보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

2023년 사이버 보안위협 및 대응기술 전망

2023.01.04

1,778

01. 개요

2022년 사이버 보안의 키워드는 랜섬웨어, 가상화폐, 국가 안보로 정리할 수 있다. 2022년에는 LockBit, Conti, Lapsus$, BlackCat, Hive, Deadbolt 등 랜섬웨어 그룹의 약진이 눈에 띄었다. 가상화폐를 통해 범죄수익 확보가 용이해지면서 체계적인 조직관리와 서비스형 랜섬웨어를 앞세워 새로운 랜섬웨어 공격 그룹들이 등장하며 랜섬웨어 생태계가 발전해 왔다. 랜섬웨어로 인한 피해가 개인과 기업의 대응 범위를 넘어 국가 안보와 글로벌 경제시장에도 영향을 미치면서 미국 주도로 세계 30개국이 참여한 랜섬웨어 대책 회의가 개최되기도 했다.

러시아와 미국 및 서방 국가 간의 이해충돌은 세계경제와 패권질서를 뒤흔드는 사이버 보안의 새로운 게임 체인저(game changer)로 자리 잡았다. 러시아의 우크라이나 침공은 물리적 충돌과 사이버 공격이 결합된 최초의 하이브리드 전쟁 사례로 기록되면서 사회혼란 야기, 주요 기밀정보 탈취, 사회기반시설 파괴, 범죄자금 확보 등의 분야에서 사이버 공격의 효과가 나타나기도 했다. 러시아와 우크라이나 사태는 각국의 지지세력을 결집시키는 촉매제가 되었다. 우크라이나 지지세력은 ‘Operation Ruble’이라는 캠페인을 통해 러시아 정부부처를 공격하였으며, 러시아 지지세력은 미국 및 우방국들의 정부부처 및 민감기업들의 공격을 감행하였다. 사이버 공격이 국가 간 이해관계를 지지하는 새로운 수단으로 작용하면서 국제 안보에 긴장감이 고조되고 있다.

2022년은 가상화폐 혹한기를 맞이하고 있다. 세계 3위에 달하는 가상화폐 거래소 FTX 파산의 여파와 국내 가상화폐 위믹스의 상장폐지 등으로 인해 국∙내외 가상화폐 시장의 불확실성 확산과 NFT, 스테이블 코인, 전자지갑, 커스터티 등 가상화폐를 포함한 디지털 자산의 보안 사고는 생태계 존립을 위협하고 있다. Flash Loan 공격, Smart Contract 취약점, 개인키 유출, 전자지갑 탈취. 가상화폐 탈취 등의 가상화폐와 디지털 자산을 둘러싼 보안 이슈는 2023년에도 뜨거운 감자가 될 전망이다.

디지털 기술을 근간으로 하는 비즈니스 생태계가 확산됨에 따라 사이버 보안은 선택이 아닌 필수불가결이다. 온 프레미스, 클라우드, IoT 등 인프라 선정 단계 및 아키텍처 설계 단계에서부터 보안이 고려되고 있으며, 연쇄적인 위험 체인화(Risk Chaining)를 방지하기 위해서 인공지능 및 자동화 기술을 통한 보안 효율성 향상 및 보안 음영 최소화를 위한 연구가 지속되고 있다. 사이버 환경의 불확실성 해소를 위해 2023년의 보안 위협을 예측하고 대응기술을 통한 안전한 환경 조성을 위한 방안을 생각해 보고자 한다.

[그림 1] 2023년 사이버 보안위협 및 대응기술 전망

02. 2023년 5대 사이버 보안위협 전망

1) 사이버 공격의 서비스화, 랜섬웨어 생태계 확장

사이버 범죄의 전문화∙조직화는 서비스형 랜섬웨어(RaaS)라는 비즈니스 모델을 탄생시켰다. Hive, LockBit, Conti, REVil 등 서비스형 랜섬웨어를 운영하는 공격 그룹들은 Colonial Pipeline, Kaseya, JBS Foods 등 큰 규모의 공격을 감행할 정도로 공격 규모가 확장되었다. 체계화된 조직운영과 피해 금액 협상 능력을 보유하면서 공공, 금융, 제조, 교육, 국방 등 다양한 산업 군으로 공격 범위를 확대하고 있다. RaaS 생태계는 Discord, Telegram, Wicker, Wire 등 제한된 접근 환경을 기반으로 불법 데이터 거래, 자금 세탁, 크리덴셜 거래, 공격도구 거래 등 사이버 범죄에 소요되는 도구나 인력을 확보를 확보하면서 사이버 공격의 새로운 생태계 조성에 일조하고 있다.

