2017.11.22

2018년을 지배할 보안 위협 5가지

Thor Olavsrud | CIO
2017년이 최악의 '데이터 유출의 해'였다고 생각했다면 오산이다. 사이버 보안 및 정보 관리 기구인 ISF(Information Security Forum)에 따르면, 2018년에 기업이 직면할 5가지 주요 보안 위협으로 인해 데이터 유출 횟수와 피해가 더 커질 가능성이 있기 때문이다.



ISF의 상무이사 스티브 더빈은 “정보 보안 위협의 범위와 속도가 확장돼 오늘날 가장 신뢰할 수 있는 기업도 그 진실성과 명성이 위협 받고 있다. 2018년에는 위협 분야가 더 늘어날 것이며 표적의 약점에 맞추어 개인화하거나 변화를 통해 기존의 보안 방어 전략에 대응할 것이다. 요즈음에는 그 어느 때보다도 보안 범죄를 통해 얻을 수 있는 것이 많아졌기 때문이다”라고 말했다.

더빈에 따르면, 데이터 유출 횟수와 함께 해킹되는 데이터의 크기도 커질 전망이다. 기업 규모에 상관 없이 피해가 커지고 피해를 입은 고객이 늘어나면서 소송으로 이어지는 등 예상치 못한 추가 비용이 발생할 가능성이 높다. 그는 “피해를 입은 사용자가 정부를 압박해 더 엄격한 데이터 보호 법안을 만들고 피해를 보상하도록 할 것이다”라고 말했다. ISF가 밝힌 2018년 상위 5가지 글로벌 보안 위협은 다음과 같다.

- CaaS(Crime as a Service)로 인해 사용 가능한 툴과 서비스가 증가할 것이다.
- 사물인터넷(IoT)으로 인해 관리가 되지 않는 위험이 추가될 것이다.
- 공급망은 위험 관리에 있어서 가장 약한 연결 고리로 남을 것이다.
- 규제로 인해 필수 자산의 보안 관리 복잡성이 커질 것이다.
- 보안 사고로 인해 이사회와의 갈등이 커질 것이다.

CaaS(Crime as a Service)
지난해, ISF는 CaaS가 크게 확산하고 범죄자들이 대기업을 흉내 낸 복잡한 계층, 협력관계, 협업을 추구할 것으로 전망했다. 더빈은 “2017년에 CaaS를 포함한 사이버 범죄가 많이 증가하면서 이런 전망이 실제로 확인됐다. 이런 경향은 2018년에도 계속되고 범죄 조직은 새로운 시장으로 더 다양화하며 국제적인 수준에서 활동할 것이다. 사이버 범죄에만 집중하는 범죄조직이 등장할 가능성도 있다”라고 말했다.

CaaS 측면에서 2018년과 2017년의 가장 큰 차이는, CaaS를 통해 기술 수준이 낮은 범죄자도 치명적인 공격을 할 수 있는 툴과 서비스를 손에 넣을 수 있게 된 것이다. 더빈은 “이제 사이버 범죄는 초대형 허니팟(Honeypot)을 넘어 지적 자산과 대형 은행까지 표적으로 삼고 있다”라고 말했다.

현재 악성코드 중 가장 인기 있는(?) 크립토웨어(Cryptoware)를 예로 보자. 과거에는 랜섬웨어(Ransomware) 공격을 하는 사이버 범죄자도 비뚤어진 형태이긴 하지만 '신뢰'에 의존했다. 컴퓨터를 잠그고 피해자가 대가를 지급하면 잠금을 해제해줬다. 하지만 더빈에 따르면, 이 부문에 '포부가 큰 사이버 범죄자'가 새로 진입하면서 돈을 주면 암호를 해제할 수 있다는 “신뢰”가 무너지고 있다. 잠금 해제 키를 얻지 못하거나 다시 공격에 나서기도 한다.

또한, 더빈은 사이버 범죄자가 소셜 엔지니어링을 더 정교하게 활용하고 있다고 분석했다. 소셜 엔지니어링은 일반적으로 기업보다는 개인을 표적으로 삼지만, 기업도 이 위협에서 안전한 것은 아니다. 그는 “기업과 개인 사이의 구분이 점차 모호해지고 있다"라고 말했다.

