2016년 새해에도 사이버 공격은 끝없이 진화하고 있다. 특히 잘 관리된 게이트웨이가 아니라 사람, 단말, 웹 등 관리되지 않는 취약점을 공격한다. 2016년 정보보호 분야에서 가장 뜨거운 이슈 10개를 선정해 집중 분석하면서 대응 방안을 찾아본다.<편집자>
상시적인 개인정보 유출
대규모 개인정보 유출 사고가 잇달아 터지면서 일종의 ‘불감증’이 생기게 됐다. IoT, 클라우드 환경으로 진화하면서 개인정보 유출은 상시적으로 일어나는 리스크로 여기게 된 것이다. 개인정보를 입수한 공격자들은 이전에 입수한 개인정보와 함께 마이닝 분석을 통해 고급 개인정보를 완성해가고 있으며, 민감한 금융정보도 찾아내 피해를 입히고 있다.
개인정보 보호를 위한 규제가 강화되고 있지만, 기업들 특히 새로운 금융서비스를 통해 핀테크 시장에서 경쟁력을 갖춰나가야 하는 금융기관은 개인정보 보호 규제가 지나치게 강력하다고 항의한다.
금융감독당국은 개인정보 비식별화를 거친 데이터라면 본인의 동의 없이 사용할 수 있도록 규제를 완화했지만, 공격자들의 빅데이터 분석 능력이 높아지고 있는 상황에서, 비식별화된 데이터와 기존에 유출된 데이터를 결합시키면 매우 위험한 개인정보가 공격자의 수중에 들어갈 가능성을 배제할 수 없다.
인텔시큐리티는 “도난당한 개인식별정보가 빅데이터 웨어하우스에서 다른 정보와 결합돼 사이버 공격자들에게 해당 정보의 가치를 높여줄 것이다. 2016년에도 이러한 상황은 지속될 것으로 보이며, 훔친 개인 식별 정보, 사용자명과 비밀번호의 판매가 이뤄지는 암시장이 더욱 활개 칠 것”이라고 경고했다.
‘돈 되는’ 의료정보, 10배 이상 비싼 가격에 거래
공격자들이 선호하는 개인정보는 즉시 ‘돈’이 되는 금융정보로, 보험·의료시장에서 가장 탐을 내는 의료정보이다. 실제로 의료정보는 다른 개인정보보다 10배 이상 비싼 가격에 팔리고 있으며, 유출된 개인정보 중 의료정보가 40% 이상 비중을 차지하고 있다.
클라우드 컴퓨팅 이용이 늘어나면서 해외 클라우드 사업자가 국내 사용자의 개인정보를 국외 서버에 저장할 수 있는지에 대한 논의도 활발하게 이뤄지고 있다. 만일 개인정보 유출사고가 발생했다면, 서버가 위치한 국가, 사업을 영위하고 있는 국가, 피해자가 속한 국가 중 어느 나라 법을 따라야 할지 논쟁이 치열하게 일어나고 있기 때문이다.
드론, CCTV, 블랙박스, 의료기기, 스마트홈 기기 등 다양한 IoT 기기를 통한 사생활 유출 문제도 심각하다. 카메라가 장착된 드론이나 기타 다른 디지털 기기를 통해 자신도 모르게 사생활이 녹화돼 인터넷에 유포될 수 있다.
이글루시큐리티는 ‘2016년 보안 위협 전망 보고서’를 통해 ‘프레너미(Frenemy)’, 즉 내부직원에 의한 정보유출 위험을 경고했다. 권한 있는 사람에 의해 의도적으로 혹은 실수나 공격을 당해 개인정보/내부정보가 유출당하는 사고는 더욱 증가하고 있으며, 이를 막기 위한 노력도 진행될 것으로 보인다.
시만텍은 데이터 유출 사고가 빈번하게 발생하면서 사이버 보안 보험 시장이 성장할 것이라고 내다봤다. 기업의 정보 유출 대응을 의무화하는 규제가 생기고, 탈취한 정보를 이용한 결제 사기, 계정 절도 등의 사이버 범죄가 늘어나면서 사이버 보안 보험의 성장을 이끌고 있다. 데이터 유출은 기업의 신뢰도에 심각한 타격을 입히고 많은 비용을 초래하기 때문에 2016년에는 많은 기업이 보안 강화의 일환으로 보험에 가입하게 될 것으로 보인다.
개인정보를 탈취한 공격자들은 이를 필요로 하는 보험·대출 판매원, 보험사, 의료관련 기업 등에 판매하는 방법으로 수익을 얻었다. 그러나 이제는 개인정보를 탈취한 후 당사자에게 금품을 요구하거나 유명인의 사생활을 폭로하는 형태로 발전하고 있다.
카스퍼스키랩은 2015년 발생한 연예인 누드사진 유출, 소니, 애슐리메디슨 해킹, 해킹팀 해킹 등의 사건을 예로 들면서 사이버 사보타주와 핵티비스트의 활동은 기하급수적으로 늘어날 것이라고 내다봤다.
