KISA, 2019년 2분기 ‘사이버 위협 동향보고서’ 발표

[CCTV뉴스=최형주 기자] 한국인터넷진흥원(KISA)이 5G 상용화, 화웨이 사태, 비트코인 급등락 등 다사다난했던 2019년 2분기 보안 이슈들을 다룬 ‘사이버 위협 동향보고서’를 발표했다.

먼저 제1장 ‘2분기 사이버 위협 동향’은 언론 보도로 살핀 5Gㆍ비트코인 등에 대한 사이버 위협 동향, 기업별 취약점 동향, 보안기업 보고서 중심의 글로벌 사이버 위협 동향 등의 내용을 담고 있다. 제2장에서는 전문가 칼럼을 수록해 사이버 위협 동향에 대한 이해를 돕고 있다.

대한민국, 전 세계 최초 5G 상용화 국가로 거듭

먼저 4월엔 우리나라가 세계 최초의 5G 상용화를 실시했으며, 이와 관련된 언론 보도만 10만 건이 넘는 것으로 나타났다. 이어 과학기술정보통신부(이하 과기정통부)는 10개의 관계부처와 함께 5G기술 활용처를 담은 ‘5G+전략’을 발표했다.

문재인 대통령은 같은 달 8일 송파구에서 열린 5G 상용화 행사에서 축사를 통해 “1161조 원 규모로 성장할 5G는 대한민국 혁신성장의 인프라”라며 “사람과 사람을 넘어 사람과 사물을 연결한 자율주행차, 스마트시티, 스마트공장, 인공지능 등의 발전으로 산업구조 혁신이 이어질 것”이라고 밝혔다.

5G는 고밀도의 ‘대량 연결’에 초점을 맞춘 서비스다. 특히 많은 가정용ㆍ산업용 IoT 기기들이 상호 연결될 것을 가정해 1km 면적 당 1백만 개의 장치가 서로 연결 가능하도록 기술 표준을 규정했다. 정부는 이러한 IoT 연결이 빛을 발할 수 있는 곳이 바로 스마트공장이며, 5G가 산업구조 혁신에 큰 역할을 할 것이라 판단하고 있다.

그러나 우려의 목소리도 있다. 보안전문가들은 백만 단위의 기기가 서로 연결되는 5G의 스펙상 악성코드가 매우 빠르게 전파되거나, 감염 기기로부터 기지국이 DDoS 공격을 받을 수 있다는 점에 대해 지적한다.

물론 현 시점에서 5G는 상용화 단계이기 때문에 취약성의 존재 가능성을 증명하는 수준의 논의이며, 이러한 고속ㆍ고밀도 특징을 이용한 사이버 공격을 방어하기 위해 블록체인과 양자암호 등 다양한 방식의 보안 기술들이 적용되고 있다. 그러나 이 보안 기술들도 새로운 기술이기 때문에 실질적 사용을 위해서는 시간이 걸린다.

미국의 거래제한에도 5G 시장 선도 중인 화웨이

5G와 관련해서는 기술 외적 문제가 발생했다. 5월 15일 미국과 중국의 무역 전쟁으로 인해 세계적 통신장비업체 화웨이가 미국 정부로부터 거래 제한을 통보받은 것이다.

같은 달 화웨이에 대해 구글은 안드로이드 OS 지원을 중단했고, 인텔ㆍ퀄컴ㆍ브로드컴 등 칩셋 제조사와 영국 반도체 설계업체인 ARM이 거래를 중단했다.

거래 중단의 여파는 여기서 멈추지 않았다. 5월 24일엔 마이크로소프트가 윈도우 OS와 클라우드 지원 리스트에서 화웨이를 삭제했고, 연이어 미국 마이크론사가 화웨이에 메모리 반도체 공급을 중단했다. 

