▲ [source=pixabay]
지난 글에 이어 이번 글에서는 올해 주목해야 한 나머지 3개 사이버보안 이슈에 대해 알아보고자 한다.

3. 사물인터넷(IoT)의 시대 도래, 더 커진 보안문제
IDC에 따르면 아태지역은 2019년 전세계 IoT 지출의 약 36.9%를 차지하며 가장 중요한 시장으로 조명받고 있다. 그럼에도 불구하고 보안은 제품 개발 측면에서 뒤쳐지고 있다. 실제로 일부 커넥티드 디바이스의 경우 소프트웨어 업데이트 및 보안 패치 수신이 불가능한 상태로 출하되고 있어 위협에 노출되기 싶다. 올해의 경우 IoT 보안에 대한 잠재적인 위협이 더욱 커질 것으로 전망된다.

지난 수년간 IoT 악성코드 미라이(Mirai) 봇넷은 안전하지 않은 연결 장치를 통해 공격을 만들어내는 것은 물론 전세계 주요 플랫폼을 무너뜨렸다. 최근에는 미라이 악성코드 변종 공격이 무선 프리젠테이션 시스템에서부터 셋톱박스와 SD-WAN, 심지어 스마트홈 컨트롤러에 이르기까지 다양한 기기를 목표로 하여 기업과 가정 모두에 위협이 되고 있다.

IoT 제품이 속속 등장하면서 사이버위협은 수면 아래 조용히 숨어 있다. 누군가가 이 지뢰들 중 하나를 밟으면 어떻게 될까?

IoT 보안은 소비자 영역과 산업 영역에서 각각 2가지 방향으로 진화할 것이다. 스마트홈 도어락에서 무선 스피커 시스템에 이르기까지 안전하지 않은 앱이나 취약한 로그인 정보를 사용하는 공격이 증가할 것이다.

이러한 위협은 음성이나 생체인식으로 제어되는 연결 장치에 위협이 될 수 있는 AI 영상 합성 조작기술(deepfake)의 출현으로 더욱 고도화되고 복잡해질 것으로 예상된다.

한편 산업시장에서 상당한 변화가 일어날 것으로 전망되는 분야는 많은 아시아 경제의 핵심 축인 제조업이다. 제조업체들은 데이터 수집·분석을 통해 생산, 물류·직원 관리를 간소화하는 방법으로 센서, 웨어러블 및 자동화 시스템을 구축할 필요가 있다.

또한 연결된 기기 및 장비에 빌트인 자가진단과 지속적인 취약성 검색 및 고급분석과 같은 자동화된 기능을 활용해야 한다.

4. 희미해지는 개인정보보호 영역의 경계
인터넷 소사이어티(Internet Society)가 2018년 아태지역 정책 이슈를 조사한 결과 응답자의 70% 이상이 개인 정보의 수집과 사용에 대해 더 많은 권한을 부여 받기를 원하는 것으로 나타났다.

그러나 대부분의 사람들은 트렌드 앱(App), 모바일 게임이나 온라인 콘테스트와 같이 단발성 개인정보 사용에 대해 신중하게 생각하지 않는다. 개인정보보호를 위해서는 어떤 데이터가 수집되고 있는지에 대한 인식은 물론 데이터가 어떻게 사용되고 있는지에 대한 가시성을 모두 확보해야 한다. 모르는 것이 무엇인지 모르는 상황이 가장 위험하기 때문이다.

올해에는 각 국가에서 개인정보보호에 대한 추가적인 법률이 개정될 것으로 전망된다. 특히 데이터가 국경을 이동하는 것을 엄격히 규제하거나 제한할 것이며 공공 부문 데이터의 경우 더욱 강력할 것이다. 기업에서는 이에 대응하여 국내 고객 지원을 강화하기 위해 현지에 데이터센터를 구축할 것이다.

그러나 현지에 데이터센터를 구축하는 것이 곧 데이터의 안전을 보장하는 것은 아니다. 각 개인 및 기업들은 더 넓게 연결되고 있으며, 해커들은 국경을 따지지 않는다.

네트워크, 엔드포인트 및 클라우드 전반에 걸쳐 포괄적인 사이버보안 전략을 구축할 책임은 여전히 기업에 있다. 이를 효과적으로 관리하기 위해서는 기업들이 수집하는 정보의 가치를 정기적으로 평가하고 그 정보의 접근을 통제해야 한다.

또한 최적의 프레임워크 구축을 위해서는 공공기관과 기업들이 긴밀하게 협력하여 지속적으로 등장하는 위협을 효과적으로 식별하고 정의할 수 있는 방법을 모색해야 한다.

5. 클라우드 여정을 아우르는 보안
더 많은 기업들이 운영체제(OS) 가상화와 같은 컨테이너 기술을 통해 효율성, 일관성 및 비용 절감을 시도하고 있다. 그러나 잘못 구성된 컨테이너의 잠재적 위험은 타깃 정찰(reconnaissance)에 취약하다.

적절한 네트워크 정책과 방화벽 사용을 통해 내부 리소스가 공공 인터넷에 노출되는 것을 막을 수 있다. 또한 클라우드 보안 툴에 투자함으로써 현재의 클라우드 인프라에 대한 위험을 진단하고 경고 알림을 받을 수 있다.

클라우드 보안 적용 자체에도 해결해야 할 문제들이 있다. 팔로알토네트웍스가 오범(Ovum)과 함께 실시한 클라우드 보안 조사에 따르면 기업의 80%는 보안 및 개인정보보호를 클라우드 채택의 주요 과제로 두고 있었다.

아태지역 기업의 70% 이상이 클라우드 공급업체에 의한 보안만으로도 충분하다고 생각하는 등 클라우드 보안에 대한 잘못된 신뢰감을 갖고 있으며, 세분화된 보안 태세를 형성하며 다양한 보안 툴을 사용함에 따라 클라우드 내 보안 관리가 더욱 복잡해지고, 특히 멀티클라우드 환경인 경우에는 더욱 심각한 것으로 조사됐다.

클라우드 보안 감사 및 교육에 전념할 수 있는 시간과 리소스가 충분하지 않은 경우 자동화가 필수적이다. 올해에는 신제품 개발 라이프사이클에 보안 프로세스와 툴을 통합한 데브섹옵스(DevSecOps) 접근 방식을 채택하는 기업이 늘어날 것으로 예상된다. 또 이것이 클라우드와 컨테이너를 성공적으로 통합할 수 있는 길로 주목을 받을 것이다.

글 : 션 두카(Sean Duca) / 최고보안책임자(CSO) / 팔로알토네트웍스

관련기사

저작권자 © IT비즈뉴스(ITBizNews) 무단전재 및 재배포 금지