2018.12.17

“사이버 보안 전망: 2019년과 그 이후” 시만텍 발표

편집부 | CIO KR
시만텍이 지난 12개월 동안 발생했던 사건을 기반으로, 2019년 사이버 보안 전망을 발표했다. 

2018년에는 전세계적으로 유명한 많은 기업이 심각한 보안 침해 피해를 입었다. 마케팅 및 데이터 수집 기업 이그잭티스에서 약 3억4,000만 건의 개인정보 기록이 저장된 데이터베이스가 유출된 사례가 단일 데이터 유출 사고로는 가장 큰 규모일 것으로 보고 있다.

기업 공격 외에도 2018년에는 광범위한 표적과 피해자를 겨냥한 위협 활동이 가속화되었다. SNS 분야에서 페이스북은 해커들이 약 3,000만 명의 사용자 정보를 탈취한 것으로 추정하고 있다. 



그렇다면 2019년 사이버 보안 분야에서 예상할 수 있는 것은 무엇일까. 시만텍은 2019년과 그 이후 기업, 정부 및 개인에 영향을 미치게 될 주요 동향과 활동을 발표했다. 

공격자들, AI 시스템 익스플로잇하고 AI로 공격 지원
AI의 상업적 가능성이 최근 몇 년간 실현되기 시작했다. 이미 많은 비즈니스 운영 분야에서 AI 기반 시스템이 이용되고 있다. 이러한 AI 시스템은 수작업을 자동화하고 의사 결정 및 인간의 다른 활동을 개선하는데 도움을 주지만, 많은 AI 시스템에는 방대한 양의 데이터가 있기 때문에 유망한 공격 타깃으로 주목받고 있다.

또한 연구 인력들 사이에서 이러한 AI 시스템이 시스템의 로직을 손상시키고 운영에 영향을 미칠 수 있는 악성코드의 유입에 취약하다는 것에 대한 우려가 점차 높아지고 있다. 2019년에는 일부 AI 기술이 가진 취약성에 대한 우려가 커질 것이다. 

공격자들은 AI 시스템만 겨냥하지 않을 것으로 보인다. AI 기술 자체의 힘을 빌려 공격 활동을 더욱 강화할 것이다. AI 기반의 자동화된 시스템은 네트워크와 시스템을 뒤져 아직 발견되지 않았지만 악용될만한 취약점이 있는지 찾을 수 있다. 또한 AI는 목표로 삼은 개인 사용자를 속일 목적으로 실제와 매우 유사한 동영상과 오디오, 또는 잘 제작된 이메일을 만들어 피싱 및 다른 사회공학적 공격을 더욱 정교하게 만드는데 이용될 수 있다. 더불어 AI는 사실과 같이 보이는 허위정보 캠페인에 이용될 수 있다.

보호 프로그램의 반격...AI 이용해 방어체계 구축
AI와 관련해서 보안에 긍정적인 측면도 있다. 위협 식별 시스템은 이미 머신러닝 기법을 이용해 완전히 새로운 유형의 위협을 확인하고 있다. 또한 공격자들만이 AI 시스템을 이용해 공개된 취약점을 조사하는 것이 아니다. 보안 담당자들도 AI를 이용해 공격에 대한 방어체계를 더욱 굳건히 할 수 있다. 예를 들어 AI 기반 시스템은 반복적인 공격을 통해 취약점을 우연히 발견해 공격자에게 발견되기 전에 조치를 취할 수 있도록 일정 기간 동안 기업 네트워크에서 일련의 시뮬레이션 공격을 실시할 수 있다.



가정에서는 AI와 다른 기술들이 개인의 디지털 보안과 개인정보를 더욱 잘 보호할 수 있도록 도울 것이다. AI가 휴대폰에 내장돼 만약 특정 행동이 위험한 경우 사용자에게 이를 경고할 수 있을 것이다. 예를 들어 새로운 이메일 계정을 설정할 때 휴대폰은 자동으로 이중인증(two-factor authentication)을 설정하라고 경고할 수 있다. 시간이 지날수록 이러한 보안 기반 AI는 사람들이 애플리케이션을 이용하거나 다른 부수적인 혜택을 얻는 대가로 개인정보를 포기할 때 연관된 득실을 잘 이해할 수 있도록 도움을 줄 수 있다.

