공유하기

2016년 정보보호 10대 이슈 전망_전산업의 보안 내재化 … 체계적 대응 능력 갖춰야

2016.02.26 14:56:59
크게보기

2016년에는 자동차, 제조 등 전 산업 분야로 인터넷이 확산되고(Internet on), 더불어 보안 위협도 전 분야로 확산되어 모든 산업에 보안이 내재化(Security in) 될 것으로 전망된다. 


한국인터넷진흥원(KISA)에서 발표한 ‘2016년 인터넷·정보보호 10대 이슈’에 따르면 올해 인터넷 분야는 ‘기술의 지능화’, ‘산업의 융합화’, ‘서비스 간 연결화’가 가속화 될 것으로 전망된다. 이번 호에서는 ‘2016년 인터넷·정보보호 10대 이슈’ 중 정보보호 10대 이슈를 살펴본다.




1. 국민 안전을 위협하는 주요 기반시설  해킹

국가 기반시설의 보안 취약점을 활용한 해킹 공격이 증가할 것으로 전망되는 가운데 보안수칙 준수 등 사전방지 대책과 함께 신속한 복구 등 사후 대응 시스템의 구축 중요성이 커지고 있다. 


전력, 물, 가스 등 주요 기반시설을 대상으로 한 사이버 공격 및 취약점이 증가하고 있는 가운데 전 세계적으로 기반시설 사고는 2014년 245건으로 2010년 대비 600% 증가했고 취약점은 2010년 18건에서 2014년 159건으로 800% 증가했다. 


미국 국토안보국에 보고된 자료에 따르면 2015년도 상반기 108건의 사이버 공격 보고 중 27%가 에너지 분야, 18%가 제조업에서 발생했다. 


이렇듯 기반시설 해킹으로 인한 물질적 피해가 세계 곳곳에서 발생하고 있으며, 국내에서도 한국수력원자력 해킹 공격으로 원전 관련 설계 도면 유출(’15.7), 한국철도공사 네트워크 망구성도 등 주요 정보통신 기반시설 공문서 유출(’15.9)과 같은 기반시설에 대한 해킹 사례 발생한 바 있다. 


현실세계에 직접 영향을 끼치는 주요 기반시설에 대한 해킹 위협이 증가함에 따라 사전 방지 대책과 함께 신속한 사고처리, 복구 등 체계적인 사후 대응 시스템 구축이 중요해질 것으로 전망된다. 


국가 기반시설에 대한 공격은 국민들의 심리적 불안감을 고조시킬 수 있는 큰 위협으로 특정 이해집단에 의한 테러 형태의 공격으로 진전될 가능성이 높다. 특히 한수원 사이버 테러에서 보듯이 북한에 의한 주요 기반시설의 해킹 위협은 올해도 여전히 기승을 부릴 전망이다.




2. ‌新 냉전시대의 서막, 국가 간 사이버 갈등 심화

개인정보, 국가·기업 기밀정보 유출 등 국가 배후로 추정되는 사이버 공격이 지속적으로 발생함에 따라 사이버 공간에서의 국가 간 갈등이 심화될 것으로 보인다. 


사이버 공격이 경제, 안보에까지 영향을 미치게 되면서 국가 간 사이버 갈등이 촉발되어 기업, 정부기관 대상 사이버 공격의 배후로 특정 국가가 지목되는 등 사이버 공간에서의 국가 간 충돌이 발생하고 있다. 


국가 간 사이버 갈등 해소를 위한 협력에도 불구하고 그 효과가 미미한데, 사이버 갈등 최소화를 위한 국가 간 협력이 추진되고 있으나 국가 간 논의 범위의 견해 차이와 협력 조치 이행에 대한 강제성 부족으로 긴밀한 협력에 어려움이 발생하고 있다. 


국가 간 사이버 갈등이 국내를 포함해 다양한 국가에서 지속 발생할 것으로 예상되며, 갈등 해결을 위해 국제기구 차원의 사이버 규범에 대한 논의가 전개될 것으로 전망된다. 


