디지털 전환에 발맞춰 사이버 보안 강화하는 미국
사이버 보안 위협 증가에 따른 정부-민간기업 경각심 커져
디지털 전환 관련 신흥기술 부상에 따른 사이버 보안 중요성 대두

[보안뉴스 원병철 기자] 코로나19로 인한 팬데믹이 촉발한 변화 중 하나인 디지털 전환(Digital Transformation)은, 사회적 거리두기로 인해 온라인을 기반으로 한 경제활동의 급격한 성장과 재택근무와 그로 인한 디지털 기반의 플랫폼의 필요에 맞춰 점점 가속화되고 있다. KOTRA의 미국 실리콘밸리무역관은 무역보고서를 통해 미국의 디지털 전환과 그에 따른 사이버보안 강화 추세에 대해 진단했다.


미국에서도 역시 경제활동을 비롯해 사회 전반에 걸쳐 디지털 전환이 일어나면서 특히 작년부터 급격히 늘어난 재택근무, 원격수업 덕분에 사이버 보안 분야에서 광범위한 수요가 촉발됐다. 재택근무에 이용되는 직원의 VPN 계정정보를 획득하고 보안 취약점을 이용해 기업 내부망에 접근하거나, 원격수업 파일 다운로드를 통해 랜섬웨어를 공격하거나 첨부파일을 이용해 악성코드 감염을 유도하는 등의 형태로 보안 사각지대를 노린 사이버 위협이 증가한 것이다. 뿐만 아니라 디지털 전환의 핵심 기반기술이라고 볼 수 있는 클라우드 서비스 사용이 증가하면서 클라우드 서비스를 대상으로 한 공격도 함께 증가해 사이버 보안에 대한 필요성은 더욱 커졌다.

이런 배경 속에서 미국에서 지난 5월 7일 미국 최대의 송유관 업체 중 하나인 콜로니얼 파이프라인(Colonial Pipeline)이 사이버 공격으로 마비되면서 사이버 보안에 대한 우려가 극대화 됐다. 이 회사는 텍사스에서 뉴욕에 이르는 지역을 가로질러 매일 1억 갤런 이상의 휘발유, 디젤, 가정용 난방유, 제트 연료 등을 운송하고 있다.

오늘날 콜로니얼 파이프라인과 같은 현대 석유산업은 상당히 디지털화되어 있다. 압력 센서와 온도조절 장치, 밸브, 펌프 등을 이용해 수백 킬로미터 길이의 송유관 속 휘발유와 디젤 등 연료의 흐름과 관련한 정보를 중앙 시스템으로 전달받아 관리하고 제어한다. 이렇듯 운영에 필요한 모든 장치가 사람에 의한 물리적 제어가 아니라 컴퓨터에 의해 제어되므로, 해당 장치가 회사 네트워크에 연결돼 있을 때 네트워크를 겨냥한 사이버 공격이 생기면 회사 시스템은 상당한 피해를 입게 된다.

콜로니얼 파이프라인이 공격 받은 당시 연료 공급 부족 우려로 휘발유 선물 가격이 3년 만에 최고 수준에 도달했고, 미 연방수사국(FBI)도 조사에 관여하는 등 사이버 보안 문제가 유발한 사회적 파장은 매우 컸다. 미 언론들은 해당 사건이 미국 에너지 공급망에 대한 최악의 해킹 사고로 기억될 것이며, 미국의 사이버 보안 대응 역량에 대한 문제점을 심각하게 드러낸 사건이었다고 평가했다.

미국 정부와 기업들, 사이버 보안에 대한 경각심 커져
해당 사건 이후, 바이든 미국 대통령은 미국 내에서 발생하는 사이버 공격으로부터 에너지, 식량, 물, 전력 시스템과 같은 핵심 인프라 시설을 보호하고 이에 대응하기 위해서 정부와 민간 기업이 협력해 사이버 공간을 육성하고, 정부가 규범을 정하고 주도해야 한다고 강조했다. 또한, 정부 기관의 보안 향상, 연방 정부와 계약하고 있는 소프트웨어 제조사에 대한 새로운 표준을 부과하는 등 연방 정부의 보안 대책을 향상시키는 내용을 담은 ‘국가의 사이버 보안 향상에 관한 행정 명령(Executive Order on Improving the Nation’s Cybersecurity)’에 서명했다(2021년 5월 12일).

