[데이터넷] 사이버 공격은 올해 한층 더 악랄해질 것으로 보인다. 특히 랜섬웨어와 국가기반 공격이 일반 국민들의 생활과 생명까지 위협하게 될 것이다. 이에 대응하기 위해서는 모든 서비스에 보안을 내재화해야 하고, 이를 위해 보안이 모든 서비스 개발과 운영에 참여해야 하며, 권한과 위상이 강화돼야 한다. 매년 진행하는 보안 담당자 설문조사에서 반복되는 지적이지만, 개선되는 속도는 매우 더디다. 기업·기관 보안 담당자들이 체감하는 보안 현실과 대안을 알아본다. <편집자>

올해 랜섬웨어가 한층 더 악랄하게 진화할 것으로 예상되는 가운데, 이에 대응하기 위한 방법으로, 모든 서비스에 보안을 내재화하는 것, 기업·기관의 보안인력과 예산확충, 보안조직 권한 강화 등이 강조된다. 이는 보안을 위한 가장 기본적인 원칙이지만, 현실의 장벽이 높다는 것이 문제다.

<네트워크타임즈>와 <데이터넷>의 ‘2022년 보안 담당자 설문조사’에서 올해 가장 큰 피해를 입힐 보안 사고로 33.3%가 랜섬웨어를 꼽았으며, 이 사고를 막기 위해 가장 시급히 해결해야 할 과제로 41.7%가 보안인력과 예산 확충, 보안조직 권한 강화를 들었다. 또 보안 분야 종사자로서, 기업·기관 및 정부의 보안 정책에 대한 의견을 묻는 질문에도 가장 많은 응답자가 보안조직 강화를 꼽았다.

랜섬웨어·스마트홈 해킹 ‘심각’

조사에서 우리 사회에 가장 큰 피해를 입힐 보안사고와, 응답자가 속한 조직에 가장 큰 피해를 입힐 보안사고를 묻는 질문에 가장 많은 응답자가 랜섬웨어를 들었다. 사회와 일상생활에 미칠 영향이 큰 사고를 묻는 질문에 27.6%가 랜섬웨어를, 25%는 스마트홈 해킹 공격을 들었다.

랜섬웨어는 최근 몇 년간 개인 대상 공격을 줄이는 대신 돈이 되는 기업을 대상으로 한 대규모 공격 빈도를 늘려왔다. 그러나 지난해에는 개인 대상 랜섬웨어도 늘어나는 추세를 보였다. 이스트시큐리티가 분기별로 발표하는 ‘알약 랜섬웨어 행위기반 차단 통계’에 따르면 지난해 4분기 차단한 랜섬웨어 공격 건수가 3분기에 비해 증가한 것으로 나타났다. 이 통계는 공개용 알약이 차단한 건수를 집계한 것으로, 개인대상 랜섬웨어 시도가 늘어났다는 것을 의미한다.

또 지난해 아파트 월패드 해킹으로 사생활 유출 사실이 언론에 보도되면서 스마트홈 해킹 우려가 수면위로 올라왔다. 아파트 월패드 해킹 뿐 아니라 아파트 설비 자동제어 시스템 서버가 해킹당해 공격 경유지로 활용된 정황이 드러나는 등 스마트홈 보안 문제가 본격화되기 시작했다.

지난해 다크웹 개인정보 판매 게시글이 잇달아 공개되면서 이에 대한 공포도 현실에 나타났다. 설문 응답자의 17.9%가 다크웹 개인정보 공개와 거래가 가장 큰 피해를 입힐 것이라고 답했는데, 이는 지난해 다크웹에 개인정보 판매 글이 잇달아 발견되면서 관심이 쏠렸기 때문이다.

공개된 개인정보 중 일부는 활용 가치가 없는 오래된 정보로 알려지면서 실제 공격자들이 보유하고 있는 정보가 어떤 수준인지에 대한 의문이 생기기도 했다. 공격자 중에서는 자신이 갖고 있는 정보의 규모를 부풀려 언론에 보도 되도록 공개하면서 자신이 가진 정보의 가격을 올리는 정황도 보였다.