미국, 중국 등 선진국을 중심으로 사이버 갈등이 심화될 것이며, 양자간 또는 다자간의 협력을 통한 사이버 규범 마련을 위한 움직임이 나타날 것으로 보인다. 국내 역시 특정 국가와의 사이버 갈등 발생 가능성이 높아질 것으로 예상됨에 따라 국가 간 사이버 협력 활동을 보다 강화할 것으로 전망된다.



3. 공공 부문의 클라우드 보안 중요성 증대

‘클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률’의 시행(’15년 9월)으로 각종 규제로 인해 도입이 어려웠던 공공 부문에서의 클라우드 시스템 활용이 가시화되고 있으며 미국, 영국 등 주요국에서는 보안성 강화를 통해 공공 부문의 클라우드 도입을 촉진하고 있다. 


국내는 미흡한 클라우드 보안 조치가 도입의 걸림돌로 작용, 약 1만 5,000여 곳의 공공기관에 클라우드 도입이 가능하나, 보안 시스템의 제도적 기반 및 보안 기준 부재로 도입 및 활용이 어려운 상황이다. 


앞으로 공공 부문에서 안전하게 클라우드를 활용할 수 있는 보안 인증제, 보안 가이드라인 등이 마련되어 전체 클라우드 산업 활성화의 트리거 역할을 할 것으로 전망된다. 


해외의 경우 예산 절감 및 행정 효율성 향상을 위해 공공 부문에서의 클라우드 서비스 도입을 위한 다양한 조치들이 시행되고 있어 보안의 중요성도 증가할 것으로 예상된다. 국내에서는 클라우드발전법을 근거로 공공기관의 클라우드 컴퓨팅 확산이 본격화되며 보안 신뢰성 제고를 위한 정책의 중요성이 강조될 것이다.


4. ‌차세대 인증수단으로 부상하는 생체인증(FIDO)

신체 일부를 활용하는 생체인증(FIDO) 기술이 간편 결제뿐 아니라 비대면 금융 거래를 위한 핀테크 전 분야로 확산, 적용되고 있다. 


생체인증(FIDO) 기술은 지문, 홍채, 얼굴(안면인식) 등 개인 생체 정보를 활용한 보안 기술을 의미하며, 편의성과 보안성(서버가 아닌 스마트 기기에서 인증)의 확보로 핀테크 차세대 인증수단으로 부상하고 있다. 생체인증 기술 확산과 표준 수립을 위해 관련 협의체를 신설하는 등 정부와 민간 기업의 관심도 증가하고 있다. 


구글이 안드로이드 6.0(마시멜로)에 지문인식 기능을 탑재, 안드로이드 페이 등 주요 서비스의 본인 확인 수단으로 활용하고 있다. 삼성도 삼성페이에 생체인증 기술을 적용하고 있는 등 간편결제 서비스를 중심으로 생체인증 기술이 활용되고 있다. 


국내에서도 금융권을 중심으로 생체인증 기술 도입이 추진되고 있는데, 하나금융그룹은 간편결제 분야에의 조기 적용을 통한 핀테크 분야 경쟁력 확보를 위해 생체인식 기반의 본인 확인 시스템 구축을 추진 중이며 신한은행도 생체인식 기반 인증 시스템 구축을 위한 사업자 선정 작업에 착수했다. 


개인 생체 정보를 활용한 기기, 서비스의 보급이 확대되면서 시장 혼란, 개인 프라이버시 침해 방지를 위한 표준화 및 제도적 보완이 필요할 것으로 전망된다. 


지문인식 등 단말기 단위의 생체인증 기술 적용사례 증가와 함께 모바일 핀테크 서비스를 중심으로 생체인증 기술이 확산될 것이다. 국내 역시 공인인증서 의무 사용 폐지, 인터넷 은행 허가 등 생체인증 기술 확산의 정책적 기반이 계속 마련됨에 따라 생체인증 기반 서비스들이 다수 등장할 것으로 전망된다.




