중동 지역이 디지털화의 물결로 나날이 달라지고 있다. 그 동안 쌓아온 오일 머니가 디지털 전환에 사용되고 있는 건데, 그러다보니 고도의 해커들로부터도 무서운 관심을 받고 있다.

[보안뉴스 = 로버트 레모스 IT 칼럼니스트] UAE가 막강한 자본력으로 IT에 대한 투자를 공격적으로 진행함에 따라 세계 유수의 기업들이 중동 시장을 적극 탐색하기 시작했다. 그러면서 사이버 위협도 덩달아 증가하고 있다. 그 동안 디지털 전환의 드라이브를 걸었다가 해킹 공격에 시달리던 여타 다른 사례들이 중동에서도 똑같이 반복되고 있는 것이다.


UAE 정부는 여섯 개 항목 아래 64가지 디지털 전환 프로젝트를 설정하고 공격적인 투자를 진행하고 있다. 그 중 하나가 ‘UDP(통합 디지털 플랫폼, Unified Digital Platform)’인데, 모든 정부 서비스를 하나의 플랫폼에 가져다 놓는 것을 목표로 하고 있다. 정부 행정 과정을 좀 더 부드럽고 간편하게 만들겠다는 것이다. 또한 스마트시티 프로젝트도 진행하고 있어 ‘커넥티드 사회’ 구성에도 박차를 가하는 중이다.

그렇게 돈이 이쪽 분야에 돌기 시작하니 전 세계 해커들의 관심이 쏠리고 있다. 보안 업체 포지티브테크놀로지스(Positive Technologies)의 연구 책임자인 이리나 지노브키나(Irina Zinovkina)는 “디지털 전환이 진행되는 곳에는 고도화 된 사이버 위협이 항상 등장한다”며 “디지털 전환의 기능적인 면에 집중하여 디지털 전환 담당 팀들을 구성했기 때문에 나중에 문제들이 터지면 그제야 보안 인력을 찾기 시작하는데, 그게 마음대로 되지 않는 경우가 많다”고 설명한다.

“UAE에서 벌어지는 일이 바로 그겁니다. 이미 고도화 된 공격들이 발견되고 있고, UAE는 부랴부랴 대응에 나섰습니다. 공격자들은 탐지가 잘 되지 않는 전략과 도구와 멀웨어들을 다양하게 동원하고 있는데, 그런 다양한 공격들에 대응할 인력들을 찾지 못해 문제가 심해지고 있습니다. 그러면서 디지털 전환 전체 이니셔티브가 지연되고 있습니다. 디지털 전환을 문제 없이 진행하려면 디지털 자산의 보호에 대한 계획도 수립되어야 한다는 사실이 다시 증명되고 있습니다.”

현재 UAE의 공공 분야에서는 하루에 5만 번 이상의 사이버 공격 시도가 이뤄지고 있다. 민간 기업들을 겨냥한 공격도 점점 거세지는 중이다. 보안 업체 카스퍼스키(Kaspersky)가 조사한 바에 의하면 지난 2년 동안 UAE에서 활동하는 기업들의 87%가 적어도 한 번 이상의 사이버 보안 사고를 겪고 피해까지 입었다고 한다.

점점 많아지는 공격 경로
아부다비의 사이버 보안 업체인 CPX는 UAE 국가 내 인터넷 영역을 스캔하며 15만 5천 개 이상의 취약 자산들을 발견한 바 있다고 한다. 또한 취약점이 패치가 되지 않은 채 사용되는 경우가 대다수라는 것도 알아냈다. “즉 오래된 취약점들이 공격에 활용되는 사례가 많습니다. 오래된 취약점이라는 건, 공격자들이 능숙하게 익스플로잇 할 수 있다는 뜻입니다. 즉각적인 패치 습관이 조금 더 보편화 될 필요가 있습니다.”