IoT
기업이 IoT 서비스를 확대하고 있지만 이들 기기 대부분은 설계상 안전하지 못하다. 이에 따라 ISF는 빠르게 발전하는 IoT 생태계의 투명성 부재와 모호한 조건 때문에 기업이 고객이 의도하지 않은 방식으로 개인 정보를 활용할 가능성이 크다고 경고했다. 기업 측면에서는 네트워크에서 어떤 정보가 유출되거나 어떤 데이터가 스마트폰과 스마트 TV 등을 통해 비밀리에 수집, 전송되는지 파악하는 것이 현안으로 부상하고 있다.

데이터 유출이 발생하거나 투명성 위반이 발견되면 기업은 규제 당국은 물론 고객에게 책임을 추궁당할 가능성이 크다. 최악의 경우 산업용 제어 시스템에 내장된 IoT 장치의 보안이 뚫려 물리적인 피해와 사망으로 이어질 수도 있다. 더빈은 “제조사가 IoT 기기의 사용 패턴을 파악하는 것이 중요하다. 이전보다 보안 위협이 될 수 있는 요소가 늘어났으므로 이들 기기에 대한 보안 통제력을 확보하기 위해 노력해야 한다”라고 말했다.


공급망
ISF는 지난 수년 동안 공급망의 보안 취약성 문제를 지적했다. 일련의 취약하고 민감한 정보를 공급자와 공유하는 경우가 많았고, 공유되는 순간 통제권을 사실상 상실했다. 이들 정보에 대한 기밀성, 무결성, 가용성 해킹 위험이 커진 이유다.

더빈은 “지난해부터 일부 대형 제조업체가 생산에 차질이 생기는 사고가 발생하기 시작했다. 관련 데이터가 공격을 받아 공급이 영향을 받았기 때문이다. 이뿐만이 아니다. 모든 기업이 공급망을 갖고 있으므로 라이프사이클의 모든 단계에서 정보의 위치를 파악하는 방법을 가져야 한다. 또한, 정보가 공유됐을 때 무결성을 확보하는 방안도 고민해야 한다”라고 말했다.

이를 위해 ISF는 2018년 기업이 공급망에서 가장 약한 부분을 보완하는 데 집중해야 한다고 지적했다. 모든 보안 해킹을 막을 수는 없지만 기업과 공급망이 선제적으로 대응해야 한다는 것이다. 더빈은 "직면한 위험에 맞춰 탄탄하고 확장 가능하며 반복 가능한 보안 프로세스를 도입해야 한다. 기존의 조달 및 업체 관리 프로세스에 공급망 정보 위험 관리를 추가해야 한다”라고 말했다.

규제
보안 관련 규제는 꾸준히 강화됐다. 특히 2018년 초에는 EU GDPR(General Data Protection Regulation)이 시행되면서 필수 정보 자산 관리에 새로운 보안 계층이 추가된다. 더빈은 “GDPR은 가장 뜨거운 주제다. 준수성이 중요한 것이 아니다. 언제든지 기업과 공급망 전체에서 개인 정보를 찾고 그 관리 및 보호 방식을 파악하는 능력을 확보해야 한다. 이를 통해 언제든 규제를 준수하고 있음을 입증할 수 있어야 한다”라고 말했다.

새로운 규제에 적절히 대응하려면 기존의 비즈니스 방식도 일부 변화가 불가피하다. ISF는 GDPR 규제를 충족하는 데 필요한 추가적인 자원으로 인해 준수성과 데이터 관리 비용이 증가하고 다른 활동에 대한 관심과 투자가 줄어들 가능성이 높다고 전망했다.

이사회와의 갈등
마지막으로 ISF는 이사회의 기대치와 정보 보안 기능이 결과를 제공할 수 있는 능력 간의 불일치로 인해 2018년에 위협이 발생할 것으로 전망했다. 더빈은 "일반적으로 이사회는 이런 차이를 알고 있고, 사이버 영역에서 대응 활동이 이뤄진다는 것을 알고 있다. 그러나 대부분의 경우 그 전체적인 의미를 이해하지 못한다”라고 말했다.