6월엔 대만 폭스콘이 화웨이 생산라인 가동을 일부 중단했고, 페이스북은 화웨이 스마트폰에 자사 앱 선탑재를 불허했다. 결국 화웨이는 6월 11일 연내 스마트폰 세계 1위 달성 목표를 철회했고, 12일엔 신규 노트북 PC 출시를 무기한 연기했다.

그럼에도 여전히 화웨이는 5G 이동통신 장비 시장을 석권하고 있다. 바로 도널드 트럼프 미국 대통령이 EU에 요청한 ‘화웨이 배제’를 EU가 자체적으로 거부했기 때문이다. 

미국의 요청을 거부한 이후 EU는 유럽 각국이 화웨이 장비 사용 여부를 스스로 결정할 수 있도록 했고, 이에 화웨이는 여전히 저렴한 가격을 장점으로 세계 5G 시장을 주도하고 있다.

한편 트럼프 대통령은 6월 30일 개최된 G20정상회의에서 화웨이 제재 완화에 합의했으나, 7월 23일 워싱턴포스트가 “화웨이가 적어도 8년 간 북한 3G 네트워크 구축을 도왔다”는 화웨이 내부 문건을 폭로해 귀추가 주목된다.

트럼프 대통령은 이러한 보도에 “(사정을)파악해 봐야 할 것”이라고 답했지만 이가 사실로 드러날 경우 미·중 갈등이 한층 심화돼 5G 장비 시장에도 영향을 미칠 전망이다.

요동치는 가상화폐 시장, 국내ㆍ외 제도권 편입 움직임도 활발

2분기에 가상화폐 시장은 지나치게 가열됐다는 평가를 받았다. 4월 초 까지만 해도 500만 원 수준을 유지하던 비트코인의 시세가 6월 말 1,600만 원까지 올랐다가 다시 폭락했다. 이 분위기에도 애플, 페이스북, 카카오, 라인 등 IT 대기업들이 가상화폐 전용 프레임워크, 결제시스템 구축 계획 등 다양한 서비스 출시를 예고하고 있다.

이러한 가상화폐 열기와 함께 피싱메일을 통한 신종 랜섬웨어 공격도 다시 발견되기 시작해 국내ㆍ외에서 이에 대한 논의도 함께 진행 중이다.

먼저 국제자금세탁방지기구(FATF)는 거래소를 비롯한 관련 기업들이 각국 관할 규제당국의 관리를 받아야 하고 가상화폐의 수ㆍ발신자 간 신원 확인을 의무화하는 최종 권고안을 내놓고 2020년 6월까지의 유예기간을 뒀다.

일본에서는 가상화폐가 사실상 제도권에 진입했다. 가상화폐를 인정하는 ‘금융상품거래법ㆍ결제서비스법 개정안’이 지난 5월 참의원을 통과하며 내년 4월부터 시행된다.

국내에서는 주요 가상화폐 거래소들이 글로벌 블록체인 프로젝트 공시 플랫폼 기업 크로스앵글과 손잡고 전자공시 시스템을 도입한다.

사실 가상화폐는 출시 이후 랜섬웨어 등 사이버 범죄의 도구가 되거나 자금 세탁의 수단으로 사용돼 논란이 많았다. 하지만 최근 국내ㆍ외 동향 상 각국은 가상화폐에 대한 투명성 확보를 통해 기존 금융 제도권에 편입시키려는 움직임을 보이고 있다.

CISO 겸직 금지한 제도개선, 올 연말까지 계도기간

2분기에는 개인정보 보호와 관련해서도 다양한 이슈가 있었다. 먼저 백업ㆍ복구 소프트웨어 업체 아크로니스는 ‘2019 월드 백업 데이서베이-데이터 관리 현황’ 조사 결과 미국ㆍ영국ㆍ호주ㆍ프랑스ㆍ스위스ㆍ폴란드ㆍ불가리아ㆍ싱가포르ㆍ일본 등을 포함한 11개국 사용자들의 2018년 개인 소비자 데이터 유실 사례가 30% 증가했다고 밝혔다.

