2017.01.02

'IoT, 새로운 규제···' 2017년 주목해야 할 보안 위협 4가지

Thor Olavsrud | CIO
사이버 범죄가 날로 정교해지는 가운데, 이 범죄 조직이 마치 일반 기업처럼 협력 관계를 형성할 것으로 예상된다. 2017년 정보보안 전문가들이 알아야 할 4가지 보안 위협을 소개한다.


Credit:GettyImages

언제나 그랬지만, 2016년 역시 데이터 유출로 다사다난한 한 해였다. 사이버 보안과 정보 리스크 관리를 전문으로 하는 글로벌 정보보안 단체 ISF(Information Security Forum)의 매니징 디렉터 스티브 더빈은 2016년을 다음과 같이 정리했다.

“2016년은 우리의 기대(?)를 저버리지 않았다. 온갖 종류의 유출 사건이 산 너머 산처럼 우리 앞을 가로막았다. 항상 현실은 우리의 예상을 뛰어넘는 법이다. 특히 미국 대선에 러시아 해커들이 개입할 것을 예상한 사람은 없었을 것이다.”

다음은 ISF가 꼽은 기업들이 2017년에 직면하게 될 4가지 보안 이슈다.

1. 더욱 정교하고 복잡해진 IoT 기기 연결성과 그로 인한 리스크 관리의 어려움
2. 범죄 서비스 운영으로 한층 성장한 범죄 조직들
3. 새로운 규제 정책과 컴플라이언스 리스크
4. 해커들의 새로운 타깃이 된 브랜드 평판과 신뢰


더빈은 “정보보안 위협의 속도도 빨라지고 규모도 커지고 있어 기업의 신뢰와 평판을 위협하고 있다”며 “2017년에는 특히 공격 대상의 약점을 공략하거나, 기업의 보안 대책 및 방어 수단까지 고려해 진화한 위협들이 기승을 부리면서 훨씬 더 정밀하고 복합적인 공격이 예상된다”고 밝혔다. 이어서 “사이버 공간은 기업 및 외국 정부를 공격하고, 정보를 훔치며, 사기를 치려는 범죄자, 테러단체, 핵티비스트들에게는 기회의 땅이나 다름없다. 결국 충분한 정보를 기반으로 철저히 대비하는 것밖에 방법이 없다. 기업 규모를 막론하고, 공격에 대한 대책이 제대로 서 있을수록 예상치 못한 보안 비상사태에 유연하게 대처할 수 있을 것이다”라고 전했다.

ISF가 지목한 4가지 이슈들은 각기 독립적으로 발생하리라는 법은 없다. 때로는 이들 문제가 동시에 발생해 보안 위협을 더욱 심각하게 만들 수도 있다.

더욱 정교하고 복잡해진 IoT 기기 연결성과 그로 인한 리스크 관리의 어려움
기가비트(gigabit) 단위의 네트워크가 출현하면서, 빅데이터, GPS 위치추적, 날씨 정보, 건강상태 모니터링 기기 등을 활용한 새로운 애플리케이션 및 사물인터넷(IoT) 기술이 구현될 것이다. 이러한 기기 연결성의 확장, 확대 덕분에 거의 모든 곳에 센서가 들어 있는 ‘센서 내장형 기기’들로 구성된 환경을 구축할 수 있게 되었다. 문제는 이러한 기기들의 보안을 안전하게 유지하기가 거의 불가능하다는 점이다.

더빈은 이것이 단순한 프라이버시 및 데이터 접근을 넘어서는 문제라고 지적했다. 기기 연결성의 확장은 보안 위협의 지평 역시 기하급수적으로 넓힐 것이다.

