[2016 보안 기술 및 산업] 정보 공유, 법률 강화, 새로운 보안 모델 도입 시급

글로벌 네트워크 보안 분야 선도 기업인 팔로알토 네트웍스는 2016년 보안 업계에서 주목해야 할 주요 사항으로 랜섬웨어 증가, 위협 인텔리전스 공유, 2차 타깃을 위한 공격 확산, ‘제로 트러스트’ 보안 모델 기반의 선제적 방어, 사물인터넷을 공격하는 위협, 사이버 범죄에 대한 법률 제정 등을 꼽았다. 여기서는 이 여섯 가지 항목에 대해 상세히 알아본다.

요즘 하루가 멀다하고 사이버 공격에 관한 이야기가 들린다. 피해 규모가 커지는 것은 물론, 새로운 보안 위협의 출현 속도도 점점 더 빨라지고 있다. 팔로알토 네트웍스의 션 두카(Sean Duca) 아태지역 CSO는 “사이버 공격이 급증하는 요즘, 지능형 위협 방어, 즉 폭넓은 가시성과 광범위한 보안 인텔리전스를 기반으로 알려지지 않은 위협에도 효과적으로 대응할 수 있는 보안 역량을 확보해야 한다. 특히 랜섬웨어와 같이 치명적인 보안 위협의 확산으로 선제 방어의 중요성이 높아지는 만큼 기업들의 보안 전략에도 많은 변화가 있을 것으로 전망된다”고 말했다. 다음은 팔로알토 네트웍스에서 발표한 2016 보안 기술 및 산업 전망을 정리한 내용이다.

랜섬웨어 증가

악성 프로그램의 일종인 랜섬웨어(Ransomware)는 확산 방법 및 침입 기술 면에서 지속적으로 진화할 것이며, 통신 방식과 대상 타깃을 더욱 더 은폐시키는 방향으로 나아갈 것이다. 사이버 위협 연합(CTA ; Cyber Threat Alliance)의 보고서에 따르면, 랜섬웨어는 짧은 시간 내에 막대한 금전적 이득을 취할 수 있는 공격 수단으로 수익성이 높아 사이버 범죄 조직들이 매우 선호하는 것으로 나타났다. 최근에는 신용카드 데이터보다 높은 가치의 데이터를 랜섬웨어에서 추출하고 있어 피해 규모가 더욱 커질 것으로 전망되고 있다.

한편 한국랜섬웨어침해대응센터의 자료에 따르면, 지난해 11월에 확인한 랜섬웨어 피해 사례는 926건이었으며, 3월부터 9월까지의 평균 피해 사례에 비해 11배나 폭증한 것으로 나타났다. 

위협 인텔리전스 공유

각 위협 인텔리전스를 공유하려는 노력이 계속되는 가운데, 2016년은 그 어느 때보다도 보안 업체 간 정보 공유가 활발해지는 한 해가 될 것으로 전망된다. 사이버 공격자들이 하나의 멀웨어로 공격한 후 보안 솔루션에서 탐지하기 어렵도록 이를 미세하게 변형시켜 여러 곳에 재배포하는 사례가 늘고 있어, 정보 공유의 필요성이 더욱 중요해지고 있다. 

보안 업체들이 커뮤니티를 이루어 대응함으로써 하나의 공격을 실행하는 데 드는 공격자들의 비용은 높아지고, 방어 비용은 낮아지기 때문이다. 이러한 프로세스를 자동화해 실시간으로 정보를 공유할 경우 공격을 예방할 수 있어 효과가 더 증대된다. 

세계 각국에서 관련 규정의 실효성에 대해 계속 논의되고 있지만, 정부 차원에서 위협 인텔리전스 공유에 대한 정책이 육성돼야 할 것이며, 민간에서도 업종을 넘나드는 광범위한 정보 공유 방식에 대한 방안을 마련해야 할 것이다.

2차 타깃을 위한 공격 확산

공격의 동기가 2차 타깃에 집중되는 사례가 늘고 있다. 2015 버라이즌 데이터 침해 보고서에 따르면, 써드 파티 웹사이트를 공격에 사용하는 사례가 증가하고 있으며, 이 경우 공격의 대상이 되는 특정 인물 혹은 기업은 실제 타깃이 아니라 보다 큰 공격의 진원지로 활용되는 것으로 조사됐다.

