美전기전자학회 설문조사로 10가지 ‘사이버 보안 위협 요인’ 제시
IoT의 취약성, 피싱, 다중 보안의 취약성, 데이터 중독, 클라우드 보안 등
세계 CIO들 가장 큰 관심 ‘사이버 보안’… ‘클라우드․데이터센터 취약성’도

(사진=게티 이미지)
(사진=게티 이미지)

[애플경제 전윤미 기자]내년에도 사이버 범죄는 더욱 극성을 부릴 것으로 보인다. 그런 가운데 특히 멀웨어, 사물인터넷, 취약한 공급망이나 IoT의 취약성, 피싱, 다중 보안의 취약성 등이 사이버 보안의 주요 위협 요인들로 꼽히고 있다. 29일 美전기전자학회(IEEE)는 전문가들과 기업을 대상으로 한 광범위한 설문조사를 통해 2023년에 횡행할 10가지 사이버 보안위협요인들을 제시해 관심을 끈다.

유력한 외신과 기술매체들에도 보도한 조사 결과에 따르면 2023년에도 여전히 사이버 보안은 여전히 CIO의 관심사 중 1위를 차지하고 있다. 실제로 2022년 상반기 전 세계 악성코드 공격은 28억 건, 랜섬웨어 공격은 2억3610만 건에 달했다. 2022년 연말까지 60억 건의 피싱 공격이 발생할 것으로 예상된다.

한편 IEEE가 이번에 350명의 최고 기술 책임자, 최고 정보 책임자 및 IT 책임자를 대상으로 실시한 설문 조사에선 응답자 중 가장 많은 51%가 ‘클라우드 취약성’을 최우선 관심사로 언급했으며, 43%가 ‘데이터 센터 취약성’을 그 다음으로 우려했다. 또한 랜섬웨어 공격(30%)과 조직의 네트워크에 대한 조직적인 공격(30%), 보안 솔루션에 대한 투자 부족(26%) 등을 차례로 꼽았다.

‘멀웨어’

특히 내년 10대 보안 위협 중 단연 최고의 걱정거리는 ‘멀웨어’라는 응답이 가장 많았다. 멀웨어는 바이러스와 웜을 포함한 악성 소프트웨어로, 네트워크를 마비시킬 목적으로 네트워크와 시스템에 주입된다. 악성 프로그램은 기밀 정보를 추출하고 서비스를 거부하며 시스템에 대한 액세스 권한을 얻을 수 있다. 흔히 IT 부서들은 바이러스 백신 소프트웨어와 방화벽을 사용하여 악성 프로그램이 네트워크와 시스템에 진입하기 전에 모니터링하고 차단하곤 한다. 그러나 악성 프로그램은 이러한 방어를 피하기 위해 계속 진화하고 있다. 따라서 “보안 소프트웨어 및 방화벽에 대한 최신 업데이트를 유지하는 것이 필수적이며, 다양한 위협에 대비하는 하드웨어 솔루션을 설치해야 할 것”이라는게 IEEE의 지적이다.

랜섬웨어

다음으로 랜섬웨어다. 랜섬웨어는 악성코드의 일종이며, 시스템에 대한 액세스를 차단하거나 독점 정보를 게시할 수 있다. 랜섬웨어 가해자들은 피해자들의 회사가 시스템 잠금을 해제하거나 정보를 반환하기 위해 현금 몸값을 흥정하곤 한다. 2022년 현재까지 기업에 대한 랜섬웨어 공격은 2021년보다 33%나 더 늘었다. 문제는 많은 피해 기업들이 몸값을 지불하지만, 다시 같은 가해자들에 의해 공격을 받는다는 사실이다.

유틸리티 제공업체의 사이버 보안 관리자인 로브 플로레타는 “악성 프로그램, 스파이웨어, 귀중한 데이터 유출 또는 기타 다양한 공격을 가하는 가해자들은 회사 네트워크 내에 숨어 있을 수 있다”며 “기업 시스템 내부의 체류 시간을 줄이는 것이 핵심”이라고 IEEE 조사를 보도한 ‘테크리퍼블릭’에 밝혔다.

공급망 취약성

공급망 취약성도 큰 보안 위협이다. 일부 부 기관에서 발견된 악명 높은 ‘솔라윈즈’ 공격과 JS.노드 취약점과 관련된, 공급망 해킹은 기본적으로 오염된 소프트웨어가 전파되는 모든 곳에 퍼져나가기 때문에 특히 치명적이다. 예를 들어 ‘솔라윈즈’의 오리온 업데이트의 경우, 그 피해가 북미, 유럽, 아시아, 중동의 수백 개의 컨설팅, 기술, 통신 및 추출 기관 등으로 광범위하게 전파되었다. 이에 기업으로선 “공급업체와 공급업체가 엔드 투 엔드 공급망의 보안을 보장하기 위해 사용하는 보안 조치를 감사하는 것”이라는게 전문가들의 대처 방안이다.

피싱

다음으로 ‘피싱’도 극성을 부릴 것으로 보인다. 특히 합법적인 것으로 보이고 신뢰할 수 있는 당사자로부터 수신된 것같이 위장한 이메일이 위험하다. 기업에선 한 사람이 가짜 이메일을 열면 순식간에 바이러스가 사내에 퍼지기 때문에 큰 위협이 된다. 그래서 “가짜 이메일을 인식하고, 보고하고, 절대 열지 않는 방법에 대한 직원 교육이야말로 가장 중요한 방어책”이란 얘기다.

