2022-01-19 10:20 (수)
“2022년, 공격자가 노릴 만한 ‘공격 표면’ 더욱 넓어진다”
상태바
“2022년, 공격자가 노릴 만한 ‘공격 표면’ 더욱 넓어진다”
  • 길민권 기자
  • 승인 2021.12.02 16:57
이 기사를 공유합니다

이글루시큐리티, ‘2022년 보안 위협·기술 전망 보고서’ 발표
이글루시큐리티 2022년 보안위협 예측
이글루시큐리티 2022년 보안위협 및 대응기술 예측

이글루시큐리티(대표 이득춘)는 2022년 보안 위협에 대한 주요 예측을 담은 ‘2022년 보안 위협ž기술 전망 보고서’를 발표하며, 2022년에 공격자가 노릴 만한 ‘공격 표면(Attack Surface)’이 더욱 넓어질 것이라고 내다봤다.

먼저 코로나19 및 선거·국제 행사 등의 사회적 이슈를 악용한 사이버 공격이 지속되고, 유연화된 근무 환경의 허점을 파고드는 공격도 더욱 증가할 것이라고 전망했다. 또한 국가 지원을 받는 해킹 그룹에 의한 공급망 공격이 늘어나고, ‘다크웹(Dark Web)’을 통한 정보 거래 및 유통이 더 활발히 이뤄질 것으로 예측했다. 더불어 디지털화된 사용자 정보가 폭넓게 활용되는 ‘메타버스(Metaverse)’ 플랫폼을 둘러싼 보안 위협도 발생할 것으로 예상했다.

이러한 보안 위협에 맞서, 모든 기업·조직 인프라와 자산에 대한 가시성을 확보하고 위협 대응 속도를 높일 수 있는 보안 기술과 방법론의 중요성이 부각될 전망이다.

이글루시큐리티 보안분석팀은 IT와 OT 환경을 아우르는 ‘융합보안 모니터링 체계’와 보안관제 효율성을 높일 수 있는 ‘보안 오케스트레이션·자동화 및 대응(SOAR)’, 인프라·데이터·소프트웨어·사용자 측면에서 위협 요인을 탐지하는 ‘공격 표면 관리(ASM)’의 중요성이 높아질 것이라고 내다봤다. 또한, 인공지능(AI)의 역기능을 최소화하고 데이터 활용의 안전성을 높이는 기술 도입의 중요성도 부각될 것이라고 예측했다.

이글루시큐리티 보안분석팀 김미희 팀장은 “전 세계적으로 디지털 전환과 공급망 재편이 빠르게 이뤄지고 여러 이기종 산업과 ICT(정보통신기술) 융합에 가속도가 붙으면서, 공격자가 공략할 공격 표면은 더욱 넓어질 것이다. ‘넥스트 노멀(Next Normal)’ 시대 도래에 발맞춰, 흩어진 기업·조직 인프라와 자산에 대한 폭넓은 가시성을 확보하고 위협에 기민하게 대응할 수 있는 보안 기술과 방법론을 적용해야 할 것”이라고 강조했다.

한편, 이글루시큐리티는 보고서 발표를 기념해, 2일부터 8일까지 이글루시큐리티 페이스북에서 ‘숨은 보안 상식 찾기’ 이벤트를 진행한다. ‘이글루시큐리티 2022년 보안 위협·기술 전망 보고서’ 내용을 토대로 숨어있는 보안 상식 단어 세 가지를 맞추면 응모 자격이 부여된다. 총 50명의 정답자를 추첨하여 치킨 기프티콘을 증정한다. 13일 이글루시큐리티 페이스북을 통해 당첨자를 발표할 예정이다.

◇이글루시큐리티 선정 2022년 5대 보안 위협 전망

1. 사회적 이슈 악용한 사이버 공격 급증

코로나19 백신 접종과 진단 시약 보급 확대에 힘입어 단계적 일상회복 수준의 ‘위드 코로나(With Corona)’ 전환이 이뤄지고 있다. 그러나, 사이버 환경은 여전히 ‘위드 사이버 위협(With Cyber Threats)’ 상태에 머물러 있다. 코로나19 및 최신 사회적 이슈를 이용한 공격이 꾸준히 발생하고 있기 때문이다. 올해 공격자들은 방역 마스크, 손 소독제, 사회적 거리두기, 코로나 백신, 코로나 감염 현황 등의 코로나 관련 키워드를 꾸준히 이용해 왔다. 이들은 앞으로도 ‘백신 부스터 샷’, ‘먹는 코로나 치료제’ 등의 최신 코로나19 관련 이슈들을 사용하며 공격을 이어갈 것으로 예상된다.

