상반기에 일어났던 사고, 하반기에도 계속될 것 당연
위기에 놓인 암호와 중소기업, 새로운 탈출구로서 사이버 보험

[보안뉴스 문가용] 정신없이 상반기가 지났다. 우크라이나 대규모 정전사태로 시작한 올해, 세계 곳곳의 대형 병원들이 랜섬웨어 때문에 골치를 썩였다. FBI는 애플과 법정에서 만나 프라이버시에 대한 정부와 민간인들의 가치관을 충돌시키나 했다가 흐지부지 발을 뺐고, 역사상 최대의 은행털이 사건이 방글라데시 중앙은행에서 터지기도 했다. 헤드라인을 장식할 만한 사건들 밑에서는 디도스가 기승을 부리고 있었고, 사이버 범죄자들의 세계는 더욱 견고해졌다. 하반기는 우리에게 어떤 소식들을 가져다줄까? 다가오는 6개월을 예측해보았다.


1. 랜섬IoT
IoT만큼 말만 시끄럽고 주위에 잘 보이지 않는 것도 드문데, 그렇다고 해서 IoT의 성장 자체가 부정될 것은 아니다. 분명히 이 사업은 자라나고 있고 IoT 기기의 사용율은 증가 중에 있다. 문제는 보안인데, 거의 모든 보안 전문가들이 IoT의 성장을 불안한 눈으로 지켜보고 있다.

지금 최고의 멀웨어는 랜섬웨어라고 볼 수 있는데, 올해 병원들이 랜섬웨어에 크게 당한 이유를 되짚어볼 이유가 있다. 사이버 범죄자들이 지능적으로 병원을 파고든 게 아니라 무작정 랜섬웨어를 마구 뿌려대다가 어쩌다 병원이 걸려들었고, 병원 보안이 상당히 취약하고 환자의 생명 문제가 얽혀있어 대부분 요구한 돈을 내고서라도 얼른 복구시키고 싶어한다는 걸 발견한 것이다. 그들이 똑똑해서 병원이 털린 게 아니라, 병원이 대비가 안 되어 있어서 당했다는 편이 더 옳다는 것.

같은 맥락에서 보안이 허술하기로는 병원보다 더하면 더했지 못하지 않은 IoT 기기들에게도 분명 이런 일이 발생할 것으로 본다. 행운의 해커가 누가 될지, 그 행운은 얼마짜리 행운일지, 아무도 예측할 수 없는 가운데 ‘내가 되지 말란 법 없지’라는 마음으로 해커들은 부지런히 랜섬웨어를 뿌리는 중이다.

예상 헤드라인 : IoT 기기에 최초 랜섬웨어 공격 발생!

2. CASB 절찬리 판매 중
IoT만큼 말이 많은 게 클라우드다. 솔직히 아직 한국에서는 클라우드로의 이주가 그다지 체감되지 않는데, 해외에서는 굉장히 시끄럽다. 흔히들 말하는 디지털 트랜스포메이션(digital transformation)의 개념과 뒤섞일 정도로, 기존에는 회사 네트워크 안에서 하던 일과 보관하던 자료들이 클라우드로 넘어가고 있다. 지금은 다 넘어간 상태는 아니고, 기존 네트워크 환경과 새로운 클라우드 환경을 둘 다 유지하는 곳이 많다. 중간 과정에 있다는 뜻이다.

기존 네트워크에서 하던 보안과 클라우드 환경에서의 보안은 그 성격이 완전히 다르기 때문에 네트워크 보안 담당자들에게는 ‘새롭게 공부를 시작’해야 한다는 엄청난 부담감이 따르고 있다. 그러나 지식이 충분히 차오를 때까지 위험한 자들이 기다려주지 않는다. 공부가 충분히 되었든 안 되었든 보안 담당자들은 아침에 눈을 떠 클라우드 보안이라는 낯선 현장 속으로 출근을 해 전문성을 발휘해야 한다. 새로운 환경에서 기존의 지식을 발휘할 수 있도록 도와주는 클라우드 접근 보안 브로커(Cloud Access Security Broker, CASB)라는 종류의 솔루션들이 그래서 떠오르고 있다. 얼마 전 시스코가 CASB 전문업체를 매입한 소식도 있었다. 앞으로 CASB라는 말을 자주 보게 될 것이다.

예상 헤드라인 : 아직도 모르니? 이젠 CASB가 대세!

3. 중소기업을 어쩌나
위에서 클라우드로의 이전을 고민하는 기업이 많다고 했는데, 이는 대부분 대기업 혹은 그에 준하는 기업들에 대부분 해당한다. 중소기업들은 아직 비용 때문에라도 클라우드를 생각할 여유가 없다. 언젠가는 쫓아가게 되어 있지만 아직 클라우드가 임박한 고민거리는 아니다. 정보보안이 매우 중요한 곳이 아니라면 더더욱 그렇다.

