[CCTV뉴스=최형주 기자] 보안 기업 팔로알토 네트웍스(Palo Alto Networks, 이하 팔로알토)가 1월 16일 기자간담회를 통해 2020년 사이버 보안 전망을 발표했다.
본격적 발표에 앞서 팔로알토 CSO 션 두카 부사장은 지난 2018년 12월 발표했던 ‘2019년 보안전망’에 대해 짚고 넘어갔다.
팔로알토는 2019년을 예측하며 ▲비즈니스 이메일 계정 공격 증가 ▲공급망 취약점 위협 ▲아태지역 내 데이터 보호 규정 강화 ▲어려워지는 클라우드 보안 ▲사회 주요 인프라를 향한 보안 위협 증가의 5가지 사항에 대해 발표한 바 있다.
이중 팔로알토가 예측에 실패한 부분은 아태지역 내 데이터 보호 규정 강화로, 유럽연합(EU)가 GDPR을 도입하며 아태지역의 많은 국가들이 자체적인 개인정보보호 규정을 도입할 것이라 예상했었다.
션 부사장은 “아태지역에도 강화된 개인정보보호 규제와 법이 도입될 것으로 예상됐으나, 진전은 없었다”며 “우리의 예상이 성급한 감이 있으나, 2020년엔 많은 국가가 개인정보보호를 본격화할 것”이라고 말했다.
이어 션 부사장이 밝힌 2020년에 보안 업계가 주목해야 할 주요 사항은 ▲4G 보안 취약성 해결해야 안전한 5G 시대 도래 ▲인력 부족에 대한 해답은 자동화와 대체 인력의 활용 ▲IoT 항해의 시대, 곳곳이 지뢰밭 ▲점점 더 희미해지는 개인정보보호 영역의 경계 ▲전체 클라우드 여정을 아우르는 보안 등이며, 자세한 내용은 다음과 같다.
4G가 5G 해킹을 위한 통로가 될 것
가트너(Gartner)에 따르면 5G 무선 네트워크 인프라 매출은 2020년 42억 달러에 달할 전망이며, 이는 2019년 22억 달러에서 89% 성장한 규모다. 세계 각국의 5G의 성공적인 구축은 운송 및 공급망과 같은 분야부터 제조업에 이르기까지 경제 전반에 큰 영향을 미칠 수 있는 잠재력을 가지지만, 5G 네트워크가 임계 수준에 이르기까지는 아직 많은 시간이 필요하다.
GSMA(GSM Association, 이동통신산업 협회)에 따르면 2025년까지 4G가 여전히 전 세계 모바일 사용자의 68%를 차지할 것으로 보인다. 특히 5G의 경우 기존의 4G 네트워크에 추가적인 기능을 탑재하는 방식으로 구축된다.
따라서 향후 수년간 4G가 5G를 향한 잠재적인 게이트웨이가 되어 해커들의 주요 타깃이 될 것이며, 본격적인 5G 상용화에 앞서 4G 네트워크상의 스팸∙도청∙멀웨어∙IP-스푸핑∙데이터 탈취∙DDoS 공격 등 수 많은 취약점들 의 문제가 해결돼야 한다.
앞으로 모바일 ISP가 사이버 공격의 첫 번째 희생양이 될 수 있으며, 안전하지 않은 IoT 시스템 등의 취약성은 5G 환경에서 기하급수적으로 증폭될 수 있다. 때문에 ▲보안에 대한 선제적인 대응 ▲높은 수준의 보안 자동화 구축 ▲상황 인식 기반의 보안 결과 구축 ▲API 보안 기능 통합 등 새로운 접근법이 필요하다.
사이버 보안 인력 부족, 자동화와 대체 인력으로 해결해야
2018 사이버보안 인력 연구에 따르면 현재 아태지역에 부족한 보안 인력이 214만 명에 달한다. 그러나 실제 수요를 살펴보면 민간과 공공부문 모두 사이버 보안 전문가 채용 시 오랜 경력과 자격증을 요구하는 경우가 많은데 비해, 제시하는 연봉은 턱없이 부족한 경우가 많다.