하지만 사이버 보안에 관한 연방의 규정이 여전히 단편적이고 부문적이라는 지적이 있어 왔는 바, 바이든 대통령은 핵심 인프라 소유자 및 운영자가 사이버 보안과 관련해 준수해야 하는 사항들을 담은 ‘핵심 인프라 제어 시스템을 위한 사이버 보안 개선┖에 관한 국가 보안 각서(National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems)’에 서명했다(2021년 7월 28일).

해당 각서에는 국토안보부의 CISA(Cyber Security & Infrastructure Security Agency) 및 상무부의 NIST(National Institute of Standards and Technology)가 다른 기관과 협력해서 핵심 인프라에 대한 사이버 보안 성능 목표를 개발하도록 지시하는 등의 내용이 포함돼 있다. 바이든 대통령은 해당 각서에 관한 백악관 성명에서 “핵심 인프라 시설에 가해지는 사이버 보안 위협은 우리 국가가 직면하고 있는 가장 중요하고 커지고 있는 문제 중 하나이며, 이러한 인프라를 제어하는 시스템의 성능 저하, 파괴, 오작동은 미국의 국가 및 경제 안보에 심각한 해를 끼칠 수 있다”면서 사이버 보안이 국가적으로 매우 중대한 사안임을 피력했다.

미국 기업들 사이에서도 사이버 보안은 최대 고민거리다. 글로벌 컨설팅 기업 PWC에서 2021년 1월 실시한 제24회 연례 CEO 설문조사 결과에 따르면 사이버 위협은 북미 지역 자산 및 자산 관리, 보험, 사모펀드, 은행 및 자본시장, 기술 부문 기업의 CEO가 가장 우려하고 있는 관심사인 것으로 나타났다. 코로나19 이후 디지털 전환이 가속화 됐지만 그와 함께 사이버 보안 위험도 함께 커졌기 때문이다.

이를 뒷받침하듯, 미국의 기업들은 그 어느 때보다 사이버 보안 및 개인정보 보호에 많은 비용을 지출하고 있고, 미래의 사이버 보안 위험에 대비하고 있다. 미국 Digital Trust Insight 스냅샷이 322명의 미국 기반 기업 CISO(정보보호최고책임자) 또는 CIO(정보최고책임자)를 대상으로 수행한 설문조사에 따르면, 응답자가 속하는 기업에서 올해 사이버 보안과 관련한 투자액이 상당히 증가했으며, 2022년에는 사이버 보안 및 개인정보 보호 관련한 지출이 훨씬 더 증가할 것으로 전망된다. 뿐만 아니라 응답자 중 64% 가량이 2021년 하반기에 보고 가능한 랜섬웨어 및 소프트웨어 공급망 사고가 급증할 것으로 예상하고 있으며, 응답자 중 약 50%는 보안팀을 재구성해 자사의 제품 개발 및 비즈니스 팀에 포함시킨 것으로 나타났다.

신흥기술 부상에 따른 사이버 보안 중요성 대두
기업들이 디지털 전환을 준비하며 신흥기술들을 서둘러 도입하고 있는 바, 이런 신흥기술들은 사이버 보안에 대한 중요성을 함께 견인하고 있다. 글로벌 컨설팅 업체 Deloitte와 FS-ISAC(금융 서비스 정보 공유 및 분석 센터)가 공동으로 대규모 금융기관들을 대상으로 설문조사를 실시한 결과, 응답자들이 우선적으로 도입해야 하는 디지털 신흥기술은 클라우드, 데이터/분석, 인공지능/인식 컴퓨팅, RPA(로봇 프로세스 자동화), 모바일 순이었다.


3년 연속으로 최우선 순위로 뽑힌 클라우드 기술은 디지털 전환의 핵심이라고 해도 과언이 아니다. 클라우드 시스템 도입은 디지털 전환을 위한 출발점으로, 클라우드 시스템을 먼저 도입해야 인공지능, 머신러닝, IoT, 블록체인, 로봇, 5G 등의 새로운 ICT 기술을 유연하고 편리하게 도입할 수 있기 때문이다. 이러한 이유로 이미 디지털 전환을 성공적으로 이끌고 있는 기업들은 IT 인프라의 상당 부분을 클라우드에 보유하고 있으며, 핵심 비즈니스 애플리케이션의 마이그레이션(이동)을 통해 다음 단계를 추진하고 있다. 하지만 클라우드 시스템을 도입하게 되면 많은 데이터와 애플리케이션이 기존 보안 경계의 외부로 이동함에 따라 사이버 공격의 위험도 증가하게 된다.