예를 들어 이사회는 CISO가 보안과 관련된 모든 것을 통제한다고 생각한다. 그러나 결과적으로 이사회는 보안을 확인하는 적절한 질문이 무엇인지 모르고, CISO는 이사회와 대화하는 방법, 비즈니스 부문과 대화하는 방법을 알지 못한다는 것이다.

특히 이사회는 지난 수 년 동안 정보 보안 예산을 늘리도록 승인했고, 이제 CISO와 정보 보안 부서가 즉각적인 결과를 보여주기를 기대하고 있다. 그러나 세상에 완전히 안전한 기업은 없다. 이사회 구성원이 이 점을 알고 있다고 해도 대부분은 정보 보안 개선에 상당한 시간이 필요하다는 점을 납득하지 못한다. 심지어 기업에 적절한 기술과 인력이 갖춰져 있다고 해도 상당한 시간이 필요하다는 사실에는 변함이 없다.

따라서 이런 불일치로 인해 보안 사고가 터졌을 때 해당 기업 외에도 영향을 받는 대상은 더 넓어질 가능성이 크다. 이사들 개인과 전체의 명성에 나쁜 영향을 끼치는 것이 대표적이다. 더빈은 이런 점을 고려해 CISO의 역할이 더 강화돼야 한다고 지적했다.

그는 “오늘날 CISO에 필요한 역할은 방화벽을 관리하는 것이 아니다. 보안 위협 상황을 예측하는 것이다. 다가오는 문제가 기업에 어떤 영향을 끼치는지 예측하고 이사회에 전달해야 한다. 또한, CISO는 영업 직원 겸 컨설턴트가 돼야 한다. 아무리 좋은 아이디어를 가진 세계 최고의 컨설턴트라고 해도 이사회를 설득하지 못하면 소용이 없다”라고 말했다. ciokr@idg.co.kr 



2017.11.22

2018년을 지배할 보안 위협 5가지

Thor Olavsrud | CIO
2017년이 최악의 '데이터 유출의 해'였다고 생각했다면 오산이다. 사이버 보안 및 정보 관리 기구인 ISF(Information Security Forum)에 따르면, 2018년에 기업이 직면할 5가지 주요 보안 위협으로 인해 데이터 유출 횟수와 피해가 더 커질 가능성이 있기 때문이다.



ISF의 상무이사 스티브 더빈은 “정보 보안 위협의 범위와 속도가 확장돼 오늘날 가장 신뢰할 수 있는 기업도 그 진실성과 명성이 위협 받고 있다. 2018년에는 위협 분야가 더 늘어날 것이며 표적의 약점에 맞추어 개인화하거나 변화를 통해 기존의 보안 방어 전략에 대응할 것이다. 요즈음에는 그 어느 때보다도 보안 범죄를 통해 얻을 수 있는 것이 많아졌기 때문이다”라고 말했다.

더빈에 따르면, 데이터 유출 횟수와 함께 해킹되는 데이터의 크기도 커질 전망이다. 기업 규모에 상관 없이 피해가 커지고 피해를 입은 고객이 늘어나면서 소송으로 이어지는 등 예상치 못한 추가 비용이 발생할 가능성이 높다. 그는 “피해를 입은 사용자가 정부를 압박해 더 엄격한 데이터 보호 법안을 만들고 피해를 보상하도록 할 것이다”라고 말했다. ISF가 밝힌 2018년 상위 5가지 글로벌 보안 위협은 다음과 같다.

- CaaS(Crime as a Service)로 인해 사용 가능한 툴과 서비스가 증가할 것이다.
- 사물인터넷(IoT)으로 인해 관리가 되지 않는 위험이 추가될 것이다.
- 공급망은 위험 관리에 있어서 가장 약한 연결 고리로 남을 것이다.
- 규제로 인해 필수 자산의 보안 관리 복잡성이 커질 것이다.
- 보안 사고로 인해 이사회와의 갈등이 커질 것이다.