물론 공격자들이 실제 거래하는 정보의 규모와 가치는 직접 구입해 확인하지 않으면 파악할 수 없기 때문에 공격자들의 말이나 정황만으로 판단할 수는 없다. 그러나 다크웹 모니터링 기술 발달로 개인정보 거래 사실이 구체적으로 확인되고 있는 만큼, 개인정보 보호 인식을 높이는 계기가 될 것은 분명해 보인다.

심화되는 국가기반 공격

국가기반 공격(14.7%)과 소프트웨어 공급망 공격(12.2%)도 심각한 피해로 지목됐다. 국가기반 공격자들이 정치적 목적 뿐 아니라 금전적 목적의 공격을 벌여온 것은 암호화폐 가치가 상승하면서 본격화됐다.

러시아, 북한 등을 기반으로 한 공격자들이 금융기관 등 높은 수익을 얻을 수 있는 기관을 상대로 공격을 펼치다가 랜섬웨어·암호화폐 탈취 및 불법 채굴 공격을 진행하면서 수익을 얻어왔다.

국가기반 공격은 경쟁관계에 있는 상대국의 혼란을 일으키는 일도 서슴지 않는다. 콜로니얼 파이프라인 랜섬웨어와 같이 중요한 사회인프라를 마비시켜 생활을 어렵게 하거나 가짜뉴스, 딥페이크 등으로 여론을 조작해 사회를 혼란하게 만들거나 자신들에게 유리한 정치집단이 권력을 잡을 수 있도록 조장하기도 한다.

이러한 피해를 막기 위한 방법으로 35.3%의 응답자들이 모든 서비스에 보안을 내재화하도록 법과 제도를 마련해야 한다고 답했으며, 30.1%는 사이버안보법 제정과 사이버안보 컨트롤 타워 설립을 요구했다.

보안내재화는 정부에서도 중요성을 인식하면서 적극 추진하겠다는 의지를 보이고 있지만, 이를 위한 법과 제도 마련은 아직 더딘 상황이다. 예를 들어 정부는 인더스트리4.0 정책 을 펼치면서 제조시설을 스마트팩토리로 전환시키기 위해 많은 예산을 투입하고 있다. 그러나 공개된 지원책에 보안 관련 항목은 없다. 많은 정책이 ‘자동화’에 초점이 맞춰져 있으나 보안 점검·보안체계 마련을 의무화하거나 강화하는 조항은 언급되어 있지 않다. IoT 기기와 서비스에 대해서는 보안인증을 받도록 하고 있으나, 의무조항이 아니어서 효과가 있다고 보기 어려운 현실이다.

심각성을 더해가는 국가기반 공격과 APT 공격으로부터 기업과 국민의 재산·생명을 보호하기 위해 보안 정책을 총괄하고 침해에 대응하는 컨트롤타워가 필요하다는 인식은 높아지고 있지만, 구체적인 정책 노력도 더딘 편이다. 20여년 전부터 사이버안보법이 제정돼야 한다는 목소리가 높았으며, 국가사이버안보청 설립도 최근 몇 년 전부터 논의되어왔지만, 제자리 걸음에 머무는 상황이다.

보안 솔루션 도입보다 ‘조직 강화’ 먼저

기업·기관에게 피해를 입힐 공격도 랜섬웨어(33.3%)가 가장 심각한 위협으로 지목됐으며, 개인정보와 중요정보 유출(32.7%)이 랜섬웨어와 비슷한 수준의 위협으로 꼽혔다. 이어 시스템 파괴로 인한 비즈니스 중단, 비즈니스 이메일 침해(BEC)와 스캠이 각각 16.7%의 응답을 받았다.

BEC는 별다른 공격도구 없이 피해자의 업무 프로세스를 악용하는 것이기 때문에 매우 심각한 위협으로 꼽힌다. 공격자는 피해자 기기에 숨어 이메일, 메신저 등의 커뮤니케이션을 모니터링하면서 악용 가능한 커뮤니케이션 이슈를 찾는다.

