Offcanvas

CSO / 디지털 디바이스 / 랜섬웨어 / 보안 / 비즈니스|경제 / 악성코드

블로그ㅣ애플의 2023년 보안 과제

2022.12.12 Jonny Evans  |  Computerworld
이번 주 애플이 아이메시지(iMessage)에 새 데이터 보호 도구를 출시하고 아울러 사용자가 아이클라우드(iCloud)에서 더 많은 데이터를 암호화할 수 있도록 한 움직임을 고려할 때, 앞으로 ‘보안’이 애플의 주요 우선순위로 자리 잡을 것은 분명해 보인다.  
 
ⓒGetty Images Bank

‘감시’ 근절
NSO 그룹의 용병 해커를 블랙리스트에 올린 바이든 행정부의 결정은 환영할 만한 조치였지만 ‘서비스로서의 감시(surveillance-as-a-service)’ 산업을 막지는 못했다. 대신 이는 원자화됐다. 즉, 오늘날 이전보다 더 많은 회사가 이러한 ‘서비스’를 제공하고 있다는 의미다. 

(다른 기술과 마찬가지로) 위험은 이러한 ‘서비스’에서 사용되는 공격이 확산되며, 변형되고 있다는 점이다. 그리고 더 많은 업체가 이를 제공하면서 이러한 유형의 국가 수준 감시 공격을 하는 데 드는 비용은 낮아지고 있다.

애플은 3가지 강력한 새 데이터 보호 도구를 소개했다. 아이메시지 연락처 키 확인(iMessage Contact Key Verification), 애플 ID용 보안 키(Security Keys for Apple ID), 아이클라우드용 고급 데이터 보호(Advanced Data Protection for iCloud)다. 목표는 이러한 공격에서 사용자를 보호하는 것이다. 

대부분의 프라이버시 옹호자는 이러한 움직임을 환영했지만 몇몇 정부와 FBI는 기술 기반의 개인정보보호가 일을 더 어렵게 만들 것이라 주장했다. 이 주장이 사실일 수 있지만 이러한 보호 장치를 갖추지 못한 데 따르는 비용이 훨씬 더 클 것이다. 

비즈니스에 중요한 이유 
비즈니스와 관련해 그 중요성은 분명하다. 애플이 자체 사용자에게 제공하는 것은, 기업들이 자체 클라우드 서비스 업체에 거는 최소한의 기대치여야 한다. 이는 민감한 정보(예: 환자 및 재무 데이터 등)를 포함할 수밖에 없는 회사 데이터를 대상으로 한 보안 강화, 향상된 보안 도구, 가능한 한 최고 수준의 암호화를 의미한다. 

기업들은 보안을 중요하게 고려해야 한다. 점점 더 늘어나는 랜섬웨어 그리고 이 밖의 무서운 통계 결과는 이를 알려준다.
 
베라코드(Veracode)에 따르면 기술 부문에서 사용되는 앱의 24%에 보안 결함이 있다. 

• 오렌지 사이버디펜스(Orange Cyberdefense)의 2022 시큐리티 내비게이터(2022 Security Navigator) 보고서는 랜섬웨어가 가장 큰 보안 위협이 됐다고 전했다. 또 공격자가 악용할 수 있는 취약점을 찾아 보안 기술을 직접 타깃으로 삼고 있다고 보고서는 덧붙였다. 

• 버라이즌(Verizon)의 연간 위협 모니터(Threat Monitor) 보고서에 의하면 시스템 침입(System Intrusion) 사건의 62%가 파트너를 침해하는 위협 행위자와 관련돼 있다. 이는 모든 비즈니스와 모든 직원(또는 직원의 가족)이 복잡한 침입의 일부가 될 수 있다는 의미다. 즉, 모두가 안전할 때까지는 아무도 안전하지 않다. 

• 이번 주 발표된 애플의 자체 보고서에 따르면 2013년에서 2021년 사이에 데이터 침해 건수가 3배 이상 증가했다. 2021년에는 11억 건의 개인 기록이 유출됐다. 

생태계가 전쟁을 준비하고 있다
올해 들어 애플은 보안 강화에 공을 들였다. 잠금 모드(Lockdown Mode), 선언적 기기 관리(Declarative Device Management), 기기 보호를 위해 MDM 업체에 제공하는 수많은 API 개선 사항이 이를 증명한다. 지난 10월에는 보안 포털을 공개하고, 취약점을 식별하는 보안 연구원에게 제공하는 보상금도 늘렸다. 애플의 이러한 움직임은 파트너에 의해서도 반복되고 있다. 예를 들면 잼프(Jamf)는 고급 보안 원격 측정 솔루션 업체 젝옵스(ZecOps)에 투자했으며, 혁신적인 보안 스타트업에 자금을 지원하고 있기도 하다. 

아울러 경쟁자들은 온라인 세계를 위한 안전하고 비밀번호 없는 보안 모델을 만들기 위해 업계 전반에서 협력하고 있다. 추적 기술을 제한하고 사용자 개인정보를 보장하기 위한 작업도 여기에 포함된다. 

2023을 내다보면서 필자는 이것이 더 치열해지리라 예상한다. 왜? 현재 지정학적 환경에서 국가가 지원하는 보안 공격의 규모가 갈수록 빠르게 커지고 있기 때문이다. 모든 플랫폼 공급자, 정부, 기업은 가능한 한 단단하게 잠가야 한다. 애플은 이미 이러한 방향으로 움직이고 있다. 이 회사는 지난 10월 “애플 시큐리티 바운티(Apple Security Bounty), 연구 범위 확장, 기타 프로그램 개선을 내년에 훨씬 더 많은 계획을 세웠다”라고 밝혔다. 

* Jonny Evans는 1999년부터 애플과 기술에 대해 저술해온 전문 기고가다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.