코로나19 팬데믹으로 디지털전환이 가속화되며 사이버 공격도 급증했다. 세계 사이버 공격으로 인한 경제손실 규모는 지난해 기준 9조달러에 이를 것으로 추산된다.
금융, 행정, 교육, 산업 등 다양한 영역에 증강현실, 사물인터넷(IoT), 인공지능(AI), 블록체인, 메타버스가 접목되고 업무 비대면화가 일상화되면서 사이버 공격이 일어날 수 있는 지점이 늘어난 결과다.
사이버 공격은 이제 디지털 전환 상수이자 최대 위협 요인이 됐다. 생산성·효율성을 비약적으로 개선해도 사이버 공격을 받으면 막대한 피해를 피할 수 없다.
한국정보보호산업협회, 한국정보보호학회가 후원하고 전자신문이 6일 개최한 '제1회 글로벌 시큐리티 심포지엄(GSS) 2022'에 참석한 전문가는 사이버 보안에 대한 인식, 전략, 문화 차원에서 새 접근을 주문했다. 일부 보안 전문가와 보안 솔루션에 기대는 기존 방식에서 벗어나 보안을 경영 핵심 가치로 인식하고 전 구성원이 보안에 참여하는 보안 혁신을 당부했다.
◇디지털 전환, 사이버 공격은 불가분
이날 '디지털 대전환 시대 성공조건, 보안'을 주제로 열린 토론회에서 좌장을 맡은 이경호 고려대 정보보호대학원 교수는 디지털 전환으로 인한 정보통신기술(ICT) 산업 혁신 이면에 사이버 공격 급증이 있음을 지적하며 '디지털 전환에 필요한 보안 전략'을 물었다.
김용대 KAIST 교수는 국민, 국가에 직접 영향을 미치는 분야에 대한 보안성 검토가 필수로 요구된다”며 “기업이 보안 투자를 강화할 수 있도록 인센티브를 제공하고, 새로운 보안 기술 개발을 유도하는 규제 개선이 시급하다”고 조언했다.
김 교수는 “한국 규제 정책을 보면 구체적으로 특정 기술과 제품 사용을 지정하고 있다”며 “이런 방식보다는 완화한 요구 조건을 제시해 기술, 제품이 경쟁할 수 있는 구조를 조성해야 한다”고 덧붙였다.
손기욱 SSNC 부사장은 “4차 산업혁명으로 촉발된 기술 개발과 융합으로 AI, IoT기기뿐만 아니라 자율주행자동차·스마트홈 디바이스 등 모든 사물과 환경이 해킹 대상이 됐다”며 “이는 정책, 산업 관점에서 사이버보안을 바라봐야 하는 이유”라고 강조했다.
손 부사장은 기존 보안 기술, 시장 또한 디지털 전환 필요성에 직면했다고 분석했다.
그는 “주요국은 사이버 공격 관련 법률을 정비하고, 기술 개발·인력 양성 등을 위한 국가 예산을 늘리고 있다”며 “사이버 보안을 필요 기술이자 새로운 성장동력으로 보고 면밀한 전략을 수립해야 한다”고 역설했다.
이동범 한국정보보호산업협회장은 기존 보안 전략 탈피를 주문했다.
이 회장은 “내부를 신뢰구간으로, 인터넷을 포함한 외부를 신뢰할 수 없는 구간으로 가정하고 대응하는 경계선 보안은 이제는 의미가 없다”고 강조했다.
클라우드와 재택근무로 공간의 경계가 사라지면서 업무 주체가 회사 밖에 있고, PC 등 외부 자원이 내부로 연결돼야 하는 상황이 되면서 관리 대상이 N차원으로 확대됐다고 분석했다.
이 회장은 “업무 개념 변화와 재택 근무자를 노리는 새로운 위협 등으로 과거 신뢰 개념을 이제는 믿을 수 없게 됐다”며 “지속적 검증과 신뢰를 요구하는 데이터 기반의 다차원 보안 모델, 즉 제로 트러스트 관점에서 보안을 바라봐야 한다”고 조언했다.
이준호 화웨이 코리아 전무는 보안을 핵심가치로 놓고 업무, 나아가 경영을 펼치는 보안문화 안착이 시급하다고 진단했다.
이 전무는 “경영진이 보안투자에 충분한 예산을 투자하고 보안 장비와 솔루션을 도입하면 보안 완성도가 높아질 수 있다고 생각하지만, 실제는 다르다”며 “보안에 있어 가장 중요한 부분은 바로 사람이고, 보안 중요성을 인식하는 문화적 변화가 필요하다”고 말했다.
◇새로운 위협, 새 대응 전략 필요
최근 보안 트렌드와 관련해 김 교수는 “탈중앙화 금융(디파이), 적대적 AI 등 신기술에 내재된 완전히 새로운 보안 취약점과 공격이 발생하고 있다”며 “새 기술이 쏟아지고 있지만 보안 관점에선 전혀 검증이 이뤄지지 않았다”고 말했다.
이어 “이러한 이유로 대기업이 스스로 보안 기술을 내재화하고 있다”며 “보안 기업과 빅테크의 경계가 보호해지는 경향이 보인다”고 설명했다.
이 회장은 “최근 공격 추세를 보면 공격자 목표와 전략이 변했다는 것을 알 수 있다”며 “이들 최종 목표는 우리와 함께 사는 것, 지속적으로 일상화된 공격을 이어가는 것”이라고 말했다.
이 회장은 랩서스 공격 사례를 예로 들었다. 사회공학적인 방법을 이용해 내부자 신뢰를 확보하고 VPN 등 정상적인 방법으로 기업에 침투하기 때문에 공격을 인식하기 쉽지 않다는 것이다.
이 회장은 “이런 변화는 공격 도구에서도 관찰된다”며 “악성코드를 이용한 공격은 배포, 실행, 탐지 등의 한계로 다른 도구로 대체되고 있다. 윈도에 내장된 Curl, Powershell, Notepad 등 정상 명령어가 해킹에 사용된다”고 말했다.
이 회장은 “사이버 공격 자급자족 시대가 열린 것”이라며 “공격자는 우리 주변에 존재하고 공격도구 또한 일상적 도구인 만큼 새로운 공격에 대응할 수 있는 새 보안모델이 필요하다”고 조언했다.
이 전무는 “보안 전문가에게 가장 필요한 능력은 커뮤니케이션과 협업 능력”이라며 “CISO, 화이트 해커 등 보안 문제를 모두 들여다보고 책임진다는 생각에서 벗어나 모든 조직과 구성원이 보안을 위해 협력할 수 있어야 한다”고 주문했다.
최호기자 snoop@etnews.com