5G 구축 및 도입으로 인해 공격 영역이 확장 
2018년 다수의 5G 네트워크 인프라 구축이 시작됐으며, 2019년은 5G가 가속화되는 한 해가 될 것이다. 5G 네트워크와 5G 폰 및 기타 다른 기기가 광범위하게 활용되기까지 시간이 걸리겠지만 빠르게 성장할 것이다. 

5G에 대한 관심의 초점이 상당부분은 스마트폰에 집중되어 있지만 2019년 5G를 지원하는 휴대폰의 수는 제한적일 가능성이 있다. 5G 모바일 네트워크가 확산되어감에 따라, 일부 통신업체들은 고정형 5G 모바일 핫스팟과 5G 지원 가정용 라우터를 제공할 것이다. 5G 네트워크의 최대 데이터 전송속도가 10 Gbps(4G의 경우 1 Gbps)인 것을 고려하면 5G로의 전환은 새로운 운영 모델, 새로운 아키텍처, 그 결과 새로운 취약점의 발생을 촉진하는 역할을 할 것이다.

시간이 지날수록 Wi-Fi 라우터를 경유하기 보다 5G 네트워크에 직접 연결되는 5G IoT 기기가 더욱 늘어날 것이다. 이러한 추세로 인해 5G IoT 기기들은 직접적인 공격에 더욱 취약하게 될 것이다. 가정 사용자의 경우 모든 IoT 기기가 중앙 라우터를 우회하기 때문에 모든 기기를 모니터링하는 것이 더욱 어려워질 것이다. 더욱 광범위하게 봤을 때 대량의 데이터를 클라우드 기반 스토리지로 쉽게 백업 또는 전송할 수 있는 능력은 공격자에게 새로운 공격 타깃을 풍부하게 제공할 것이다.

IoT 기반 이벤트, 새로운 공격 형태로 진화
최근 몇 년간 대규모 봇넷 기반의 분산서비스거부(DDoS) 공격은 수만 대의 감염된 IoT 기기를 이용해 공격 대상의 웹사이트를 마비시킬 정도의 트래픽을 전송했다. 이런 공격은 최근에는 언론의 많은 관심을 받지 못하고 있지만 지속적으로 일어나고 있고 앞으로도 계속 위협이 될 것이다. 이와 동시에 보안이 허술한 IoT 기기들이 다른 유해한 목적으로 사용될 것으로 예상된다. 가장 문제가 되는 것 중의 하나는 디지털 세상과 실제 세상을 연결하는 IoT 기기를 겨냥한 공격이 될 것이다.

이러한 IoT 사물에는 자동차 등과 같이 동력으로 움직이는 것이 있는 반면, 중요한 시스템을 제어하는 것도 있다. 배전망과 통신망처럼 주요 기반 시설을 제어하는 IoT 기기에 대한 공격이 날로 증가할 것으로 예상된다. 또한 가정용 IoT 기기가 더욱 보편화되면서 미래에는 이러한 기기를 무기화하는 공격 시도가 있을 수 있다. 이를 테면, 혹독한 겨울에 한 나라가 적국에 있는 가정용 온도조절기들을 정지시키는 일이 일어날 수 있는 것이다.

전송 중인 데이터 캡처하는 공격자들의 접근 시도 증가
가정용 Wi-Fi 라우터와 기타 보안이 허술한 소비자 IoT 기기를 새로운 방식으로 악용하는 공격이 나타날 가능성이 있다. 암호화폐 채굴을 위해 많은 IoT 기기를 모아 대규모 크립토재킹 공격을 하는 사례가 이미 등장하고 있다.

2019년과 그 이후 가정용 라우터와 기타 IoT 허브를 통과하는 일부 데이터를 탈취하기 위해 이러한 기기에 접근하려는 시도가 증가할 것으로 예상된다. 예를 들어, 이러한 라우터에 삽입된 악성코드는 은행 계정 정보(credentials)를 훔치고, 신용카드 번호를 캡처하거나, 기밀정보를 유출하기 위해 악의적인 가짜 웹페이지를 표시할 수 있다. 

