다른 클라우드 환경에 특화된 보안 전략과 접근 방식의 필요성이 늘고 있다. 지난해는 국내 클라우드 시장에서 제로 트러스트(Zero Trust) 솔루션을 비롯해, 접근법 등 중요성이 대두되던 해였다.

실제로 전 세계적으로 클라우드 기반의 악성코드가 발견됐고, 클라우드 설정 오류로 인해 공항의 주요 데이터와 10억 명의 개인정보가 유출되는 등 클라우드 보안사고가 점차 확대되고 있다.

아울러 클라우드 전환 과정에서의 보안도 고려해야 한다. 이에 대해 베스핀글로벌 이한주 대표는 “클라우드 전환 시 계정 관리 실수와 과잉 권한으로 위협이 증가하고 데이터 유출로 이어질 가능성이 있다. 접근 통제를 위한 인증과 접근 프로세스 도입 등 클라우드 특화 보안 관리 전략을 체계적으로 수립해야 하고, 멀티·하이브리드 클라우드 등 각 기업의 업무 특성을 반영해 클라우드 운영 형태에 맞춰 빈틈없는 클라우드 보안대책을 수립해야 한다”고 조언했다.

공공 클라우드 시장에서의 보안도 중요해진다. 업계에 따르면, 최근 국정원에서 다른 기관에 대한 지나친 개입, 사찰 우려로 인해 입법하지 못한 ‘사이버안보기본법’을 재차 준비 중인 것으로 나타났다. 국정원에서 국가 보안 전반을 관장하는 콘트롤타워 역할을 하겠다는 의미다. 정부의 공공 시스템이 민간 클라우드로 이동하고 있는 상황 속에서 클라우드에 특화된 보안성을 제고 방안을 마련한다는 것이다. 현재 구체적인 가이드는 나오지 않은 상황이다.

이에 대해 한 업계 관계자는 “현재 정부 부처별로 사이버안전센터를 운영 중인데, 이 센터는 온프레미스 환경에 대한 보안 체계를 위주로 관리하고 있다. 이에 국정원은 사이버안보기본법을 통해 정부의 IT 시스템 인프라가 클라우드로 바뀌는 것에 맞춰 클라우드 특화 보안 체계를 신설한다는 계획”이라면서, “최근 우리 회사에서 수행 중인 클라우드 전환사업 중 국가정보원의 클라우드 보안 요구사항을 충족할 수 있는 전환 사례를 마련하고 있다. 모범 사례가 완성되면 향후 공공 정보시스템 전환사업에서 경쟁 우위를 선점할 수 있을 것으로 기대된다”고 설명했다.

아울러 그는 “국내 보안 기업의 제품 중 클라우드 특화 보안 상품이 많지 않은 상황이다. 대부분 HW 장비와 구축형 SW에 초점이 맞춰졌다”면서, “CSP와 보안기업이 긴밀히 협업해 클라우드 특화 보안 상품을 개발해야 한다”고 덧붙였다.

[정보보안]

2023년에도 랜섬웨어, 피싱 등 기승…SBOM 주목해야

정종길 기자 gil0717@itdaily.kr

최대 위협 랜섬웨어, 계속해서 진화할 것

랜섬웨어는 2023년에도 여전히 보안 업계의 화두로 작용할 것이며, 굵직굵직한 피해 소식을 만들어내는 주요 원인이 될 것으로 전망된다. 신종/변종 랜섬웨어들은 타깃과 목적을 보다 단순화하는 등 한층 까다로워질 것으로 예상되며, 랜섬웨어 공격 그룹의 생존 전략이 세분화되고 다변화하면서 피해를 늘릴 것으로 보인다.

이메일을 통한 피싱 공격 등도 지속될 전망이다. 다만 이메일 보안 솔루션을 통해 피싱 메일이 차단되고 있는 만큼, 아직까지 보안 솔루션 구축이 미진한 문자 메시지나 메시징 서비스, 클라우드 저장소, 협업 툴 등으로 공격 대상을 확대할 것으로 예상된다.

피싱을 통해 기업의 내부 전산망이 뚫리게 되면 회사가 보유한 고객들의 개인정보는 물론 중요 비즈니스 기밀자료까지 탈취당할 수 있어 외부 평판 하락뿐 아니라 비즈니스에 심대한 영향을 줄 수도 있다. 일반적으로 공격자들은 기업 임직원의 아이디(ID)나 패스워드(PW) 등을 취득해 중요 정보에 접근하게 되므로, 아무것도 신뢰하지 않는 제로 트러스트(Zero Trust) 기반의 다중 인증 보안 시스템을 구축함으로써 피해를 예방할 수 있도록 해야 한다.

국가 기반시설 노리는 대규모 사이버 공격 이어질 것

러시아-우크라이나 전쟁이 지속되고 중국을 둘러싼 주변 국가 간 갈등이 심화됨에 따라 각 국가의 지원을 받는 해킹 조직의 활동 역시 계속될 것으로 전망된다. 국가가 지원하는 해킹 조직은 사회기반시설이나 국방, 안보, 방위산업 등의 중요 영역을 보다 조직적으로 노리고 공격을 감행한다.

