사물인터넷 통한 사이버공격 대비한 정보보호 방안이 요구된다

2014년 한해동안 세계 선도의 금융사나 소매, 의료기업들을 대상으로 한 정보 유출 사건들이 끊이지 않았다. 이 사건들은 신용카드 정보는 물론 개인 신상 정보, 또는 암거래 시장 거래에 가치있을 만한 개인 기록들을 보유하고 있는 기관들을 대상으로 정교하게 이뤄졌다.

이런 사이버 범죄들이 96% 이상의 웹페이지를 관리하는 딥웹(Deep Web)으로 옮겨지고 있다. 이 딥웹은 익명으로 정보 교환 및 거래가 가능한 TOR로 알려진 전용 브라우저로만 접근할 수 있다. 한편 고용된 사이버 범죄자들은 기업 자료 절취부터 분산 서비스 거부 공격까지 활동 범위는 다양하며 그 댓가로 비트코인(bitcoins)을 받고 있다.

지금까지 대부분의 사이버 공격은 기업 비즈니스나 운영에 영향을 주는 정보 보안과 관련이 많았다. 하지만 최근 들어서는 각 개인을 대상으로 한 인터넷 사기 사건들이 빈번해지고 필드 장치로 쓰이는 사물 인터넷에서 발생하는 새로운 위협들이 가해지면서 이들을 어떻게 사전에 보호하고, 사고 발생시 어떻게 대처할 것인가에 대한 우려가 높다.

프로스트 앤 설리번 ICT 산업부에서 네트워킹, 정보 및 사이버 보안 조사를 맡고 있는 찰스 림(Charles Lim) 선임 연구원은 “사이버 보안에서 정보 보안 방어를 위해서는 기대 이상의 많은 조치들이 필요하다. 스마트 시티 계획에 힘을 실어주는 새로운 사물 인터넷에 인터넷 접속을 통한 사이버 공격이 가해질 수 있기 때문에 더 늦기전에 대규모 사이버 공격 대상으로 쉽게 노출될 수 있는 기존의 주요 인프라에 더 강력한 보호 방안을 강구해야 한다”고 전했다.

찰스 림 선임 연구원은 일례로 컨넥티드 카를 들기도 했다. 자동차 기업들은 고객들에게 새로운 차원의 강화된 운전 경험을 전달하고자 많은 노력을 쏟고 있지만, 보안 인프라에 있어서는 약한 모습을 보이고 있다고 전했다.

컨넥팅 추진 만큼 충분한 보안 대책 나와야

인터넷의 이점들을 활용하기 위해 주요 인프라에서는 “컨넥팅”이 꾸준이 추진될 것이다. 하지만 최근들어 많은 이들에게 컨넥팅 운영 기술에 충분한 사이버 보안 대책이 포함되어 있는지 의문을 살 만큼 주요한 보안 사건들이 발생하고 있다. 이번 프로스트 앤 설리번 ICT 브리핑에서는 보안에 있어 기업들에게 여전히 중요한 것들이 무엇이 있는지와 더불어 기업 보안 솔루션 연구에 대한 최신 정보와 최근 몇 달새 떠오른 혁신 보안 기술들에 대한 정보들을 공유하는 시간을 가졌다.

적절한 계정 접근(Identity Access)이 기업들이 여전히 골치 아파하는 문제들 중 하나인 가운데, 인증을 위해서는 기본적으로 강력한 암호가 필요하다. 하지만 최근들어 보안 기술 시장의 판도를 흔드는 게임 체이저(game changer)가 나타나고 있고, 주요 소프트웨어 기업들은 앞으로 암호가 필요하지 않아도 되는 기술 체계를 갖춘 자신들의 설계에 보안을 통합시키고 있다.

이번 브리핑에서는 디셉션 기술(Deception technology)도 다뤄졌다. 악의적인 웹사이트를 통해 잠재적 희생자들을 속여 클릭을 유도하는 것처럼 디셉션 기술은 주로 사이버 공격자들이 인터넷 사용자들을 현혹시키는 수단으로 쓰여질 것이다. 디셉션 보안 기술들 역시도 기관들을 상대로 하는 웹 공격 가능성을 줄여 줄 것이다.

산업내 보안 격차를 해결하는 것부터 시작해 종합적인 접근 방식으로부터 보안이 어떻게 간주되어야 하는지에 대한 권고까지, 더 나은 보안 솔루션들에 대한 연구가 꾸준히 이어질 것이다. 프로스트 앤 설리번도 앞으로 계속 보안 설계에 관한 새로운 패러다임들과 기업 및 보안 서비스 공급업체 모두가 리스크 관리 방식으로 고려할 수 있는 컨셉들을 제시할 것이다.©

아이씨엔 매거진 5월호