기업 측면에서 볼 때 2018년에 전송 중인 데이터가 유출되는 수많은 사례가 있었다. 메이지카트(Magecart)라는 공격 그룹은 표적 웹사이트에 직접 악성 스크립트를 심어두거나 사이트에서 이용하는 서드파티 공급업체를 감염시키는 방식을 통해 전자상거래 사이트에서 신용카드 번호와 기타 민감한 소비자 정보를 빼냈다. 

네트워크 기반의 기업 공격은 표적 기업의 운영 현황 및 인프라에 대한 가시성을 제공하기 때문에 2019년 사이버 공격자들은 계속해서 네트워크 기반으로 기업을 공격하는 활동에 집중할 것으로 예상된다.



공급망 익스플로잇 공격, 그 빈도 및 영향력 면에서 증가 예상
소프트웨어 공급망을 악용하는 공격의 빈도와 영향력이 증가할 것이다. 공격자들이 일상적인 배포 위치에서 합법적인 소프트웨어 패키지에 악성코드를 이식하는 등 소프트웨어 공급망을 겨냥한 공격이 갈수록 흔해지고 있다. 이러한 공격은 소프트웨어 벤더나 서드파티 공급업체의 제조 단계에서 발생할 수 있다. 전형적인 공격 시나리오로는 공격자가 목표로 삼은 표적에 빠르고 은밀하게 배포하기 위해 합법적인 소프트웨어 업데이트를 악성코드가 있는 버전으로 바꿔치기하는 것이 있다. 소프트웨어 업데이트를 받은 사용자는 누구나 컴퓨터가 자동으로 감염되고 공격자가 감염 환경에 침입할 수 있는 발판을 마련해준다.

이러한 유형의 공격은 점점 늘어나고, 정교해지고 있다. 미래에는 하드웨어 공급망을 감염시키려는 시도도 있을 것으로 전망된다. 예를 들어 공격자는 칩을 감염시키거나 변경할 수 있고, 또는 UEFI/BIOS와 같은 구성요소가 수백만 대의 컴퓨터에 장착되기 전 UEFI/BIOS의 펌웨어에 소스 코드를 추가할 수 있다. 이러한 종류의 위협은 제거하기 매우 힘들고 감염 컴퓨터를 재부팅하거나 하드 디스크를 다시 포맷한 후에도 여전히 남아있을 수 있다.

보안 및 개인정보 보호 우려로 법률 및 규제 활동 증가
유럽연합(EU)이 2018년에 GDPR(일반개인정보보호법)을 시행함에 따라 역외 국가에서 다양한 보안 및 개인정보 보호 정책이 시행될 것으로 보인다. 캐나다는 이미 GDPR과 유사한 법을 시행했고, 브라질은 2020년 시행 예정인 GDPR과 유사한 새로운 개인정보 보호 법안을 최근 통과시켰다. 호주와 싱가포르는 GDPR에서 영향을 받아 72시간 침해 통보제를 제정했고, 인도는 GDPR에서 영감을 받은 법을 고려하고 있다. 이밖에 전세계적으로 많은 국가가 GDPR 적정성을 갖고 있거나 적정성 평가를 논의하고 있다. 미국은 GDPR 시행 직후 캘리포니아 주에서 미국 역사상 가장 엄격한 수준으로 평가되는 개인정보 보호법을 통과시켰다. 따라서 2019년 전세계적으로 GDPR이 가져올 영향이 더욱 분명하게 나타날 것으로 전망되고 있다.

보안과 개인정보 보호 요구를 해결하기 위한 법률 및 규제 활동이 증가할 것은 거의 확실하지만 일부 요구조건은 도움이 되기보다는 역효과를 가져올 가능성이 있다. 예를 들어 지나치게 광범위한 규정은 보안 기업이 공격을 식별하고 대응하기 위해 심지어 일반 정보조차도 공유하지 못하도록 막을 수 있다. 보안과 개인정보 보호 규정이 허술하게 수립된다면 다른 취약점을 해결한다 해도 새로운 취약점을 만들어 낼 수 있다. ciokr@idg.co.kr



2018.12.17

“사이버 보안 전망: 2019년과 그 이후” 시만텍 발표

편집부 | CIO KR
시만텍이 지난 12개월 동안 발생했던 사건을 기반으로, 2019년 사이버 보안 전망을 발표했다. 

