2015년 정보보안 시장은 그야말로 ‘다사다난’했다. 한국수력원자력 해킹 사고가 2014년 말부터 2015년 초까지 보안시장을 뜨겁게 달구더니 랜섬웨어 공격이 무차별적으로 진행되면서 큰 피해를 양산해냈다. 핀테크·IoT 시대의 본격적인 개화로 새로운 공격에 대한 경고가 이어지는가 하면, 실제로 금융기관이 해킹을 당하고, 스마트카 해킹이 가능하다는 사실이 입증돼 대량의 리콜 사태가 벌어지기도 했다. 2015년을 뜨겁게 달군 정보보안 업계의 이슈를 종합해본다.<편집자>

올해 스마트워치가 상용화되면서 웨어러블 시대가 본격적으로 펼쳐지게 됐다. 또한 드론이 장난감 수준에서 벗어나 실제 산업에서 사용될 수 있는 수준으로 발전하면서 IoT의 새로운 장이 열리게 됐다. 이처럼 새로운 IT 트렌드가 등장하면서 보안위협도 함께 확장되고 있다. 보안을 고려하지 않고 개발된 웨어러블·IoT 기기가 널리 사용되면서 해킹으로 인한 정보유출과 사생활 침해를 일으키거나 원격조종으로 상해를 입히는 등의 사고 발생이 가능하게 된 것이다.

가장 주목해야 할 부분은 비교적 안전하다고 여겨지던 애플 기기에 대한 공격이 현실화됐다는 사실이다. 애플 기기는 탈옥하지 않으면 악성코드나 해킹의 피해를 입지 않는다고 알려지고 있지만, 공식 앱스토어에 등록된 앱 중 일부가 악성코드에 감염돼 있었던 사실이 발견되는가 하면, iOS 구버전에서는 원격조종이 가능한 RCS 프로그램이 설치될 수 있다는 사실도 드러났다.

애플 기기 공격하는 사이버 범죄 증가

시만텍의 ‘애플 플랫폼 보안 위협 현황’ 보고서에 따르면 2014년 맥 OS X 위협 건수는 15건으로 2013년 13건 대비 15% 증가했으며, iOS 위협 건수는 2014년 한해 3건에서 2015년 올해 7건으로 증가했다. 애플 기기를 겨냥한 위협의 범위도 꾸준히 증가하고 있다. 애플 플랫폼으로 위협 범위를 넓혀가는 경우나 맥 OS X와 iOS 용 맞춤형 악성코드를 개발하는 경우에 이르기까지 위협의 종류가 다양해진 것으로 나타났다.

지난해 하반기부터 올해 1분기까지 OS X 컴퓨터를 겨냥한 악성코드는 애드웨어와 같은 그레이웨어, 사용자 동의 없이 설치되는 애플리케이션이나 위장 애플리케이션의 영향이 큰 것으로 나타났다.

시만텍 보고서는 “데스크톱PC의 윈도우나 모바일 안드로이드 기기보다 낮은 수준이지만, 애플 운영체제를 겨냥한 공격은 꾸준히 증가하고 있으며, 애플 관련 보안 위협건수도 비례해서 증가할 가능성이 있다”고 경고했다.

인텔시큐리티는 사용자들로부터 높은 인기를 누리고 있는 디지털 기기의 해킹 위협에 대한 보고서를 발표했다. 스마트워치, 피트니츠 측정기 등 웨어러블 기기와 스마트폰·태블릿 PC, 드론을 비롯한 카메라가 장착된 기기, 인터넷 연결이 가능한 어린이용 장난감 등이 해킹 위협에 노출돼 있다고 경고했다.

웨어러블 기기의 경우 기기 자체에 저장된 정보는 많지 않지만, 기기를 통해 연결된 스마트폰으로 침투해 중요한 정보를 빼내거나, 연결된 또 다른 기기로 공격범위를 넓혀갈 수 있기 때문에 위험하다. 또한 웨어러블 기기를 통해 수집하는 정보를 일정기간 모으면 수익화 할 수 있는 고급 개인정보로 필터링 할 수 있어 웨어러블 기기를 통한 정보유출도 심각하게 살펴봐야 한다.