2022년에는 정국 향방에 큰 영향을 미칠 수 있는 선거와 대규모 국제 행사를 공격 키워드로 삼는 스피어 피싱(spear phishing) 및 워터링홀(watering holes) 공격이 극에 달할 것으로 전망된다. 국내에서는 특히 제20대 대한민국 대통령선거와 제8회 전국동시지방선거 등의 정치적 키워드를 이용한 공격이 많이 발생할 것으로 점쳐진다. 국외에서는 2022 베이징 동계올림픽, 2022 FIFA 카타르 월드컵과 연관된 공격이 증가할 전망이다. 각 이슈와 밀접히 관련된 조직 또는 일반 사용자들을 노리는 공격이 늘어날 것으로 예상되는 만큼, 이에 대한 만반의 대비가 필요할 것으로 보인다.

2. 근무 형태 유연화에 따른 보안 위협 증가

코로나19 팬데믹을 계기로 산업 전반에서 원격 데스크톱 프로토콜(RDP)과 가상사설망(VPN) 등에 기반한 비대면·원격 근무가 빠르게 확산됨에 따라, 유연화된 근무 환경을 노리는 보안 위협도 증가할 전망이다. 코로나19 발발 초기에는 자택이나 공유 오피스 등에서 근무하며 근무 장소를 분산화하는 단편적 형태가 주를 이루었다. 그러나, 클라우드를 통해 지리적·기술적인 제약이 해소되고 망분리 규제 완화 등의 제도적 지원이 뒷받침되면서, 시간과 공간의 제약 없이 업무를 수행할 수 있는 근무 체계 유연화가 빠르게 이뤄지고 있다. 최근에는 확장 현실(XR), 홀로그램, 메타버스(Metaverse) 등의 다양한 ICT 융합기술들이 집약된 디지털 근무 환경(Digital Workspace)으로까지 발전하는 추세다.

이에 발맞춰 유연화된 근무 환경을 새로운 공격 요인으로 삼고, 조직과 조직 인프라, 조직 구성원들을 노리는 공격 역시 증가할 것으로 예측된다. 2021년에는 여러 글로벌 기업의 VPN에서 공격자가 이용할 수 있는 다수의 취약점들이 보고되었고, 국내에서도 주요 연구 기관에 침투하고자 VPN 취약점을 악용한 공격이 이뤄진 바 있다. 앞으로도 원격 접근을 지원하는 소프트웨어 및 VPN을 악용한 공격이 증가할 것으로 예상되는 만큼, 기업 인프라를 위협할 수 있는 접근 경로에 대한 보안 점검과 이러한 공격에 대한 대응 전략 마련이 필수적으로 요구될 것으로 보인다.

3. 국가지원 해킹 그룹에 의한 공급망 공격 증가

상수도시설, 제조공장 등 운영기술/산업제어시스템(OT/ICS) 환경을 노린 사이버 공격도 변함없이 지속될 전망이다. 2010년 이란의 원심 분리기 100여 대를 파괴한 스턱스넷(Stuxnet) 공격 발생 이후, 대만의 반도체 업체 TSMC 및 노르웨이의 알루미늄 제조사인 노르스크 하이드로(Norsk Hydro) 등 세계 유수의 생산시설을 겨냥한 사고가 지속적으로 발생하여 왔다. 올해 2월에는 미국 플로리다 주에서 원격 데스크톱 프로토콜(RDP)을 이용해 수도 인프라에 접근, 식수의 수산화나트륨 농도를 비정상적 수준으로 높이려는 공격 사례가 발생하여 경각심을 더욱 높인 바 있다.