중소기업들을 괴롭히는 건 따로 있다. 전반기에는 대부분 디도스였다. 이름 없는 중소기업이 새로울 것 없는 디도스에 당한다? 안타깝지만 이건 기자들도 관심 없고, 보안업체도 관심 없는 아이템이다. 그래서 더 당한다. 요즘 디도스는 랜섬웨어와 같이 들어오기도 하는데, 중소기업에 대한 타격이 늘고 있다. 왜냐면 잘 당해주기 때문이다.

아무도 관심을 안 갖고, 그래서 더 보안의 사각지대로 몰리고, 그래서 당하고, 그래도 아무도 모르고, 상황은 더 안 좋아지는 쳇바퀴가 지금까지 계속 굴러왔다. 그런데도 보안 솔루션을 내놓는다 하는 기업들의 기자간담회를 가보면 대기업들에게만 해당하는 제품들을 들고 나온다. 사용자만 탓할 게 아니라 보안업계 역시 조금 더 현실적일 필요가 있다. 하지만 안 되겠지. 2016년 하반기에도 중소기업들은 소리 없이 끙끙 앓고 있겠지.

예상 헤드라인 : 헤드라인에 안 뜰 듯

4. “새로운 멀웨어 발견!” “좋아요x500!!!”
현실과 조금 동떨어진 문제라는 측면에서 멀웨어를 빠트릴 수 없다. 요즘 사이버 범죄자들은 최초 공격을 제외하면 멀웨어를 잘 사용하지 않는다고 하는데, 우리는 계속해서 멀웨어 소식을 크게 다루고 즐겨 읽고 좋아요를 찍고 널리 공유할 것이다. 그게 정보 보안 업계에서는 사실상 유일하게 눈에 보이는 실적이기 때문이다.

눈에 보이는 실적이라고 치면 해커의 체포만큼 효과적인 게 없다. 하지만 대부분 나라들이 가지고 있는 법의 체계와 기술력으로 사이버 범죄자를 직접 찾아내는 건 굉장히 어려운 일이다. 실제로 일부 전문가들은 키보드를 두드리면서 해킹하고 있는 현장을 곧바로 덮치는 것이 유일한 체포 방법이라고까지 말할 정도다.

가장 좋은 성과가 사실상 달성 불가능한 목표라면 자연히 차선책을 찾기 마련이고, 그게 보통은 새로운 멀웨어의 분석 결과다. 멀웨어를 분석하는 것 자체가 나쁜 건 아니다. 해커들도 점점 ‘덜 쓴다’고 했지 ‘아예 안 쓴다’고 하지는 않았다. 멀웨어를 찾고 분석하고 그에 대한 해결책을 만드는 건 반드시 필요한 일이다.

짚고 싶은 건 멀웨어에 지나치게 집중하고 있는 분위기다. 현실은 그렇지 않음에도 “해킹 공격=멀웨어”와 같은 공식이 머릿속에 형성되기 시작하면 1) 제조사들은 엉뚱한 방어 솔루션을 만들고 2) 사용자들은 엉뚱한 방어 솔루션을 구매하고 3) 엉뚱한 방어 솔루션이 시장의 주류가 되면 4) 모든 제조사들이 울며 겨자 먹기로 멀웨어 방지 툴을 주력으로 삼아야 한다. 멀웨어 방지툴이 주력이 되면 5) 해커들이 멀웨어 대신 다른 방법을 사용하고 6) 멀웨어 툴은 더 바보가 된다. “해커들의 멀웨어 의존도가 낮아지고 있다”는 통계자료가 실제로 나온 건 위 1)~6)까지의 시나리오가 이미 시장의 현실이라는 뜻이다. 이게 반년 만에 바뀔 것 같지는 않다.

예상 헤드라인 : 새로운 멀웨어! 제2의 스턱스넷인가? (좋아요 200+)

5. 누군가는 또 암호를 성토하겠지
보안 장치로서의 암호가 그 입지를 잃어가는 현상은 하반기에 더욱 가속화될 것으로 보인다. 상반기의 소리 소문 없는 이슈 중 하나는 중요 데이터베이스의 유출 사건들이다. 크리스 비커리(Chris Vickery)라는 전문가 한 사람만 해도 이미 전반기에 미국 유권자, 멕시코 유권자, 세계적인 금융기관, 언론, 정부조직이 공유하는 블랙리스트 데이터베이스가 아무런 방비 없이 공개되어 있는 사실을 고발한 바 있다. 암호가 약하거나 아예 없어 발생한 웃지 못 할 사건들이었다.