5. ‌금융·의료 등 전 산업에 적용되는 정보보호관리체계

정보보호관리체계는 고도화되는 보안 위협으로부터 기업의 정보보호 수준을 높이기 위한 인증제도다. 금융·의료 부문의 보안 사고가 증가하면서 정보보호관리체계 등 보안관리 체계 도입이 증가하고 있다. 


ICT 활용의 증가로 금융, 의료 등 비ICT 분야에서도 보안사고가 증가하고 있는데, 특히 금융사기, 불법 판촉, 보험·제약회사 악용 등 2차 피해 발생 가능성이 높은 금융, 의료 분야에서 개인정보 유출 사고 등의 위험이 증가하고 있다.


미국의 경우 개인정보 유출 사고 42.5%가 의료 부문에서 발생하고 있다. 국내외에서 금융·의료 부문의 보안사고로 사회적 비용이 발생하고 있어 금융, 의료 기업의 보안 강화를 위한 정보보호 강화 대책이 추진 중이다. 우리나라는 사이버안전대진단을 통해 기업의 대응 능력을 점검하고 정보보호관리체계, 정보보호준비제도 등 인증 의무화를 추진하고 있다. 


향후 금융, 의료 등 비ICT 분야에서도 보안 중요성이 부각됨에 따라 주요 정보 자산을 효율적으로 보호하고 관리하기 위한 정보보호관리체계 도입 필요성이 증대될 것으로 전망된다. 해외도 자체 역량 평가 모델과 자발적인 정보보호관리체계의 운영이 증가할 것이다. 




6. 모바일로 확산되는 데이터 인질극, 랜섬웨어

사용자의 문서나 이미지 등을 암호화시키고 돈을 요구하는 악성 코드인 랜섬웨어가 스마트폰 이용 확대에 따라 PC를 타깃으로 하던 랜섬웨어가 모바일로 확대될 전망이다.


모바일 기기의 이용 확산으로 개인정보, 데이터가 스마트폰에 주로 저장됨에 따라 랜섬웨어 공격 대상이 PC에서 모바일로 전이되고 있는 것이다. 


전 세계적으로 모바일 랜섬웨어가 2015년 3분기 현재 전년대비 6배 증가한 4만 건 발생(360시큐리티)했고 북미와 유럽을 중심으로 모바일 랜섬웨어 빠르게 확산 중이다. 


국내도 PC 중심으로 랜섬웨어 감염 사례가 증가하고 있으며 유명 커뮤니티 사이트에 PC 랜섬웨어가 처음으로 유포(’15.4)된 이후로 공공기관·지자체·대기업·중소기업·개인 등이 감염되며 점차 늘어나는 추세다. 국내도 랜섬웨어의 공격 발생 빈도가 높아지면서 개인정보가 많이 담겨있는 모바일 디바이스로 타깃이 확대될 가능성이 높다. 


해외의 경우 다양한 모바일 랜섬웨어가 확산되고 있으며 글로벌 수사 공조 등 협력 없이 해결이 어려워 지속적으로 이슈가 될 전망이다. 국내도 한글 인터페이스를 갖는 랜섬웨어가 나타나고 있어 2016년에는 모바일을 노리는 랜섬웨어가 기승을 부릴 것으로 예상된다.


7. Korea Internet & Security Agency

국가정보주권 확립 및 국민의 개인정보 보호를 위해 자국민의 개인정보 국외 이전을 규제하기 시작했고 개인정보 적정성 평가 등 데이터 역외 이전에 대한 보다 안전하고 체계적인 방안이 마련될 것으로 보인다. 


개인정보보호 법제가 약한 나라로 데이터 센터를 이전하여 규제를 회피(예: 페이스북은 유럽 내에서 데이터 보안법이 가장 약한 아일랜드에 유럽 본부를 설치)하거나 다른 국가에서 데이터가 처리되거나 타 국가, 해외 기업이 자국의 온라인 정보를 수시로 접속할 수 있어 개인정보 관리와 보호 문제점이 발생(예: 미국 국가안보국의 유럽 시민 개인정보 사찰)하고 있다. 이에 각국에서 자국민의 개인정보 보호를 위해 무분별한 데이터 국외 이전을 제한하기 시작했다. 