OT/ICS 환경에서 발생한 보안 사고를 분석해보면 공통적으로 △공격 범위의 다양화, △공격도구의 보편화, △공격 파급력 확대, △융합보안 인식 부재 등의 특징들이 도출된다. 기존에는 폐쇄망 환경으로 운영되었던 OT/ICS 환경이 운영 효율성 향상 및 자동화 목적에서 클라우드, 액티브 디렉터리 등의 IT 기술과 연계되면서, 공격자가 뚫고 들어갈 만한 공격 범위가 확대되었다. 또한 과거에는 공격자가 스턱스넷, 트리톤(Triton) 등 특정 소프트웨어·장비를 표적으로 삼는 전용 악성코드를 만들어 공격을 시도했던 것과 달리, 최근에는 고도의 기술 없이도 랜섬웨어, RDP을 비롯한 공개된 소프트웨어, 오픈소스를 활용하여 공격하는 사례가 급증하고 있다는 점 역시 괄목할만하다.

OT/ICS를 둘러싼 보안 위협과 사고 발생에 따른 영향은 더욱 확대될 것으로 보인다. 올해 발생한 미국 송유관 해킹 사고는 러시아 해킹 조직인 ‘다크사이드(DarkSide)’에 의해 수행된 것으로 추정된다. 북한 해커 조직 역시 국가 기반 시설을 노린 사이버 공격을 수행하고 있는 것으로 드러났다. OT/ICS 환경에서 발생한 사이버 공격의 상당 수가 국가 지원을 받는 해킹 그룹들에 의해 이뤄진 것으로 분석되는 만큼, 앞으로도 OT/ICS 환경에 최적화된 사이버 대응 방안 마련의 중요성이 더욱 높아질 것으로 예상된다.

4. 다크웹을 통한 정보 거래 및 유통 증가

2022년에는 ‘다크웹(Dark Web)’을 통한 정보 거래 및 유통이 더 활발히 이뤄질 것으로 예상된다. ‘다크웹’은 암호화된 네트워크에 기반을 두고 있어 일반적인 검색 엔진이나 브라우저를 통한 접근이 제한된다. 초기에는 해커들의 기술 공유 목적으로 사용되었지만, 몇 년 전부터는 강력한 익명성을 토대로 마약, 총기 등은 물론 개인 정보 및 기업 주요 정보 등을 거래하는 사이버 범죄의 온상으로 자리 잡게 되었다. 실제로 다크웹 상의 불법 거래 규모는 지속적인 증가 추이를 보이고 있다. 한국인터넷진흥원(KISA)에 따르면, 2019년 기준 국내 다크웹 접속자 수는 하루 평균 15,000명에 달했다. 이는 2016년과 비교해 3배 이상 늘어난 수치이다.

다크웹 시장은 특유의 익명성을 토대로 불법 행위와 관련된 거래의 장 역할을 하며 빠르게 확대될 것으로 보인다. 다크웹을 통한 기업 기밀 정보 및 개인 정보 판매 문제는 꾸준히 제기되고 있으나, 기업 인프라에 접근 가능한 원격 접속 계정 등이 무분별하게 거래되고 있어 현재로서는 그 피해 규모를 산정하기조차 어려운 상황이다. 또한, 다크웹에서는 불법적인 정보 거래와 더불어 워터링홀(watering holes), 웹 스키머(web skimmers), 분산서비스 거부(DDoS), 랜섬웨어 등을 서비스 형태로 제공하는 ‘청부 해킹’ 거래도 이뤄지고 있어, 더욱 강력한 대응 전략 마련이 요구된다.

5. 초연결 신기술 확산으로 인한 보안 이슈 증가

코로나19 이후 디지털 비대면 기술이 널리 확산되면서 ‘메타버스(Metaverse)’를 둘러싼 보안 위협도 발생할 전망이다. 메타버스는 가상현실(VR)과 증강현실(AR)을 비롯한 각종 실감 미디어 기술을 데이터 통신 기술과 결합한 개념으로 사용자가 오프라인과 동일하게 경제, 사회, 문화 활동을 영위하고 현실 세계와 상호 작용을 할 수 있게 한다. 실제로 발생할 수 있는 상황을 가상현실에서 시뮬레이션· 모델링하는 ‘디지털 트윈(Digital Twin)’과 유사하나, 현실 세계의 자아와 연결된 다중적 자아인 ‘멀티 페르소나(Multi Persona)’를 통해 플랫폼 안에서 재화를 구매·유통할 수 있다는 차이점이 있다.

