사물인터넷(IoT) 보안 위협이 심각한 문제로 대두될 것이라는 전망이 쏟아지고 있지만, 현재 시점에서 사이버 범죄자들이 IoT를 공격해 얻을 수 있는 이익이 별로 없기 때문에 지금 당장은 큰 위협이 되지 않는다는 분석이 제기됐다.
워치가드는 11일 ‘2015년 정보 보안 트렌드’에서 내년에 대비하지 않아도 될 5가지 보안이슈 중 하나로 ‘IoT 보안’을 들며 “IoT 기기는 보안결함을 갖고 있지만, 사이버 범죄자들이 기기를 제어해 얻을 수 있는 가치가 크지 않기 때문에 직접 이들을 해킹하지는 않을 것”이라고 전망했다.
보고서에서는 현 시점에서 IoT가 기기의 수요를 증가시키지 않으며, IoT 기기로 사용되는 스마트워치, 스마트TV 등을 해킹해서 얻을 수 있는 금전적인 이익이 크지 않다고 분석했다. 사이버 범죄자들이 일반적인 재미만으로 해킹을 하지 않기 때문에 동기가 없다면 실제로 공격을 하지 않을 것이라고 전망했다.
클라우드, 보안 문제로 도입률 주춤
두번째로 대비하지 않아도 될 보안위협으로 클라우드를 들었다. 클라우드가 비용절감과 비즈니스 민첩성 제고 효과가 있다고 알려지고 있지만, 클라우드에 저장된 데이터가 유출되는 사고가 잇따르면서 기업의 클라우드 도입률이 더뎌지고 있다는 것이 워치가드의 분석이다.
클라우드 초기에는 모든 정보가 클라우드에 저장될 것이라고 예상됐지만, 이제 기업들은 민감한 정보를 어디에 저장해야하는지 고민하고 있으며, 클라우드 서비스를 이용한다해도 모든 것을 클라우드를 통하지는 않을 것이라고 전망했다.
비밀번호는 보안성이 낮은 인증방식이지만, 편리성으로 인해 2017년까지 사라지지 않을 것으로 보인다. 대량의 비밀번호 유출사고가 잇따르고 있지만 비밀번호 체계의 잘못이라기보다 관리소홀로 인한 문제로, 관리를 보다 철저히하는 방향으로 진행되고 있다. 내년에는 온라인 정보보호에 대한 이중인증 방식이 보편화 될 것이며, 비밀번호는 이중인증의 한 단계가 될 것이라고 워치가드는 예측했다.
새로운 기술과 트렌드가 등장하면서 IT 시장은 혁신이 이뤄지고 있지만, 보안은 계속해서 뒷전으로 밀리는 상황이 계속 될 것이다. 보안 전문가들은 새로운 기술의 잠재적인 보안위협에 대해 경고하는 한편, 혁신기술이 추구하는 이점을 보장할 수 있도록 보안기술과 정책을 설계해야 하는 어려움을 지속적으로 겪게 될 것이다.
IT 전반에 불어오고 있는 소프트웨어 정의 네트워크(SDN)는 보안문제를 야기시킬 것으로 예상되지만, 향후 몇 년 동안은 실제 위협으로 다가오지 않을 것으로 보인다. SDN의 황금기가 도래하기까지는 상당한 시간이 걸릴 것으로 예측했다.
“지능형 공격 방어 위해 ‘해킹 동기’ 이해해야”
이 보고서에서는 ‘내년에 주목해야 할 5가지 보안이슈’도 함께 제시했는데 ▲국가간 사이버스파이 ▲지능화되는 멀웨어 ▲암호화 ▲타깃 공격 ▲해커의 해킹 동기 이해 등이다.
사이버 스파이 문제는 앞으로 더욱 위험한 요소가 될 것으로 보인다. 국가들은 조용히 서로에 대해 스파이 활동을 시작하고 있으며, 산업 지적 재산권을 훔치며 사이버 방어 및 공격 능력을 강화하고 있다. 내년에는 더 많은 사이버 스파이 행위들이 있을 것으로 예상되며, 각 국은 조용히 사이버 능력을 증명하면서 사이버 냉전들로 인해 흔들리는 대중의 인식을 접하게 될 것이다.
멀웨어는 모바일 기기와 데스크톱을 오가면서 더욱 지능화 될 것으로 보인다. 공격자들은 모바일 기기를 감염시켜 수익을 창출할 수 있는 새로운 방법을 모색할 것이며, 금품을 지급을 할 때까지 모바일을 사용하지 못하도록 설계된 맞춤 랜섬웨어와 같은 더 강력한 모바일 멀웨어가 발견될 것으로 예상된다.
정부가 암호를 풀려 할수록 암호화가 급속히 증가할 것이다. 정부가 ‘법 집행을 위한 용도’로 암호화를 해제할 수 있는 방법을 청원하는 것만큼 암호화 도입이 빠르게 증가하고 있다. 보안 전문가는 가능한 경우 반드시 암호화를 계속 활용해야 한다. 개인의 풀리지 않는 암호를 유지하는 권리를 위해 싸워야 하고, 대역폭의 속도를 줄이지 않으면서 비즈니스에 악영향을 끼치지 않는 암호화를 지원하는 네트워크를 구축해야 한다.
타깃 공격은 수직적 비즈니스로 확장될 것이다. 사이버 범죄자들은 많은 돈을 벌기 위해 상당한 피해자 풀을 목표로 하면서 표적 공격의 이점을 유지하는데, 이는 개별적인 조직이 아닌 수직적 비즈니스를 대상으로 하기 때문에 가능하다. 최근 사이버 범죄자들은 흥미롭고 수익성 있는 수직적 비즈니스라면 규모에 상관없이 모든 기업을 노린다.
지능화되는 공격을 막기 위해 해킹 동기를 이해하는 것이 중요하다. 해커는 장난기 많은 아이에서 메시지를 보내는 사이버 운동가로, 또 수십억 달러의 디지털 자산을 훔치는 조직 범죄자로, 장기적인 스파이 캠페인을 시작하는 국가로 진화해 왔다. 다양한 해커들의 동기와 전술을 아는 것은 누가 기업을 가장 위협하고 그들이 어떠한 공격을 선호하는지 이해하는데 도움을 준다.