러시아는 자국민의 개인정보를 수집하거나 처리하는 각국 기업에 대해 관련 데이터를 저장한 서버를 러시아 영토 내에 둘 것을 의무화하는 개인정보보호법을 도입(’15. 9)했으며 EU 유럽 사법재판소는 미국과 체결한 ‘세이프 하버(Safe Habor)’ 조약이 EU 시민의 개인정보를 보호하기 어렵다는 이유로 체결 15년 만에 무효화(’15. 10)했다. 


국내에서도 개인정보 국외 이전 협의 방안을 마련 중인데, 국내 기업들이 유럽 국가의 개인정보를 유럽 이외 지역에서 활용할 수 있도록 ‘개인정보보호적합성평가추진단’을 통해 국가 차원에서 EU 개인정보 보호 적정성 평가를 추진하고 있다.


앞으로 정보의 자유로운 유통을 보장하면서 무분별한 사용을 제한하여 개인의 프라이버시를 보호할 수 있는 방안에 대한 협의가 본격화될 것으로 전망된다. 개인정보 보호 수준이 낮은 국가로의 개인정보 이전을 규제하고 자국민의 개인정보 보호를 위한 다양한 노력들이 나타날 것으로 보인다.




8. 현실화되는 커넥티드카 해킹 우려

실제 도로 위를 운행하고 있는 커넥티드카 대상의 해킹 공격이 현실화될 것으로 전망됨에 따라 완성차 업체를 중심으로 커넥티드카의 보안성 강화 움직임이 활발해질 것으로 보인다. 


자동차가 인터넷과 연결되면서 해킹 위험에 노출되는 것인데, 외부 통신망과 연결돼 각종 편의 기능이 제공되는 커넥티드카가 상용화되면서 인포테인먼트, 텔레매틱스, 제어계 등을 통한 외부 해킹으로 인한 사고 발생 가능성이 증가하고 있다. 


주요 완성차 업체의 커넥티드카를 대상으로 한 해킹 사례도 등장하고 있는데, 해커들은 시동, 속도, 방향 조작 등을 무력화하는 원격 해킹을 시연·공개, 해커의 의도대로 언제든지 자동차와 운전자를 위험한 상황에 빠지게 할 수 있음을 경고했다.

국내의 경우 완성차 해킹 사례는 없으나, 차량 보안성을 강화하는 조치를 추진 중이다. 현대차는 자동차 해킹 방지 기향후 운전자 안전과 직결되는 커넥티드카 해킹이 현실화될 것으로 예상됨에 따라 보안이 내재화된 커넥티드카 설계, 고도화된 보안 기술 등이 완성차 업체의 핵심 경쟁력으로 부상할 것이다. 


향후 특정 테러와 연관된 커넥티드카 해킹 사고가 발생될 것으로 예상되며, 정부 차원의 커넥티드카 보안성 확보를 위한 기술적, 제도적 강화 움직임이 나타날 것으로 보인다. 국내에서는 완성차 업체의 커넥티드카 해킹에 따른 비즈니스 리스크 우려로 보안 기술 투자 확대, 별도 보안 연구 조직 신설 등 보안성을 강화하는 노력을 기울여야 한다.


9. 프라이버시의 새로운 위협 ‘드론’

드론 활용이 증가함에 따라 프라이버시 침해 논란이 확산되고 드론 위협에 대응하기 위한 방어 체계 관련 기술 개발이 본격화되고 있다. 


드론 사용 증가에 따른 프라이버시 위협이 증가하고 있는데, 2015년 민간용(civilian) 드론 시장 규모는 5억달러 규모에 이를 것으로 전망되며 연평균 성장률 28%를 기록하며 2023년 22억달러에 달할 전망이다. 기기에 장착되는 카메라 기술이 향상되면서 드론 이용 시 무분별한 사진, 동영상 촬영으로 인해 프라이버시를 침해하는 사례가 증가하고 있다. 