무역대금 지급 날짜에 임박해 거래처 임원이나 담당자를 사칭해 대금 송금을 요구하는 것이 가장 많이 발생하는 BEC 수법이다. 정상적인 업무 프로세스를 이용하며, 신뢰할 수 있는 거래처로 위장하기 때문에 보안 솔루션을 사용하거나 사용자 주의로 차단하기 매우 어려운 일이다.

기업·기관의 보안 위협에 대응하는 방법으로 41.7%가 보안인력과 예산 확충, 보안조직 권한 강화를 들었으며, 20.5%는 임직원 보안인식 강화 교육과 캠페인을 꼽았다. 60% 이상 응답자가 보안 솔루션·서비스 도입보다 조직 차원의 대책을 요구하고 있는 것이다.

보안 조직의 권한이 강화되어야 한다는 점은 거의 대부분의 경영 컨설팅 펌에서도 강조하는 것이다. 딜로이트는 ‘사이버의 미래 2021 서베이’에서 사이버 보안에 관한 문제를 CISO가 CEO에게 직접 보고할 수 있도록 전권을 부여해야 하며, CISO는 자사의 모든 사업을 파악하고 참여할 수 있어야한다고 강조했다. 또 CISO는 이사회가 이해할 수 있는 방식으로 위험 평가를 설명하며 양방향 소통이 이뤄져야 한다고 역설하며, 새로운 사업에도 보안이 처음부터 참여해 적절한 사이버 거버넌스가 수립돼야 한다고 밝혔다.

망분리 상태서 클라우드 의무 도입 ‘비현실적’

이번 설문의 마지막 질문에서 보안분야 종사자로서 응답자가 속한 조직이나 정부의 보안 정책에 대해 개진하고 싶은 의견을 자유롭게 밝혀달라는 질문에도 가장 많은 응답자들이 정부의 보안강화 정책을 들었다. 전체 예산과 인력 대비 일정 부분을 보안 예산과 인력 확충에 사용하도록 강화하는 한편, CISO 의무화를 공공기관을 포함한 전 산업으로 확대하는 등의 요구가 담겨있었다.

또 규제의 현실화와 CISO 의무화 확대 및 보안조직 강화에 대한 요구도 매우 높았다. 특히 규제개선과 관련, 현실과 맞지 않는 망분리 규제를 개선해달라는 주장이 다수였다. 예를들어 클라우드·재택근무를 권장하면서 망분리 의무화를 강화하는 것은 모순된 주장이다.

공공기관은 일정 비중 이상 클라우드 도입을 의무화하고 있는데, 공공기관이 사용할 수 있는 인증 받은 클라우드의 종류가 많지 않으며, 망분리를 유지한 상태에서 업무 효율성과 민첩성을 높일 수 있는 클라우드 사용은 매우 어렵다.

재택근무 역시 마찬가지로, VPN을 이용해 망분리된 업무망으로 접속해야 하는데 VPN의 속도와 장애, VPN 자체가 가진 보안 취약점 등의 문제를 해결하지 않은 채 망분리를 유지하면서 재택근무를 권장하는 것은 전혀 현실적이지 않으며, 오히려 보안 문제를 악화시킬 수 있다.

다음으로 많은 답변이 나왔던 분야가 인력 양성과 신기술의 적극적인 활용, 그리고 침해대응 강화와 현장에서 사용 가능한 가이드라인 지원 등이었다. 보안위협이 시시각각 달라지고 있으며, 이에 대응하기 위한 다양한 신기술이 제안되고 있다. 또 이를 제대로 이용할 수 있는 전문성이 요구되는 상황이다.

민·관 및 각국 정부와의 위협정보 공유를 통한 위협 대응이 확산되면서 이러한 노력이 기업 일선에까지 영향을 미치도록 더욱 적극적인 활동이 필요하다는 의견이 나왔다. 보안 책임 늘어도 권한은 낮아 보안조직의 권한과 위상이 강화되어야 한다는 주장에 아무도 이의를 제기할 사람은 없지만, 현실화되는 것은 매우 어려운 일이다.