[그림 2] (좌)Total cryptocurrency value received by ransomware addresses, 2016–2021, (우) Top 10 ransomware strains by revenue, 2021 (출처 : The 2022 Crypto Crime Report, Chainalysis)

민간 랜섬웨어 대응 협의체 KARA에서 발표한 ‘랜섬웨어 동향 보고서’에 따르면, 2022년 한 해에 DeadBolt, Luna, BlueSky, CryptBit, Acepy, BlackCat, Lockbit 등 크고 작은 랜섬웨어들이 새로 등장하거나 고도화한 것을 알 수 있다. 최근 랜섬웨어들은 윈도우 환경 이외에도 리눅스 및 임베디드 시스템 등 크로스 플랫폼 지원 확대, 공급망 공격, 보안솔루션 무력화, 복구 및 백업파일 삭제 등 공격 기법을 발전시키고 있다.

[그림 3] 2022년 발견된 신규 랜섬웨어 공격그룹 현황 (출처 : KARA, 랜섬웨어 동향 보고서)

공격 기법의 발전은 공격도구 양극화에서도 두드러지고 있다. APT 공격(APT-Like)을 표방하여 공격 그룹에서 자체 제작한 도구와 더불어 오픈소스 및 유료 레드팀 도구를 혼용해서 사용하고 있다. 초기 접근 단계(Initial Access)에서 내부망 접근을 위해 FRP(Fast Reverse Proxy), LCX(aka Htran), SBD(Shadowinteger’s Backdoor) 등의 도구사용이 증가하였으며, 크리덴셜 탈취 및 Lateral Movemnt, Privilege Escalation 등을 위해 Mimikatz, Cobalt Strike, BlueHound, HackTools, Admin Tools, AdFind, Meterpreter 등의 사용이 눈에 띄고 있다. 특히 Cobalt Strike로 인한 피해가 증가되면서 2022년 11월 ‘Making Cobalt Strike harder for threat actors to abuse’라는 게시글을 통해 Cobalt Strike 크랙 또는 악성 버전 34개를 포함한 165개의 YARA룰을 배포하였다.

랜섬웨어 공격 그룹은 범죄수익 증대를 위해 단순 데이터 암호화 이외에도 데이터 유출∙탈취 (Infostealer), 데이터 암호화, DDoS, 데이터 유출 협박 등 다중 협박(Multi Extortion) 형태로 발전하고 있다. 랩 서스(LAPSUS$), 메이즈(Maze) 등 국내 대기업 정보 탈취 사건의 경우에도 정보 탈취 후 암호화를 하여 다중 협박 전략을 사용했다. 랜섬웨어의 공격은 파일 암호화에만 국한되는 것은 아니다. 국내 20여 곳을 공격한 랜섬웨어 공격은 윈도우에서 제공하는 디스크 암호화 기능인 비트락커(BitLocker)를 걸고 패스워드를 제공하는 조건으로 범죄수익을 유도하였다.

랜섬웨어 공격은 귀신(Gwisn), 매스스캔(Masscan) 등 국내와 같이 특정 국가만 공격하는 공격들을 통해서 랜섬웨어의 공격이 단순히 금전적인 목적 이외에도 국가기반의 사이버 공격도구로 활용되고 있다는 점을 알 수 있다. 랜섬웨어 단독으로 공격 행위를 식별할 수 있는 종전의 공격 방법에서 벗어나 최근에는 분석 지연 및 공격 기법을 숨기기 위해서 랜섬웨어 구동 트리거를 파일 자체에 보유하지 않거나 조건을 부합한 경우에는 실행되게 하기 때문에 대응에 혼선을 주고 있다.

랜섬웨어는 파일 암호화로 인한 직접적인 피해를 야기하는 것을 넘어 개인정보 탈취를 통한 2차 피해가 발생되기 때문에 지속적인 모니터링과 현실적인 대응전략 수립이 중요하다. 랜섬웨어로 인한 경제적인 피해를 대응하기 위해서 랜섬웨어 공격 대가 보고 의무화 입법 논의를 통해 국가 차원의 정보 공유 및 정보보호 조치를 지원하는 한편 가상화폐 부정 사용에 대한 규제 강화 및 모니터링 및 랜섬웨어 대응을 위한 국제적인 공조체계를 유지하는 활동이 필요하다.