사이버보안에 대한 근본적인 사고방식이 바뀌지 않는 한 앞으로도 수요는 공급을 앞지를 것이고, 이 과제를 해결하기 위해 자동화를 채택하고 보안 전문가를 대신할 대안적인 공급원을 발굴해야 한다.
미래 사이버 보안에서 자동화는 필연적인 핵심요소다. 운영자는 모든 업무를 직접 하는 대신 자동화의 힘을 빌려 스킬셋을 강화하고, 문제 해결, 커뮤니케이션, 협업 등 자동화할 수 없는 고차원적 업무를 담당하게 된다.
이를 위해 기업들은 SOC(Security Operating Center) 구조를 재검토하고, 새로운 역할에 부합하는 전문 인력을 재배치하여 이러한 격차를 정확히 식별하고 좁혀 나가야 한다.
또한 앞으로는 IQ보다는 EQ가 높은, ‘문제해결에 필요한 호기심을 갖춘 보안 인력’이 더 훌륭한 인재로 평가받을 것이다. 여기에는 엔지니어, 애널리스트, 커뮤니케이션 전문가 까지도 포함되며, 각 분야 인재들이 기업에 필요한 역량을 발휘할 수 있도록 스킬 향상(upskill), 교차 스킬(cross-skill)이 가능하도록 투자가 이루어져야 한다.
이와 관련하여 미국 정부가 마련한 ‘국가 주도 사이버보안 교육(NICE)’의 인력 운용 프레임워크를 참고하면 조직 내 사이버 보안 기술 격차를 효과적으로 파악할 수 있다. 만약 기존의 방식이 유지된다면, 지구 인구 70억을 모두 사이버 보안 전문가로 길러내도 인력은 부족할 것이다.
IoT 항해의 시대, 곳곳이 지뢰밭
IDC에 따르면, 아태지역의 2019년 IoT 지출이 전 세계 시장에서 차지하는 비중은 약 36.9%이지만, 보안 제품 개발 측면에서는 뒤쳐져 있다.
실제로 일부 커넥티드 디바이스의 경우 소프트웨어 업데이트 및 보안 패치 수신이 불가능한 상태로 출하되며, 이러한 상황이 2020년 IoT 보안에 대한 잠재적인 위협을 더욱 키울 것으로 전망된다.
대표적인 IoT 악성코드 미라이(Mirai) 봇넷은 안전하지 않은 연결 장치를 통해 공격을 만들어내는 것은 물론 전 세계의 많은 주요 플랫폼들을 무너뜨렸다.
최근에는 미라이 악성코드 변종 공격이 무선 프리젠테이션 시스템에서부터 셋톱 박스, SD-WAN, 심지어 스마트 홈 컨트롤러에 이르기까지 다양한 기기를 목표로 기업과 가정 모두에 위협이 되고 있다.
따라서 2020년부터 IoT 보안은 소비자 영역과 산업 영역의 2가지 위협을 막기 위한 방향으로 진화할 것이다.
우선 소비자 영역에서는 스마트홈 도어락에서 무선 스피커 시스템에 이르기까지, 안전하지 않은 앱이나 취약한 로그인 정보를 사용하는 공격이 증가할 것이다.
이러한 위협은 음성 또는 생체 인식으로 제어되는 연결 장치에 위협이 될 수 있는 딥페이크(deepfake, AI 영상 합성 조작 기술)가 출현하며 그 위험성과 복잡성이 더욱 심화되고 있다.
산업 시장에서 상당한 변화가 일어날 것으로 전망되는 분야는 많은 아시아 경제의 핵심 축인 제조업이다. 제조업체들은 데이터 수집 및 분석을 통해 생산, 물류 및 직원 관리를 간소화하는 방법으로 센서, 웨어러블 및 자동 시스템을 구축할 필요가 있다.