보안위협이 기업의 존망을 가르는 일이 될 수 있으며, 코로나19로 재택근무·클라우드 도입이 늘어나면서 공격 기회가 더 늘어난 심각한 상황이 됐다. 위협 수준이 높아지고 보안조직의 책임도 무거워졌지만, 그에 상응하는 권한이 충분히 주어졌다고 보기 어렵다.

2022년 보안예산의 증감 수준을 묻는 질문에 33.3%가 2021년보다 10% 미만으로 증가했다, 32.7%는 10~20% 미만 증가했다고 밝혀 예년에 비해 보안예산 증가 폭이 늘어난 것으로 보인다. 그러나 2021년과 같거나 크게 줄었다는 답이 26.3%에 달해 보안예산 감소 폭도 늘어난 것으로 분석됐다. 또한 보안조직의 인력과 활동에서는 변화가 없다는 답이 55.1%로, 보안조직 위상 강화는 여전히 먼 길인 것으로 보인다.

딜로이트 조언처럼, 지능화되는 보안위협으로부터 비즈니스를 보호하기 위해 모든 서비스에 보안을 내재화해야 하며, 이를 위해 모든 사업에 보안조직이 처음부터 참여해야 한다. 즉 보안조직이 경영 일선에 참여해야 한다는 뜻이다. 그러나 현실에서 보안조직은 지원부서 혹은 잔소리꾼의 역할에서 벗어나지 못하는 것으로 분석된다.

클라우드 도입·보안, 소극적

디지털 트랜스포메이션의 핵심으로 꼽히는 클라우드는 여러 조사기관에서 ‘도입률이 가파르게 상승하고 있다’고 분석하고 있지만, 본지 설문조사는 상당히 다른 추이를 보이고 있다. 클라우드 서비스 이용 계획을 묻는 질문에 45.5%가 ‘클라우드 서비스 적용 가능한 업무를 검토하고 있다’고 답했는데, 2021년 같은 질문에서도 41.1%가 동일하게 답했다.

중요한 업무에 클라우드를 적용했다는 답은 2021년 27%와 비슷한 수준인 26.9%가 응했으며, 클라우드 도입이 가능한 업무가 없다는 응답이 2021년 8.6%에서 2022년 6.4%로, 검토해 본 적 없다는 답이 2021년 6.7%에서 2022년 8.3%로 조금씩 변화가 있었다.

클라우드 보안도 제자리 걸음이다. 클라우드 보안 체계를 어떻게 마련했는지 묻는 질문에 44.2%가 ‘보안체계 마련을 위해 다각도로 검토하고 있다’고 답했고, 23.7%는 ‘기존 보안 체계를 그대로 클라우드에 적용했다’고 답해 클라우드 보안 투자도 소극적인 것으로 분석됐다.

클라우드 보안에 대한 소극적인 자세는 클라우드 보안 솔루션 사용 현황에서도 나타난다. 클라우드 보안을 위해 사용중인 전용 솔루션이 있는지 묻는 질문에 50.6%가 ‘클라우드 보안을 위한 전용 솔루션을 별도로 사용하고 있지 않다’고 답했으며, 도입 예정인 솔루션을 묻는 질문에도 42.9%가 ‘계획 없다’고 답했다.

클라우드 보안 솔루션을 사용 중이거나 사용 계획이 있는 기업 중에서는 클라우드 보안 관제와 매니지드 서비스를 택한 응답자가 가장 많았다. 향후 도입 계획이 있는 솔루션으로 클라우드 워크로드 보호 플랫폼(CWPP), 클라우드 보안 형상관리(CSPM), 클라우드 접근 보안 중개(CASB), 컨테이너·서버리스 컴퓨팅 보안 취약점 점검 등의 순서로 답했다.