[그림 4] 랜섬웨어 공격양상 패러다임

2) 오픈소스 생태계로 인한 보안위협 진화

개방형 혁신(Open Innovation)을 통한 소프트웨어 생태계 성장을 주도하는 오픈소스는 디지털 전환과 빅 테크 기업 주도의 시드 기술 확산을 기반으로 오픈소스 생태계의 자생력을 확보하여 시장 우위를 확보하고 있다. 소프트웨어 산업의 게임 체인저로 개발자 커뮤니티를 중심으로 운영되던 종전의 방식은 재단과 빅 테크 기업 주도로 전환되면서 조직화된 운영환경이 조성되면서 ICT 사업 내 오픈소스 성장을 견인하였다. 특히 빅 테크 기업에서 주도하는 인공지능, 머신러닝, 블록체인, 메타버스 등 차세대 신기술은 후발 소프트웨어 개발 환경의 시드 기술로 활용되면서 소프트웨어 생태계를 고속성장하는 촉매제로 활용되었다.

종전의 오픈소스 활용으로 인한 이슈의 상당수는 라이선스 충돌로 인한 문제가 주를 이루었다면, Log4Shell, Spring4Shell, Text4Shell 등 권한 탈취형 원격 명령 실행 취약점의 발표로 인해 취약점 체이닝(Vulnerability Chaning)으로 인한 오픈소스 보안 위협의 심각성을 인지하게 되면서 오픈소스 생태계에서는 자정작용을 위한 다양한 논의들과 기술들이 연구되고 있다.

오픈소스 생태계의 발전은 소프트웨어 산업의 新 성장 동력 확보 및 기술 보편화에 긍정적인 영향을 미치는 것에 반해, Public Repository나 Private Repository로 인한 보안 사고 사례가 증가하면서 연쇄적인 사이버 보안 이슈에 직면하게 되었다. NPM Registry의 보안 사고 사례는 오픈소스 레파지토리를 통해 사이버 공격의 확산 방법과 심각성을 유추할 수 있게 한다.

[그림 5] Framework기반의 고위험도 RCE취약점 변화

2017년 cross-env 패키지와 유사한 crossenv 패키지명을 사용해 악성코드를 배포한 타이포스쿼팅(Typosquatting)공격, 2018년 Stream을 쉽게 사용할 수 있도록 지원하는 Event-Stream 패키지와 의존관계인 Flatmap-Stream 패키지에 비트코인 결제 플랫폼 지갑 Copay 지갑 정보와 개인키 탈취가 가능한 악성코드 삽입 사건, 2022년 GitHub.com 통합업체인 Heroku와 Travis CI에 발급된 OAuth 사용자 토큰을 탈취 후 여러 Private NPM 레파지토리를 다운로드해서 손상된 AWS 액세스키를 사용해 접근 권한을 상승하는 공격 등이 다수 발생하였다.

[표 1] NPM Registry를 통한 오픈소스 레파지토리 공격

오픈소스 및 오픈소스 레파지토리의 보안 이슈는 취약점 체인화로 인한 연쇄적인 보안 이슈를 야기하기 때문에 오픈소스 거버넌스 수립 및 오픈소스 보안 취약점 관리 방안 등의 대응이 필요하다.

[그림 6] 오픈소스 생태계와 보안의 상관관계

3) 위험의 체인화, 공급망 공격 증가 추세

Microsoft Exchange Server 취약점, Solarwinds 해킹, Kaseya 등의 사례는 공급망 보안의 파급력을 보여주었다. 물리적인 공급체계를 공격해야 했던 종전의 공급망 공격은 디지털화된 공급환경으로 인해 소프트웨어로 인한 보안 위협 비중을 가중시켰다. Log4Shell, Spring4Shell, Text4Shell 등 2021년 하반기부터 시작된 Spring Framework의 취약점은 소프트웨어 취약점으로 인한 공급망 전반의 영향을 보여주는 사례라고 할 수 있다.

