보안 키워드 4개로 조합한 2016년의 단어 R·I·S·K

랜섬웨어, IoT 보안, 스파잉, 그리고 킬러 애플리케이션
4개의 키워드로 조합해본 RISK, 2016년 기업 생존 좌우할 듯

[보안뉴스 권 준] ‘원숭이의 해’인 2016년 병신(丙申)년 새해를 앞두고 국내외 주요 정보보호 기업은 물론 KISA 등 관련 기관은 2016년 정보보호 트렌드를 전망하는 보고서를 연이어 내놓으면서 내년을 예측하고, 이에 대비하느라 분주하다.

이에 본지는 지금까지 발표된 2016년 정보보호 전망 보고서의 공통 이슈를 중심으로 키워드 4개를 선정하고, 이를 조합해 2016년을 상징하는 하나의 단어로 완성시켰다. 2016년의 키워드는 바로 ‘RISK(리스크)’다. 지금부터 RISK를 완성한 4개의 보안키워드를 중심으로 2016년 정보보호 분야를 전망해본다.

R: Ransomware
첫 번째 알파벳인 ‘R’은 올해 본지에서도 가장 많이 언급됐던 랜섬웨어(ransomware)다. 올해에 이어 내년에도 랜섬웨어는 정보보안에 있어 최대의 화두가 될 것으로 보인다. PC 또는 스마트폰 내 파일이나 데이터를 인질로 삼아 돈을 요구하는 랜섬웨어가 사이버범죄자들의 확실한 돈벌이 수단이라는 점이 입증된 만큼 2016년에도 한층 진화된 랜섬웨어 공격이 끊임없이 시도될 것으로 예측된다.

거의 모든 정보보호 업체·기관의 2016년 전망보고서에 빠짐없이 언급돼 있고, 본지가 12월 진행 중인 ‘2016년 가장 부각될 보안이슈’에 대한 설문조사에서 58%이라는 압도적인 비율로 1위를 달리고 있다는 점도 이를 대변한다.

한국인터넷진흥원(KISA)은 랜섬웨어 공격이 모바일로 확산되면서 피해가 막대해질 것으로 예측했고, 시만텍과 맥아피 등 글로벌 보안업체들도 랜섬웨어를 누구나 쉽게 사용할 수 있게 해주는 서비스나 툴이 다크웹에 퍼지거나 쉽게 거래되면서 랜섬웨어의 창궐이 더욱 가속화될 것으로 전망했다.

I: IoT Security
두 번째 알파벳인 ‘I’를 의미하는 키워드는 바로 사물인터넷(IoT: Internet of Things) 보안이다. 더 이상 설명이 필요 없는 IoT 보안위협과 이에 따른 대응은 정보보호 업계의 가장 큰 숙제가 될 것으로 보인다.

올해가 IoT 기반 기기들의 보안위협으로 사람의 생명이 위험하다는 점이 점차 부각되면서 IoT 보안 강화를 위한 시동을 건 한해였다면, 2016년에는 IoT 보안 가이드라인이 제정되는 등 IoT 보안위협에 대응하는 보안조치들이 본격화될 것으로 예상된다. 이와 함께 새로운 유형의 IoT 보안위협들도 계속 불거져 나올 것으로 우려된다.

이와 관련 이글루시큐리티 측은 개인의 사생활 침해, 국가기밀 유출에서 더 나아가 생명을 위협할 수 있는 위험성을 내포하고 있는 사물인터넷 보안 문제가 2016년의 가장 큰 관심사가 될 것으로 봤고, KISA는 IoT 기반 기기 가운데서도 자동차와 IT 기술이 융합돼 인터넷 접속이 가능한 커넥티드(Connected) 카의 해킹 우려가 현실화되고 있다는 점을 꼽았다. 또한, 포티넷에서도 2016년 IoT 기기들을 집중 공격하는 웜 및 바이러스가 크게 증가할 것으로 내다봤다.

S: Spying
세 번째는 스파잉을 의미하는 ‘S’로 2016년에 사이버 상에서의 정보수집이나 염탐 활동 즉, 스파잉 행위가 더욱 기승을 부릴 것이라는 점에서 선정했다. 우리나라 정부, 군, 국가주요시설 등을 대상으로 한 북한 추정 해커조직의 사이버스파잉 행위는 더 이상 언급할 필요가 없을 정도고, 최근 발견된 해커조직들 상당수도 스파잉 행위를 주목적으로 하고 있기 때문이다.

아시아 기업들을 집중 감시하다 트렌드 마이크로에 의해 발견된 ‘슈라우드 크로스보우(Shrouded Crossbow)’와 2014년 7월 이후부터 이란 안과 밖의 특정 인물이나 조직을 겨냥해 고급 사이버 공격 및 감시 활동을 벌이다 시만텍에 의해 포착된 카델(Cadelle)과 샤퍼(Chafer), 그리고 7년 동안 남미 정치인·언론인들을 타깃으로 공격하다 시티즌 랩에 발견·분석된 팩랫(Packrat) 등이 대표적이다.

이 뿐만 아니다. 본지가 연말기획으로 정리했던 전 세계 해커단체 가운데 사이버전 조직들은 대부분 적대국이나 우방국을 가릴 것 없이 은밀히 활동하면서 상대국의 정보를 수집하고 있는 것으로 드러났다.

결국 돈을 노리고 해킹하는 사이버범죄 조직이나 국가기밀 정보를 수집하는 해커조직이나 사이버전을 준비하는 사이버부대의 활동은 모두 사이버 상에서의 스파잉 행위로 시작되기 때문에 내년에도 ‘스파잉’이라는 단어는 더욱 많이 언급될 것으로 예측된다.

K: Killer Application
마지막으로 꼽은 알파벳 ‘K’는 바로 킬러 애플리케이션. 정보보호산업진흥법이 본격 시행되는 2016년에는 국내 정보보호 분야의 킬러 애플리케이션이 필요하다는 의미를 담았다.

올해는 업계의 오랜 숙원이던 정보보호산업진흥법이 제정·시행되고, 각 정부부처에 정보보호 전담인력이 배치되는 등 인프라 구축 측면에서는 성과가 많은 한해였음에도 정보보호 업계의 성적표는 신통치 않았다. 극심한 경기침체의 영향에다 글로벌 보안기업들의 핵심기술과 정보공유를 바탕으로 한 연합공세에 밀린 탓이다.

이에 미래창조과학부와 KISA에서는 산업체가 주목해야 할 10대 정보보호 기술을 선정하는 등 정보보호 분야의 대대적인 R&D 투자를 통해 산업화를 지원하는 등 킬러 애플리케이션 개발을 통한 기술경쟁력 강화와 시장 확대에 주력할 것으로 전망된다.

이렇듯 2016년 보안 트렌드를 상징하는 4개 키워드의 앞 글자를 따서 만들어진 RISK 역시 내년 기업경영에 있어 가장 대표 키워드가 될 게 분명하다. 대기업들의 실적 악화로 올해 말 대대적인 조직개편이 이루어지고 있는 상황에서 내년에 국내 기업들이 대내외적인 리스크를 얼마나 효과적으로 관리하면서 경영을 해나가느냐가 생존의 갈림길이 될 것이기 때문이다. 이러한 기업 리스크 가운데 해킹이나 정보 유출에 대응하는 보안이 핵심이 될 것이라는 점은 두말할 나위가 없다.
[권 준 기자(editor@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)