그는 “개인적으로 2017년 가장 중요하다고 생각하는 것은, 우리가 당면해 있는 심각한 보안 위협에 눈을 뜨는 것이다”고 이야기했다. 더빈에 따르면, 처음부터 보안을 고려하지 않고 제작된 기기들이 우리 삶 곳곳에서 정보를 수집하고 있으며 이러한 기기들을 해킹하는 것은 상대적으로 쉽다. 이어서 “일부, 특히 미국에서 IoT 기기에 일정 정도의 보안 대책을 적용할 것을 촉구하는 목소리가 일어나고는 있지만 문제는 비용이다. 게다가 이들 기기는 서로 연결되어 있다”고 덧붙였다.

더빈은 아직도 많은 기업이 적절한 리스크 관리 및 보안 대책 없이 IoT 솔루션을 이용하고 있으며 인터넷에 연결된 기기의 보안 위험성에 대해 제대로 인지하지 못하고 있다고 지적했다. 그렇다고 IoT 솔루션 자체를 멀리해야 한다는 것은 아니다. 단지 그렇게 연결된 기기들이 어디에 사용되는지, 어떤 데이터에 접근할 수 있는지를 분명히 인지한 상태에서 보안 대책을 세워야 한다는 이야기다.

더빈은 “중요 인프라야말로 가장 우려되는 부분이다. 예를 들어 스마트 시티나 산업 제어 시스템을 보면, 전부 IoT 기기에 크게 의존하고 있다. 이러한 기기들에 대한 보안 위협이 무엇을 의미하는지 생각해 볼 필요가 있다”고 강조했다.

그는 “아무리 애써도 전체 IoT 환경을 완벽하게 지키는 것은 불가능하겠지만, 적어도 센서 내장형 기기들만이라도 제거할 수 있다”고 밝혔다. 그에 따르면, 이미 많은 기기들이 현장에서 데이터를 수집하고 있으며 가능한 피해를 최소화하고 위협에 제대로 대처할 수 있는 대책을 세워두어야 한다. “두 눈을 크게 뜨고, IoT 기기와 애플리케이션을 관리할 수 있는 현실적 방안들을 마련해야 한다”고 그는 덧붙였다.


범죄 서비스 운영으로 한층 성장한 범죄 조직들
더빈에 따르면, 지난 수년간 범죄 조직들은 일종의 신생벤처처럼 운영됐다. 그러나 대부분 신생벤처 기업과 마찬가지로, 이들 역시 시간이 지남에 따라 성장하고 동시에 더욱 정교해졌다. 2017년은 이러한 범죄 조직들이 마치 일반 기업이 하는 것처럼 위계질서와 파트너십, 협력 관계를 형성하는 한 해가 될 것이다. 이러한 조직들은 다양한 갈래로 분화되어 새로운 시장을 형성할 것이고 동시에 이들의 활동도 세계적 규모로 확장될 것이라고 그는 전망했다.

더빈은 “처음 신생벤처처럼 운영됐던 범죄 조직들이 이제는 성장하고 성숙하고 있다. 낡은 차고에서 시작됐던 조직들이 이제는 제법 기업의 면모와 인프라까지 갖추고 있다. 이들은 우리가 지독히도 못 하는 것들, 즉 협력과 공유, 서비스의 간극을 메우기 위한 파트너십에 아주 뛰어난 모습을 보여주었다”고 분석했다.

이들 중 상당수가 사이버 범죄 서비스를 제공하고 있다. 기존의 범죄 조직에 그 뿌리를 두고 있는 기업들도 있지만, 사이버 범죄만을 전문으로 하여 악성코드, 호스팅 서비스, 테스팅, 불법 자금 운반 서비스 등을 제공하는 곳들도 늘어나고 있다.

더빈은 “사실상 시장성 있는 모든 분야에 뛰어들고 있다. 지적 재산이건, 개인 정보건 관계없이, 수요만 있다면 앞뒤 안 가리고 그 정보를 훔친다”고 설명했다.

그에 따르면, 일부 불량 국가들은 직접 이러한 서비스를 이용하고 있어 2017년 기업이 경험하게 될 사이버 공격은 그동안 겪어왔던 것들보다 훨씬 집요하고 피해도 클 것이다.
 