2022년 9월에 발표된 ‘대한민국 디지털 전략’에서는 ‘국민과 함께 세계의 모범이 되는 디지털 대한민국’의 미래상으로 ‘다시 도약하고, 함께 잘 사는 디지털 경제∙사회 구현’을 목표로 디지털경제, 디지털 사회, 디지털 플랫폼 정부를 구축하기 위해 인공지능, 인공지능 반도체, 5∙6G 이동통신, 양자, 확장 가상세계, 사이버 보안 등의 혁신기술 분야에 대한 연구개발 집중투자를 발표한 바 있다. 이와 같은 연구 기조는 전 세계적으로 발생되고 있는 공급망 보안 위협으로 인한 국가기반 시설 보호 및 안전 강화를 통한 디지털 생태계 구축을 위한 내용이라고 볼 수 있다.

미국 역시 공급망 보안 위협으로 인한 대응을 위한 정책적인 지원을 통해 사회 전반의 공급망 안전을 확보하고자 노력하고 있다. 미국 최대 송유관 업체 콜로니얼 파이프라인의 랜섬웨어 공격과 세계 최대 정육업체 JBS Foods의 해킹사고 등 사이버 공격으로 인한 공급망 마비로 촉발된 미국 바이든 행정부의 행정명령(EO) 14028호를 지원하기 위해 소프트웨어 공급망 보안이 강화된 지침과 가이드를 공표하며 디지털 인프라의 신뢰성 구축과 국가 안전망을 보장하기 위한 활동이 지속되고 있다.

사이버 보안에 대비한 소프트웨어 기반 공급망 보안 강화를 위한 목적으로 발표된 지침인 NIST SP 800-161 Rev. 1 (Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations)과 SSDF(Secure Software Development Framework)은 소프트웨어 기반 공급망 보안 강화를 위한 대표적인 방안이다. NIST CSF와 SP 800-53 Revision 5등 기존의 사이버 보안체계를 바탕으로 비인가 접근 제한, SBOM, 소프트웨어 테스트 강화 등을 통해 소프트웨어 기반 공급망에서 발생할 수 있는 잠재적인 보안 위협을 식별하고 대응하여 결과적으로 소프트웨어의 코드 완전성을 보장하고 취약점을 대응하여 소프트웨어의 신뢰성과 보안성을 보장해야 한다.

[그림 7] 소프트웨어 기반의 공급망 공격 시나리오

공급망 공격은 이기종 환경의 결합물이자 프로세스이기 때문에 소프트웨어 공급망 공격을 대응하기 위해서는 3rd Party 라이브러리나 오픈소스 등 소프트웨어의 가시성을 저해할 수 있는 요소들의 안전성을 보장받아야 한다. SBOM는 이러한 소프트웨어의 안전성을 확보할 수 있는 대안으로 떠오르고 있다. SBOM은 단순히 보안 요소를 넘어 데이터 프라이버시 측면에서도 중요한 요소이기 때문에 소프트웨어의 각 구성요소 라이선스 유형 및 버전 정보, 패치 상태, 구성요소 간의 디펜던시 관계 등을 제공할 수 있는 SBOM 도입의 활성화를 통해 소프트웨어 기반의 공급망 보안을 확보할 수 있다.

[표 2] 공급망 공격 사례 : 2011~2021년
(출처 : ReversingLabs, How Existing Cybersecurity Frameworks Can Curb Supply Chain Attacks,
Agu. 23, 2019. ,Figure 1: Timeline of Historical Supply Chain Attacks 일부 재구성)

4) 가상화폐의 불확실성 증가, 가상화폐 타겟팅 사이버 공격 확산

서로 다른 블록체인 네트워크를 연결해 하나의 블록체인 네트워크에서 다른 블록체인 네트워크로 정보, 가상화폐, NFT 등의 자산을 교환해 주는 블록체인 브리지(또는 크로스 체인) 공격이 급증하고 있다. 블록체인 브리지는 단일 블록체인의 폐쇄성 이슈를 해소하고 크로스 체인을 통한 상호 운용성을 지원하기 때문에 블록체인 생태계 활성화에 기여하기 때문에 공격자들의 먹잇감이 되고 있다.

