새해마다 언론에 나오는 각종 예측과 예언들은 어느 정도 정제가 되어 있기 마련이다. 힘 주어 뭔가를 강력하게 예측했다가 틀리면 망신이기도 하거니와, 정제되지 않은 극단적인 예측은 틀릴 가능성도 높기 때문이다. 그래서 그 극단의 상황을 머릿속으로 상상하곤 하는데, 그걸 일부 전문가들이 끄집어 내 주었다.

[보안뉴스 문가용 기자] 2023년에는 어떤 일이 일어날까. 해마다 이맘 때면 늘 그랬듯, 올해를 예상해 보는 시도들이 여기 저기서 이어지고 있다. 본지는 누구나의 머릿속에 떠오르는 것들을 넘어, 평범하지 않은 것들, 그래서 함부로 남에게 말하기 어려운 것들을 마음 속에 품고 있는지를 물어보았다. 세계 3차대전이 해커들에 의해 촉발될 것이라든지, 봇과 봇이 싸우는 해킹 대전이 펼쳐질 것이라든지, 직원들에게 스파이웨어를 사용하는 게 합법화 된다든지와 같은 것들 말이다. 그러자 기상천외한 답변들이 나왔다. 그 중 허황스럽게 들리기도 하지만 그 안에 뼈가 숨어 있는 것들을 추려냈다.


사이브러리(Cybrary)의 데이비드 메이너(David Maynor)
“정보 보안 종사자들 사이에서 능동적인 보안이 좋은가, 보복 해킹이 좋은가 등과 같은 논의가 좀 더 심화되면서 업계가 크게 갈라질 것 같습니다. 자기 말이 옳다고 한치도 양보하지 않고 싸울 것이기 때문이죠. 그러면서 마치 특정 이론이나 의견이 종교처럼 떠받들어지고 우리는 이리 저리 갈려서 신경전을 벌일 겁니다. 그러니 데프콘(DEF CON)과 같은 행사는 취소되고, 해커들의 워게임을 다룬 영화들이 판을 칠 거라고 생각합니다.”

넷엔리치(Netenrich)의 존 밤베넥(John Bambenek)
“자동화 기술이 널리 도입되고, 실질적으로 현장에서 사람을 대신하기 시작할 거라고 봅니다. 그러면서 중간 관리자들의 역할 - 원래도 그리 쓸모 있지는 않았지만 - 이 크게 줄어들 겁니다. 모두가 기뻐하는 결과가 아닐까 합니다. 상급자나 하급자 모두 말이죠.”

벌칸사이버(Vulcan Cyber)의 마이크 파킨(Mike Parkin)
“피싱 공격에 당하지 말라, 비밀번호를 함부로 여기 저기 넘기지 말라, 아무 링크나 클릭하지 말라는 말을 아무리 해도 누군가는 계속해서 공격에 당해버리죠. 정책을 만들고, 벌점을 줘도 도무지 바뀌지를 않는 게 사용자들입니다. 그래서 올해 즈음부터는 비밀번호를 길 가는 사람 아무 한테나 줘 버려도 ‘괜찮아, 잘했어’라고 하며 하이파이브를 하는 사장님들이 나오지 않을까 합니다.”

노비포(KnowBe4)의 로저 그라임즈(Roger Grimes)
“올해에는 봇이 공격하고 봇이 막는 일이 실제로 벌어질 거라고 봅니다. 해커들은 자신들이 개발한 자동 취약점 스캔 및 익스플로잇 봇으로 공격을 하고, 방어자들은 취약점을 알아서 스캔하고 패치하는 봇으로 방어를 할 겁니다. 그 와중에 가장 강력한 알고리즘을 가진 게 이기겠죠. 우리가 꿈꿔온 자율 운전이 해킹 공격과 방어자들 사이에서 이뤄지는 것과 같을 겁니다. 그러면서 사람이 직접 개입한다는 게 우스워질 겁니다.”

다시 사이브러리의 메이너
“인공지능 챗봇이 너무나 빠르게 발전해서 음성으로 프로그래밍이 가능한 수준에까지 이를 것이라고 봅니다. 그러면서 보안에 대해, 심지어 프로그래밍에 대해 전혀 배경 지식이 없는 누군가가 실수로 심각한 멀웨어를 만들어낼 수도 있습니다. 그리고 그 사실을 알지 못한 채 인터넷에 풀어놓겠죠. 멀웨어는 계속해서 퍼져가며 여러 시스템을 파괴할 것이고요. 이 단순 실수 하나로 수십 억 달러의 피해가 발생할 거라고 봅니다.”

베이드(Vade)의 아드리엔 겐더(Adrien Gendre)
“챗GPT(ChatGPT)를 악용해 다국어 통신 시스템을 개발하는 해커가 나올 겁니다. 그리고 이를 사업 고급망에 주입해 사람들을 더 그럴 듯하게 속일 겁니다. 러시아, 북한 등의 해커들은 누군가로부터 돈을 빼앗고, 각종 정보를 빼돌릴 의도는 가득한데 언어 문제 때문에 공격을 잘 못하는 경우가 많거든요. 피해자를 속이려고 해도 언어 때문에 의심을 삽니다. 그런 가운데 챗GPT라는 우수한 챗봇이 나왔으니 얼마나 좋겠어요. 분명 누군가는 지금 이 순간에도 언어 장벽을 해결하려고 챗GPT를 활용하고 있을 겁니다.”