국내에서는 웹 호스팅 업체인 가비아에서 고객 개인정보 7만 7,000건이 유출됐으며 고객 개인정보를 유출한 빗썸, 여기어때, 하나투어가 재판에 넘겨지기도 했다. 또한 리치몬트코리아, 필립스코리아, 디에이치엘코리아 등 8개 기관이 개인정보보호 위반으로 1,000만 원 이상 과태료를 부과 받았다.

6월엔 행정안전부에서 ‘개인정보의 안전성 확보조치 기준’을 개정해 개인정보처리시스템의 접속기록 관리를 강화했고, 특히 정보보호최고책임자(CISO) 제도를 개선하는 '정보통신망 이용 촉진 및 정보보호 등에 관한 법률 시행령' 개정안이 관심을 모았다.

개정안에 따르면 자산총액 5천억 원 이상의 기업 CISO는 다른 직무의 겸직을 제한한다. 하지만 대기업들도 CISO 겸직 금지 조항에 따른 새로운 임원 선임에 어려움을 느껴 올 연말까지의 계도기간을 뒀다.

소프트웨어 보안 취약점, 1분기 대비 9배 증가

보고서는 각 기업별 주요 취약점 동향에 대해서도 다루고 있으며, 올해 2분기에는 ‘고위험 취약점’도 큰 폭으로 증가했다.

보안 취약점 공동평가 시스템(CVSS)에 따르면 CVSS점수 7.0 이상 고위험 취약점은 2분기에만 총 1,235개가 발견됐다. 이는 지난 1분기 145개의 약 9배 수준이며, 2018년 2분기에 발견된 취약점 891개와 비교해도 38.6% 증가한 수치다. 취약점은 4월에 366개, 5월에 464개, 6월 405개로 고르게 발생해 전체적 취약점 발견 숫자가 늘고 있는 추세다.

고위험 취약점은 마이크로소프트(이하 MS) 제품에서 가장 많이 발견됐다. 발견된 158개의 취약점 중 무려 53개가 9점 이상의 고위험 취약점이었고, 그 중 블루킵(CVE-2019-0708)으로 명명된 취약점의 경우 미국 국가안보국(NSA)에서도 이례적으로 업데이트를 권고했다.

MS의 다른 취약점 중 하나는 바로 ‘메모장 프로그램’ 취약점이다. ‘구글 프로젝트 제로’는 5월 28일 메모장 프로그램에서 코드 실행이 가능한 취약점을 발견해 MS에 제보했다. 이 외에도 4월엔 파워쉘 백도어 유포를 위해 사용된 CVE-2019-0859 취약점 패치가 이뤄지는 등 윈도우 취약점 발견 숫자가 가파르게 상승하고 있고, 이러한 취약점의 81%는 관리자 권한 획득과 연관돼 있다.

어도비에서는 120개의 취약점이 발표됐고 114개가 9점 이상이었다. 이 중 99개가 Acrobat 제품으로, Coldfusion 등 다양한 제품에서 취약점이 발생했지만 국내에서는 Flash 제품의 UAF 취약점이 가장 주목받았다.

구글의 경우 발표된 53개 중 49개가 안드로이드 취약점이었고, 퀄컴 취약점은 대부분 스냅드래곤(Snapdragon) 칩셋 취약점이었다. 이 취약점들은 모바일 기기뿐만 아니라 개인·산업용 IoT 기기에 탑재되는 스냅드래곤 관련 IoT에 영향을 미치므로 제조사와 스마트 공장 등에서는 특히 주의해야 한다.

한편, 2020년 1월 14일자로 Windows7과 Windows Server 2008 제품의 기술 지원이 종료된다. KISA는 보고서를 통해 이러한 기술지원 종료 시 신규 보안 취약점과 오류에 대한 보안 업데이트 제공이 불가하므로 최신 OS로의 교체가 필요하다고 설명했다.