공격자 관점에서 봤을 때 이러한 방식은 공격의 신뢰도가 확보되는 것은 물론, 다른 기업의 리소스를 활용할 수 있다는 장점이 있다. 아태지역에서 가장 흔히 발견되는 유형은 ‘워터링 홀(Watering Hole)’ 공격으로, 특정 기업의 웹사이트를 감염시켜 이 사이트를 방문하는 사용자들까지 모두 감염시키는 방식이다. 

국내에서도 최근 종교단체 웹사이트를 명령 제어(C&C) 서버로 이용하는 한편, 홈페이지를 방문한 신도들이 경유지를 거쳐 악성코드를 배포하도록 한 정황이 드러나고 있어, 올해는 이와 유사한 방식의 2차 피해자를 발생시키는 사이버 공격이 늘어날 것으로 전망된다.

‘제로 트러스트’ 보안 모델 기반의 선제적 방어

최근 몇 년간 사이버 공격의 형태가 대단히 과격해지는 한편, 성공 확률도 높아지고 있는 추세다. 공격을 실행하고 완수하는 데 드는 비용이 더욱 낮아지고, 방법 또한 간편해지고 있는 가운데 온라인 시스템에 대한 디지털 신뢰가 무너지고 있다. 

앞으로는 기존에 시도했던 주변 중심의 보안 전략을 비롯해 레거시 디바이스와 오래된 기술을 개선하기 위해, ‘제로-트러스트(Zero Trust)’와 같은 새로운 보안 모델을 도입하는 기업이 늘어날 전망이다. 즉 ‘완벽한 신뢰는 배제하고 끊임없이 확인하는 것(Never Trust, Always Verify)’을 원칙으로 보안 전략을 수립하는 것이다.

제로 트러스트 모델은 고유의 보안 정책을 통해 위치에 관계 없이 모든 사용자와 디바이스, 트래픽 간 통신 등을 보호하는 방식의 ‘신뢰하되 확인하는(Trust but Verify)’ 접근법과는 다르다. 외부의 네트워크 침입 시도 자체를 최소화해 사이버 범죄가 발생하기 전에 이를 차단한다는 선제적 방어 접근법으로, 2016년에는 이러한 제로 트러스트 모델에 대한 관심이 더욱 높아질 것으로 전망된다.

사물인터넷을 공격하는 위협

가전 제품, 홈 시큐리티 등 인터넷 연결을 지원하는 커넥티드 디바이스가 증가하고 있다. 가트너는 인터넷에 연결된 기기가 향후 매일 550만 개씩 생겨나는 속도로 증가하며, 2015년 65억 개에서 2020년 210억 개까지 늘어날 것으로 전망했다. 이러한 추세에 따라 커넥티드 디바이스를 노리는 사이버 범죄 또한 급증할 것으로 예상된다. 

2015년 8월, 미국에서 열린 해킹 컨퍼런스 블랙햇(Blackhat)에서는 차량을 대상으로 하는 공격을 비롯해 표적을 변경하는 스마트 소총에 대한 사례도 소개됐는데, 앞으로는 이와 같이 더 다양한 종류의 공격과 이를 위한 PoC(개념검증) 사례가 등장할 것으로 보인다.

사이버 범죄에 대한 법률 제정

아태지역은 그동안 사이버 범죄에 대한 법률을 관대하게 적용해 온 경향이 있다. 전 세계적으로 보안 기업들뿐 아니라 소비자들을 위한 법률이 강화되고 있는 가운데, 특히 미국의 경우 미국 기업을 타깃으로 하는 하이 프로파일 공격으로 보고된 숫자가 압도적으로 높은 상황이다. 

이에 따라 미국에서는 ‘사이버보안 정보 공유 법(Cybersecurity Information Sharing Act)’을 통해 기업들이 정부와 협업하여 해커의 공격에 대응하도록 하는 법률을 시행하고 있다. 유럽에서도 이와 비슷하게 ‘주요 정보 기반 시설 보호(CIIP)’ 협력을 통해 사이버 보안에 관련된 14개 법을 시행함으로써, EU 차원에서 각국의 ICT 인프라를 보호하기 위한 대비책과 회복 역량을 확보하는 등 보안 수준을 강화하고 있다. 

정리 : 김희성 기자 (npnted@hellot.net)