큐빗 파이낸스(Qubit Finance), 웜홀 브리지(Wormhole Bridge), 하모니 호라이즌 브리지(Harmony Horizon Bridge) 등 해외 블록체인 브리지 플랫폼의 해킹사고로 막대한 금전적 피해가 발생됐다. 국내에서도 BGP Hijacking 공격 기법으로 최대 탈 중앙화 금융(DeFi) 클레이스왑(KLAYswap)에서 22억 규모의 해킹 피해가 발생했다. NFT 게임 액시 인피니티(Axie Infinity)의 사이드 체인 해킹으로 7,700억 규모의 피해가 발생했다.

온 체인과 오프 체인으로 구현되는 블록체인 브리지는 체인 유형이 상이해도 스마트 컨트랙트(Smart Contract)나 서비스 플랫폼이 오픈소스 프로젝트를 지향하고 있기 때문에 소스코드가 공개되어 있는 경우가 많아 취약점이 악용되거나 스마트 컨트랙트의 복잡성을 이용한 공격이 주로 발생되게 된다. 블록체인 브리지의 구조적 복잡성으로 인해 공격 표면이 발생하면 대규모 금전 피해가 발생되기 쉽다.

블록체인 브리지를 통해 탈취된 가상화폐는 국가지원 해킹그룹의 경우에는 가상화폐 탈취 및 자금 세탁을 통해 불법자금 확보 수단으로 활용한다. 랜섬웨어와 연계하여 가상화폐를 통한 수익창출이 지속됨에 따라 가상화폐를 타겟팅 한 공격 그룹의 공격이 지속될 것으로 보인다. 가상화폐의 경우 여타 사이버 범죄와는 달리 탈취된 가상화폐는 자금 세탁을 지원하는 믹서들로 인해 거래 흐름 추적이 어렵고 직접적인 불법자금의 현금화가 가능하다는 점에서 공격자들의 요구 조건이 부합됨에 따라 가상화폐를 타깃으로 한 사이버 공격의 국제적 협조와 정보 공유가 필요하다.

[표 3] 2022년 가상화폐 타깃형 사이버 공격 발생현황

5) 국제정세 불안, 국가 사이버 안보 위험 증가

2022년 러시아의 우크라이나 침공으로 시작된 전면전(full-fledged war)은 물리적 충돌과 사이버 공격이 결합된 하이브리드 전쟁(Hybrid Warfare)의 최초 사례라고 볼 수 있다. 물리적 충돌 전후로 국가 주요 시설과 공공기관 ∙ 민간기업에 다수의 사이버 공격을 시도하였다. 시스템 파괴, 심리전 활용, 정보 탈취 등 다양한 사이버 공격을 통해 사회혼란을 유발하고 국가 신뢰도를 저해하였다. 침공 1년 전부터 사이버 공격을 통해 데이터 유출 및 시스템 파괴 등 정부 주요 기반 시설의 네트워크를 장악했다는 점에서 사이버 플랫폼이 전장화될 수 있다는 점을 증명하며 패권 경쟁의 새로운 장을 열었다.

[그림 8] Coordinated Russian cyber and military operations in Ukraine
(출처 : Microsoft, Defending Ukraine: Early Lessons from the Cyber War)

Microsoft의 Microsoft Digital Defense Report에 따르면 사이버 공격의 배후에 러시아, 북한, 베트남, 이란, 중국, 터키 등 국가가 개입해서 해킹 공격을 지원하고 있으며, 다자관계의 사이버 공격 양상을 보이고 있다. 러시아의 Energetic Bear, UNC2452, APT28 해킹그룹, 북한의 Lazarus Group, Kimsuky 해킹그룹, 중국의 APT40, UNC2630/UNC2717 해킹그룹, 이란의 OilRig, Agrius 해킹그룹 등이 활동하면서 외교, 안보, 국방, 에너지, 의료 등 다양한 산업분야에서 공격 캠페인을 감행하고 있다.

국내 기업 타깃의 귀신(Gwisin) 랜섬웨어, 이태원 사고 이슈 악용, 카카오 서비스 장애 이슈 악용 등 국내 타깃의 사이버 공격이 지속적으로 발견됨에 따라 사이버 전을 대비하여 우방국 간의 긴밀한 협력체계 구축과 지속적인 사이버 모의훈련을 통해 전략적인 사이버 안보체계 구축을 수립해야 한다.

