사이버 보안에 대해 알아야 할 것들

세상이 갈수록 디지털화되고 연결성이 높아지면서 사이버 보안의 중요성도 커지고 있습니다. 사이버 공격이 꾸준히 증가하고 있기 때문에, 공격자들보다 한 발 앞서 데이터 보안을 강화해야 합니다. 새로운 솔루션으로 보안을 향상시킬 수 있습니다. 그렇다면 새로운 솔루션은 무엇이고, 어떤 위협이 인터넷에 존재할까요?

사이버 보안과 사이버 공격

1989년 인터넷이 사용되기 시작했을 때 개인 사용자들은 보안에 대해서 신경 쓰지 않았습니다. 온라인 범죄 같은 것이 있으리라고 생각지도 못했습니다. 그러던 것이 차츰 변해서 사이버 보안이나 사이버 범죄 같은 용어들이 등장했습니다.

사이버 보안이란 무엇일까요?

사이버 보안이란 정보 통신 기술의 보안과 관련한 모든 측면을 이르는 것으로서, 다양한 수단, 개념, 가이드라인을 포괄합니다. 인터넷으로 연결된 컴퓨터, 서버, 모바일 디바이스, 네트워크를 사이버 공간에서 허가되지 않은 접근, 데이터 도난, 공격, 무단조작으로부터 보호하기 위한 것입니다.

사이버 공격이란 무엇일까요?

사이버 공격은 타인의 컴퓨터 네트워크에 대한 악의적 공격을 말합니다. 공격자가 노리는 것은 네트워크를 훔쳐보거나, 손상하거나, 자신에게 유리하게 조작하는 것입니다. 개인, 기업, 공공 기관, 심지어 국가 전체의 인프라까지 사이버 범죄의 표적이 될 수 있습니다.

더 많은 커넥티드 디바이스 – 더 많은 공격 가능성

사이버 보안의 중요성이 날로 커지고 있습니다. 독일 연방 정보 보안청(BSI)에 따르면, 세계 최대 자동차 회사인 폭스바겐의 IT 네트워크는 매일 6천번 공격을 받고 있습니다. 인피니언 같은 하이테크 기업도 사이버 공격의 표적이 되고 있습니다. 인피니언의 Business Continuity 부서에서 이를 방어하는 업무를 맡고 있습니다.

BSI에 따르면, 정부 네트워크도 매일 20건의 전문적이고 심각한 공격을 받고 있다고 합니다. 카스퍼스키 랩(Kaspersky Lab)의 전문가들은 전세계적으로 매일 36만 건의 새로운 악의적 파일들을 감지하고 있습니다. 특히 온라인 쇼핑몰이나 이메일 제공 회사 같이 다량의 고객 마스터 데이터를 보유한 회사들이 공격 대상이 될 수 있습니다. 계정 정보나 패스워드 같은 민감한 개인 정보를 훔치는 것이 목적입니다.

커넥티드 디바이스는 삶을 편리하게 합니다. 예를 들어 외출 중에 스마트폰으로 난방을 켤 수 있어 집에 올 때는 실내 온도가 따뜻해져 있습니다. 하지만 이런 커넥티드 디바이스는 사이버 공격의 공격 지점과 통로가 되기도 합니다. Statista에 따르면, 2025년에는 전세계 커넥티드 디바이스가 약 750억 개에 이를 것입니다.

공격 유형과 공격 대상

다양한 유형의 사이버 범죄가 있습니다:

  • 내부적 소행 혹은 외부적 소행
  • 단독 범행 혹은 조직적 범행
  • 금전적 동기 혹은 테러리스트로서의 동기
  • 비밀 공격 혹은 대중의 관심을 끌고자 하는 공격
  • 민간 조직의 공격 혹은 정부 기관의 공격

공격 대상

인터넷으로 연결된 디바이스들은 서로 원격으로 연결할 수 있는 등 유용한 기능을 제공합니다. 하지만 또 한편으로는 공격자의 표적이 될 수도 있습니다.

  • 사이버 범죄자가 개인 사용자의 프라이버시를 침해하거나, 패스워드를 훔치거나, 명의를 도용해서 쇼핑을 할 수 있습니다.
  • 공격자가 라우터, 태블릿, PC 같이 개인이 사용하는 커넥티드 디바이스를 장악하고 봇넷에 합류시킬 수 있습니다. 봇넷을 사용해서 DoS(서비스 거부) 공격을 실행해서 통신 중단 같은 피해를 일으킬 수 있습니다.
  • 공격자가 사이버 첩보나 사보타주 공격을 통해서 기업 비밀을 훔칠 수 있습니다. 독일 연방 헌법 수호청에 따르면, 독일에서 이 공격으로 인한 피해가 연간 500억 유로에 이른다고 합니다.
  • 한 국가의 인프라를 해킹한 경우에는, 전력망(2015년에 우크라이나)이나 인터넷(2007년에 에스토니아)을 전국적으로 중단시킬 수 있습니다.

