사이버 보안에 대해 알아야 할 것들

1989년 인터넷이 사용되기 시작했을 때 개인 사용자들은 보안에 대해서 신경 쓰지 않았습니다. 온라인 범죄 같은 것이 있으리라고 생각지도 못했습니다. 그러던 것이 차츰 변해서 사이버 보안이나 사이버 범죄 같은 용어들이 등장했습니다.

사이버 보안이란 정보 통신 기술의 보안과 관련한 모든 측면을 이르는 것으로서, 다양한 수단, 개념, 가이드라인을 포괄합니다. 인터넷으로 연결된 컴퓨터, 서버, 모바일 디바이스, 네트워크를 사이버 공간에서 허가되지 않은 접근, 데이터 도난, 공격, 무단조작으로부터 보호하기 위한 것입니다.

사이버 공격은 타인의 컴퓨터 네트워크에 대한 악의적 공격을 말합니다. 공격자가 노리는 것은 네트워크를 훔쳐보거나, 손상하거나, 자신에게 유리하게 조작하는 것입니다. 개인, 기업, 공공 기관, 심지어 국가 전체의 인프라까지 사이버 범죄의 표적이 될 수 있습니다.

사이버 보안의 중요성이 날로 커지고 있습니다. 독일 연방 정보 보안청(BSI)에 따르면, 세계 최대 자동차 회사인 폭스바겐의 IT 네트워크는 매일 6천번 공격을 받고 있습니다. 인피니언 같은 하이테크 기업도 사이버 공격의 표적이 되고 있습니다. 인피니언의 Business Continuity 부서에서 이를 방어하는 업무를 맡고 있습니다.

BSI에 따르면, 정부 네트워크도 매일 20건의 전문적이고 심각한 공격을 받고 있다고 합니다. 카스퍼스키 랩(Kaspersky Lab)의 전문가들은 전세계적으로 매일 36만 건의 새로운 악의적 파일들을 감지하고 있습니다. 특히 온라인 쇼핑몰이나 이메일 제공 회사 같이 다량의 고객 마스터 데이터를 보유한 회사들이 공격 대상이 될 수 있습니다. 계정 정보나 패스워드 같은 민감한 개인 정보를 훔치는 것이 목적입니다.

커넥티드 디바이스는 삶을 편리하게 합니다. 예를 들어 외출 중에 스마트폰으로 난방을 켤 수 있어 집에 올 때는 실내 온도가 따뜻해져 있습니다. 하지만 이런 커넥티드 디바이스는 사이버 공격의 공격 지점과 통로가 되기도 합니다. Statista에 따르면, 2025년에는 전세계 커넥티드 디바이스가 약 750억 개에 이를 것입니다.

다양한 유형의 사이버 범죄가 있습니다:

• 내부적 소행 혹은 외부적 소행
• 단독 범행 혹은 조직적 범행
• 금전적 동기 혹은 테러리스트로서의 동기
• 비밀 공격 혹은 대중의 관심을 끌고자 하는 공격
• 민간 조직의 공격 혹은 정부 기관의 공격

인터넷으로 연결된 디바이스들은 서로 원격으로 연결할 수 있는 등 유용한 기능을 제공합니다. 하지만 또 한편으로는 공격자의 표적이 될 수도 있습니다.

• 사이버 범죄자가 개인 사용자의 프라이버시를 침해하거나, 패스워드를 훔치거나, 명의를 도용해서 쇼핑을 할 수 있습니다.
• 공격자가 라우터, 태블릿, PC 같이 개인이 사용하는 커넥티드 디바이스를 장악하고 봇넷에 합류시킬 수 있습니다. 봇넷을 사용해서 DoS(서비스 거부) 공격을 실행해서 통신 중단 같은 피해를 일으킬 수 있습니다.
• 공격자가 사이버 첩보나 사보타주 공격을 통해서 기업 비밀을 훔칠 수 있습니다. 독일 연방 헌법 수호청에 따르면, 독일에서 이 공격으로 인한 피해가 연간 500억 유로에 이른다고 합니다.
• 한 국가의 인프라를 해킹한 경우에는, 전력망(2015년에 우크라이나)이나 인터넷(2007년에 에스토니아)을 전국적으로 중단시킬 수 있습니다.

