2016년에도 정보보안 시장은 한파가 이어질 것으로 보인다. <월간 네트워크타임즈>가 매년 실시하는 ‘정보보안 담당자 설문조사’에서 정보보안 담당자들은 사이버 공격은 더욱 지능화 될 것이라고 우려하면서도 2016년 보안 예산은 기존 시스템의 유지보수 수준에 그칠 것으로 예상했다. 2015년 12월 1일부터 18일까지 진행한 이 조사에는 공공·금융·기업 등의 정보보안 담당자 375명이 참여했다.<편집자>
과장된 위협 vs 실제로 위험한 환경
한편 대부분의 정보보안 전문가와 보안업계에서 매우 심각한 보안위협이라고 꼽고 있는 사물인터넷(IoT)에 대해 ‘과장된 위협’이라는 시각과 ‘실제로 위험한 상황’이라는 시각이 공존하는 것으로 나타났다.
‘내년에 주목해야 할 보안위협과 방어기술 중 과장된 평가를 받고 있다고 생각하는 것’을 묻는 질문에 23.1%의 응답자가 IoT 공격을 꼽았다. 이와 반대로 ‘주목도는 낮지만 실제로 중요한 보안기술/공격위협으로 예상하는 것’을 묻는 질문에 32.5%가 IoT 공격을 지목했다.
이처럼 IoT 보안위협에 대해 상반된 의견이 공존하는 것은 IoT 공격으로 인한 피해에 대한 공감도가 떨어지기 때문인 것으로 분석된다. IoT 보안위협에 대한 경고는 매우 오래 전 부터 제시돼 왔다. 1990년대부터 인터넷에 연결된 전기밥솥이 바이러스에 감염돼 밥을 다 태우거나 TV를 통해 개인의 사생활이 생중계될 수 있다는 예상이 나왔다.
또한 많은 영화, 드라마, 소설에서 사회기반시설의 제어시스템에 침투해 테러를 자행하는 장면을 보여주기도 했으며, 호텔 객실의 무선주전자에 와이파이가 가능한 카메라를 설치해 호텔에 투숙하는 주요인사의 정보를 훔치는 시도가 적발되기도 했다.
그러나 IoT 해킹 시나리오가 곧바로 현실화되지는 않을 것이라는 분석이 지배적이었다. IoT 공격은 공격에 투입되는 시간과 비용에 비해 공격자가 거둬들일 수 있는 수익이 적기 때문에 일부 사이버 스파이, 사이버 테러 외에는 사용되지 않을 것으로 예상됐다.
하지만 2015년 스마트카 해킹이 가능하다는 사실이 입증되는가 하면, 웨어러블 디바이스와 같은 개인의 IoT 기기를 이용해 건강정보, 금융정보 등 개인의 민감한 정보 유출이 가능하고 이를 이용한 피해가 급증할 것이라는 경고가 나오면서 IoT 보안에 대한 위협이 현실화 되고 있다.
“핀테크 실체 모호해 보안위협 와닿지 않아”
실제보다 과장된 보안위협으로 ‘핀테크 서비스를 이용한 사이버 공격 혹은 금융사기’를 꼽은 응답이 16.2%로 IoT 공격에 이어 두번째로 꼽힌 것은 생각해 볼 만한 여지가 있는 것으로 분석된다. IoT 보안위협과 마찬가지로 아직 발생하지 않은 피해이기 때문에 실제보다 과장된 위협으로 인식되고 있는 것으로 풀이된다.
더불어 핀테크의 실체가 모호하다는 점도 이러한 답변을 가능하게 한 것으로 분석된다. 핀테크는 IT 기술을 이용해 다양한 금융서비스를 제공하는 것을 말하며, 국내에서는 간편결제, 인터넷 전문은행, P2P 대출 등이 핀테크의 대표적인 서비스로 꼽힌다.
이 중 인터넷 전문은행이 핀테크의 본질을 가장 잘 드러낼 것으로 보이지만, 사업을 시작하는 시점에서, 인프라를 구축하고 고객을 확보해 안정적으로 운영되기 까지 상당한 시간이 걸릴 것으로 예상된다. 따라서 인터넷 전문은행의 서비스를 악용한 공격도 어느 정도 시간이 지난 후 구체화 될것으로 보인다. 그러나 간편결제와 P2P 대출은 2016년 상당히 위험한 상황에 이르게 될 것으로 예상된다.
개인·금융정보 유출로 인한 피해 우려
한편 IoT와 핀테크 보안위협 중 가장 우려하는 부분은 개인정보 유출과 금융피해인 것으로 나타났다.