이러한 공격의 주체로 북한 역시 빼놓을 수 없다. 최근 국정원 발표에 따르면 북한은 우리나라의 원자력·우주·반도체·방위산업 등과 관련한 첨단기술과 한미 대북정책 전략을 수집하기 위한 해킹을 지속할 것으로 예상된다. 특히 남북관계가 악화되거나 핵실험 후 정부와 금융망을 대상으로 공격을 시도했던 과거 전력을 고려하면, 군사 도발 및 대남 비방과 연계해 사이버 사보타주(sabotage, 고의적 방해 및 파괴 행위) 공격을 할 개연성이 높은 것으로 분석된다.

특히 북한이 가상자산을 노린 공격도 빈번하게 감행해 성공시켰던 것으로 알려지면서 대형 암호화폐 거래소와 코인, NFT 등에 대한 보안 역시 강조되고 있다. 국정원에 따르면 북한이 2017년부터 전 세계에서 탈취한 가상자산은 1조 5천억 원에 달하는 것으로 추산되며, 2022년에만 8천억 원을 훔쳤을 것으로 추정된다. 다만 국내는 가상자산을 실명으로 거래하도록 하는 등 보안이 강화돼 올해는 피해가 없었다.

하지만 2023년에는 전 세계적으로 가상자산을 노린 공격이 개인으로까지 확산될 것으로 전망되면서 시드 구문이나 니모닉키와 같은 정보를 안전하게 보관해야 한다는 조언도 나오고 있다.

소프트웨어 자재명세서(SBOM) 기반 취약점 관리 중요성 강조

SBOM(Software Bill Of Materials)은 애플리케이션을 구성하는 전체 소프트웨어 구성 요소에 대한 목록을 말한다. 서비스, 종속성, 구성 및 확장자뿐만 아니라 애플리케이션 코드에 있는 모든 라이브러리를 포함한다. 소프트웨어 공급망에 정보와 가시성을 제공하는 SBOM은 2023년에 광범위하게 채택될 것으로 전망된다. 현재는 대부분 미국 정부 기관 차원에서 SBOM을 요구하고 있지만, 소프트웨어 보안을 위해 조만간 상업 시장으로 확산될 것이라는 전망이다.

공급망 공격은 현재 서드파티(third-party) 사이버 공격 중 가장 흔한 유형의 공격으로, 전 세계 기업의 45%가 2021년 적어도 한 차례의 공급망 공격을 받은 것으로 나타났다. 아태 지역에서는 이 수치가 이보다 높은 48%를 기록해, 아태 지역 기업이 이러한 공격에 대처하기 위해 SBOM 도입을 늘릴 가능성이 매우 크다는 것을 시사한다고 디지서트는 분석하고 있다. 이러한 상황은 소프트웨어 제조사들이 제품의 안전성을 보장하는 과정에 더 많이 관여해야 한다는 것을 의미하고, ‘가시성’이 이를 가능하게 하는 핵심 요소가 될 것이라고 디지서트 측은 내다보고 있다.

한편으로 공급망 공격은 오픈소스 취약점 문제와도 연결된다. 공급망 소프트웨어의 대부분이 오픈소스로 개발되고 있기 때문이다. 오픈소스에 대한 수요가 꾸준히 늘어나고 있는 만큼 공급망 보안 위협은 앞으로도 지속될 것으로 예상된다.

공급망 공격이 PC용 SW 중심에서 벗어나 모바일 분야로 확대될 것이라는 전망도 나오고 있다. 모바일 앱의 배포 또는 업데이트 단계에서 악성코드 주입을 시도하거나, 정상 모바일 앱의 인증서를 탈취해 이를 악성 앱 제작과 배포에 활용하는 등의 사례가 등장하고 있다. 이와 관련해 국내 보안 전문기업 안랩은 모바일 서비스 제공 업체가 개발 및 배포 과정에서 반드시 보안을 고려하고, 주요 자산에 대한 위협 탐지 및 대응체계를 갖춰야 한다고 조언하기도 했다.

클라우드 확산 속 보안 위협도 증가

국내에서도 클라우드로의 인프라 이전이 몇 년간 계속되고 있지만 클라우드 보안은 상대적으로 취약한 것으로 평가된다. 특히 취약한 비밀번호를 사용하는 등의 기초적인 계정 관리 측면에서의 실수가 의외로 만연한 것으로 조사됐다. 따라서 우선 사용자들은 기본적인 비밀번호 설정부터 점검하고, 다음으로는 멀티 팩터 인증(MFA)을 사용해 보안을 한층 강화할 필요가 있다. MFA는 ID와 비밀번호 입력 외에도 생체 인식, 휴대폰 인증 등 추가적으로 신원 인증을 할 수 있는 이중·삼중의 안전장치를 말한다. 클라우드 공급사 역시 멀티 팩터 인증을 필수로 강제함으로써 보안을 강화하고 클라우드 사용량이 평소에 비해 급격히 늘어났을 때 신속하게 사용자에게 고지하는 것은 물론, 서비스를 중단할 수 있는 수단을 도입하는 것을 검토해봐야 한다.