암호가 약화되는 가장 근본적인 이유는 사용자들이 암호를 무시하기 때문이다. password나 admin은 벌써 몇 년째 사용자들이 선호하는 암호 랭킹 1~2위를 기록하고 있는지 기억도 나지 않는다. 여기에 터치식 입력이 대세가 되어 암호 입력은 더 불편해지고, 계속해서 발전하고 있는 바이오인식이 사용자 입장에서는 더 간편하기 때문에 암호는 찬밥 신세를 면치 못할 것으로 보인다. 누군가는 여기에 꼭 칼럼 같은 걸로 확인사살을 시도할 것이다. 그리고 반대편에서 누군가 등장해 암호를 옹호하고 말이다.

예상 헤드라인 : 암호, 계속 유지해야 하는가? / 그래도 암호가 필요한 이유

6. 다크웹 시장 vs. 버그바운티
암시장이 점점 더 규모를 갖추고 있다는 소식 또한 적어도 1~2년 전부터 듣던 것이다. 진짜 자본주의는 암시장에 있다는 말은 격언이 되었을 정도로 오래된 이야기고 말이다. 기업화된 조직들이 체계적인 생산(?) 및 수익창출 구조를 갖추고, 각 멤버가 정교한 부품처럼 착착 움직이고 있다는 건 범죄자들의 생계가 더 안정적으로 변모해간다는 뜻이다. 보안 담당자나 사이버 범죄자나 기술의 측면에서 비슷한 면이 많은데, 그 기술을 가지고 범죄를 선택할 만한 이유가 하나 더 생긴다는 뜻도 된다. 보안 담당자들에 대한 보상과 대우가 높아져야 하는 이유다.

그런 측면에서 버그바운티가 확산되고 있다는 건 희망적이다. 전반기, 미국에서는 MIT 대학과 국방부마저 버그바운티를 실시했다. 버그바운티의 장점은 확실하다. 1) 외부 전문가들을 고용하지 않고도 활용이 가능하고 2) 많은 이들이 참여하기 때문에 취약점 발견 비율이 높으며 3) 필요한 인재 풀을 확보할 수 있다는 것. 시장 전체로서는 보안 담당자들이 범죄의 유혹에서 벗어날 수 있게 해주는 장치가 하나 더 마련되는 것이라 반갑다.

예상 헤드라인 : 간증 : “버그바운티 덕분에 다크웹의 유혹에서 벗어났어요!”

7. 사이버 보험 필수 시대
위 3번, 중소기업에 대한 항목과 연결된 예상이다. 보안 솔루션들은 너무 비싸고, 비싼 솔루션을 쓴다 해도 100% 방어가 된다는 보장이 없고, 여기저기 통계자료를 봐도 공격이 늘어나기만 하지 줄어든다는 신호가 전혀 없는 상황에서 돈도 없고 사람도 없고 시간도 없는 중소기업들의 선택지가 점점 사이버 보험 쪽으로 흘러가고 있다. 하반기쯤에는 사이버 보험이 중소기업의 필수라는 주장이 한둘 나올 것으로 보인다.

그렇다면 보험 계리인들이 사이버 보안 시장에 모습을 드러낼 것이라는 뜻이 된다. 아직 사이버 보험은 한국에서나 외국에서나 이제 막 태어난 단계라고 볼 수 있을 정도로 미성숙한 분야다. 시장 선점을 위해서라도 보험사 입장에서는 반드시 진출해야 할 분야고, 아마 이미 여러 보험 회사에서 보험 상품을 개발하고 있을 것이 분명하다. 이것이 좀더 가시화될 것으로 보인다.

예상 헤드라인 : 사이버 보험 상품 꼼꼼히 살피는 노하우 공개

8. 망령들은 여전히 우리와 함께 살아간다
기자답지 않게 소제목을 좀 잘 뽑은 듯 한데, 간단하고 뻔한 예상이다. 업데이트 안 해서 생기는 보안사고가 후반기에도 계속될 것이라는 내용이다. 망령들이라고 하면 대부분 다음 중 하나다.
- 지원이 끝난 윈도우
- 모든 구버전 펌웨어, OS, 소프트웨어 등
- 제조사가 사라졌는데도 앱 스토어 등에 그대로 남아있는 앱들
- 어도비 플래시

업데이트 문제는 애플리케이션이 우리 생활 깊숙이 들어오면 올수록 계속 남아있을 문제라고 본다. IoT 시대가 본격적으로 시작되기 전에 업데이트에 대한 문화 자체를 만들어 지켜나가는 훈련을 해야할 필요가 있어 보인다. 하반기가 될지는 모르겠지만 정부 관련 기관에서 분명히 업데이트 관련 캠페인을 할 것이다. 공익 광고로 나올지도 모르겠다.

희망 섞인 예상 헤드라인 : 망령들은 여전히 우리와 함께 살아간다
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>