보안기업들 보고서 통해 살펴본 ‘글로벌 사이버 위협’ 동향

글로벌 사이버 위협 동향에선 다국적 보안업체들의 보고서를 중심으로 5G 보안전략, 이메일 피싱, GDPR대비 등에 대해 설명했다.

먼저 트렌드마이크로(TrendMicro)사는 ‘The Deep Blue Sea of 5G’라는 보고서를 발표하고, 5G를 통해 사람에 국한됐던 네트워크 사용자가 IoT와 같은 ‘기계 사용자’로 확장돼 가변성과 확장성에 따른 새로운 보안전략 수립이 요구된다고 밝혔다.

트렌드마이크로는 먼저 새로운 보안전략 5G 기계 학습(5G Machine Learning)이 등장할 것이라고 밝혔다. 기존의 보안프로그램은 블랙리스트와 화이트리스트를 작성해 대응했지만 이러한 방식은 5G체제에선 불가능에 가깝다. 따라서 5G 기계 학습 규칙을 실시간으로 적용할 수 있고 허용 가능한 네트워크 트래픽 기준선 확립을 위해 5G 기계 학습을 사용할 수 있다는 것이다.

또한 이러한 양상에서 볼 때 5G 시대에는 정보 폭증과 함께 보안 위협도 폭증한다. 따라서 인적 자원 기반의 보안 아키텍처가 소프트웨어 기반의 새로운 기업 보안 아키텍처로 완전 자동화 레벨 수준으로 진화하며, 이 중심에서 5GML이 인적 자원을 대체할 것이라고 전했다.

이어 시스코(Cisco)사는 자사가 정기적으로 발행하는 ‘사이버 시큐리티 리포트(Cybersecurity Report Series)’를 통해 ‘Email: Click with Caution’ 이라는 주제로 이메일을 매개로 한 사이버 위협 실태와 예방법을 다뤘다.

시스코는 2019년 4월 기준으로 전체 이메일 중 85%가 스팸이며, 이중 악성코드 배포가 92.4%, 피싱 94%의 주요 공격 벡터로 이메일이 사용된다는 내용을 보고서에 담았다. 특히 마이크로소프트와 구글의 로그인 계정을 사칭하는 전통적 공격과 디지털 협박, 구매내역과 벌금 통지서 등의 공격이 성행하고, BEC 공격 67%도 웹메일을 기반으로 한다고 밝혔다.

BEC는 기업 이메일 침해(Business Email Compromise)의 약자로, 기업관계자를 사칭해 돈이나 데이터를 탈취하는 사이버 공격 수법이다. 이 경우 수신자가 업무에 관련된 이메일로 착각해 첨부파일을 실행할 가능성이 높아 근무자가 의심되는 이메일을 인지하고 보고할 수 있도록 실용적 도움을 주는 방향으로 문제에 접근해야 한다고 전했다.

또한 시스코는 EU가 GDPR(개인정보 보호법)을 시행한 이후 18개국 3200여 명의 보안 전문가들의 응답을 통해 GDPR 대비 상황과 이가 조직에 미치는 영향을 조사했다.

먼저 GDPR이 기업들에 미친 영향 중 가장 큰 것은 판매주기의 변화다. 고객들의 ‘개인정보 보호 대책 마련 요구 증가’로 거래 중지 혹은 지연을 경험한 응답자가 작년대비 87% 상승했다. 하지만 평균 판매주기 지연 일수는 작년 7.8주에서 3.9주로 대폭 줄었다.

GDPR 대비와 데이터 유출의 관계를 살펴보면, GDPR에 더 잘 대비한 조직은 데이터 유출 가능성이나 유출시의 충격, 시스템 다운시간 등이 줄었고 피해 금액도 줄었다. 시스코는 개인정보 가치를 극대화한 조직이 향상된 신뢰를 기반으로 더 많은 이익을 얻을 수 있다고 결론 내렸다.