이반티(Ivanti)의 다니엘 스파이서(Daniel Spicer)
“2023년에는 네트워크 공급망이 유례 없는 수준으로 파괴되거나 마비되는 현상이 나타날 겁니다. 이미 지금도 공급망이 심각한 위험에 처해 있긴 합니다만, 여기에 각종 새로운 무기와 전술이 더해질 겁니다. 특히 광섬유 케이블에 대한 공격이 가해질 것이 예상됩니다. 2022년의 통가 사태를 통해 케이블 하나 끊어내면 나라 하나가 통째로 인터넷 지도에서 사라지는 걸 알게 됐죠. 케이블 몇 개 끊어서 대륙 전체를 마비시키는 시도도 곧 나올 겁니다.”

헥사곤(Hexagon)의 에드워드 라이빅(Edward Liebig)
“점점 기술 격차가 벌어지고 있고, 경제 공황도 오고 있고, 지정학적 긴장감이 고조되고 있다는 건 2023년 전력망을 겨냥한 거대한 공격이 시작될 거라는 뜻으로 해석됩니다. 2022년 초반에도 국토안보부는 ‘극단주의자들이 미국 전력망을 치기 위한 방법을 수년 동안 고안하고 준비해 왔다’고 경고한 바 있지요. 경제가 어려워지고 지정학적인 갈등이 고조되면 극단주의자들이 양적으로 팽창합니다. 게다가 미국 인프라가 사이버 공격으로부터 안전했던 적이 사실 없기도 하죠. 2023년에는 사회 거대 혼란을 야기하는 공격들이 넘쳐날 것입니다.”

HP의 이안 프랫(Ian Pratt)
“공격자가 원격 접근 세션을 활용해 민감한 데이터와 시스템에 접근하는 공격인 ‘세션 하이재킹(session hijacking)’이 2023년 더 큰 인기를 끌 겁니다. 세션 하이재킹을 통해 OT 망에 접근하는 데 성공하고, 그런 후에는 ICS에까지 접근해 공장과 시설 가동을 멈추게 할 것입니다. 이런 일들이 보다 빈번하게 일어나면서 우리는 디스토피아로 접어들게 되겠죠.”

신세이버(SynSaber)의 론 파벨라(Ron Fabela)
“대규모 사이버 전쟁이 벌어지고, 적국이 전력망을 망가트리고 상수도에 독을 푸는 일들은 매년 모두가 소리쳐 걱정해야 한다고 말하는 일들입니다. 저는 개인적으로 그런 위협이 상상 속에만 존재하는 것이라고 생각합니다. 실제로 나타나면 무서운 것이 분명한데, 우리 삶에 용이 불을 뿜고 사람을 집어삼키는 일이 일어나지 않는 것처럼 환상 속의 일일 뿐입니다. 이런 것에 신경을 쓸 여력이 있다면 보안의 다른 부분을 향상시키는 게 나을 겁니다.”

드로브리지(Drawbridge)의 사이먼 아이어(Simon Eyre)
“사이버전이 발전하여 3차대전에 준하는 사건도 충분히 발생할 수 있다고 봅니다. 아마 시작은 증권거래위원회나 국방부 등 국가의 핵심이 되는 기반 조직들을 건드리는 것에서부터겠죠. 해외의 해커가 이런 기관들을 공격하기 시작했다면 그 때부터는 전쟁이 발발해도 이상하지 않을 겁니다. 다만 공격자들이 보복을 막기 위해 치밀하게 계산을 하긴 하겠지만요.”

IT하베스트(IT-Harvest)의 리차드 스티에논(Richard Stiennon)
“너무 많은 벤더들이 생기고, 그 많은 벤더들이 수많은 제품들을 세상에 내놓으면서 보안은 갈 길을 잃게 될 거라는 염려들이 많은데, 솔직히 보안 시장에 기업이 100개도 되지 않을 때에도 이런 얘기가 나왔습니다. 지금은 3200개가 넘는 벤더들이 17개 주요 항목들에서 활동하고 있지요. 저는 벤더와 제품이 너무 많아서 문제가 생길 거라고는 전혀 예상하지 않습니다. 어차피 시장 논리에 따라 M&A가 되던 사라지던 반대로 최강자가 되던, 자연스럽게 걸러지고 남을 것만 남게 될 것이라고 봅니다.”

잼프(Jamf)의 딘 헤이거(Dean Hager)
“경영진들이라면 원격 근무 체제에 적잖은 반감 내지는 거부감을 가지고 있거든요. 회사를 위해 일을 해야 할 사람들이 눈에 보이지 않으면 불안하니까요. 눈에 보이는 사람들에게 지시하고, 눈에 보이는 결과물을 가지고 다음 일을 계획하는 게 그들에게는 익숙합니다. 하지만 재택 근무 체제가 자리를 잡으면서 눈으로 본 것을 기반으로 하여 리더십을 발휘하는 게 여의치 않게 되었죠. 그래서 슬금슬금 스파이 도구를 활용하려는 움직임들이 나타날 것이라고 생각합니다. 회사 임원들이 직원들을 대상으로 염탐 공격을 하는 것과 같은 상황들이 생겨날 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>