IoT 취약성

범죄자들은 사물인터넷(IoT)을 타고 침투하는 경우도 많다. 이미 2020년에는 61%의 기업이 IoT를 사용했으며, 이 비율은 계속해서 증가하고 있다. IoT의 확장과 함께, 특히 연결된 장치의 사실상의 통신 네트워크인 5G 통신의 등장과 함께 보안 위험도 증가한다. IoT 공급업체는 보안을 위해 RFP 프로세스에서 IoT 공급업체에 대한 사전 검증을 강화하고 기업 표준을 준수하도록 장치의 IoT 보안 기본값을 재설정해야 한다. 그러나 현장에선 그런 장치에 보안을 거의 또는 전혀 구현하지 않는 경우가 많아 비판을 사고 있다.

IEEE는 조사 분석을 통해 “IoT 기기는 일반적으로 추측하기 쉬운 자격 증명을 포함하거나 기본 암호를 인터넷에서 쉽게 사용할 수 있다”면서 “설치 후 비밀번호를 변경하는 등 간단한 사이버 보안 수칙만 준수해도, 범죄자들의 위협을 훨씬 덜 수 있다.”고 권했다.

내부 지원들의 방심

내부 직원들도 자칫 사이버 보안의 ‘구멍’일 수 있다. 특히 회사에 불만을 품고, 네트워크를 파괴하거나 지적 재산 및 독점 정보를 가지고 달아나는 사건도 드물지 않다. 또 잘못된 보안 습관을 가진 직원들이 실수로 암호를 공유하고 장비 보안을 소홀히하며 방치할 수도 있다.

데이터 중독

‘데이터 중독’도 사이버 보안을 해치는 요인이다. 실제로 IBM이 2022년 연구한 바에 따르면 기업의 35%가 비즈니스에 AI를 사용하고 있으며, 42%가 AI를 탐색하고 있는 것으로 나타났다. 인공지능은 모든 산업 분야의 기업들에게 새로운 가능성을 열어주는 반면, 치명적인 위해를 가할 수도 있다. 사이버 위협의 대표적 요소로 꼽히는 Log4J Log4Shell 버그 뿐만 아니라, 이같은 AI 시스템의 데이터 중독 역시 치명적 위해 요소다. 실제로 ‘데이터 중독’에 빠진 나머지, 조회 결과를 왜곡하는 AI 시스템에 다시 손상된 데이터를 주입함으로써 거짓된 AI 결과를 회사 의사결정자에게 알려주는 행위도 많다.

IEEE는 “데이터 중독은 기업 시스템에 대한 새로운 공격 수단”이라며 “그것을 방지하는 한 가지 방법은 자신이나 타인이 검색한 AI 결과를 지속적으로 모니터링하고, 그 결과 시스템이 과거에 드러난 것과 크게 다른 경향을 보이는 경우, 데이터의 무결성을 의심해봐야 한다”고 조언했다.

신기술

‘신기술’을 처음 도입했을 때도 조심해야 한다. 신기술은 많은 이점을 제공하지만, 기업과 조직 시스템으로선 이에 대한 경험이 제한적이기 때문에 새로운 보안 위험을 초래하기도 한다. 특히 IT부서는 신기술 구매 계약을 체결하기 전에 각각의 기술과 공급업체를 신중하게 검토하는 것이 바람직하다는 지적이다.

다층 보안

‘다층 보안’을 믿고 방심하면 안 된다는 경고도 뒤따른다. 보통 ‘다층 보안’을 위해 네트워크에 방화벽을 설치하고, 보안 모니터링 및 차단 소프트웨어를 설치하고, 서버를 보호하고, 직원에게 다중 요소 식별 사인온을 발급하고, 데이터 암호화를 구현하곤 한다. 그러나 만약 서버가 포함된 물리적 시설을 잠그지 않거나, 스마트폰에 최신 보안 업데이트를 설치하는 것을 깜빡 잊어버리면 어떻게 될까. 바로 뚫릴 수 밖에 없다. 그러므로 “IT 부서에선 워크플로우의 모든 보안 위반 지점에 대한 체크리스트를 작성하여 보안을 강화해야 한다”는 조언이다.

클라우드 보안

‘클라우드 보안’도 자칫 방심할 경우 사이버 범죄자들의 ‘루트’가 된다. 실제로 미국에선 2019년 해커에 의한 데이터 침해로 약 1억 개의 신용 애플리케이션이 도난당한 사례도 있다. 이 경우 클라우드에서 잘못 구성된 AWS 스토리지 버킷이 유출되면서 규제당국의 제재를 받기도 했다. 즉, 컨테이너 관리 부실에 대한 규제 당국의 벌금 폭탄이 해당 기업에 떨어졌다. 그로 인해 경제적 손실은 물론, 기업 평판도 크게 추락할 수 밖에 없었다. 그래서 IEEE의 선임 위원이자 현장 CISO인 케인 맥글래드리는 “기업은 클라우드 구성에 대한 관리를 철저히 수행하고 주어진 규정을 엄격히 준수해야 한다”며 “문제는 B-to-B 구매 계약과 같은 협상에서 고객 기업들이 제공업체가 모든 클라우드 스토리지의 암호화를 모니터링하고 있는지 여부를 알 수 없다는 것”이라고 했다.

저작권자 © 애플경제 무단전재 및 재배포 금지