'2023년 거시적 사이버 보안 위협 8가지' 미국 정책연구소, 보안 전문가 보고서 발표

미국 바이파티산 정책 센터(Bipartisan Policy Center)가 사이버 보안 전문가들을 한 데 모아 2023년 주목해야 할 보안 위협 8가지를 조명한 보고서를 발간했다. 
 

사이버 보안은 기업, 학계, 정부 모두 너 나 할 것 없이 매년 막대한 예산을 쏟아붓는 분야 중 하나다. 하지만 도저히 잡힐 듯 잡히지 않는다. 사이버공격 기법은 하루게 다르게 정교해지고 있으며, 공격 표면이 넓어져 디지털 시스템과 자산이 그 어느 때보다 더 많은 위협에 노출돼있다. 

일단 사이버 보안 위협을 탐지하고 이해하는 일조차 쉽지 않다. 바이파티산 정책 센터(Bipartisan Policy Center)은 초당적 싱크탱크로서 국가 안보, 경제 문제를 비롯해 미국의 큰 사회 문제를 연구한다. 이 센터가 최근 업계, 정부, 그리고 시민 사회의 전문가를 소집해 실무그룹을 형성했다. 센터는 “정책 입안자와 기업이 실질적인 조치를 취하고 적절한 대비책에 투자할 수 있도록 돕고자 최고의 보안 전문가들을 한자리에 모았다”라고 밝혔다. 

해당 보안 실무그룹이 ‘2023년 주요 사이버보안 위협(Top Risks in Cybersecurity 2023)’ 보고서를 발표했다. 전문가 그룹은 2023년에 특히 조심해야 할 사이버보안 위협 8가지뿐만 아니라 2023년에 국한되지 않은 기타 거시적인 위협에 대해서도 경고했다. 

실무그룹의 공동 의장이자 에퀴팩스의 부사장인 아밀 파슈치는 “오늘날 보안 위협의 현황과 형세에 대해 전략적으로 논의하는 것이 매우 중요하다. 이번 보고서의 목표는 바로 그런 논의를 촉진하는 것이다”라고 말했다. 

바이파티산 정책 센터에서 당시 일했던 하원의원이자 사이버보안 전도사인 짐 랭빈은 “최고의 보안 전문가를 모아 올스타 팀을 만들었다. CSO직에 종사하는 전문가 외에도 다양한 분야에서 다양한 역량을 갖춘 전문가들을 모으려고 했다”라고 말했다. 

파슈치는 보고서가 조명한 보안 위협을 보면 몇몇 항목은 놀랄 정도로 오래됐다는 점을 강조했다. 그는 “사이버 보안이라는 게 얼마나 끝이 없는 일인지 알 수 있다. 보안 업계나 공동체가 많은 진전을 이룬 건 사실이지만 아직 많은 위협과 문제가 오랫동안 해결되지 못하고 있다”라고 덧붙였다. 
 

2023년 거시적 사이버 보안 위협 TOP 8 

1. 불안정한 지정학적 환경: 러우 전쟁은 지정학적 갈등이 사이버 보안에 미치는 영향을 보여주는 대표적인 사례다. 전쟁으로 인해 사이버 전쟁, 디지털 인프라 공격이 늘어날 뿐만 아니라, 불안정한 환경을 틈타 사이버 범죄를 일으키거나 가짜 뉴스, 허위 정보를 퍼트리는 악성 행위자들이 범람한다. 전쟁은 또한 국가들이 보호주의 무역 정책을 펼치게 해 해외 업체의 기술 제품을 구매한 기업이 곤란해지기도 한다. 

2. 사이버 군비 경쟁: 공격 행위자의 수법이 나날이 교묘해지고 있다. 해킹에 쉽게 사용할 수 있는 도구가 차고 넘치는 데 비해 사이버 보안 책임자는 그렇지 않다. 게다가 몇몇 해커들은 단순한 돈벌이용 해킹이 아니라 국가 보안 자원을 노리는 공격도 감행하고 있다. 

3. 세계 경제 역풍: 주식 시장 변동성과 인플레이션도 사이버 보안을 어렵게 만든다. 기업은 자원 할당에 더 조심스러워질 수밖에 없으며, 자본 시장이 약화하면서 사이버 보안에 투자할 여력은 더욱더 줄어들 가능성이 크다. 

4. 복잡한 사이버 보안 규제: 적어도 미국의 기업에게 사이버 보안 규제의 복잡성도 큰 과제 중 하나다. 국가, 주, 그리고 지방 당국 여럿이 제각각 부과하는 규칙과 요구사항을 따라야 한다. 사이버 보안, 데이터 보안 및 개인 정보 보호 같은 다양한 영역을 다루며, 일관성이 부족해 혼란스러울 때가 종종 있다. 게다가 규제는 다양한 기업의 상황을 고려하지 않아 천편일률적인 경우가 많다. 

5. 기업 내 보안 거버넌스 부족: 기업에서 보안이 차지하는 위치는 점차 개선됐지만 아직 갈 길이 멀다. CISO나 CSO를 빼면 경영진 차원에서 최우선사항으로 다뤄지는 경우는 흔히 않다. 

6. 보안 투자 및 대비 미흡: 공공, 민간 부문 모두 사이버 보안 공격에 대한 대비책을 충분히 마련해 놓고 있지 않다. 데이터가 제대로 보호되지 않으며, 보안 위기 대책, 연습, 재해복구 및 비즈니스 연속성 계획 등이 갖추어져 있지 않다. 

7. 취약한 인프라: 대부분 조직은 제3자, 제4자 공급업체의 인프라에 의존해 보안 위협에 취약하다. 특히 금융, 유틸리티 및 정부 서비스 부문의 조직은 패치가 적용되지 않고 오래된 코드나 레거시 시스템을 사용하는 경우가 꽤 있어 더 취약하다.

8. 보안 인재 부족: 다른 IT 인력과 마찬가지로 보안 인력이 부족한다는 점도 큰 위협 중 하나다. 특히 기본적인 보안책을 자동화할 수 있는 인력도 없어 많은 조직이 알려진 취약점에 노출되어 있다. 
 

해결책을 제시하지 않은 이유는? 

이 보고서는 위협을 설명할 뿐 구체적인 해결책이나 대비책을 제시하지 않는다. 파슈치는 “어차피 각 조직이 필요에 따라 보안책을 맞춤화해야 해서 따로 해결책을 제시하지 않았다”라고 말했다. 

국무부, 법무부, 백악관에서 일했던 전 사이버 보안 리더이자 현재 사이버 전문가 재단 글로벌 포럼의 회장인 크리스 페인터도 이에 동의했다. 그는 정부가 종종 현장과 동 떨어진 해결책을 제시한다며 “이 보고서를 보고 몇몇 사람들은 왜 대책도 없이 문제만 제기하느냐고 물어보리라 생각한다. 하지만 일반적인 해결책 같은 건 없다. 문제를 보면 각자 맞는 해결책을 고안할 것이다”라고 말했다. ciokr@idg.co.kr