이러한 메타버스의 특성을 고려할 때, 메타버스 플랫폼 사용자들은 민감한 개인정보 유출과 데이터 위·변조 등의 보안 위협에 노출될 가능성이 있다. 메타버스 플랫폼에서 사용자들은 마우스·키보드 등의 입력 장치를 통해 생성되는 데이터와 더불어 뇌파·혈압·호흡과 같은 생체 신호, 행동 및 감정 정보 데이터, 그리고 접속 시간 및 위치, 소비 성향, 재화 보유 현황 등 디지털화된 다양한 정보들을 같이 활용하게 된다.

이러한 정보들이 유출되거나 위·변조될 경우에는 심각한 프라이버시 침해 및 자산 가치 하락 등의 피해가 발생할 수 있다. 따라서, 메타버스 산업이 활성화되기 위해서는 이에 대한 선제적인 보안 규제와 대응 방안 수립이 마련되어야 할 것으로 보인다. 특히, 수집되는 사용자 데이터의 저장 형태, 저장 위치, 적용 컴플라이언스에 따라 그 규제 범위와 처리 방식이 상이할 수 있으므로, 메타버스 플랫폼 상의 개인정보보호를 위한 제도적 지원과 사이버 보안 강화 노력이 수반되어야만 할 것이다.

◇이글루시큐리티 선정 2022년 5대 기술·방법론

1. IT와 OT환경을 아우르는 보안 가시성 확보, 융합보안(Convergence Security)

이기종 장비의 연계가 강화되고 IT와 OT 영역 간의 연결성이 증가함에 따라, IT와 OT 환경의 보안 요소를 식별하고 보안 현황을 파악하기 위한 보안 가시성 확보의 중요성이 더욱 높아질 것으로 전망된다. 최근 조사에 따르면 OT/ICS 환경에서 발생한 보안 사고로 인한 피해액은 예상치 대비 무려 9배 이상 높은 것으로 나타났다. OT/ICS 환경에서 발견되는 보안 취약점 수가 지속적으로 증가하고 있는 만큼, 사고 발생 시에는 예상을 뛰어넘는 막대한 피해가 야기될 수 있을 것으로 보인다.

그러나 이러한 공격 시도에 맞서기 위한 융합 보안 관리 체계 마련에는 적지 않은 어려움이 발생한다. OT 환경은 네트워크, 운영체제, 교체 주기, 운용 관점 등에서 IT 시스템과는 다른 특징을 가지고 있다. OT 시스템은 제조사 별로 다른 프로토콜과 전용 운영체제, 개발 언어 등을 사용하므로 여러 장비를 통합 관리하고 자산을 현행화하는 데 어려움이 있다. 또한, ‘기밀성’을 중시하는 IT와는 달리 OT는 ‘가용성’ 확보에 우선순위를 두므로 제품 교체 및 보안 패치 등을 수행하기 위한 보안 전담 조직이 부재한 경우가 많다. 다시 말해, OT/ICS 취약점을 포함한 위협정보공유플랫폼의 부재로 인해 보안사고 대응 능력에 문제점이 발생할 가능성이 높다.

OT/ICS 환경을 노린 보안 위협에 대비하기 위해서는 IT·OT 환경의 특성과 우선순위를 고려한 융합보안 거버넌스 수립을 토대로 기업 IT·OT 자산을 노린 보안 위협에 대한 가시성을 확보할 수 있는 ‘융합보안 모니터링 체계(Convergence Security by Design)’가 구축되어야 한다. 보안 조직은 OT 보안 컨설팅, OT 보안관리솔루션, OT 보안 서비스, OT/ICS 사이버 위협 정보 공유 등을 통해 모니터링, 주기적인 보안성 검토 및 모의해킹을 수행하며, IT와 OT 영역을 포괄하는 식별-탐지-분석-대응 기능을 확보해야 한다.