CaaS(Crime as a Service)
지난해, ISF는 CaaS가 크게 확산하고 범죄자들이 대기업을 흉내 낸 복잡한 계층, 협력관계, 협업을 추구할 것으로 전망했다. 더빈은 “2017년에 CaaS를 포함한 사이버 범죄가 많이 증가하면서 이런 전망이 실제로 확인됐다. 이런 경향은 2018년에도 계속되고 범죄 조직은 새로운 시장으로 더 다양화하며 국제적인 수준에서 활동할 것이다. 사이버 범죄에만 집중하는 범죄조직이 등장할 가능성도 있다”라고 말했다.

CaaS 측면에서 2018년과 2017년의 가장 큰 차이는, CaaS를 통해 기술 수준이 낮은 범죄자도 치명적인 공격을 할 수 있는 툴과 서비스를 손에 넣을 수 있게 된 것이다. 더빈은 “이제 사이버 범죄는 초대형 허니팟(Honeypot)을 넘어 지적 자산과 대형 은행까지 표적으로 삼고 있다”라고 말했다.

현재 악성코드 중 가장 인기 있는(?) 크립토웨어(Cryptoware)를 예로 보자. 과거에는 랜섬웨어(Ransomware) 공격을 하는 사이버 범죄자도 비뚤어진 형태이긴 하지만 '신뢰'에 의존했다. 컴퓨터를 잠그고 피해자가 대가를 지급하면 잠금을 해제해줬다. 하지만 더빈에 따르면, 이 부문에 '포부가 큰 사이버 범죄자'가 새로 진입하면서 돈을 주면 암호를 해제할 수 있다는 “신뢰”가 무너지고 있다. 잠금 해제 키를 얻지 못하거나 다시 공격에 나서기도 한다.

또한, 더빈은 사이버 범죄자가 소셜 엔지니어링을 더 정교하게 활용하고 있다고 분석했다. 소셜 엔지니어링은 일반적으로 기업보다는 개인을 표적으로 삼지만, 기업도 이 위협에서 안전한 것은 아니다. 그는 “기업과 개인 사이의 구분이 점차 모호해지고 있다"라고 말했다.

IoT
기업이 IoT 서비스를 확대하고 있지만 이들 기기 대부분은 설계상 안전하지 못하다. 이에 따라 ISF는 빠르게 발전하는 IoT 생태계의 투명성 부재와 모호한 조건 때문에 기업이 고객이 의도하지 않은 방식으로 개인 정보를 활용할 가능성이 크다고 경고했다. 기업 측면에서는 네트워크에서 어떤 정보가 유출되거나 어떤 데이터가 스마트폰과 스마트 TV 등을 통해 비밀리에 수집, 전송되는지 파악하는 것이 현안으로 부상하고 있다.

데이터 유출이 발생하거나 투명성 위반이 발견되면 기업은 규제 당국은 물론 고객에게 책임을 추궁당할 가능성이 크다. 최악의 경우 산업용 제어 시스템에 내장된 IoT 장치의 보안이 뚫려 물리적인 피해와 사망으로 이어질 수도 있다. 더빈은 “제조사가 IoT 기기의 사용 패턴을 파악하는 것이 중요하다. 이전보다 보안 위협이 될 수 있는 요소가 늘어났으므로 이들 기기에 대한 보안 통제력을 확보하기 위해 노력해야 한다”라고 말했다.


공급망
ISF는 지난 수년 동안 공급망의 보안 취약성 문제를 지적했다. 일련의 취약하고 민감한 정보를 공급자와 공유하는 경우가 많았고, 공유되는 순간 통제권을 사실상 상실했다. 이들 정보에 대한 기밀성, 무결성, 가용성 해킹 위험이 커진 이유다.

더빈은 “지난해부터 일부 대형 제조업체가 생산에 차질이 생기는 사고가 발생하기 시작했다. 관련 데이터가 공격을 받아 공급이 영향을 받았기 때문이다. 이뿐만이 아니다. 모든 기업이 공급망을 갖고 있으므로 라이프사이클의 모든 단계에서 정보의 위치를 파악하는 방법을 가져야 한다. 또한, 정보가 공유됐을 때 무결성을 확보하는 방안도 고민해야 한다”라고 말했다.