또한 연결된 기기 및 장비에 빌트인 자가 진단, 지속적인 취약성 검색 및 고급 분석과 같은 자동화된 기능을 활용해야 한다.
희미해지는 개인정보보호 영역의 경계선
인터넷 소사이어티(Internet Society)의 ‘2018년 아태지역 정책 이슈’ 조사 결과, 응답자의 70% 이상이 개인 정보의 수집과 사용에 대해 더 많은 권한을 부여 받기를 원하는 것으로 나타났다.
개인정보보호를 위해서는 어떤 데이터가 수집되고 있는지에 대한 인식은 물론 데이터가 어떻게 사용되고 있는지에 대한 가시성을 모두 확보해야 하지만, 대부분의 사람들은 트렌드 앱, 모바일 게임 또는 온라인 콘테스트와 같이 단발성 개인 정보사용에 대해 신중하게 생각하지 않는다.
2020년에는 각 국가들이 개인정보보호에 대한 법률을 개정할 것으로 전망된다. 데이터가 국경을 넘어 이동하는 것을 엄격히 규제하거나 제한할 것이고, 기업들은 이에 대응해 국내 고객 지원을 강화하기 위한 현지에 데이터 센터를 구축할 것이다.
그러나 현지에 데이터센터를 구축하는 일이 데이터의 안전을 보장하지는 않는다. 해커들은 국경을 따지지 않으며, 각 개인과 기업들은 더 넓게 연결되고 있다. 기업들은 네트워크, 엔드포인트 및 클라우드 전반에 걸쳐 포괄적인 사이버 보안 전략을 구축해야 한다.
전체 클라우드 여정을 아우르는 보안이 필수
클라우드로의 전환은 합리적인 이점과 더불어 중요한 정보를 클라우드에 두는 것에 대한 두려움을 동반하며, 클라우드에 대한 의견도 복잡하게 혼재된 상황이다. 특히 물리적인 환경 대비 가상 환경이 제공하는 이점에 대한 잘못된 이해가 복잡성을 높이는 요인으로 존재한다.
그럼에도 많은 지표에 따르면 클라우드 도입에 대한 전망은 밝다. 많은 CIO들이 운영 체제 가상화 등의 컨테이너 기술을 통한 효율성, 일관성 및 비용 절감 등 클라우드 전환으로 인한 디지털 트랜스포메이션 전략의 이점에 대해 이해하고 있기 때문이다.
그러나 잘못 구성된 컨테이너는 타깃 정찰(reconnaissance)에 취약하다. 적절한 네트워크 정책과 방화벽의 사용만이 내부 리소스가 공공 인터넷에 노출되는 것을 막을 수 있고, 클라우드 보안 툴에 대한 투자가 현재의 클라우드 인프라에 대한 위험을 진단해줄 수 있다.
클라우드 보안 적용 자체에도 해결해야 할 문제들이 있다. 팔로알토 네트웍스가 실시한 ‘2019 클라우드 보안 조사’에 따르면, 기업의 80%는 보안 및 개인정보보호를 클라우드 채택의 주요 과제로 두고 있는 것으로 나타났다.
조사 결과, ▲아태 지역 기업의 70% 이상이 클라우드 공급업체에 의한 보안만으로도 충분하다는 등의 취약한 보안인식을 가지고 있었다.
따라서 클라우드 보안 감사와 교육을 위한 시간과 자원이 충분하지 않다면, 자동화는 클라우드 보안의 필수 요소다.
또한 2020년에는 신제품 개발 라이프사이클에 보안 프로세스와 툴을 통합하여 DevSecOps 접근 방식을 채택하는 기업이 늘어날 것이고, 이는 성공적인 클라우드와 컨테이너 통합의 필수 요소로 자리매김할 것이다.
