디지서트(DigiCert)가 2022년 기업들이 직면하게 될 주요 보안 과제를 담은 ‘2022년 사이버 보안 전망’을 발표했다.
하이브리드 원격 근무가 일상으로 자리잡으면서 코로나19 대유행에 수반된 사이버 보안 과제는 지속되고 있다. 더불어 클라우드 컴퓨팅 및 다른 영역에서의 혁신은 전혀 예상치 못했던 분야에서 새로운 위협의 등장을 초래하는 등 위협 환경은 계속 진화하고 있다.
디지서트는 2022년 기업에 크게 영향을 미칠 것으로 예상되는 7가지 주요 사이버 보안 트렌드 및 활동에 대해 다음과 같이 전망한다.
◇ 계속 증가하는 공급망, 랜섬웨어 및 사이버 테러 공격
▴공급망의 복잡성 및 취약성 증가- 디바이스 개발 프로세스 및 공급망이 점점 복잡해지고 공격 범위가 넓어지면서 기업들은 코드 사이닝과 같은 모범 사례를 활용해 개발 프로세스의 각 단계마다 보안을 확보할 수 있다. 이를 통해 개발 주기를 거쳐 운영 환경 및 고객에 전달하기 전에 개발을 제어하고 코드의 무결성을 확인할 수 있다. 개발 주기의 각 단계마다 키 공유 및 코드 검사의 위험성을 인지하고 서명 후 변조를 방지하면 코드를 안전하게 보호하는데 크게 도움이 된다. 또한 소프트웨어 명세서를 작성하면 소프트웨어 앱을 구성하는 모든 요소를 추적해 코드 소싱에 대한 가시성을 확보할 수 있다.
▴공격자를 대범하게 만드는 사이버 테러- 미국의 최대 송유관 관리업체인 콜로니얼 파이프라인 공격과 플로리다주 올즈마의 수자원 시스템 공격과 같은 사태를 통해 사이버 테러리스트들은 사회 인프라를 마비시킬 수 있는 가능성을 보여줬다. 새로운 기회는 공격자의 상상력에 의해 제한될 뿐 언제든 생겨나기 마련이고, 민간 우주선 발사나 선거 등 고도의 기술 환경이 다음 공격 대상이 될 수도 있다. 따라서 화려한 사이버 공격에 취약한 공공 및 민간 조직은 보안에 대한 제로 트러스트 접근방식을 배로 강화해야 한다.
▴랜섬웨어 대상 범위의 확대- 랜섬웨어 공격은 헬스케어 기업, 기술 기업, 자동차 제조사, 나아가 NBA 행사에 이르기까지 2021년 다양한 산업군에 영향을 미쳤다. 특히, 암호화폐의 사용이 증가함에 따라 은행권 시스템을 벗어난 막대한 자금을 추적하기가 더욱 어려워지면서 랜섬웨어 공격은 더욱 확대될 전망이다.
◇ 비즈니스 프로세스 내 신뢰 및 신원 확인 수준 강화
디지털 트랜스포메이션이 빠르게 진행되고 있는 가운데, 한 조사 결과에 따르면 전 세계의 디지털 트랜스포메이션 시장은 2021년부터 2028년까지 연평균 약 24%씩 성장할 전망이다. 복잡한 기술이 기업의 가장 핵심적인 프로세스에 깊숙이 자리잡게 되면서 디지털 서명의 사용이 증가하고 보다 강력한 수준의 신뢰 및 신원 확인이 요구될 것이다.
▴디지털 서명의 중요도 증가- 금융 서비스, 부동산, 헬스케어 및 교육 등 다양한 산업에서 더 많은 워크플로우가 디지털 서명과 연계될 것이다. 또한, 디지털 서명은 하이브리드 업무 환경에서 원격 근무 직원들을 참여시키거나 지원하는데 일조할 것이다. 전자 서명을 오랫동안 앞장서서 배포해온 유럽은 코로나19 대유행을 겪으며 얻은 교훈을 바탕으로 공인 신용 서비스 제공업체를 통해 서명자의 신원을 높은 수준으로 원격 검증할 수 있도록 유럽연합(EU)의 eIDAS(전자신원확인 및 신뢰서비스) 규정을 개선하고 있다. 또한 국가간 상호작용을 위해 정부에서 발행하는 eID의 사용이 크게 늘어나게 될 것이다.
▴신원 확인 및 신뢰는 IoT의 원동력- IoT와 같이 데이터가 중심이 되는 환경의 경우, 신뢰는 그 무엇보다 중요하다. 헬스케어 모니터, 산업용 제어 장비, 가정용 보안 시스템 및 차량 센서 등과 같은 디바이스로 각종 프로세스와 의사 결정사항을 지원하려면 실시간 데이터의 무결성이 필수적이다. 5G 기술 도입이 가속화되면서 IoT 및 5G 애플리케이션의 융합이 증가하고 있어 이를 겨냥한 더 많은 공격이 일어날 것으로 예상된다.
최근 국내에서 아파트 월패드 해킹을 통해 불법으로 촬영된 영상이 유통된 사건도 이러한 전망을 뒷받침하는 사례다. PKI는 IoT 환경에서 신뢰를 보장하는 여전히 강력하고 검증된 방법이다.
