아태지역, 정책과 기술 간극 커서 사물인터넷 관련 사고 빈번할 듯
올림픽 기간에 POS 조심...싱가포르에선 보안 드라마 만들어 일반인 교육하기도

[보안뉴스 문가용 기자] 세상 모든 것들이 다 그렇지만 ‘정보보안’을 바라보는 시각도 여러 가지가 있을 수 있다. 검은 해커들의 입장에서, 기술자의 관점에서, 사업 운영자의 기준으로 등 얼른 생각나는 것만 해도 줄줄이 소시지다. 시장 조사 기관인 프로스트 앤 설리번(Frost & Sullivan) 아시아태평양에서 보안 산업을 분석하고, 앞으로의 일을 전망하는 찰스 림(Charles Lim) 은 “경제적인 관점에서 정보보안을 바라본다”고 말한다.


아태지역, 기술과 정책 간극 크다
경제적 입장에서 보안이라는 산업을 바라보자면, 제일 먼저 아시아태평양 지역의 특이한 상황이 눈에 띈다고 말한다. “아시아 보안 시장은 북미나 유럽에 비해 조금 뒤처지는 편입니다. 원래 정보보안이라는 기술이 북미와 유럽에서부터 시작된 것이니까요. 그래서 정보보안의 기술과 정책 혹은 법의 조화가 북미와 유럽에서는 더 성숙해요. 아시아는 이제야 일부 정부들이 보안이라는 개념을 받아들여 정책에 반영하기 시작했고요. 그래서 아태 지역 보안 전문가들이 서양의 보안 관련 보도들을 읽고 어딘가 모를 이질감을 느끼죠.”

이는 정책과 기술의 간극이 크다는 특징으로 이어진다고 그는 설명을 이어간다. “법적 혹은 사회적 보안 장치들이 마련되는 속도가 새로운 기술이 등장하는 속도를 쫓아가지 못하는 게 아태지역 시장의 현상입니다. 세계 공통이긴 하지만, 서양에서 말하는 간극보다 더 깊고 넓죠. 그래서 아태지역에서 더 큰 사고들이 일어날 가능성이 높아요.”

사물인터넷, 심각하게 걱정된다
그중에서도 특히나 우려되는 기술 분야는 사물인터넷이다. “인터넷과 연결된 채 각종 스마트한 기능을 발휘하는 전자제품들은 소비자들에게 이전에 없었던 편리성을 제공합니다. 그렇기에 빠르게 도입되고 있죠. 문제는, 정책과 기술의 간극이 크다보니 보안과 안전에 대한 검토가 제대로 이뤄지기 전에 시장에서 소비부터 되고 있다는 겁니다. 그래서 취약한 기기들이 여기저기 설치되고 있는 게 현실입니다.”

사물인터넷 기기들이 가진 위험성은 지난 1~2년 사이에 빈번하게 목격된 바 있다. “미라이(Mirai)로 대표되는 사물인터넷 봇넷은 이미 여러 차례 디도스 공격 등을 일으키며 문제가 된 바 있습니다. 일단 봇넷을 만들어두면 디도스 공격만이 아니라 다양한 공격도 가능하고요. 최근에는 암호화폐 채굴을 위해 봇넷이 활용되는 사례도 증가하고 있습니다. 공격자들끼리는 협조를 잘 하기 때문에 한 가지 공격 방법이 빠르게 공유됩니다. 사물인터넷 기기에 대한 공격 노하우 역시 그렇게 될 것이고, 따라서 사물인터넷을 통한 공격은 급격하게 증가할 겁니다.”

평창올림픽, 해커들의 POS 올림픽 될라
경제적 관점에서 보안 산업을 바라보는 그가 최근 주목하고 있는 커다란 행사가 있으니, 바로 평창올림픽이다. 국가적인 큰 행사가 있을 땐 해당 지역에서 많은 소비와 지출이 발생하는 게 일반적인 경제 현상인데, 해커들 역시 이를 놓칠 리 없기 때문이다.

“평창에서의 올림픽이라고 하면 가장 먼저 생각나는 게 소비자들을 노린 POS 공격입니다. 자기 띠 방식보다 EMP 칩 방식이 더 안전하지만, 한국에서는 아직 자기 띠 방식이 많이 사용되고 있죠. 어제 저도 한국 겨울이 너무 추워서 장갑을 사려고 매장에 들어갔다가 POS 기기가 자기 띠 방식이라 매장 직원과 실랑이를 벌이기도 했습니다. 물론 선택지가 별로 없어서 구매하긴 했지만, 보다 안전한 카드를 사용했죠.”

실제로 얼마 전 북한의 해킹 그룹인 라자루스(Lazarus)가 대한민국의 POS를 노린다는 내용의 보고서가 해외 보안 업체들에 의해 발표되기도 했다. 현재 북한은 세계적인 경제제재 때문에 국고가 바닥나다시피 한 상태로 추정되며, 그 때문에 보통은 정찰 및 정보 탈취를 전문으로 하는 ‘해킹 부대’가 ‘금전적인 목적의 공격’을 펼치는 특이한 현상이 벌어지기도 한다. 북한은 방글라데시 중앙은행 해킹 사건과 비트코인 거래소 해킹의 가장 유력한 용의자이기도 하다.