사이버 공격의 변화 양상

사이버 공격의 양상이 빠르게 변화하고 있습니다. 지금 이 시간에도 공격이 감행되고 있으며, 멀웨어 스스로가 생명력을 가지고 더 전문적이고 지능적으로 발달하고 있습니다.

랜섬웨어의 정의

공격자들이 랜섬웨어를 사용해서 피해자의 컴퓨터를 더 이상 사용하지 못하도록 조작할 수 있습니다. PC를 납치하는 것에 비유할 수 있습니다.  컴퓨터를 복구하려면 개인이든 기업이든 피해자가 돈을 지불해야 합니다.

인피니언의 사이버 보안 시장 전문가인 Detlef Houdeau 박사는 “2년 전에는 피싱으로 데이터를 훔치는 것이 가장 큰 문제였습니다. 그런데 이제는 랜섬웨어가 보안 전문가들뿐만 아니라 관련 당국에 가장 긴급한 문제입니다.”라고 말합니다.

서로 통신하는 디바이스 수가 증가함에 따라서 가능한 공격 시나리오도 복잡해지고 있습니다. Houdeau 박사는 구체적인 사례를 들어서 설명합니다. “병원에서 CT 스캐너로 촬영한 영상을 자동으로 개인의 주치의에게 전송합니다.

이 장비는 병원 IT 시스템의 일부이지만, 의료 장비 회사에서 구입합니다. 병원 IT를 보호하는 것만으로는 충분하지 않고, 개별 장비들까지 사이버 공격으로부터 보호해야 합니다.” 단 하나의 보안 허점만으로도 공격자가 시스템에 침투해서 IT 인프라를 조작할 수 있기 때문입니다.

양자 컴퓨터: 새로운 위협

양자 컴퓨터: 새로운 위협

기술은 진보하고 있습니다. 인공 지능은 사이버 공격에 대한 방어를 돕기도 하지만, 사이버 공격의 효율을 높일 수도 있습니다. 양자 컴퓨팅을 위한 고성능 시스템이 디지털 세계의 새로운 위협이 될 수 있습니다.

사이버 공간에서는 비밀 데이터를 보호하기 위해 암호화합니다. 그런데 양자 컴퓨터는 오늘날 사용되는 많은 암호화 알고리즘을 깰 수 있습니다. 전문가들에 따르면, 앞으로 10~15년 안에 최초의 양자 컴퓨터가 등장할 것입니다. 이에 대한 대응책으로 “차세대 양자 내성(post-quantum-resistant)” 암호라고 하는 새로운 알고리즘이 표준화 될 것입니다.

가장 빈번하고 심각한 사이버 위험은 무엇일까요?

공격을 당할 수 있는 취약 지점은 다양합니다. 개인 사용자의 홈 네트워크에서부터 기업과 공공기관의 네트워크까지 모두 공격 대상이 될 수 있습니다. 공격으로 인한 위험은 광범위하고도 다면적입니다.

  • 사용자 자신이 취약 지점이 될 수 있습니다. 감염된 USB 스틱을 사용하여 멀웨어를 유입하거나, 생일 같이 추측하기 쉬운 패스워드를 사용하거나, 민감한 데이터를 적절한 방법으로 암호화하지 않는 경우입니다.
  • 광대역 라우터 같은 디바이스가 보안적으로 취약할 수 있습니다. 2016년 가을에 수백만 명의 독일인들이 이틀 동안 디지털 TV, 전화, 인터넷을 사용하지 못했습니다. 해커가 널리 사용되는 통신 라우터에 악성 코드를 심었기 때문입니다.
  • 한 국가의 중요 인프라에 대한 공격은 훨씬 더 심각합니다. 테러리스트들이 병원, 공항, 열차, 은행, 전력망 등에 디지털 공격을 한다면 사람을 다치게 하고 죽게 하거나 경제에 심각한 타격을 입힐 수 있습니다. 그런데 문제는 이러한 공격이 언제, 어디서, 어떻게 감행될지 알 수 없다는 것입니다.