패치가 잘 되지 않는 이유 중 하나는 보안 전문가가 부족하기 때문이기도 하다. 이는 정부도 익히 알고 있는 내용이다. UAE는 2025년을 목표로 한 ‘디지털 정부 전략’을 통해 IT 인력을 충분히 확보하고자 하는데, “현재 목표치의 10% 정도만 겨우 달성한 상태”라고 발표한 바 있다. 여기에는 당연히 보안 전문가도 포함되어 있다.

“기존 취약점도 잘 패치가 되지 않는데, 계속해서 신기술이 누적된다는 건 공격의 경로가 빠르게 늘어나고 있다는 뜻이 됩니다. 실제로 공격자들은 온갖 취약점을 통해 클라우드, OT, IT 등 각종 환경과 자산을 공격하는 중이기도 합니다. 패치와 업데이트를 지속적으로 신경 쓴다는 것이 현장에서는 비현실적인 일이라서 나타는 현상입니다.” CPX 측의 설명이다.

UAE, 어떻게 대응하고 있는가
포지티브테크놀로지스는 최근 250개 텔레그램 포럼과 채널들에 올라온 9100만 개의 메시지들을 분석했다. 그 중 가장 많이 언급된 나라의 이름이 바로 UAE였다고 한다. 그 다음은 사우디아라비아였다. 지노브키나는 “대형 언어 모델과 같은 신기술들도 적극 활용되고 있어 UAE에서 자행되는 사이버 공격들이 훨씬 정교해지고 있기도 하다”고 말한다. “피해자들도 디지털 전환을 이뤄가고 있지만 공격자들도 마찬가지라는 것이죠.”

거기에 염려되는 것이 하나 더 있다고 가트너의 수석 분석가인 존 아마토(Jon Amato)는 짚는다. “디지털 전환 과정에서 공격을 받으면, 그 피해가 증폭된다는 겁니다. 가만히, 기존 상태에서 공격에 당하는 것보다 디지털 전환을 진행하는 과정 중에 공격을 당할 때 잃을 게 훨씬 많아지고, 잃는 것 하나하나가 거대한 영향력을 발휘하기 때문입니다. 또한 UAE는 스마트시티와 같은 프로젝트도 대대적으로 진행하고 있지요. 공격을 허용할 경우 도시 전체에 영향이 갈 수 있습니다.”

그러면서 아마토는 에스토니아를 예로 든다. “에스토니아는 이미 한참 전부터 디지털화를 진행했죠. 그래서 지금은 디지털화 정부의 대명사와 같은 위치에 올랐습니다. 그런데 2007년 러시아의 디도스 공격을 받았습니다. 너무 잘 연결되어 있고, 너무 잘 디지털화 되어 있어서, 그 피해가 막대했습니다. 러시아는 수개월이나 에스토니아를 느리게 만들고 마비시킬 수 있었습니다. 그럴 만한 공격이 아니었지만 에스토니아가 너무 디지털화 되어 있었기 때문에 나타난 일이었습니다.”

클라우드 네이티브 보안
보안 업체 넷스코프(Netskope)의 전략 책임자 리치 데이비스(Rich Daivs)는 “서비스들이 클라우드로 점점 옮겨갈 수 있도록 디지털 전환을 기획하는 게 안전하다”는 입장이다. “레거시 장비와 서비스들을 고집하는 건 디지털 전환 자체를 느리게 만들 뿐더러 그 결과도 불완전하게 합니다. 공격에 당할 가능성도 훨씬 높게 만들고요. SaaS와 IaaS를 적극 도입하는 게 빠르고 안전하게 디지털 전환을 하는 방법입니다.”

아마토는 “보안 전문가 육성이 UAE 디지털 전환의 시급한 과제”라고 강조한다. “디지털 전환이라는 거대한 프로젝트는 결국 보안이 든든하게 뒷받침 되어야 속도를 얻는 법입니다. 그 동안 진행된 수많은 디지털 전환 프로젝트들이 이를 입증합니다. 중동의 다른 국가들만이 아니라 세계 모든 기업과 기관들도 디지털 전환을 진행할 때 이 점을 고려해야 합니다.”

글 : 로버트 레모스(Robert Lemos), IT 칼럼니스트
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>