◇ 현재의 보안 상태를 위협하는 양자 컴퓨팅 기술
디지서트의 ‘2019 양자내성암호 조사 보고서(Post-Quantum Crypto Survey)’에 따르면, IT 의사결정권자의 71%가 양자 컴퓨팅이 2025년까지 기존의 암호화 알고리즘을 깰 수 있다고 답했다. 이는 보안 조직에서 양자 컴퓨팅 이후의 세상을 위한 보안을 다시 생각해야 한다는 의미이다. 양자내성암호(PQC)는 암호를 강화시켜 보안 침해의 가능성을 낮춰줄 수 있다. 하지만 많은 기업들이 자사가 배포한 암호에 대한 명확한 이해가 부족하기 때문에 새로운 취약점이 알려지면 여기에 노출된 모든 서버와 디바이스를 찾고 신속하게 업데이트하기 위한 사전 조치를 취하고자 할 것이다.
◇ 지속적으로 진화하는 포스트 코로나 위협
코로나19 상황이 진정돼 가고 있지만, 코로나19 대유행과 관련된 보안 위협은 계속될 것으로 보인다. 공항, 소매업, 레스토랑 및 기타 공공장소에서 비대면 기술이 늘어나고 있지만 모두 사이버 공격에 취약하다. 운전면허증 및 헬스케어 기록 등의 디지털 ID 활용 계획이 점차 확대되고 있지만 해킹당할 가능성이 여전히 존재한다.
◇ 자동화는 사이버 보안 개선의 원동력
기업은 손익을 중요시하기 때문에 효율성이 높은 보안 기술을 요구하게 될 것이고, 보안 조직은 적은 자원으로 더 많은 업무를 수행해야 할 것이다. 이에 2022년에는 기업이 더 적은 비용으로 더 많은 업무를 지원할 수 있는 기술이 중요해질 것으로 예상되는 가운데, 새해의 보안 혁신이라는 관점에서 자동화가 중요한 역할을 할 것으로 보인다.
최근 디지서트가 발표한 ‘2021 PKI 자동화 현황 보고서(2021 State of PKI Automation Survey)’에 따르면, 91%의 기업에서 PKI 인증서 관리를 자동화하는 방안을 논의하고 있는 것으로 나타났다. 인공지능 및 머신러닝 기술은 앞으로도 자동화를 가속화하는데 핵심적인 역할을 하게 될 것이다.
◇ 클라우드 주권, 새로운 보안 사항 요구할 것
클라우드 서비스가 점점 세분화됨에 따라 사이버 보안 과제는 더욱 까다로워질 것이다. 기업들은 점점 더 현지 관할권과 규제를 준수해야 하는 클라우드 솔루션을 구축하고 있는데, 클라우드 주권 통제는 민감한 개인 정보를 보호하고 데이터가 소유자의 통제권을 벗어나지 않도록 하는데 주안점을 두고 있다. 한 예로, 최근에 IT 서비스 컨설팅 기업인 티시스템즈와 구글 클라우드는 독일의 엔터프라이즈, 공공 부문 및 헬스케어 기관을 위한 독립된 클라우드 서비스를 구축해 제공하겠다고 발표했다. 이러한 독립 클라우드 전략이 많이 등장하고 있기 때문에, 기업은 지역별 보안 요구사항을 보다 확실히 이해할 필요가 있다.
◇ 이메일 마케팅을 탈바꿈시킬 VMC 신뢰 및 신원 확인
바쁜 마케팅 환경에서 마케팅 담당자들의 최우선 과제인 오래 기억되는 브랜드 인지도를 만드는데 도움이 되는 신기술이 등장하고 있다. 기업에서는 브랜드 자산을 구축하고 신뢰를 강화하기 위해 상표 표기 인증서(VMC)를 갈수록 더 도입할 것으로 본다.
메시지 식별을 위한 브랜드 표시(BIMI) 전략을 활용한 협업 프로젝트의 일환인 VMC는 이메일의 받은 편지함 바로 옆에 로고를 표시하는 것이다. 이메일 수신자는 메시지를 열기 전에 이메일의 진본임을 확인할 수 있는데, VMC는 도메인 기반 메시지 인증, 보고 및 적합성(DMARC) 보안에 의해 시행된다. DMARC가 보호하는 VMC를 사용하면, 마케팅 담당자들은 브랜딩을 강화하고 메시지 열람율을 10% 향상시킬 뿐만 아니라, 고객의 개인정보와 IT 보안에 신경쓰고 있으며 리스크를 최소화할 수 있는 사전 예방 조치를 취하고 있음을 고객들에게 알릴 수 있다.
디지서트코리아 나정주 지사장은 "사이버 공격자들은 공급망 공격을 확대하고 양자 컴퓨팅 기술을 활용하는 등 계속 진화하면서 보다 복잡하고 더욱 은밀하게 진행되는 위협을 만들어낼 것이다. 위협에 선제적으로 대응하려면, 기업은 위협 환경을 잘 이해하고 자동화된 솔루션과 모범 사례를 활용해 첨단 보안 위협에 대처해야 한다”라며 “아울러 조직 내 사이버보안 문화를 강화하는 것이 우선과제가 되야 한다. 미래 위협을 완화하기 위해 경영진의 의지와 전사 차원의 원활한 커뮤니케이션이 그 어느 때보다 절실히 필요하다”라고 말했다.
★정보보안 대표 미디어 데일리시큐!★