과거의 주요 사이버 공격 사례

 
2007

에스토니아에서 DoS 공격으로 전체 인터넷이 중단되었습니다.

2010

이란에서 컴퓨터 웜인 스턱스넷(Stuxnet)으로 우라늄 농축 설비가 중단되었습니다.

2011

일본 기업 Sony에서 7700만 명의 가입자 데이터가 유출되었습니다.

2012

아마존 자회사인 Zappos에서 2400만 명의 고객 계정 데이터가 유출되었습니다.

2013

미국 회사인 Adobe에서 3800만 명의 고객 데이터 기록이 유출되었습니다.

2014

미국에서 Yahoo가 약 10억 명의 고객 계정 데이터를 해킹당했습니다. 전화번호, 생년월일, 암호화된 패스워드, 패스워드를 복구하기 위한 보안 질문이 유출되었습니다. 같은 해 eBay에서 1억4500만 건의 고객 데이터가 유출되었습니다.

2015

독일 하원에 대한 사이버 공격으로 컴퓨터를 교체해야 했습니다.

2016

Deutsche Telekom 라우터에 대한 미라이(Mirai) 공격으로 약 1백만 가구의 TV, 인터넷, 전화 서비스가 24시간 동안 중단되었습니다. 미국 선거 기간에 소셜 봇을 사용해서 민주당원들에게 허위 정보와 가짜 뉴스가 전송되었습니다.

2017

윈도우즈의 보안 취약점을 이용해 세계 각국에서 멀웨어 워너크라이(WannaCry) 공격이 발생했습니다. 랜섬웨어인 낫페트야(NotPetya)가 수십만 대의 컴퓨터 하드 드라이브의 파일 목록을 암호화했습니다.

2018

싱가포르에서 150만 명 시민들의 의료 데이터가 유출되었습니다.

2019

독일에서 Ärzte- und Apotheker 은행에 대한 피싱 공격으로 부정한 송금이 이루어졌습니다.

 

 

새로운 보안 개념으로 사이버 보안 강화

방화벽이나 바이러스 검사 같은 기존의 방법으로는 더 이상 다양한 방식의 공격을 방어할 수 없습니다. 공격은 점점 더 정교해지고 있습니다. 인터넷을 보안적으로 사용하기 위해서는 새로운 보안 컨셉이 필요합니다. “설계에 의한 보안” 컨셉으로 어떤 제품이나 시스템을 개발할 때 보안을 내장해야 합니다. 갈수록 더 다양한 IoT 디바이스들의 보안 표준을 제정하고 있으며, 새로 출시하는 제품들에 채택되고 있습니다.

암호화와 인증을 통한 사이버 보안

인증된 개인, 컴퓨터, 기계 장비, 네트워크 노드만이 정보에 접근할 수 있도록 정보를 보호하는 것을 목적으로 합니다. 그러기 위해서는 두 단계가 필요합니다. 보안적인 신원 확인과 인증입니다. 커넥티드카를 예로 들어보겠습니다. 미래의 자동차는 지금보다 훨씬 더 많은 전자 장치를 탑재할 것이며, 공격에 취약할 수 있는 외부 인터페이스가 훨씬 많아질 것입니다.

이러한 인터페이스들을 보호하기 위해서는 자동차의 소프트웨어를 주기적으로 업데이트해야 합니다. 그러기 위해서는 업데이트를 제공하는 컴퓨터와 자동차 제어 시스템의 게이트웨이가 서로를 인증해야 합니다. 다시 말해서, 두 장치만이 데이터를 교환할 수 있도록 하는 것입니다. 또한 둘 사이의 통신을 암호화해야 합니다. 업데이트를 위해서 정비소에 갈 필요가 없도록 스마트폰을 사용할 때처럼 무선(OTA)으로 업데이트를 할 것입니다.

이를 위해서는 적합한 하드웨어가 필요합니다. 인피니언은 제어 유닛을 위한 다양한 인증 및 암호화 칩을 제공합니다. 머신-대-머신 통신을 위해서는 보안적인 인증 프로세스가 중요합니다.

커넥티비티의 미래와 과거

전문가들에 따르면, 2025년에 1억 대의 차량이 인터넷을 통해서 연결될 것이라고 합니다. 자동차가 “바퀴 달린 컴퓨터”가 되는 것입니다. 자동차가 인프라에 연결되고(V2I) 자동차와 자동차가 서로 연결될 것입니다(V2V). 자율주행 자동차에는 5G나 ITS-G5 같은 새로운 표준이 사용될 것입니다.