[그림 9] 국가 사이버 안보 전략 패러다임 변화 주요국 비교 분석
(출처 : 유지연. 국가 사이버 안보 전략 패러다임 변화에 대한 주요국 비교분석 연구. 2021; 14(1), 115-142. 일부 재수정)

03. 2023년 5대 사이버 대응기술 전망

1) 지능형 사이버 보안관제와 자동화 기술 고도화

해킹그룹의 조직화∙체계화∙분업화 현상이 두드러짐에 따라 사이버 위협에 대응하기 위해 인공지능, 머신러닝 등 차세대 기술을 접목한 실시간 탐지∙대응이 고도화되고 있다. 인공지능 기술의 보편화에 따라 공격자들의 인공지능 활용 사례가 속속 보고되고 있다. 조지 메이든 대학의 교수인 Sean Palka는 메일 보안 시스템 SEG를 기계학습을 통해 우회 패턴을 생성하거나, 공격 대상의 선호도를 조사하는 과정에 인공지능을 활용하여 사회공학기법의 성공률을 높이는데 활용하기도 한다. 인공지능 기반의 악성코드 딥로커(DeepLocker) 역시 인공지능을 통해 공격 조건이 발현될 때 랜섬웨어 공격을 감행한다.

이를 대응하기 위해서 보안 관제의 프로세스 전 과정에 인공지능이나 자동화 기술을 활용하는 사례가 증가되었다. 보안 위협을 식별, 탐지, 대응하는 과정에서 인공지능 기반의 사이버 위협 예측 기술을 도입하고 클라우드 및 이기종 도메인간의 사이버 위협 분석을 위한 지능형 사이버 보안 관제 솔루션들이 도입되고 있다. 이기종 보안 솔루션 간의 보안 관제 효율성과 복잡성을 해소하기 위해 ‘보안 오케스트레이션·자동화 및 대응 (SOAR, Security Orchestration, Automation and Response)’ 적용도 꾸준히 증가하고 있다.

차세대 기술 및 자동화 도입만이 모든 사이버 보안 위협을 대응할 수 있는 것은 아니다. 하지만 표준화된 보안 관제 프로세스를 도입하여 사이버 공격의 프로파일링 및 자동화를 위한 체계를 도입하고 선제적인 보안 위협을 식별할 수 있다면 고도화된 보안 관제 체계를 수립할 수 있게 될 것이다.

[그림 10] Building a World-Class Security Operations Center : A Roadmap
(출처 : SANS SANS Institute 2015, 일부 재구성)

2) Security를 넘어 Safety로, 융합보안 필요성 강화

국가 주도형 사이버 공격으로 다수의 공격 캠페인이 동시다발적으로 발생하면서 공격 환경이 ICT 환경에 국한되지 않고 ICT/OT까지 확대되었다. 대규모 사이버 공격의 발생 빈도가 빈번해지고 하드웨어, 펌웨어, 소프트웨어 등 공급망 공격이 활발해지면서 Active Directory, 3rd Party, VPN 등 Trusted Relationship의 환경까지 공격의 범주가 확대되고 있다. 특히 최근 우크라이나-러시아 사태로 인해 사회기반시설 대상의 사이버 공격이 증가됨에 따라 IT와 OT를 관리할 수 있는 융합보안의 필요성이 증대되고 있다.

오픈소스 취약점, 관리형 상용 소프트웨어의 보안 이슈, 큰 규모의 기업들의 연쇄적인 사이버 보안 사고 등으로 인한 공급망 보안 위협으로 취약점 체인화가 본격화되면서 ‘정보통신 기술 및 서비스에 대한 위협에 대처하기 위해 ICT 공급망 보호에 관한 행정명령’(Executive Order on Securing the Information and Communications Technology and Services Supply Chain) 및 ‘사이버 보안 인력 확충에 관한 행정명령’(Executive Order on America’s Cybersecurity Workforce)’의 일환으로 공급망 보안 강화를 위한 사이버 보안 사고 취약성 및 사고 대응을 위한 플레이북 표준화, 사이버 보안 현대화, 소프트웨어 공급망 보안 강화 등의 후속 조치들이 지침과 가이드 등을 통해 구체화되기 시작했다.

‘융합보안 모니터링 체계(Convergence Security by Design)’를 구축하기 위해 선제적으로 SBOM 등을 통해 소프트웨어 공급망의 무결성 확보 및 사이버 사고 모니터링 등의 보안 기능 강화로 오픈소스 및 연쇄적인 보안 사고를 가시화하려는 움직임이 강화되고 있다.