이를 위해 ISF는 2018년 기업이 공급망에서 가장 약한 부분을 보완하는 데 집중해야 한다고 지적했다. 모든 보안 해킹을 막을 수는 없지만 기업과 공급망이 선제적으로 대응해야 한다는 것이다. 더빈은 "직면한 위험에 맞춰 탄탄하고 확장 가능하며 반복 가능한 보안 프로세스를 도입해야 한다. 기존의 조달 및 업체 관리 프로세스에 공급망 정보 위험 관리를 추가해야 한다”라고 말했다.

규제
보안 관련 규제는 꾸준히 강화됐다. 특히 2018년 초에는 EU GDPR(General Data Protection Regulation)이 시행되면서 필수 정보 자산 관리에 새로운 보안 계층이 추가된다. 더빈은 “GDPR은 가장 뜨거운 주제다. 준수성이 중요한 것이 아니다. 언제든지 기업과 공급망 전체에서 개인 정보를 찾고 그 관리 및 보호 방식을 파악하는 능력을 확보해야 한다. 이를 통해 언제든 규제를 준수하고 있음을 입증할 수 있어야 한다”라고 말했다.

새로운 규제에 적절히 대응하려면 기존의 비즈니스 방식도 일부 변화가 불가피하다. ISF는 GDPR 규제를 충족하는 데 필요한 추가적인 자원으로 인해 준수성과 데이터 관리 비용이 증가하고 다른 활동에 대한 관심과 투자가 줄어들 가능성이 높다고 전망했다.

이사회와의 갈등
마지막으로 ISF는 이사회의 기대치와 정보 보안 기능이 결과를 제공할 수 있는 능력 간의 불일치로 인해 2018년에 위협이 발생할 것으로 전망했다. 더빈은 "일반적으로 이사회는 이런 차이를 알고 있고, 사이버 영역에서 대응 활동이 이뤄진다는 것을 알고 있다. 그러나 대부분의 경우 그 전체적인 의미를 이해하지 못한다”라고 말했다.

예를 들어 이사회는 CISO가 보안과 관련된 모든 것을 통제한다고 생각한다. 그러나 결과적으로 이사회는 보안을 확인하는 적절한 질문이 무엇인지 모르고, CISO는 이사회와 대화하는 방법, 비즈니스 부문과 대화하는 방법을 알지 못한다는 것이다.

특히 이사회는 지난 수 년 동안 정보 보안 예산을 늘리도록 승인했고, 이제 CISO와 정보 보안 부서가 즉각적인 결과를 보여주기를 기대하고 있다. 그러나 세상에 완전히 안전한 기업은 없다. 이사회 구성원이 이 점을 알고 있다고 해도 대부분은 정보 보안 개선에 상당한 시간이 필요하다는 점을 납득하지 못한다. 심지어 기업에 적절한 기술과 인력이 갖춰져 있다고 해도 상당한 시간이 필요하다는 사실에는 변함이 없다.

따라서 이런 불일치로 인해 보안 사고가 터졌을 때 해당 기업 외에도 영향을 받는 대상은 더 넓어질 가능성이 크다. 이사들 개인과 전체의 명성에 나쁜 영향을 끼치는 것이 대표적이다. 더빈은 이런 점을 고려해 CISO의 역할이 더 강화돼야 한다고 지적했다.

그는 “오늘날 CISO에 필요한 역할은 방화벽을 관리하는 것이 아니다. 보안 위협 상황을 예측하는 것이다. 다가오는 문제가 기업에 어떤 영향을 끼치는지 예측하고 이사회에 전달해야 한다. 또한, CISO는 영업 직원 겸 컨설턴트가 돼야 한다. 아무리 좋은 아이디어를 가진 세계 최고의 컨설턴트라고 해도 이사회를 설득하지 못하면 소용이 없다”라고 말했다. ciokr@idg.co.kr 

X