2. SOAR를 통한 4세대 보안관제 (Playbook with SOC)

날이 갈수록 조직화·고도화되는 사이버 범죄에 대응하고자 오늘날 보안 조직들은 이기종 보안 솔루션을 운영할 수 있는 보안관제(SOC, Security Operation Center) 플랫폼을 토대로 위협 요소를 식별· 대응하고 있다. 그러나 지능화된 사이버 공격이 날로 증가하고 있는 가운데 보안 인력 부족과 인력 간 역량 격차에 따른 어려움도 발생하고 있어, 모든 보안 위협을 식별·대응하는 것은 현실적으로 불가능한 상황이다. 이에 보안관제의 효율성을 높이고 보안관제센터의 복잡성을 해소하기 위한 해결책으로 ‘보안 오케스트레이션·자동화 및 대응 (SOAR, Security Orchestration, Automation and Response)’ 기술의 필요성이 더욱 증대될 전망이다.

SOAR 기술을 효과적으로 도입하기 위해서는 △대응 프로세스 표준화, 인력 간 역량 격차 축소 및 전문 인력 부족 문제 해결에 중점을 둔 ‘보안 사고 대응 플랫폼 (SIRP, Security Incident Response Platforms)’, △다수의 이기종 보안 솔루션 운영으로 인한 연동 복잡성과 관리 부담 해소에 초점을 맞춘 ‘보안 오케스트레이션 및 자동화(SOA, Security Orchestration and Automation)’, △위협 데이터 수집 및 분석을 통해 선제적인 대응체계를 구축하는 ‘위협 인텔리전스 플랫폼(TIP, Threat Intelligence Platforms)’이 적절히 구성되고 긴밀하게 결합되어야 한다.

모든 보안 기술이 그러하듯이, SOAR 도입을 통해 모든 보안 위협을 탐지 및 대응할 수 있는 것은 아니다. 그러나, 표준화된 보안관제 프로세스를 토대로 공격 유형별 대응을 위한 요소들을 하나의 과정으로 묶은 ‘플레이북(Playbook)’울 이용함으로써, 보안 조직은 수많은 보안 업무 간 발생하는 ‘사일로(silo)’ 현상을 방지하고 잠재된 위협 요인들을 보다 빠르게 찾아낼 수 있게 된다. 이를 통해 위협 탐지에서 대응에 이르는 과정을 단축시킴으로써, 보다 고도화된 보안관제체계를 수립할 수 있게 될 것이다.

3. 공격 표면 관리를 통한 공격 가능성 최소화

2022년에는 기업, 조직에서 보유하고 있는 모든 인프라와 자산에 대한 보안관리 방안인 ‘공격 표면 관리 (ASM, Attack Surface Management)’의 중요성이 더욱 높아질 전망이다. 디지털 전환 가속화에 따라 많은 조직의 데이터와 인프라가 온-프레미스 환경에서 탄력적인 자원 활용이 가능한 클라우드 환경으로 이동되면서, 데이터 수집·저장·가공·분석 및 재활용 등의 과정을 포함한 데이터 활용 프로세스의 효율성이 한층 높아지게 되었다.

그러나 이러한 변화로 인해 △인프라 측면, △데이터 측면, △소프트웨어 측면, △사용자 측면의 공격 표면이 더 넓어지면서, 정보 유출 및 공급망 공격 등의 공격도 빠르게 증가하고 있는 추세다. 사이버 공격자들은 기업 정보 탈취 및 시스템 파괴를 목적으로 하는 공격을 효율적으로 수행하고자, 신규 취약점과 위협 요인에 대한 연구를 지속하고 있다. 한국인터넷진흥원(KISA) 자료에 따르면 2021년 상반기에 공개된 약 8,950건의 취약점 상당수가 원격 접속을 위한 가상사설망(VPN)과 원격 데스크톱 프로토콜(RDP)과 관련되어 있는 등 비대면 원격 근무 환경의 허점을 노리는 공격이 빠르게 증가한 것으로 나타났다. 또한, 딥웹, 다크웹을 통해 거래되는 불법 정보를 활용한 사이버 공격도 꾸준히 증가하고 있는 상황이다.

따라서 조직들은 조직 내·외부 자산에 기반해 위협 요인을 발견하고 접근 제어, 네트워크 분리, 보안 적용 등의 적절한 대응을 수행하기 위한 ‘공격 표면 관리(ASM)’ 수행에 힘을 기울여야 할 것이다.