[그림 11] ICS/OT 보안솔루션 도입 및 융합보안관제운영

3) 클라우드 전환의 시작, 클라우드 보안 고려사항

팬데믹으로 클라우드 전환이 활발해지면서 클라우드 보안 사고가 증가하고 있다. ‘2030 미래사회 변화 및 ICT 8대 유망기술의 사이버 위협 전망’에 따르면 CSP 관점에서는 컨테이너(도커, 쿠버네티스 등) 보안 위협, 가상화 환경 보안 위협, 데이터 위∙변조 및 유출 등의 사이버 위협이 우려되며 사용자 관점에서는 크리덴셜 유출 및 접근통제 보안 위협으로 인한 데이터 불법 접근 등의 보안 이슈가 문제라고 지목하였다.

CSA에서 발간한 ‘Top Threats to Cloud Computing - Pandemic Eleven’에 따르면 클라우드 보안에 대한 성숙도 향상과 클라우드 구성 및 인증 과정에서 보안을 적용한 클라우드 마이그레이션 등을 통해 비인가자의 비정상적인 데이터 접근으로 인한 데이터 유출 및 클라우드 보안 아키텍처와 전략 미흡 등의 보안 위협요소들을 대체하여 안전하지 않은 소프트웨어 개발, 시스템 취약점, 서버리스 및 컨테이너 워크 로드의 잘못된 구성 및 악용, 해킹그룹에 의한 APT 공격 등의 보안 위협으로 변화되었다는 것을 알 수 있다. 물론 사용자 인터페이스나 API를 사용한 클라우드 공격 기법이 증가되는 것을 감안한다면 보다 세밀한 클라우드 보안 정책 수립이 필요하다.

클라우드 전환이 금융, 공공 등 ICT 환경의 핵심 인프라로 자리 잡으면서 클라우드 관리를 위한 보안 강화 및 리스크 강화의 중요성이 높아지고 있다. 클라우드 전환 시에는 클라우드 환경에 맞는 업무 프로세스 및 데이터 관리체계를 적용해야 하며 접근통제를 위한 클라우드 네이티브 인증 및 접근 프로세스를 도입하는 것이 필요하다. 이를 위해서는 Security by Design을 반영하여 클라우드 전환 설계 단계에서부터 보안을 고려한 클라우드 관리 전략을 수립해야 한다.

[표 4] Top Threats to Cloud Computing Pandemic Eleven (출처 : CSA, 06/06/2022)
2021년 CSA Top Threats to Cloud Computing 보안위협 번호를 의미

4) 데이터 경제의 시대, 데이터 활용과 보안

디지털 시대의 산업 발전은 전통적인 자본시장의 생산요소에서 벗어나 데이터를 통한 데이터 경제(Data Economy) 시대로 발전되었다. '데이터 산업진흥 및 이용 촉진에 관한 기본법(데이터 기본법)’과 '산업 디지털 전환 촉진법(산업 디지털 법)’의 시행으로 데이터 활용 및 보호 원칙과 지원 근거 등을 바탕으로 산업 생태계 조성을 위한 제도적 기반이 마련되었다. 윤석열 정부에서도 ‘모든 데이터를 연결’하는 ‘디지털 플랫폼 정부’를 추진하여 데이터 경제 활성화를 위한 방안을 앞장서고 있다.

데이터 경제 활성화를 위해 중요한 점은 개인정보보호의 원칙을 기반해야 한다는 점이다. 2020년 8월 ‘개인정보보호법’ 개정을 통해 데이터 가치를 유지하면서 개인정보의 식별성을 최소화하는 가명 정보를 도입하고 통계 작성, 과학적연구, 공익적 기록 보존 등의 목적 안에서는 정보주체의 동의 없이 활용하게 하였다. 가명 정보 처리 시에 사후 책임 문제를 명확히 하기 위한 목적으로 재식별 금지를 명시하고 있으나 개인정보 활용 이슈는 지속적으로 발생되고 있다.