생산 기계, 열차 신호 시스템, 의료 장비, 자동차, 항공기 등의 구형 제품이나 시스템이 문제가 될 수 있습니다. 제품이 단종되고 업체들이 더 이상 유지보수를 지원하지 않는다면 구형 시스템을 업그레이드하기 위해서 상당한 비용과 인력이 들어갈 것입니다. 이러한 경우에 흔히 사용하는 방법은 구형 장비를 네트워크에서 차단하는 것입니다.

IT 보안 체크 리스트

인터넷을 보안적으로 사용하기 위해서는 다음의 권장사항을 따라야 합니다:

  1. 소프트웨어를 항상 최신으로 유지합니다.
  2. 바이러스 검사 프로그램과 방화벽을 사용합니다.
  3. 보안적인 패스워드를 사용하고 보호되는 패스워드 관리자에 저장합니다. 숫자, 대문자, 소문자, 특수문자를 포함해서 최소한 10개 혹은 12개 문자를 사용하고, 각기 서비스마다 다른 패스워드를 사용합니다. 유추하기 어려운 패스워드를 사용하는 것이 좋습니다. 한 가지 방법은 문장의 첫 글자들을 취하고 숫자와 특수문자를 섞는 것입니다. 예를 들어서 “I go to New York every May 31 and visit the Statue of Liberty!”라는 문장에서 IgtNYeM31&vtSoL!이라는 패스워드를 얻을 수 있습니다.
  4. 관리자가 아니라 보통의 사용자로 컴퓨터를 사용합니다. 관리자 모드에서는 시스템 접근 범위가 커집니다. 만약 컴퓨터가 멀웨어에 감염되었을 때 관리자로 로그온되어 있으면 악의적인 소프트웨어 역시 더 넓은 범위의 권한을 갖게 되어 더 큰 피해를 입을 수 있습니다.
  5. 이메일에 들어 있는 링크나 첨부 문서를 함부로 열지 않습니다. 특히 모르는 사람으로부터 전송된 이메일에 주의합니다. 모든 첨부 문서는 바이러스 검사를 하고 엽니다.
  6. 모든 중요한 데이터를 주기적으로 다른 하드 드라이브나 클라우드에 저장합니다.
  7. 민감한 데이터와 이메일을 암호화합니다.
  8. 인터넷에 올리는 정보에 대해서 주의를 기울입니다.
  9. 보호되지 않는 WLAN에 들어가지 않습니다.
  10. 웹서핑을 하거나, 이메일을 쓰거나, 컴퓨터로 작업할 때 주의를 기울입니다. 링크를 함부로 클릭하지 말고, 의심스러울 때는 보낸 사람에게 이메일을 보낸 것이 맞는지 확인합니다.
  11. 여러 시스템에 동일한 패스워드를 사용하지 않습니다.
  12. 새로운 스마트홈 디바이스를 구입했을 때는 즉시 디폴트 패스워드를 변경합니다.
  13. 신뢰할 수 없는 웹사이트에서 앱이나 컴퓨터 프로그램을 다운로드하지 않습니다.

사이버 보안 강화를 위한 당국의 대응

전력, 의료, 금융, 교통은 국가의 주요 인프라를 구성하는 분야입니다. 유럽 시민들은 이들 기관이 제공하는 기본적인 서비스를 이용할 권리가 있습니다. 이러한 인프라가 공격을 받는다면 심각한 서비스 중단이나 혼란이 발생할 수 있으며 사람들이 피해를 입게 됩니다. 따라서 정부 당국에서는 사이버 보안을 강화하기 위해서 다음과 같은 조치들을 취하고 있습니다.