데이터/분석 기술은 두 번째 기술 우선순위의 두 번째를 차지했다. 디지털 환경에서는 민감한 개인 데이터도 디지털 세상에 노출될 가능성이 높으므로 개인 데이터 침해는 기업의 평판에 상당한 영향을 미칠 수 있다. 이와 동시에, 많은 기업이 독점 데이터 및 타사 데이터 벤더와의 통합을 통해 얻은 통찰력에 의존하고 있기 때문에 데이터 보호와 보안은 법적인 요건을 충족하는 것을 넘어 고객 개인의 데이터 보안 및 개인정보 보호의 기대사항을 충족시키는 데 있어 가장 중요한 요소다.

인공지능/인식 컴퓨팅이 3위를 차지하고 로봇 프로세스 자동화가 4위를 차지함에 따라 첨단 자동화 및 인공지능 기술이 기업의 운영 혁신과 비용 절감에 도움이 될 수 있는 새로운 솔루션을 제공하는 것은 분명하다. 고객이 자주 묻는 질문들에 답변하고 필요한 정보를 제공하는 챗봇을 예로 들어보면, 이들 챗봇은 사용자 권한을 가지고 있으며 중요한 회사 데이터 및 자동 처리 시스템에 액세스할 수 있다. 챗봇은 해킹조직에게 완전히 새로운 먹잇감이 된다. 해킹 조직은 챗봇을 사용해 시스템 내부로 침투할 수 있기 때문이다. 이렇듯 자동화 기술은 엄청난 잠재력에도 불구하고 개발 및 교육 과정과 사용 과정에서 기업의 취약점을 가중시킬 수 있다.

이렇듯 점점 더 클라우드 네이티브 및 API로 연결되는 세계에서 신흥기술은 ID 및 디바이스의 확산을 확대해 추가적인 ID 유형과 새로운 인증 요구사항을 생성하기 때문에 접근을 정확하게 제어하는 것이 중요하며, 점점 더 자동화된 환경에서 이 기능은 조직의 보안에도 절대적으로 필요하다. 이런 추세에서 사이버 보안의 필요성은 아무리 강조해도 지나치지 않다.

디지털 전환 추세와 맞물려 동반 성장하는 사이버 보안 시장
디지털 전환과 함께 사이버 위협과 보안의 필요성이 공공 및 민간 부문을 장악하면서 벤처캐피털도 무서운 속도로 사이버 보안 회사로 유입되고 있다. 글로벌 벤처캐피털 및 사모펀드 관련 데이터를 제공하는 Pitchbook의 데이터에 따르면 2021년 6월 15일 기준으로 사이버 보안 관련 신생기업이 전 세계적으로 99억 달러를 투자받았으며, 해당 금액은 2020년 투자금 총액의 96%에 해당하는 것으로 나타났다. 또한, 투자를 받은 기업의 평균 기업 가치는 2020년 대비 두 배 이상 증가한 4억7500만 달러를 기록했다.

벤처캐피탈들이 사이버 보안 분야에 주목하면서 사이버 보안 기술을 기반으로 한 신생기업들도 부상하고 있다. 최근에는 암호화폐 채굴 공격, 복합/연대 랜섬웨어 공격, 봇 조작과 같이 새로운 형태의 사이버 위협이 가해지고 있고, 이러한 위협은 점점 더 지능화되고 복합화되고 있는 바, 이러한 위협보다 한 발 앞서 나가기 위해 데이터 암호화, 인증, 토큰, 제어 및 저장 모듈 등에 중점을 둔 사이버 보안 신생기업에 대한 관심이 높아지고 있다. 또한, 클라우드 보안 성능을 개선하기 위해 인공지능, 머신러닝, 빅데이터 및 블록체인과 같은 다양한 고급 기술의 사용을 모색하는 기업도 많아지고 있다.