클라우드 보안에 대한 소극적인 태도는 클라우드 보안 사고가 국내에서 크게 이슈화 되지 않았기 때문으로 풀이될 수 있다.

해외에서는 기업의 관리 소홀로 인해 클라우드에 저장된 데이터가 유출되거나, 중요한 데이터를 암호화하지 않고 클라우드에 전체공개로 업로드하는 등의 사고가 종종 보고된다. 또 클라우드 사업자의 장애로 인한 피해도 공개되고 있는데, 백업 등의 서비스를 이용하지 않으면 SLA에 따라 피해를 보상받지 못할 수 있다.

이에 보안 담당자들도 보안사고 위협의 심각성에 대해 인식하고 있지만 아직까지는 보안사고를 경험하지 못했다고 답해 보안 투자에 적극 나서지는 않는 것으로 보인다. 클라우드 이용 중 가장 심각한 문제가 될 것으로 예상하는 것을 묻는 질문에 39.7%가 ‘클라우드 설정 오류, 담당자 실수로 인한 보안 사고’, 30.1%가 ‘클라우드 계정 탈취로 공격자의 무단 침입’, 23.7%는 데이터 유출을 꼽았다.

클라우드 이용 중 보안사고가 발생했는지 묻는 질문에 77.5%가 사고를 경험하지 않았다고 답했는데, 2021년 조사에서는 65.6%가 보안사고를 당하지 않았다고 답했다.

마이데이터, 효과는 ‘글쎄…’

데이터 경제의 포문을 열 ‘마이데이터’에 대한 전망은 대체로 관망 중인 것으로 보인다. 전체 234명 응답자 중 절반도 안 되는 사람들이 이 질문에 응답을 했다. 마이데이터에 긍정적인 입장을 밝힌 사용자는 76명, 부정적인 입장을 밝힌 응답자는 45명이었으며, 응답자가 속한 조직의 특성에 따라 반응이 나뉘는 것으로 보인다.

마이데이터를 이용할 계획이라고 답한 사람 중 26명이 금융권 종사자이며, 13명은 공공기관, 12명은 통신·IT 기업 종사자였다. 응답자의 30.9%는 여러 곳에 흩어진 자신의 정보를 한 곳에서 통합관리 할 수 있어서 유용할 것이라고 답했고 17.6%는 개인 맞춤화 서비스가 가능하다는 점을 장점으로 꼽았다.

마이데이터 서비스를 이용하지 않을 것이라는 답 중 가장 많은 것이 ‘실제 효과가 없을 것 같다’는 것이었다. 이미 유사한 서비스가 다양하게 제공되어왔다는 사실을 지적한 답도 있었으며, 마이데이터에 대해 구체적으로 알지 못한다는 답도 여럿 있었다. 개인정보가 한 곳에 모이는 것에 대한 위험성, 서비스 신뢰성과 안정성, 보안 우려도 마이데이터를 긍정적으로 보지 않는 요인이었다.

마이데이터의 어떤 점이 개선되면 이용할 것인지 묻는 질문에는 가장 많은 사람들이 실제 효과가 검증되면 이용하겠다고 답했으며, 이어 신뢰성·보안성이 검증되면 이용한다, 마이데이터 서비스가 구체화되면 검토하겠다는 답이 그 뒤를 이었다.

보안 담당자 입장에서 마이데이터에 대한 우려사항을 묻는 질문에는 거의 대부분의 응답자가 답했는데(일부 중복응답 포함) 45.5%가 서비스 사업자 잘못으로 인한 유출을 꼽았다. 이어 고객정보 오남용으로 인한 정보유출·법적제재를 지적한 사람도 25.6%에 달했다.

재택근무 장점·단점 모두 ‘효율성’

코로나19 기간 동안 재택근무 현황을 묻는 질문에 55.1%는 재택근무가 가능한 업무에 한해 일부 실시했다고 답했으며, 코로나19 확진자와 밀접 접촉자에 한해 실시했다(16.7%), 전면 실시했다(16%)가 비슷한 비중을 차지했다.