  • 2015년에 시행된 독일의 IT 보안법은 독일의 2,500여개 설비 운영자가 IT 시스템을 특별히 보호하도록 의무화했습니다. 이에 따라서 운영자는 더 엄격한 보안 요건을 충족해야 하며 감사에서 이를 입증해야 합니다. 또 어떤 데이터 오용이 발견되면 즉시 고객들에게 알려야 하며, 사고가 발생되면 당국에 보고해야 합니다. 이에 해당되는 EU 규정은 NIS 규정이라고 하며, 모든 EU 회원국에 동일하게 적용됩니다.
  • 또한 당국에서는 개인 사용자들이 사이버 공격을 방어할 수 있도록 지원하며, 온라인 서비스 제공 업체 및 하드웨어 제조업체의 주도에 의존합니다. EU의 사이버 보안법에 의거해서, 컨슈머 디바이스 인증에 관한 일관된 규정을 개발할 예정입니다. 이것은 EU 지역에서 B2C(business-to-consumer) 시장용 컨슈머 전자기기(CE)의 보안 수준을 높이기 위한 것입니다. B2B(business-to-business) 시장에서도 제품, 솔루션, 서비스에 대해서 IT 보안 인증을 크게 확대할 계획입니다. 공공 분야(business-to-government, B2G)에서의 목표는 모든 EU 회원국의 IT 보안 표준을 최대화하고 조화시키는 것입니다.
  • EU 위원회는 2019년 말에 EU 사이버 보안 역량 센터(ECCC)라고 하는 새로운 기관을 설립할 예정입니다. 이 센터는 새로운 공격과 이를 방어하기 위한 조치들에 대한 노하우를 모으고자 합니다. EU 지역에서 600개 이상의 시험소 및 검사소가 네트워크를 형성할 것입니다.

 

봇은 인터넷 상에서 실행되면서 멀웨어에 감염되어 원격으로 조종당할 수 있는 디바이스입니다. 사용자가 눈치 채지 못하는 사이에 컴퓨터와 여타 디바이스들이 거대한 네트워크를 형성할 수 있습니다. 봇넷은 종종 DDoS 공격에 사용됩니다.

분산 서비스 거부(DDoS) 공격은 서비스 요청이 쇄도하도록 해서 서비스를 사용하지 못하게 하는 것입니다. 이러한 공격은 봇넷을 사용해서 동시에 실행됩니다.

암호화 알고리즘을 깨고자 하는 공격입니다. 알고리즘을 깨기 위해서 자동화된 방법으로 모든 가능한 조합을 시도합니다.

다른 사람의 개인 정보를 오용하거나 악용하는 것을 말합니다.

범죄자가 가짜 웹사이트나 링크, 이메일 첨부 문서를 사용해서 피해자의 개인 정보를 알아내는 것입니다.

다수의 직원들이 업무 이메일처럼 보이는 것을 받습니다. 이메일 수신자가 가짜 웹사이트에 들어가도록 유인하거나 멀웨어를 감염시킬 수 있는 링크나 첨부 문서를 포함합니다.

알 수 없는 사람이 이메일로 고위 직원이라고 주장하며 다른 사람이 돈을 송금하도록 하거나 특정 계정에 대한 액세스 데이터를 얻으려고 합니다.

컴퓨터를 감염시키거나 중단시키는 멀웨어를 말합니다. 시스템을 다시 사용하려면 돈을 보내라고 요구합니다.

해로워 보이지 않는 프로그램에 파일을 숨겨서 눈치 채지 못하게 컴퓨터에 잠입합니다. 그런 다음에 직접 또는 인터넷에서 다른 멀웨어를 다운로드해서 피해를 일으킵니다.

이메일 첨부 문서 같은 방법으로 컴퓨터에 몰래 숨어들어온 멀웨어를 말합니다.

이 유형의 멀웨어는 자신을 복제하여 이메일 주소록 등을 통해서 최대한 빠르게 확산시킵니다.

보안 취약점이 발견되고 대책이 제공되기 전에 공격자가 보안 취약점을 공격합니다.

인터넷 상에서 개인 정보를 알아내서 유포하는 것을 말합니다.

원치 않거나 해로운 기능의 컴퓨터 프로그램을 말합니다.

SQL 데이터베이스의 보안 취약점을 활용한 공격입니다.

신뢰할 수 있는 것으로 분류된 컨텍스트에 신뢰할 수 없는 정보를 삽입하는 것입니다.

사이버 보안의 미래

사이버 보안을 향상시키는 것은 전기 전자 업계에도 중요한 문제입니다. 독일 전기 전자 제조업체 협회(ZVEI)는 이렇게 말합니다. “개인 정보 및 기술 정보가 보호되지 않는다면 디지털화를 유용하게 활용할 수 없습니다. 소비자를 보호하고, 제품 품질을 보장하고, 고객 충성도를 높이기 위해서 사이버 보안이 갈수록 더 중요해질 것입니다.”

라우터 제조업체가 가장 발빠르게 움직이고 있다는 것은 놀랄 일이 아닙니다. 라우터는 모든 가정의 홈 네트워크의 핵심 장비이기 때문입니다. 홈 네트워크와 인터넷 사이의 인터페이스로서, 라우터에 대한 공격이 점점 더 빈번해지고 있습니다.

 

마지막 업데이트: 2019년 10월