2018년에는 전세계적으로 유명한 많은 기업이 심각한 보안 침해 피해를 입었다. 마케팅 및 데이터 수집 기업 이그잭티스에서 약 3억4,000만 건의 개인정보 기록이 저장된 데이터베이스가 유출된 사례가 단일 데이터 유출 사고로는 가장 큰 규모일 것으로 보고 있다.

기업 공격 외에도 2018년에는 광범위한 표적과 피해자를 겨냥한 위협 활동이 가속화되었다. SNS 분야에서 페이스북은 해커들이 약 3,000만 명의 사용자 정보를 탈취한 것으로 추정하고 있다. 



그렇다면 2019년 사이버 보안 분야에서 예상할 수 있는 것은 무엇일까. 시만텍은 2019년과 그 이후 기업, 정부 및 개인에 영향을 미치게 될 주요 동향과 활동을 발표했다. 

공격자들, AI 시스템 익스플로잇하고 AI로 공격 지원
AI의 상업적 가능성이 최근 몇 년간 실현되기 시작했다. 이미 많은 비즈니스 운영 분야에서 AI 기반 시스템이 이용되고 있다. 이러한 AI 시스템은 수작업을 자동화하고 의사 결정 및 인간의 다른 활동을 개선하는데 도움을 주지만, 많은 AI 시스템에는 방대한 양의 데이터가 있기 때문에 유망한 공격 타깃으로 주목받고 있다.

또한 연구 인력들 사이에서 이러한 AI 시스템이 시스템의 로직을 손상시키고 운영에 영향을 미칠 수 있는 악성코드의 유입에 취약하다는 것에 대한 우려가 점차 높아지고 있다. 2019년에는 일부 AI 기술이 가진 취약성에 대한 우려가 커질 것이다. 

공격자들은 AI 시스템만 겨냥하지 않을 것으로 보인다. AI 기술 자체의 힘을 빌려 공격 활동을 더욱 강화할 것이다. AI 기반의 자동화된 시스템은 네트워크와 시스템을 뒤져 아직 발견되지 않았지만 악용될만한 취약점이 있는지 찾을 수 있다. 또한 AI는 목표로 삼은 개인 사용자를 속일 목적으로 실제와 매우 유사한 동영상과 오디오, 또는 잘 제작된 이메일을 만들어 피싱 및 다른 사회공학적 공격을 더욱 정교하게 만드는데 이용될 수 있다. 더불어 AI는 사실과 같이 보이는 허위정보 캠페인에 이용될 수 있다.

보호 프로그램의 반격...AI 이용해 방어체계 구축
AI와 관련해서 보안에 긍정적인 측면도 있다. 위협 식별 시스템은 이미 머신러닝 기법을 이용해 완전히 새로운 유형의 위협을 확인하고 있다. 또한 공격자들만이 AI 시스템을 이용해 공개된 취약점을 조사하는 것이 아니다. 보안 담당자들도 AI를 이용해 공격에 대한 방어체계를 더욱 굳건히 할 수 있다. 예를 들어 AI 기반 시스템은 반복적인 공격을 통해 취약점을 우연히 발견해 공격자에게 발견되기 전에 조치를 취할 수 있도록 일정 기간 동안 기업 네트워크에서 일련의 시뮬레이션 공격을 실시할 수 있다.



가정에서는 AI와 다른 기술들이 개인의 디지털 보안과 개인정보를 더욱 잘 보호할 수 있도록 도울 것이다. AI가 휴대폰에 내장돼 만약 특정 행동이 위험한 경우 사용자에게 이를 경고할 수 있을 것이다. 예를 들어 새로운 이메일 계정을 설정할 때 휴대폰은 자동으로 이중인증(two-factor authentication)을 설정하라고 경고할 수 있다. 시간이 지날수록 이러한 보안 기반 AI는 사람들이 애플리케이션을 이용하거나 다른 부수적인 혜택을 얻는 대가로 개인정보를 포기할 때 연관된 득실을 잘 이해할 수 있도록 도움을 줄 수 있다.