재택근무를 시행한 기업 중 46.2%는 VPN을 이용했다고 답했고 22.4%는 업무용 노트북 지급, 14.7%는 VDI 이용, 9%는 직원 소유 기기를 사용했다고 답했다.

응답자의 조직이 택한 재택근무의 장·단점을 묻는 질문에 대한 답이 대체로 비슷했다는 점이 눈에 띈다. 재택근무 방법에 상관없이, 재택근무 시 시간을 효율적으로 사용할 수 있어 업무 생산성이 높아진다, 출퇴근 시간 낭비가 없어 시간에 여유가 생긴다는 답이 가장 많았다. 코로나19 감염 위험이 낮다는 점도 장점으로 꼽았다.

단점으로는 기존과 다른 업무환경으로 인해 불편하다는 점, 특히 고사양 PC와 다중 모니터를 사용해야 하는 업무에서는 생산성이 떨어진다는 점을 지적했다. 보안 취약점이 늘어나고 커뮤니케이션이 원활하지 않으며, 근태와 업무 집중도를 파악하기 어렵다는 점도 지적됐다.

더불어 재택근무가 익숙하지 않아 지시사항이 제대로 전달되지 않거나 이해를 잘 못하는 등의 문제도 지적됐다. 또한 일과 사생활이 제대로 구분되지 않아 과로하게 됐다는 응답도 있었다.

재택근무 방법 중 VPN을 이용했다는 답변 중 구축이 쉽고 비용이 VDI에 비해 저렴하다는 것이 장점으로, 속도가 느리고 보안이 취약하며, 업무가 불편하다는 점이 단점으로 지적됐다.

업무용 기기를 지급한 경우, 기존에 업무용 노트북을 사용했던 기업은 불편함이 없다고 답했으나 노트북을 사용하지 않았던 기업들은 업무환경이 달라 불편했다고 답했다. 재택 근무를 위해 노트북과 필요한 업무용 소프트웨어 라이선스를 구입하고 관리하는 것이 어려웠다는 점도 지적했다.

개인 기기를 사용하게 한 기업들은 직원의 업무 만족도가 높지만, 보안 관리가 어렵고 사생활과 구분되지 않는다는 점이 문제로 지적됐다.

“재택근무 확대 계획 없음”

재택근무를 제한적으로 실시했다고 답한 응답자에게 그 이유를 물었더니, 42.3%는 업무 특성상 재택근무를 할 수 없기 때문이라고 답했고 33.3%는 보안에 대한 우려 때문, 27.6%는 업무 효율성이 떨어지기 때문이라고 답했다.

2022년에도 코로나19가 계속된다면 재택근무를 확대 할 것인지 묻는 질문에 상당수의 응답자들이 긍정적이지 않은 반응을 보였다. 59%는 정부 지침에 따르겠다고 답했고, 21.8%가 확대할 계획이라고 답했다. 확대하지 않겠다는 답이 9%, 직원 자율에 맡기겠다는 답이 5.8%였다.

안전하고 편리한 재택근무를 위한 가장 현실적인 방법으로 가장 많은 응답자(37.2%)가 VDI·DaaS를 들었다. 이어 32.1%는 클라우드 기반 업무와 협업 서비스, 29.5%가 VPN을 들었다. SASE, 모든 보안 서비스를 통합한 서비스 등을 제안한 기타 응답도 있었다.

한편 이번 조사는 2021년 12월부터 2022년 1월까지 이메일을 통해 실시됐으며, 234명이 응답했다. 응답자가 종사하는 산업 분야는 ▲공공/국방(18.6%) ▲금융/통신(21.2%) ▲제조/건설(24.4%) ▲교육/의료(14.1%) ▲게임, 인터넷, IT, 미디어 12.2% ▲유통(5.1%) ▲서비스(4.5%) 등이었다. 보안분야 근무 기간은 ▲1~5년 10.3% ▲6~10년 28.2% ▲11~15년 23.1% ▲16~20년 25.0% ▲20년 이상13.5% 이다.