역시, 멜트다운과 스펙터, 그리고 벤더들
아태지역을 넘어 세계의 보안 시장으로 이야기를 확장시켰을 때 그가 제일 먼저 꼽은 건 멜트다운(Meltdown)과 스펙터(Spectre) 취약점의 영향력이었다. “이 취약점은 금방 해결되지 않을 겁니다. 세계 경제에 장기적인 영향력을 미칠 것이 분명하고, 이를 노린 공격 사례가 등장할 것으로 예상합니다. 이미 보안 업체들 중 일부는 개념증명용 익스플로잇을 성공시키기도 했죠. 해커들 사이에서도 멜트다운과 스펙터 익스플로잇이 개발되고 있을 것이고, 첫 성공 사례는 빠르게 공유될 겁니다.”

멜트다운과 스펙터와 같은 취약점이 등장하고, 최근 암호화폐 채굴 코드가 유행하기 시작하면서 “OS 제조업체와 브라우저 개발사들이 새로운 보안 정책을 들고 나올 것”으로 찰스 림은 예상한다. “보다 강력한 보안 대책이 마련되고, 엄격한 정책을 발표할 것입니다. OS나 브라우저 업체는 아니지만 유튜브 역시 최근 크리에이터들을 대상으로 더 엄격해진 정책을 발표했죠.”

이처럼 해킹 공격이 만연해질수록 방어라는 게 혼자서 감당하기 버거운 것이 되어간다. 그렇기에 찰스 림은 “보안 관리 서비스(managed security service) 시장이 성장할 것”이라고 전망한다. “조직을 안전하게 지키려면 생각해야 할 것도 많고, 알아야 할 것도 많아지죠. 또한, 24시간 경계를 늦출 수 없게 됩니다. 이걸 일반 회사가 혼자 해내기는 힘듭니다. 그래서 보안을 전문으로 하는 업체에 대행 서비스를 맡기는 사례가 늘어날 것으로 봅니다.”

풀리지 않는 숙제, 교육
그러나 보안 업체에 사이버 경비를 맡긴다고 해도 빠르게 증가하는 공격들을 다 방어할 수 있을까, 하는 의문이 풀리지는 않는다. 보안 인력이 모자란 것도 세계 공통의 문제이기 때문이다. “그래서 일반인들에게도 기본적인 보안 교육이 필요합니다. 모두가 조금씩 기본을 지켜줄 때 사이버 공간은 더 안전해지는 게 사실이거든요.”

그러나 여태까지 일반인을 대상으로 보안 교육이 뚜렷한 성공을 거둔 사례가 없다. 찰스 림도 이 점은 늘 고민이라고 말한다. “그렇지만 계속 시도해야죠. 이 방법, 저 방법, 다 동원해서요.” 그가 긍정적으로 꼽는 ‘나쁘지 않은’ 보안 교육 시도들은 다음과 같다.


1) 정부와 보안 업체들이 합작한 TV 드라마
“최근 싱가포르 공영 방송에서 TV 드라마가 방영됐어요. It Will Never Happen Here이라는 제목의 시리즈물인데, 정보보안과 관련된 내용입니다. 보안이 제대로 지켜지지 않을 때 어떤 일이 일어나는가, 보안을 잘 지키려면 어떻게 해야 하는가 등을 다루는데, 정부 기관과 보안 산업 내 업체들이 합작해서 만든 거예요. 일반인을 대상으로, 누구나 볼 수 있는 채널에서, 드라마 콘텐츠라는 형태로 교육이 시도되었다는 것이 고무적이었습니다.”

2) 싱가포르의 테러 신고 앱, SGSecure
“싱가포르의 국가 안전 기관에서 만들고 배포하는 앱이 하나 있어요. SGSecure라는 앱인데, 물리 보안과 관련하여 수상한 움직임이 있을 때 누구라도 이 앱을 통해 신고할 수 있게 한 겁니다. 장난 및 허위 신고를 막기 위해 개인 인증을 하고 등록을 해야만 신고를 할 수 있는데, 사이버 보안에서도 이런 ‘국민 동원’ 시도를 응용해볼 수 있지 않을까 합니다. 자기가 직접 해보는 것만큼 좋은 교육 방법도 없거든요.”

3) 사건에 대한 수사 강화
“최근 전 세계적으로 점점 더 나아지고 있는 부분인데, 사법기관이 사이버 범죄에 대한 수사를 더 잘 해내고, 처벌도 제대로 하는 것이 중요합니다. 사이버 범죄자들이 양산되는 이유는, 체포되지 않을 확률이 높기 때문이죠. 그러니 수사기관들은 ‘사이버 공간이든 아니든 범죄를 저지르면 대가를 치러야 한다’는 메시지를 공공에 전달해야 합니다. 그러한 정서가 밑바탕에 깔려 있어야 범죄의 순간에 망설이기라도 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>