인공지능 AI챗봇 이루다의 모델의 근간이 되는 연애의 과학, 덱스트앳의 개인정보 활용 이슈로 시작된 데이터 보안 이슈는 맞춤형 서비스에서도 논란이 되면서 이용자의 자기결정권을 제공을 통한 개인정보관리가 제시되고 있다. 인공지능, 머신러닝, 빅데이터, 클라우드 등 디지털 산업의 발전으로 새로운 비즈니스 창출할 수 있는 데이터 경제 활성화를 위해 데이터 활용 및 보호 모델의 상생구조로 데이터 생태계의 선도적인 역할을 기대해 본다.

[표 5] 데이터보호 핵심기술 개발 전략 (출처 : 과학기술정보통신부, 2021.11.18)

5) 사이버 공격의 저지선, 공격표면관리

Gartner’s Hype Cycle for Security Operations, 2021의 Innovation Trigger 요소로 외부 공격 표면 관리(EASM, External Attack Surface Management)에서 시작된 공격 표면 관리(Attack Surface Management)는 인프라 복잡성으로 인한 유기적인 사이버 보안체계(Cybersecurity Mesh)를 구현하기 위한 방안으로 발전되고 있다.

자산의 복잡성과 분산은 인프라 구조의 가시성을 저해하면서 네트워크 경계의 약화를 야기하였다. 근무 유연화 및 기업 내 자산의 현행화 부재는 식별되지 않은 자산이나 네트워크로 작용하면서 새로운 공격 지점으로 악용되었다. 기존에 유출된 데이터나 크리덴셜 정보 역시 새로운 공격 벡터로 활용되기 시작했다. 다크 웹을 통해 정보가 판매되거나 재가공 되면서 대규모 사이버 공격의 자원을 제공하게 되었다. 최근에는 Cloud First로 인한 클라우드 전환 가속화로 책임 공유 모델에 대한 이해 부족 및 안전한 클라우드 아키텍처 구현이 미비하여 데이터 유출 및 크리덴셜 노출 등의 문제가 야기되면서 새로운 공격 벡터로 악용되기 시작하였다.

기업의 인프라에 접근할 수 있는 공개되어 있거나 공개되어 있지 않은 모든 보안 위협요소들에 대해서 선제적으로 위협요인을 발견하고 대응하기 위해서는 공격 표면 관리를 통해 내부 인프라에 대한 최소 권한 설정 및 접근통제, 보안 설정 강화 등의 대응 방안을 적용하여 공격 표면 관리를 위한 활동을 모니터링하고 지속적인 대응체계 강화를 수행해야 한다.

[그림 12] Gartner’s Hype Cycle for Security Operations, 2022 (출처 : Gartner)
[표 6] 공격표면관리 이슈사항 및 대응방안

04. 마무리

지금까지 2023년에 발생 가능한 보안 위협과 대응기술에 대해서 전망해 보았다. 팬데믹을 넘어 엔데믹 시대를 맞이하는 지금, 국가와 기업의 디지털화는 사이버 위협을 동반하고 있다. 클라우드, IoT 등 인프라의 복잡도가 증가함에 따라 공격점접(Attack Surface)이 증가되면서 공격을 인지하기 어려워지고 있다. 특히 API를 통한 연계 및 소프트웨어 기반의 가상환경이 증가됨에 따라 단편화된 보안 전략은 조직의 레질리언스를 저해하게 된다.

민첩하고 신속하게 변화되는 비즈니스 환경에서 보안을 적용하기 위해서는 보다 비즈니스 친화적인 보안체계를 구축해야 한다. 비즈니스 전략 수립 단계에서부터 비즈니스 구현을 위해 발생할 수 있는 프로세스 구체화 시에 단계별로 보안 위협으로 인한 업무 연속성이 저해되지는 않는지 다시금 살펴보고, 비즈니스 체계가 구현된 이후에도 지속적인 변경 관리를 통해 위험관리를 수행하여 수용 가능한 수준인지 BIA(Business Impact Analysis)를 분석해야 한다.

지금의 인프라 환경은 복잡하고 유기적인 연계 구조를 가지고 있다. 파편화된 보안체계가 보안의 가시성을 저해하고 운영의 효율성을 저해하게 된다. 이기종의 보안 솔루션을 통합하고 분석하는 것보다 중요한 것은 현재 조직의 업무 프로세스를 이해하고 ROI를 극대화할 수 있는 조직만의 보안 방정식을 수립하는 것이 그 어느 때보다 중요하다.