보안의 가장 큰 구멍은 ‘모르는 것’...내가 가진 장비부터 알아야
랜섬웨어 공격은 점점 표적형으로 바뀌고 있어...화웨이는 여전히 뜨거운 감자

[보안뉴스 문가용 기자] 지난 한 주 동안 해외 보안 업계에서는 어떤 일들이 있었을까? 7월 4째 주 동안 보안 업계에서 일어났던 사건들의 본질을 꿰뚫는다고 느껴지는 업계 종사자들의 말을 간략하게 정리해 보았다.


사물인터넷
“회사 내에서 사물인터넷 장비를 사용하고 있다면 미라이에 특히 주의를 기울여야 합니다. 그런데 회사에서 사물인터넷 장비가 사용되고 있는지 모른다면, 더 경계해야 합니다.”
IBM의 수석 사이버 위협 분석가, 찰스 드벡(Charles DeBeck)

사물인터넷은 앞으로 거대한 위험요소가 될 전망이다. 이와 관련해서는 주로 제조사에 비판이 주어졌었다. 보안 장치가 갖춰진 장비를 만들어야 한다는 촉구가 지속적으로 있었다. 반면 소비자들을 위한 조언은 그리 많지 않았었다. 내가 사용하고 있는 장비가 사물인터넷인지 아닌지, 우리 집이나 회사에 이런 장비가 몇 대나 있는지 모르는 것 자체부터 해결해야 한다는 찰스 드벡의 조언이 좋은 시작점으로 보인다.

프라이버시
“이제 기업들은 소비자 데이터를 다룬다는 것에 있어 이전보다 훨씬 더 큰 신중을 기해야 할 것입니다.
미디어 트러스트(Media Trust)의 전략 담당자, 알렉스 칼릭(Alex Calic)

“권력 기관들의 본격적인 망치질이 시작됐습니다.”
사이퍼클라우드(CipherCloud)의 CEO, 프라빈 코타리(Pravin Kothari)

이번 주 FTC가 에퀴팩스가 4억 달러에 합의를 봤다. 7월 한 달 동안 유럽과 미국에서 소비자의 프라이버시 침해에 따른 벌금이나 합의금으로 천문학적인 금액이 자꾸만 책정되고 있다. 소비자의 프라이버시를 지킨다는 게 어떤 것인지 기업들은 다시 한 번 생각해봐야 할 것으로 보인다. 소비자 프라이버시 보호가 새로운 ‘상도덕’ 혹은 ‘기업 윤리’가 되어가고 있다.

랜섬웨어
“2017년 1월에는 표적형 랜섬웨어 공격이 딱 두 건 있었습니다. 2019년 5월에는 한 달에 50건 정도로 늘었습니다.”
시만텍

여러 차례 기사를 통해 인용했지만, 랜섬웨어 공격은 이제 ‘표적 공격’ 형태가 대세다. 스팸 메일로 페이로드를 살포하고, 누군가 걸려들기를 희망하는 식의 랜섬웨어 공격은 촌스러운 방식이 됐다. 랜섬웨어가 표적 공격 형태로 바뀌어 가는 이유는 ‘수익성’이다. 표적 공격을 통해 더 많은 금액을 낼만 한 대상을 공략하면, 더 높은 금액을 부를 수 있다는 것이다. 표적 공격은 방어자 입장에서 막기가 더 까다롭다. 랜섬웨어 방어에 대한 새로운 자세가 필요하다.

화웨이
“화웨이 소프트웨어와 하드웨어가 국가 안보에 위협 요소로서 작용하고 있습니다. 왜냐하면 민간 기업이 중국 첩보 기관과 반드시 협조하도록 중국 법이 정하고 있기 때문입니다.”
체코의 국가사이버정보보안국(National Cyber and Information Security Agency)

“일부 5G 네트워크 장비 제조사들의 경우, 자신들만의 독특한 인터페이스를 만들어 고객들이 같은 회사에서만 제품을 사도록 강제하는 경우가 있습니다.”
미국의 국토안보부 산하 CISA

5G 시대가 성큼성큼 다가오고 있는 가운데, 체코와 미국이 중국의 화웨이를 다시 한 번 견제하는 듯한 발표를 했다. 체코는 중국의 법에 얽매여 있을 수밖에 없는 화웨이는 근본적으로 위험한 존재라고 강조했고, 오래 전부터 화웨이를 위험 요소로 간주해 온 미국은 5G 네트워크 장비 제조사들 간 호환성 문제를 언급하며 화웨이를 ‘신뢰하기 힘든 업체’라고 돌려서 비판했습니다.

클라우드
“클라우드로 일단 오긴 왔는데, 그 다음부터 뭘 어떻게 해야 할지 모르는 기업들이 정말 많습니다. 그들은 ‘내가 뭘 모르고 있는지 모르겠다’고 말합니다.”
보안 업체 트림아크(Trimarc)의 CTO, 션 멧카프(Sean Metcalf)

우리는 클라우드로 이전하는 조직들의 수에 대해서는 자주 접할 수 있다. 수많은 기업과 사용자들이 크고 작은 클라우드 서비스를 사용하기 시작했다. 그러므로 클라우드의 시대가 열린 것 같다는 결론을 내리기 쉽다. 그러나 그렇게 클라우드 속으로 들어간 사용자나 기업들이 어떤 마음인지는 잘 모른다. 그들이 눈 먼 장님처럼 답답하게 앉아서 뭘 어떻게 할지 모르는 사이 수많은 데이터가 해킹 당한 것보다 더 많이 새나가고 있는 것도 모른 척 한다. 클라우드 무지의 시대라면 모를까, 클라우드의 시대는 아직 아니다.

보안 소프트웨어 실험 평가
“실험 평가 산업의 현재 문제는 큰 틀에서 표준이 없다는 것입니다. 그래서 실험을 진행하는 곳에서 실수를 하거나, 피실험 기관이 실험 결과에 입김을 불어 넣으려고 합니다. 결국 아무도 믿을 수 없는 결과만 나온다는 것이 가장 큰 피해입니다.”
NetSecOPE, 브라이언 몽크먼(Brian Monkman)

블록체인이 뜨면서 ‘탈중앙화’라는 개념도 새롭게 조명을 받고, 그러면서 일부에서는 중앙 기관이나 중앙 통제 장치의 무용론까지도 등장했다. 어떤 분야에서야 중앙에서 뭔가를 통제한다는 게 불필요할 수 있으나, 적어도 실험 평가 산업에서는 안 그런 거 같다. 실험을 받는 자들과 평가 결과를 기다리는 소비자들이 모두 납득할 수 있는 표준 실험 제도가 중앙에서 버티고 있지 않은 보안 소프트웨어 실험의 경우, 탈도 많고 문제도 많다. 그래서 소비자들은 아직도 뭘 믿고 비싼 보안 소프트웨어를 사야할지 판단을 내리지 못하고 잘 사지 않게 된다고 한다. 별별 이름으로 참가자 전원에게 상을 챙겨줌으로써 스스로 권위를 땅바닥에 떨어트린 각종 연말 시상식과 비슷한 꼴이 보안 소프트웨어 평가 시장에서 벌어지고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>