5G 구축 및 도입으로 인해 공격 영역이 확장 
2018년 다수의 5G 네트워크 인프라 구축이 시작됐으며, 2019년은 5G가 가속화되는 한 해가 될 것이다. 5G 네트워크와 5G 폰 및 기타 다른 기기가 광범위하게 활용되기까지 시간이 걸리겠지만 빠르게 성장할 것이다. 

5G에 대한 관심의 초점이 상당부분은 스마트폰에 집중되어 있지만 2019년 5G를 지원하는 휴대폰의 수는 제한적일 가능성이 있다. 5G 모바일 네트워크가 확산되어감에 따라, 일부 통신업체들은 고정형 5G 모바일 핫스팟과 5G 지원 가정용 라우터를 제공할 것이다. 5G 네트워크의 최대 데이터 전송속도가 10 Gbps(4G의 경우 1 Gbps)인 것을 고려하면 5G로의 전환은 새로운 운영 모델, 새로운 아키텍처, 그 결과 새로운 취약점의 발생을 촉진하는 역할을 할 것이다.

시간이 지날수록 Wi-Fi 라우터를 경유하기 보다 5G 네트워크에 직접 연결되는 5G IoT 기기가 더욱 늘어날 것이다. 이러한 추세로 인해 5G IoT 기기들은 직접적인 공격에 더욱 취약하게 될 것이다. 가정 사용자의 경우 모든 IoT 기기가 중앙 라우터를 우회하기 때문에 모든 기기를 모니터링하는 것이 더욱 어려워질 것이다. 더욱 광범위하게 봤을 때 대량의 데이터를 클라우드 기반 스토리지로 쉽게 백업 또는 전송할 수 있는 능력은 공격자에게 새로운 공격 타깃을 풍부하게 제공할 것이다.

IoT 기반 이벤트, 새로운 공격 형태로 진화
최근 몇 년간 대규모 봇넷 기반의 분산서비스거부(DDoS) 공격은 수만 대의 감염된 IoT 기기를 이용해 공격 대상의 웹사이트를 마비시킬 정도의 트래픽을 전송했다. 이런 공격은 최근에는 언론의 많은 관심을 받지 못하고 있지만 지속적으로 일어나고 있고 앞으로도 계속 위협이 될 것이다. 이와 동시에 보안이 허술한 IoT 기기들이 다른 유해한 목적으로 사용될 것으로 예상된다. 가장 문제가 되는 것 중의 하나는 디지털 세상과 실제 세상을 연결하는 IoT 기기를 겨냥한 공격이 될 것이다.

이러한 IoT 사물에는 자동차 등과 같이 동력으로 움직이는 것이 있는 반면, 중요한 시스템을 제어하는 것도 있다. 배전망과 통신망처럼 주요 기반 시설을 제어하는 IoT 기기에 대한 공격이 날로 증가할 것으로 예상된다. 또한 가정용 IoT 기기가 더욱 보편화되면서 미래에는 이러한 기기를 무기화하는 공격 시도가 있을 수 있다. 이를 테면, 혹독한 겨울에 한 나라가 적국에 있는 가정용 온도조절기들을 정지시키는 일이 일어날 수 있는 것이다.

전송 중인 데이터 캡처하는 공격자들의 접근 시도 증가
가정용 Wi-Fi 라우터와 기타 보안이 허술한 소비자 IoT 기기를 새로운 방식으로 악용하는 공격이 나타날 가능성이 있다. 암호화폐 채굴을 위해 많은 IoT 기기를 모아 대규모 크립토재킹 공격을 하는 사례가 이미 등장하고 있다.

2019년과 그 이후 가정용 라우터와 기타 IoT 허브를 통과하는 일부 데이터를 탈취하기 위해 이러한 기기에 접근하려는 시도가 증가할 것으로 예상된다. 예를 들어, 이러한 라우터에 삽입된 악성코드는 은행 계정 정보(credentials)를 훔치고, 신용카드 번호를 캡처하거나, 기밀정보를 유출하기 위해 악의적인 가짜 웹페이지를 표시할 수 있다. 