2017.01.02

'IoT, 새로운 규제···' 2017년 주목해야 할 보안 위협 4가지

Thor Olavsrud | CIO
사이버 범죄가 날로 정교해지는 가운데, 이 범죄 조직이 마치 일반 기업처럼 협력 관계를 형성할 것으로 예상된다. 2017년 정보보안 전문가들이 알아야 할 4가지 보안 위협을 소개한다.


Credit:GettyImages

언제나 그랬지만, 2016년 역시 데이터 유출로 다사다난한 한 해였다. 사이버 보안과 정보 리스크 관리를 전문으로 하는 글로벌 정보보안 단체 ISF(Information Security Forum)의 매니징 디렉터 스티브 더빈은 2016년을 다음과 같이 정리했다.

“2016년은 우리의 기대(?)를 저버리지 않았다. 온갖 종류의 유출 사건이 산 너머 산처럼 우리 앞을 가로막았다. 항상 현실은 우리의 예상을 뛰어넘는 법이다. 특히 미국 대선에 러시아 해커들이 개입할 것을 예상한 사람은 없었을 것이다.”

다음은 ISF가 꼽은 기업들이 2017년에 직면하게 될 4가지 보안 이슈다.

1. 더욱 정교하고 복잡해진 IoT 기기 연결성과 그로 인한 리스크 관리의 어려움
2. 범죄 서비스 운영으로 한층 성장한 범죄 조직들
3. 새로운 규제 정책과 컴플라이언스 리스크
4. 해커들의 새로운 타깃이 된 브랜드 평판과 신뢰


더빈은 “정보보안 위협의 속도도 빨라지고 규모도 커지고 있어 기업의 신뢰와 평판을 위협하고 있다”며 “2017년에는 특히 공격 대상의 약점을 공략하거나, 기업의 보안 대책 및 방어 수단까지 고려해 진화한 위협들이 기승을 부리면서 훨씬 더 정밀하고 복합적인 공격이 예상된다”고 밝혔다. 이어서 “사이버 공간은 기업 및 외국 정부를 공격하고, 정보를 훔치며, 사기를 치려는 범죄자, 테러단체, 핵티비스트들에게는 기회의 땅이나 다름없다. 결국 충분한 정보를 기반으로 철저히 대비하는 것밖에 방법이 없다. 기업 규모를 막론하고, 공격에 대한 대책이 제대로 서 있을수록 예상치 못한 보안 비상사태에 유연하게 대처할 수 있을 것이다”라고 전했다.

ISF가 지목한 4가지 이슈들은 각기 독립적으로 발생하리라는 법은 없다. 때로는 이들 문제가 동시에 발생해 보안 위협을 더욱 심각하게 만들 수도 있다.

더욱 정교하고 복잡해진 IoT 기기 연결성과 그로 인한 리스크 관리의 어려움
기가비트(gigabit) 단위의 네트워크가 출현하면서, 빅데이터, GPS 위치추적, 날씨 정보, 건강상태 모니터링 기기 등을 활용한 새로운 애플리케이션 및 사물인터넷(IoT) 기술이 구현될 것이다. 이러한 기기 연결성의 확장, 확대 덕분에 거의 모든 곳에 센서가 들어 있는 ‘센서 내장형 기기’들로 구성된 환경을 구축할 수 있게 되었다. 문제는 이러한 기기들의 보안을 안전하게 유지하기가 거의 불가능하다는 점이다.

더빈은 이것이 단순한 프라이버시 및 데이터 접근을 넘어서는 문제라고 지적했다. 기기 연결성의 확장은 보안 위협의 지평 역시 기하급수적으로 넓힐 것이다.