이런 점을 감안해 미국, 일본 등 주요국은 드론 활성화 정책과 함께 프라이버시 보호 방안을 마련 중이다. 


앞으로 개인용 드론 및 상업적 활용이 증가함에 따라 프라이버시 침해 논란이 확대될 것이며, 주요 시설물에 대한 드론 공격 위협에 대응하기 위한 방어 기술 및 체계 개발도 본격화 될 전망이다. 


외국에서는 이미 구글의 스트리트 뷰어에서 사생활 노출 가능성이 제기됨에 따라 드론으로 인한 프라이버시 침해 가능성은 정보보호 전문가를 중심으로 회자될 전망이다. 드론 탐지 레이더, 식별 카메라, 전파 교란 장치 등 드론 방어 체계 관련 기술의 실용화가 이루어질 전망이나 사용 기준과 범위 등에 대해서는 논란이 있을 것으로 예상된다.
 
10. 정보보호산업진흥에 관한 법률 본격 시행

정보보호 제품·서비스 적정 대가 지급, 정보보호 분야 투자 촉진 등을 통해 정보보호 시장의 수요와 공급이 활성화되어 선순환적인 산업 생태계가 조성될 것으로 전망된다. 


전 세계 정보보호산업의 높은 성장세에도 불구하고 국내 시장의 성장세는 둔화 움직임을 보이는데, 국내의 정보보호산업 시장 규모(2014년 69억달러)는 세계 시장(1,900억달러)의 약 3.6% 수준이고 최근 성장률(2014년, 7.1%)은 이전 3년 평균 성장률(약 15%)에 비해 하락세를 보이고 있다. 


낮은 유지관리 요율 적용, 서비스 대가 불인정 등 덤핑식 저가 발주 관행이 정보보호산업 성장을 더디게 하는 악순환의 장애로 작용하고 있다. 따라서 선순환 정보보호산업 생태계 구축을 위한 법적 기반 마련이 필요한데, 정부는 국내 정보보호산업 육성 강화를 위해 ‘정보보호산업의 진흥에 관한 법률’을 제정 및 공포하고 ’15년 12월부터 시행 예정이다. 


정보보호 제품 및 서비스의 적정 대가 확보, 정보보호 공시 제도 등을 규정함으로써 시장 가격의 왜곡을 해소하고, 보안 업체의 탄탄한 매출 성장의 기반 확립해야 한다.


앞으로 법 시행에 따라 기업의 자발적 정보보호 투자, 적정 대가 지급 등이 확대되어 정보보호 제품, 서비스 업체 및 컨설팅, 관제 등 국내 정보보호산업이 활성화될 전망이다.


그간 성장에 어려움을 겪던 정보보안 산업이 발전하는 핵심 동인으로 기능할 것으로 전망되며 정보보호 관련 기술 개발, 표준화, 인력 양성 체계의 변화가 예상된다. 저가 가격 중심의 경쟁체제에서 장기적으로 기술 중심으로 경쟁 체제가 개선되면서 다소 시간이 걸리겠으나 정보보호산업의 선순환 생태계가 조성될 것이다.



김혜숙 기자 (atided@hellot.net)


 ⓒGetty images Bank

의 전체기사 보기

Copyright ⓒ 첨단 & automationasia.net

많이 본 기사

더보기

기획특집

더보기

지식창고

더보기

LOGO

창닫기

상호명(명칭) : ㈜첨단 | 등록번호 : 서울,아54000 | 등록일자 : 2021년 11월 1일 | 제호 : 오토메이션월드 | 발행인 : 이종춘 | 편집인 : 임근난 | 본점 : 서울시 마포구 양화로 127, 3층, 지점 : 경기도 파주시 심학산로 10, 3층 | 발행일자 : 2021년 00월00일 | 청소년보호책임자 : 김유활 | 대표이사 : 이준원 | 사업자등록번호 : 118-81-03520 | 전화 : 02-3142-4151 | 팩스 : 02-338-3453 | 통신판매번호 : 제 2013-서울마포-1032호 copyright(c)오토메이션월드 all right reserved