IoT 공격 중 가장 가까운 미래에 현실화 될 수 있는 것을 묻는 질문에 47.2%의 응답자가 ‘웨어러블, 스마트TV 등 스마트 기기 및 스마트 홈 네트워크를 공격해 개인정보/건강정보/금융정보를 탈취하고 사생활 정보를 유출하는 것’을 꼽았다. 스마트폰을 이용한 간편결제 서비스 보안 취약점을 악용한 금전탈취를 꼽은 응답자는 20%였다.
‘스마트카, 헬스케어 장비 등을 원격에서 조종해 개인의 생명을 위협하는 공격’이라고 답한 응답자가 18.4%였으며, 사이버 테러 8.8%, 사이버 스파이 2.4%의 순으로 응답했다.
핀테크 보안위협을 묻는 질문에는 ‘비대면 인증 환경을 악용, 공격자가 사용자를 사칭해 전자금융거래를 진행하는 것’을 40.7%의 응답자가 지목했으며, ‘개인정보·금융정보 유출’을 우려하는 응답자가 22%, ‘지능형 보이스피싱·피싱/파밍 등 전자금융사기’가 16.3%였다. ‘생체인증 보안 취약점을 이용해 생체정보를 탈취해 다른 공격에 이용할 것’을 우려하는 응답자도 13.8%에 이르렀다.
개인의 정보보안 생활화·기업 보안 책임 강화해야
개인의 정보보안에 대한 인식을 묻는 문항에서도 웨어러블 기기의 취약점 공격과 개인정보·금융정보 유출로 인한 피해를 가장 우려하는 응답이 많았다. 정부가 사이버테러방지법을 추진하면서주장하고 있는 북한의 사이버테러 위협을 우려하는 응답은 상대적으로 적은 편이다.
국가·개인의 안전에 가장 심각한 위협을 주는 것을 묻는 질문에 ‘개인정보·금융정보·공인인증서 유출’ 25.4%, ‘스마트폰, 웨어러블 기기의 취약점을 악용한 공격’ 23.1%를 꼽았으며, ‘랜섬웨어’가 18.7%, ‘애플페이·삼성페이 등 간편결제 서비스 취약점 악용 공격’이 13.4%를 차지했다. 반면 ‘북한의 사이버테러’와 ‘사이버 감찰과 사생활 침해’를 우려한 응답자는 각각 9.7%에 그쳤다.
이와같은 위협을 해결하기 위한 가장 이상적인 방법으로 개인의 정보보안 생활화와 함께 서비스를 제공하는 기업의 보안 강화 책임도 필요하다는 응답이 많았다.
‘의심스러운 URL을 클릭하지 않는 등 일상적인 보안 규칙을 준수한다’는 답이 42.9%로 가장 많았으며, ‘개인정보/사생활 정보는 클라우드에 공유하거나 SNS에 게시하지 않는다’ 12.7%, ‘보안성이 검증되지 않은 간편결제 서비스, 웨어러블 기기, 스마트 기기 등을 이용하지 않는다’는 답이 17.5% 수준이었다.
온라인 서비스 제공 기업과 스마트 기기 제공 기업이 안전한 서비스/제품을 공급한다는 사실을 입증할 수 있도록 정부는 관련 정보보안 인증/규제를 강화해야 한다는 답이 22.2%를 차지해 서비스 공급 기업에 대한 책임강화도 필요하다고 느끼고 있는 것으로 나타났다.
<그림 13> 국가·개인의 안전에 심각한 위협을 주는 것은
한편 이 조사는 <월간 네트워크타임즈>가 매년 국내 기업/기관의 정보보안 담당자를 대상으로 실시하는 것으로, 실제 기업/기관의 현장에서 체감하고 있는 정보보안 현실을 조사하고 대안을 마련하기 위해 진행하고 있다.
이번 조사에는 총 375명이 참여했으며, 산업군별로는 ▲공공·교육기관 17.9% ▲금융 12.8% ▲통신 8.5% ▲제조18.8% ▲유통 5.1% ▲의료·서비스 8.5% ▲IT 서비스 23.1% ▲기타 5.1%였다.
직책은 ▲임원 3.7% ▲부장/팀장 55.6% ▲과장 17.6% ▲대리/사원 19.4% ▲기타 3.7%였고, 정보보안 업계 근속년수는 ▲5년 이하 18.6% ▲6년 이상~10년 이하 20.7% ▲11년 이상~15년 이하 24.1% ▲16년이상~20년 이하 33.8% ▲21년 이상 2.8%였다.