4. 데이터 경제 활성화, 개인정보보호와 활용의 트레이드-오프

데이터가 지능화 기반 산업 혁신의 필수 요소로 자리 잡으면서, 데이터 활용 규제 개선을 통해 데이터 활용을 극대화하려는 움직임이 빨라지고 있다. 국내에서는 데이터 3법을 통한 데이터 활성화 전략 및 보안 강화 방안이 마련되고, ‘한국판 뉴딜’의 10대 핵심 과제 중 하나로 ‘데이터 댐’이 포함되었다. 또한, 정보 주체가 자신의 개인정보를 자신 또는 제3자에게 전송을 요구할 수 있도록 하는 ‘마이데이터’ 사업을 통해 정보 주체의 수요에 부합하는 다양한 맞춤형 마이데이터 서비스가 선보여질 예정이다.

이와 같이 데이터 경제 시대 개화에 발맞춰 많은 조직들이 ‘데이터 수익화(Data Monetization)’ 역량을 확보하게 되면서, 무분별한 데이터 오남용과 정보 유출 문제에 대비하고 안전하게 데이터를 활용할 수 있게 하는 기술의 중요성도 더욱 높아질 것으로 보인다. 현재 프라이버시 보호 모델(K-Anonymity), 연합 학습(Federated Learning), 합성 데이터 (Synthetic Data), 프라이버시 보존형 데이터 마이닝(PPDM), 동형 암호(Homomorphic Encryption) 등 개인을 식별할 수 있는 요소를 비식별 처리하거나 암호화하는 기술들이 프라이버시 보호를 위해 주로 사용되고 있다. 이와 같은 기술적 요소와 더불어 데이터 활용의 역기능을 최소화할 수 있는 제도 혁신과 기술 투자가 보다 적극적으로 이뤄져야 할 것으로 보인다.

5. 보안의 ‘절대반지‘ 인공지능 (AI for Security)

영화 ‘반지의 제왕’에 나오는 ‘절대반지’와 같은 양면성을 내재한 인공지능(AI)에 대한 기대와 우려는 지속적으로 공존할 전망이다. AI는 사이버 보안을 비롯한 여러 분야에서 폭넓게 활용되고 있다. 그러나 악의적 의도로 AI를 이용하거나, 편향된 데이터·알고리즘에 의해 편향된 결과가 도출되는 등의 부작용도 나타나고 있다. ‘딥페이크(Deepfake)’ 기술을 악용한 가짜 뉴스를 유포하고, AI 프로세스 과정에 개입하는 ‘오염(Poisoning)’ 및 ‘회피(Evasion)’ 공격을 통해 자율주행차의 사고를 유발하며, 사람의 편견이 반영된 학습 데이터를 학습한 AI가 인종차별적인 의미를 내포한 결과를 내놓는 형태다.

AI의 역기능으로 인해 야기될 수 있는 문제를 해결하기 위해서는 제도적, 기술적, 사회적 측면의 지원이 뒷받침되어야 되어야 한다. 이러한 배경에서 경제협력개발기구(OECD), 주요 20개국(G20) 정상회의, 국제전기전자학회(IEEE), 세계경제포럼(WEF) 등을 중심으로 ‘윤리적 AI 개발 가이드라인’과 실질적인 적용 기준을 마련하려는 움직임에 속도가 붙고 있다. 인간 중심 가치를 기반으로 투명성, 견고성, 안전성, 책임성 등 AI 기술의 기본 가치를 보장할 수 있도록 하는 것이 주요 골자다.

또한, AI의 기술 안전성을 높이고 악의적인 오용 및 프라이버시 침해 가능성을 낮추기 위한 여러 연구도 활발히 이뤄지고 있다. AI 기반의 해킹 방지 기술은 물론 AI 기술을 활용한 보안 위협을 탐지하는 기술, 자가 지도 및 복합 인지 기술에 기반한 보안 위협 자율대응, 암호화된 상태의 데이터를 처리할 수 있는 동형 암호 기술 등의 여러 기술 개발이 이뤄지고 있다. 더불어 AI 시스템 개발 생애주기를 고려한 가이드라인과 표준의 중요성도 더욱 높아질 전망이다.

★정보보안 대표 미디어 데일리시큐!★