사이버 보안 시장이 성장하면서 사이버 보안 기술이 다른 기술 부문과 경계가 모호해지거나 융합되는 현상도 일어나고 있다. 고객 기업이 웹 및 모바일 결제를 수락할 수 있도록 지원하기 위한 온라인 결제 처리 플랫폼을 제공하는 Stripe은 최근 사용자 신원을 확인하는 기술을 출시해 Okta 및 Trulioo와 같은 기존 선도 기업과 경쟁하고 있다. 업계 전문가들은 앞으로 수 년 동안 디지털 전환이 가속화되고 사이버 보안 위협의 범위도 넓어지는 만큼 사이버 보안기술의 중요성은 더욱 주목받을 것으로 예측하고 있다.

시사점
매년 샌프란시스코에서 개최되는 세계 최대 규모의 정보보안 콘퍼런스 RSAC에서 2021년 메인스폰서로 참여한 현지 기업에서 엔지니어로 근무하는 A씨는 KOTRA 실리콘밸리 무역관과의 인터뷰에서 “미국의 기업들은 이제 상용 기성 소프트웨어(COTS)를 구매하는 대신 서비스로서의 소프트웨어(SaaS)를 채택하고 있다. SaaS를 사용하는 기업들은 자체 데이터센터에서 실행하지 않고 클라우드에서 애플리케이션을 호스팅하기 위해 SaaS 공급업체에 의존하고 있는 바, 대부분의 기업은 결국 SaaS 접근 방식에 내재된 사이버 보안 위험에 직면하게 된다. 기업 관점에서 보면 보안과 관련해 고객 중심적인 접근 방식을 취하고 제품의 보안기능을 더 쉽게 이해할 수 있는 서비스를 제공하는 업체들이 경쟁력이 있다. 한국의 기업들이 미국 시장에 진출하기 위해서는 이러한 전반적인 시장 흐름에 대한 정보 조사가 무엇보다 우선적으로 이뤄져야 한다”고 조언했다.

미국에서 사이버 보안의 중요성이 날로 높아져가고 관련 시장도 성장하는데 반해 국내 사이버 보안 시장의 성장률은 상대적으로 미미하다. 사이버 보안기술에 투자되는 금액이 적기 때문이다. 한국 대기업 IT 보안부서에서 근무하는 K씨는 KOTRA 실리콘밸리 무역관과의 인터뷰에서 “코로나19 이후로 사이버 보안 위협이 눈에 띄게 증가했다. 사이버 보안의 중요성은 앞으로 더욱 커질 것이다. 국내의 경우 사이버 보안에 대한 인식과 사이버 보안 전문인력이 부족한 게 현실이다. 새로운 사이버 공격 수법이 하루가 멀다 하고 등장하는 오늘날 보다 혁신적인 전략이 필요하며, 이점에서 미국 정부와 민간 기업의 사이버 보안 대응 전략을 참고로 삼아야 한다. 국내에서 사이버 보안의 중요성이 제고되고 사이버 보안 기술에 대한 투자도 늘어난다면 사이버 보안시장도 성장하는 선순환 구조가 일어날 수 있겠다”며 의견을 밝혔다.

한편, KOTRA 실리콘밸리 무역관은 국내에서도 정부 주도로 코로나19로 인한 경제위기를 극복하기 위한 DNA(Data, Network, AI) 기반의 디지털 뉴딜 프로젝트가 시행되고 있다면서, 코로나19로 인해 온라인 소비, 원격근무 등 비대면화가 확산돼 ‘디지털 역량’이 국가 경쟁력의 핵심요소로 부각됨에 따라 우리의 강점인 ICT를 전 산업분야에 융합하는 디지털 전환을 준비하고 있다고 분석했다. 하지만 앞서 서술한 바와 같이 디지털 전환에 따른 사이버 보안 위협의 증가는 필연적이며, 사이버 공격이 급증하면서 보안의 중요성은 날로 커지고 있는데 중소기업은 부족한 전문인력과 예산 등으로 보안 위협에 취약하다고 진단했다.

이에 미국을 비롯한 ICT 선도국의 동향을 면밀히 주시하고 사이버 보안에 대한 인식 제고가 필요한 시점이라고 강조했다. 아울러 시스템에 대한 모의해킹, 개인정보 정책준수 등에 대한 현장점검을 실시하고, 각 기업에 맞는 개선방향 제시, 임직원에 대한 정보보호 교육 제공 등 중소기업의 정보보호 역량 강화를 지원하는 민간 기업의 프로그램도 존재하는 바, 우리 중소기업들은 적극적으로 사이버 보안 위협에 대비하는 자세가 필요할 것이라고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>