기업 측면에서 볼 때 2018년에 전송 중인 데이터가 유출되는 수많은 사례가 있었다. 메이지카트(Magecart)라는 공격 그룹은 표적 웹사이트에 직접 악성 스크립트를 심어두거나 사이트에서 이용하는 서드파티 공급업체를 감염시키는 방식을 통해 전자상거래 사이트에서 신용카드 번호와 기타 민감한 소비자 정보를 빼냈다. 

네트워크 기반의 기업 공격은 표적 기업의 운영 현황 및 인프라에 대한 가시성을 제공하기 때문에 2019년 사이버 공격자들은 계속해서 네트워크 기반으로 기업을 공격하는 활동에 집중할 것으로 예상된다.



공급망 익스플로잇 공격, 그 빈도 및 영향력 면에서 증가 예상
소프트웨어 공급망을 악용하는 공격의 빈도와 영향력이 증가할 것이다. 공격자들이 일상적인 배포 위치에서 합법적인 소프트웨어 패키지에 악성코드를 이식하는 등 소프트웨어 공급망을 겨냥한 공격이 갈수록 흔해지고 있다. 이러한 공격은 소프트웨어 벤더나 서드파티 공급업체의 제조 단계에서 발생할 수 있다. 전형적인 공격 시나리오로는 공격자가 목표로 삼은 표적에 빠르고 은밀하게 배포하기 위해 합법적인 소프트웨어 업데이트를 악성코드가 있는 버전으로 바꿔치기하는 것이 있다. 소프트웨어 업데이트를 받은 사용자는 누구나 컴퓨터가 자동으로 감염되고 공격자가 감염 환경에 침입할 수 있는 발판을 마련해준다.

이러한 유형의 공격은 점점 늘어나고, 정교해지고 있다. 미래에는 하드웨어 공급망을 감염시키려는 시도도 있을 것으로 전망된다. 예를 들어 공격자는 칩을 감염시키거나 변경할 수 있고, 또는 UEFI/BIOS와 같은 구성요소가 수백만 대의 컴퓨터에 장착되기 전 UEFI/BIOS의 펌웨어에 소스 코드를 추가할 수 있다. 이러한 종류의 위협은 제거하기 매우 힘들고 감염 컴퓨터를 재부팅하거나 하드 디스크를 다시 포맷한 후에도 여전히 남아있을 수 있다.

보안 및 개인정보 보호 우려로 법률 및 규제 활동 증가
유럽연합(EU)이 2018년에 GDPR(일반개인정보보호법)을 시행함에 따라 역외 국가에서 다양한 보안 및 개인정보 보호 정책이 시행될 것으로 보인다. 캐나다는 이미 GDPR과 유사한 법을 시행했고, 브라질은 2020년 시행 예정인 GDPR과 유사한 새로운 개인정보 보호 법안을 최근 통과시켰다. 호주와 싱가포르는 GDPR에서 영향을 받아 72시간 침해 통보제를 제정했고, 인도는 GDPR에서 영감을 받은 법을 고려하고 있다. 이밖에 전세계적으로 많은 국가가 GDPR 적정성을 갖고 있거나 적정성 평가를 논의하고 있다. 미국은 GDPR 시행 직후 캘리포니아 주에서 미국 역사상 가장 엄격한 수준으로 평가되는 개인정보 보호법을 통과시켰다. 따라서 2019년 전세계적으로 GDPR이 가져올 영향이 더욱 분명하게 나타날 것으로 전망되고 있다.

보안과 개인정보 보호 요구를 해결하기 위한 법률 및 규제 활동이 증가할 것은 거의 확실하지만 일부 요구조건은 도움이 되기보다는 역효과를 가져올 가능성이 있다. 예를 들어 지나치게 광범위한 규정은 보안 기업이 공격을 식별하고 대응하기 위해 심지어 일반 정보조차도 공유하지 못하도록 막을 수 있다. 보안과 개인정보 보호 규정이 허술하게 수립된다면 다른 취약점을 해결한다 해도 새로운 취약점을 만들어 낼 수 있다. ciokr@idg.co.kr

X