“IoT 파괴는 예정된 사건이다.”
포스포인트는 28일 ‘2018년 보안 예측 보고서’를 발표하며 이같이 밝혔다.
가정용 IP카메라를 해킹해 사생활을 성인 사이트에 중개하는 사고가 연일 터지고 있으며, 가정용 공유기를 디도스 공격에 사용하는 사고도 발생하고 있다. 지난해 보안에 취약한 CCTV를 해킹해 디도스 공격을 일으켜 세계적인 인터넷 기업을 마비시킨 미라이 봇넷과 같은 공격은 얼마든지 나올 수 있다. 현재 여러 보안 기업들이 미라이 봇넷보다 강력한 힘을 갖고 있는 대규모 봇넷이 형성될 움직임이 있다고 연일 사용자와 IoT 기기 제조사들에게 경고하고 있는 상황이다.
포스포인트 보고서에서는 IoT 디바이스는 사이버 범죄자들의 대가를 요구하거나 네트워크상에 장기간 지속적으로 주둔하기에 좋은 먹잇감이 될 것이라고 경고했다. 이러한 사물과 연결되어 발현되는 랜섬웨어는 다른 양상으로 나타나게 될 것이며, 2018년에 출현할 새로운 위협은 기기의 파괴를 초래할 것으로 예측된다.
IoT는 대량의 중요 데이터에 접근하는 동시에 기기 파괴 가능성 또한 갖고 있어, 이러한 데이터 영역에서의 직접 공격과 다양한 중간자 공격(MITM)과의 통합도 목격할 수 있을 것이다.
‘전쟁’이라 불릴만한 개인정보 보호 논쟁
보고서에서는 또한 내년 5월 시행될 유럽 개인정보보호법(EU GDPR)을 비롯해 각국에서 개인정보 보호 규제가 강화되고 있어 개인정보 보호와 관련된 광범위하고 극단적인 프라이버시 논쟁이 점화될 것이라고 예측했다. 이는 정부뿐만 아니라 일반 국민들에게까지 확대될 것으로 보인다.
최근 몇 년 동안 개인정보에 대한 사용자들의 인식은 ‘사적’인 영역과 ‘공적’인 영역 사이에서 조금씩 변화되어 왔다. 법률적, 기술적, 사회적, 정치적 요인들이 결합되면서 개인적인 권리와 다수를 위한 보안 사이에 갈등이 발생하고 있으며 ‘개인정보 보호 전쟁’으로 불릴 만큼 치열한 논쟁이 진행되고 있다. 이로써 과학 기술 전문가와 평범한 일반인 간에 대립이 형성되며 정부, 일터, 가정에서의 의견이 분열되는 상황이 나타나고 있다.
데이터 수집 기업에 대한 공세
개인정보보호와조 밀접한 관련이 있는 내용으로, 에퀴팩스와 같이 데이터를 수집·분석해 서비스하는 기업에 대한 공격이 집중될 것이다. 포스포인트는 호스팅 비즈니스 애플리케이션에 대한 수많은 공격의 시작이라고 분석했다.
영업 조직, 잠재 고객과 기존 고객에 대한 정보나 글로벌 마케팅 캠페인 관리 정보도 공격 대상이 될 수 있다. 공격자들은 침투하기 가장 쉬운 길을 찾아, 개인 정보 중에서 가장 가치 있는 자산을 포함하고 있는 시스템의 취약한 부분을 공략할 것이다.
잇따르는 가상화폐 해킹
가상화폐 거래소가 잇달아 해킹을 당하고 있는 가운데, 포스포인트 보고서에서도 가상화폐 해킹에 대한 경고를 내놨다. 사이버 범죄로부터 이익을 창출하는 방법을 포함해 가상화폐의 중요성이 증가함에 따라 포스포인트는 화폐 관련 시스템에 대한 공격이 계속 증가할 것이라고 예상하고 있다. 가상화폐 거래 사용자를 대상으로 한 멀웨어가 급격히 증가할 것이다.
포스포인트의 수석 과학자인 리처드 포드(Richard Ford) 박사는 “우리 예측의 핵심은 민감한 데이터와 지적 재산을 소유한 사람들의 교차 지점을 정확히 이해해야 한다는 것”이라며 “사이버 행동과 의도를 보안의 중심에 두고 위협 환경 속에서 거대한 변화 속도에 발맞춰 나갈 기회를 확보할 수 있을 것”이라고 말했다.
포드 박사는 “데이터 유출과 랜섬웨어는 앞으로도 주로 치료와 예방에 집중될 것으로 예상되지만, 수많은 보안 사고 뒤에는 행위 중심의 위험이 도사리고 있다”라고 지적했다. 그는 “사람들의 행위와 보안은 상호 배타적인 것이 아니어서, 사용자의 의도하지 않은 어떠한 행위가 1분 안에 시스템을 위험에 빠뜨릴 수도 있고, 바로 다음 순간 놀라운 혁신을 일으키기도 한다”라고 설명하며, “사용자들이 민감한 비즈니스 데이터와 어떻게 교류하는지를 올바로 이해할 수 있을 때에만 사용자들에게 자율권을 부여할 수 있는 것”이라고 덧붙였다.