그는 “개인적으로 2017년 가장 중요하다고 생각하는 것은, 우리가 당면해 있는 심각한 보안 위협에 눈을 뜨는 것이다”고 이야기했다. 더빈에 따르면, 처음부터 보안을 고려하지 않고 제작된 기기들이 우리 삶 곳곳에서 정보를 수집하고 있으며 이러한 기기들을 해킹하는 것은 상대적으로 쉽다. 이어서 “일부, 특히 미국에서 IoT 기기에 일정 정도의 보안 대책을 적용할 것을 촉구하는 목소리가 일어나고는 있지만 문제는 비용이다. 게다가 이들 기기는 서로 연결되어 있다”고 덧붙였다.

더빈은 아직도 많은 기업이 적절한 리스크 관리 및 보안 대책 없이 IoT 솔루션을 이용하고 있으며 인터넷에 연결된 기기의 보안 위험성에 대해 제대로 인지하지 못하고 있다고 지적했다. 그렇다고 IoT 솔루션 자체를 멀리해야 한다는 것은 아니다. 단지 그렇게 연결된 기기들이 어디에 사용되는지, 어떤 데이터에 접근할 수 있는지를 분명히 인지한 상태에서 보안 대책을 세워야 한다는 이야기다.

더빈은 “중요 인프라야말로 가장 우려되는 부분이다. 예를 들어 스마트 시티나 산업 제어 시스템을 보면, 전부 IoT 기기에 크게 의존하고 있다. 이러한 기기들에 대한 보안 위협이 무엇을 의미하는지 생각해 볼 필요가 있다”고 강조했다.

그는 “아무리 애써도 전체 IoT 환경을 완벽하게 지키는 것은 불가능하겠지만, 적어도 센서 내장형 기기들만이라도 제거할 수 있다”고 밝혔다. 그에 따르면, 이미 많은 기기들이 현장에서 데이터를 수집하고 있으며 가능한 피해를 최소화하고 위협에 제대로 대처할 수 있는 대책을 세워두어야 한다. “두 눈을 크게 뜨고, IoT 기기와 애플리케이션을 관리할 수 있는 현실적 방안들을 마련해야 한다”고 그는 덧붙였다.


범죄 서비스 운영으로 한층 성장한 범죄 조직들
더빈에 따르면, 지난 수년간 범죄 조직들은 일종의 신생벤처처럼 운영됐다. 그러나 대부분 신생벤처 기업과 마찬가지로, 이들 역시 시간이 지남에 따라 성장하고 동시에 더욱 정교해졌다. 2017년은 이러한 범죄 조직들이 마치 일반 기업이 하는 것처럼 위계질서와 파트너십, 협력 관계를 형성하는 한 해가 될 것이다. 이러한 조직들은 다양한 갈래로 분화되어 새로운 시장을 형성할 것이고 동시에 이들의 활동도 세계적 규모로 확장될 것이라고 그는 전망했다.

더빈은 “처음 신생벤처처럼 운영됐던 범죄 조직들이 이제는 성장하고 성숙하고 있다. 낡은 차고에서 시작됐던 조직들이 이제는 제법 기업의 면모와 인프라까지 갖추고 있다. 이들은 우리가 지독히도 못 하는 것들, 즉 협력과 공유, 서비스의 간극을 메우기 위한 파트너십에 아주 뛰어난 모습을 보여주었다”고 분석했다.

이들 중 상당수가 사이버 범죄 서비스를 제공하고 있다. 기존의 범죄 조직에 그 뿌리를 두고 있는 기업들도 있지만, 사이버 범죄만을 전문으로 하여 악성코드, 호스팅 서비스, 테스팅, 불법 자금 운반 서비스 등을 제공하는 곳들도 늘어나고 있다.

더빈은 “사실상 시장성 있는 모든 분야에 뛰어들고 있다. 지적 재산이건, 개인 정보건 관계없이, 수요만 있다면 앞뒤 안 가리고 그 정보를 훔친다”고 설명했다.

그에 따르면, 일부 불량 국가들은 직접 이러한 서비스를 이용하고 있어 2017년 기업이 경험하게 될 사이버 공격은 그동안 겪어왔던 것들보다 훨씬 집요하고 피해도 클 것이다.
 


X