드론과 원격제어 카메라는 사생활 정보 유출에 매우 심각한 위협을 줄 수 있는 제품으로, 저가의 제품은 보안을 고려하지 않고 제작됐기 때문에 와이파이·블루투스 등 무선 네트워크 취약점을 이용해 쉽게 해킹할 수 있다.

스마트폰·태블릿PC 등 모바일 기기의 보안위협은 금융정보 탈취나 금전피해를 야기할 수도 있다. 이글루시큐리티 보고서에서는 모바일 기기 취약점을 이용해 간편결제 서비스를 악용하거나 금융정보를 빼내 전자금융사기를 저지르는 범죄 위협이 높아졌다고 설명했다.

이미 모바일 기기에 대한 보안 위협은 애드웨어, 랜섬웨어 및 디도스 등 PC에서 발생하는 보안위협과 유사한 수준을 넘어 모바일 기기에 맞춤화 된 악성코드 또는 모바일 자체 취약점을 악용하는 등 진화를 거듭하고 있다.

따라서 모바일 기기의 이동성, 확장성 및 간편성을 악용하는 새로운 보안 위협에 대한 연구에 기반하여 보안관제 서비스, 이상금융거래 탐지시스템(FDS), 금융거래 분석 등 여러 보안 방법론이 상호연관된 대응 방안 마련에 대한 수요가 높아지고 있다.

모바일 애드웨어 이용한 정보유출 늘어

지난해까지 모바일 이용 공격은 정상적인 내용으로 위장한 문자메시지에 악성 링크를 함께 보내는 스미싱이 유행했지만, 올해는 스미싱이 감소한 대신 모바일 애드웨어를 통한 정보유출이 크게 늘었다.

안랩의 ‘2015년 5大 보안 위협’에 따르면, 모바일 뱅킹 악성코드는 전년과 비슷한 수를 유지했으나 모바일 악성코드 유포 방법으로 이용되던 스미싱은 올해 하반기에는 감소되는 추세를 보였다고 밝혔다.

반대로 개인 정보 수집, 과도한 광고 노출, 앱 바꿔치기 등의 악성행위를 하는 ‘모바일 애드웨어’의 수가 전년도 대비 약 2.5배 가량 증가했다. 최근 애드웨어는 일반 앱과 다름없이 설치되던 기존의 방법에서 다른 앱을 사칭하거나 루트 권한을 획득해 삭제를 방해하는 등 한층 교묘해진 수법으로 스마트폰 사용자를 노리고 있다.

모바일 공격이 지능화되면서 방어 기술도 주목받고 있는데, 한국인터넷진흥원(KISA)이 발표한 ‘산업체가 주목해야 할 10대 정보보호 기술’에 ‘모바일 악성코드 분석 기술’과 ‘스마트기기 보안 OS 및 보안통신기술’이 꼽히기도 했다.

스마트기기 보안 OS는 스마트워치, 피트니스 측정기, 원격 환자 모니터링 장치, 재활장치 등 초소형 기기에서 저장 및 송수신되는 개인의 민감정보를 보호하기 위한 경량화된 보안 기술을 말한다.

IoT 기기를 보호하기 위해 제조사와 서비스 공급업체들이 보안 기술을 적용해 제품과 서비스를 공급해야 하지만, 사용자 역시 보안을 강화할 수 있는 방법을 습관화 하는 것이 좋다.

기본적으로 비밀번호를 숫자, 기호, 영문 대/소문자를 결합해 8글자 이상으로 된 복잡한 조합을 사용하며, 지속적으로 소프트웨어 업데이트를 하고, 사용하지 않는 블루투스를 끄며, 안전한 와이파이를 사용해야 한다.