가상화폐(암호화폐) 거래소 보안 위협이 올해 가장 심각한 위협이 될 것이라는 경고가 잇달아 제기되고 있으며, 기업의 정보보안 담당자 역시 이에 동의하는 것으로 나타났다. 더불어 가상화폐 거래원장으로 사용되는 블록체인과 관련해서는 이 기술이 어떻게 활용될지 잘 알지 못하며, 블록체인을 활용할 수 있는 업무가 제한적이라고 생각하는 것으로 나타났다. 정보보안 담당자 대상 설문조사 결과를 집중 분석해본다.<편집자>
보안 담당자 3.6%만이 “공급망 공격 위험”
이번 설문조사에서는 보안 기업/기관, 전문가들의 예측과 현장 보안 담당자들이 체감하는 보안 위협에 상당한 차이가 있는 항목이 있다. 전문가들이 보안 이슈 상위권으로 꼽은 공급망 공격과 블록체인이 대표적인 예이다.
공급망 공격은 대부분의 보안 예측 보고서에서 1~2위의 위협으로 꼽을 만큼 심각한 위협으로 지목된다. 소프트웨어 배포 서버, 업데이트 서버 등을 감염시켜 단숨에 대규모 공격이 가능하기 때문에 올해 성행할 것이라는 예측은 거의 모든 보고서에서 전망하고 있다.
공급망 공격은 정상 소프트웨어 인증서를 탈취하기 때문에 정상 프로그램으로 인식되고 배포된다. 동시에 다수의 시스템을 감염시킬 수 있으며, 정상 프로그램과 동일하게 동작하면서 뒷단에서 은밀하게 공격이 진행되기 때문에 관제/모니터링 시스템에서 탐지하지 않으면 알아차리기 어렵다.
그러나 실제 보안 현장에 근무하는 담당자들은 공급망 공격의 위험성을 심각하게 느끼지는 않는 것으로 나타난다. 지난해 보안사고 중 사회에 큰 피해를 입힌 공격으로 공급망 공격을 꼽은 응답자는 소수에 불과하며, 올해 위험을 예측하는 응답에서도 3.6%만이 공급망 공격의 위험성을 지목했다.
올해 가장 심각한 피해를 입힐 것으로 예측하는 것으로 가상화폐거래소 공격에 이어 랜섬웨어를 꼽은 응답자가 24.8%, IoT 기기 이용한 사생활 침해를 꼽은 응답자가 20.4%였다. 이어 개인정보, 생체정보 유출(10.9%), 사회기반시설 노리는 사이버테러(8.8%)의 순이었다.
“업무에 블록체인 활용한다” 7.2% 그쳐
블록체인 역시 전문가들의 예측과 현업의 체감 온도에 차이가 있는 것으로 보인다. 전문가들은 블록체인이 4차산업혁명을 이끌 기술 인프라로 부상하고 있으며, 금융 뿐만 아니라 물류·유통, 전자문서 관리, 의료제증명 등 다양한 분야에서 활용될 것으로 기대하고 있다.
그러나 금융기관을 제외한 기업에서는 블록체인에 그리 관심을 두고 있지 않은 것으로 나타났다. 설문에 응답한 금융기관 담당자 외에는 블록체인과 관련된 사업을 계획하거나 진행하고 있다고 답한 응답자가 거의 없었다. 이커머스 분야, 방송 분야에서 일부 검토 중이라고 답했지만, 다른 산업분야에서는 관심을 갖고 있지 않다고 답했다.
보안 담당자 개인적으로는 블록체인에 관심이 높다고 답했다. 블록체인에 대해 잘 알고 있다는 응답이 31.9%, 어떤 기술인지는 알지만 구체적으로 어떻게 활용되는지는 모른다는 응답이 54%였다.
소속된 기업/기관에서 블록체인을 활용해 업무를 진행하고 있다는 답은 7.2%에 그쳤으며, 블록체인을 활용할만한 업무가 없다는 답은 45.%를 차지했다. 블록체인이 무엇인지 잘 알지 못한다는 답도 9%를 차지했다.
그러나 현재 블록체인을 활용해 업무/사업을 혁신할 수 있는지 검토하고 있다는 답이 15.3%에, 블록체인이 무엇인지 알아보고 있으며, 앞으로 어떻게 활용할 수 있는지 검토할 예정이라는 답이 23.4%로 향후 블록체인이 적용될 사업은 늘어날 것으로 보인다.
블록체인을 활용할 수 있는 사업으로 가장 많은 응답을 한 분야가 사용자 인증(31.4%)이다. 고객이나 내부직원 인증을 위해 블록체인을 사용한다는 답이 가장 많았으며, 금융거래 21.6%, 전자계약 관련 업무가 11.8%, 물류·콘텐츠 유통 서비스가 7.8%였다.
블록체인을 검토하지 않는다는 응답 중에서는 블록체인을 활용할만한 업무가 없다는 답이 가장 많았으며, 블록체인은 아직 충분한 활용사례가 없어 안전성이 충분히 검토되지 않았다는 응답도 다수를 차지했다.
이번 설문은 2017년 12월 4일부터 20일까지 정보보안 담당자를 대상으로 이메일로 진행됐으며, 응답자는 276명이다. 산업별로 ▲공공기관 11% ▲금융 16.9% ▲통신·인터넷 서비스 28.0% ▲제조·유통 16.9% ▲의료·교육·방송 27.1%, 정보보안 업계근무 년수는 ▲5년 이하 7.2% ▲10년 이하 34.1% ▲15년 이하 27.5% ▲20년 이하 18.1% ▲그 이상 13.0% 였다.
