2017년 한 해 보안 업계에서는 랜섬웨어, 개인정보 유출, 공급망 공격이 뜨거운 감자였다. 2018년에는 여러 공격 방식이 더 복잡하게 얽혀서 방어를 어렵게 할 것이며, 돈이 되는 모든 곳에 공격이 집중될 것이다.
본지는 ‘2018년 주목해야 할 정보보호 이슈 10’으로 ▲공격자의 새로운 화수분, 가상화폐거래소 ▲‘돈’ 되는 개인정보 ▲신뢰 이용하는 공급망 공격 ▲AI vs AI ▲예정된 사고, IoT ▲진화하는 악성코드와 랜섬웨어 ▲사회기반시설 노리는 시스템 파괴형 공격 ▲엔드포인트 보호 기술의 혁신 ▲멀티클라우드 보안 전략 ▲위협 인텔리전스와 위협 헌팅을 선정했다.
2018년 주목해야 할 보안이슈를 점검하고, 이에 어더헥 대응해야하는지 살펴봄으로써 위험을 낮추고 비즈니스 경쟁력을 높일 수 있는 방법을 찾아본다.<편집자>
비즈니스 신뢰 급락시키는 개인정보 유출 사고
공격자는 ‘돈 되는 정보’를 원한다. 가상화폐 거래소 해킹, 랜섬웨어, 금융 악성코드 모두 공격자가 직접 돈을 벌 수 있는 방법이기 때문에 공격이 집중적으로 발생했다. 전통적으로 돈이 되는 정보는 ‘개인정보’이다.
포스포인트는 ‘개인정보 보호 전쟁’이 벌어질 것이라고 경고했다. 에퀴팩스와 같이 데이터를 수집·분석해 서비스하는 기업에 공격이 집중될 것이며, 영업 조직, 잠재 고객과 기존 고객에 대한 정보나 글로벌 마케팅 캠페인 관리 정보도 공격 대상이 될 수 있다고 말했다.
개인정보 유출은 천문학적인 벌금과 과징금, 집단소송 피해에 이어 비즈니스 신뢰도 하락으로 이어질 수도 있다. 우버와 인수협상을 진행 중인 소프트뱅크는 우버가 개인정보 유출 사고를 일으키고 이를 제대로 대응하지 못했다는 이유로 인수가격을 30%나 낮췄다. 우버에 대한 신뢰가 떨어졌다는 것이 이유다.
젬알토가 전 세계 1만명의 소비자들을 대상으로 조사한 바에 따르면 개인정보 유출 사고를 경험한 기업과 비즈니스를 하지 않는다는 응답이 무려 70%에 이르렀다. 개인정보 유출 사고는 비즈니스에 직접적인 피해를 일으킨다는 뜻으로 해석될 수 있다.
“개인정보 탈취 후 ‘GDPR 위반’ 협박 공격 늘 것”
특히 2018년에는 강력한 개인정보보호 규제인 EU GDPR이 시행됨에 따라 개인정보를 탈취한 후 GDPR 위반으로 협박하는 공격이 창궐할 것으로 예상된다.
트렌드마이크로에 따르면 공격자들이 고객정보를 탈취한 후 GDPR 규정을 언급하며 협박하는 공격이 늘 것으로 예상된다. 기업은 과징금보다 공격자가 요구하는 금액이 적으면 공격자에게 돈을 주겠지만, 한 번 데이터를 손에 넣은 공격자가 지속적으로 협박을 해 온다면, 그야말로 밑빠진 독처럼 돈을 지불해야 할 것이다.
강화되는 개인정보 보호 규제 지원을 위해 한국인터넷진흥원은 아시아태평양경제협력체(APEC) 개인정보보호 인증체계인 CBPRs에 참여하고, 인증기관 승인을 위한 신청서를 APEC에 제출했다. 그리고 KISA는 APEC과 함께 GDPR 상호운용 방안을 마련하기 위해 EU와 논의하고 있으며, CBPRs 인증을 받은 국내기업의 유럽시장 진출을 지원하는 내용을 담고 있다. 더불어 KISA는 개인정보보호인증제도(PIMS)와의 연계운영을 위한 CBPRs 국내 운영정책도 마련했다.
레그테크 도입 활발
한편 금융보안원은 GDPR, 중국 네트워크 안전법 등 글로벌 규제가 강화되면서 금융사의 규제준수 부담을 완화하기 위한 레그테크(Regtech) 도입이 활발해 질 것으로 예측했다. 레그테크란 규제(Regulation)와 기술(Technology)의 합성어로 기업이 IT 기술을 활용해 규제준수, 내부통제 등의 컴플라이언스 업무를 효율화하는 기술을 말한다.
아울러 랜섬웨어, 랜섬 디도스와 같은 랜섬형 보안위협은 사이버테러 형태로 진화해 금융권에 여전히 큰 위협이 될 것이며, 이를 종합적으로 분석·대응하는 위협 인텔리전스와 사이버 보험과 같은 사후적 대책에 대한 관심이 높아질 것으로 예상된다.