사이버 공격의 양상이 빠르게 변화하고 있습니다. 지금 이 시간에도 공격이 감행되고 있으며, 멀웨어 스스로가 생명력을 가지고 더 전문적이고 지능적으로 발달하고 있습니다.

공격자들이 랜섬웨어를 사용해서 피해자의 컴퓨터를 더 이상 사용하지 못하도록 조작할 수 있습니다. PC를 납치하는 것에 비유할 수 있습니다.  컴퓨터를 복구하려면 개인이든 기업이든 피해자가 돈을 지불해야 합니다.

인피니언의 사이버 보안 시장 전문가인 Detlef Houdeau 박사는 “2년 전에는 피싱으로 데이터를 훔치는 것이 가장 큰 문제였습니다. 그런데 이제는 랜섬웨어가 보안 전문가들뿐만 아니라 관련 당국에 가장 긴급한 문제입니다.”라고 말합니다.

서로 통신하는 디바이스 수가 증가함에 따라서 가능한 공격 시나리오도 복잡해지고 있습니다. Houdeau 박사는 구체적인 사례를 들어서 설명합니다. “병원에서 CT 스캐너로 촬영한 영상을 자동으로 개인의 주치의에게 전송합니다.

이 장비는 병원 IT 시스템의 일부이지만, 의료 장비 회사에서 구입합니다. 병원 IT를 보호하는 것만으로는 충분하지 않고, 개별 장비들까지 사이버 공격으로부터 보호해야 합니다.” 단 하나의 보안 허점만으로도 공격자가 시스템에 침투해서 IT 인프라를 조작할 수 있기 때문입니다.

공격을 당할 수 있는 취약 지점은 다양합니다. 개인 사용자의 홈 네트워크에서부터 기업과 공공기관의 네트워크까지 모두 공격 대상이 될 수 있습니다. 공격으로 인한 위험은 광범위하고도 다면적입니다.

• 사용자 자신이 취약 지점이 될 수 있습니다. 감염된 USB 스틱을 사용하여 멀웨어를 유입하거나, 생일 같이 추측하기 쉬운 패스워드를 사용하거나, 민감한 데이터를 적절한 방법으로 암호화하지 않는 경우입니다.

• 광대역 라우터 같은 디바이스가 보안적으로 취약할 수 있습니다. 2016년 가을에 수백만 명의 독일인들이 이틀 동안 디지털 TV, 전화, 인터넷을 사용하지 못했습니다. 해커가 널리 사용되는 통신 라우터에 악성 코드를 심었기 때문입니다.

• 한 국가의 중요 인프라에 대한 공격은 훨씬 더 심각합니다. 테러리스트들이 병원, 공항, 열차, 은행, 전력망 등에 디지털 공격을 한다면 사람을 다치게 하고 죽게 하거나 경제에 심각한 타격을 입힐 수 있습니다. 그런데 문제는 이러한 공격이 언제, 어디서, 어떻게 감행될지 알 수 없다는 것입니다.

방화벽이나 바이러스 검사 같은 기존의 방법으로는 더 이상 다양한 방식의 공격을 방어할 수 없습니다. 공격은 점점 더 정교해지고 있습니다. 인터넷을 보안적으로 사용하기 위해서는 새로운 보안 컨셉이 필요합니다. “설계에 의한 보안” 컨셉으로 어떤 제품이나 시스템을 개발할 때 보안을 내장해야 합니다. 갈수록 더 다양한 IoT 디바이스들의 보안 표준을 제정하고 있으며, 새로 출시하는 제품들에 채택되고 있습니다.

인증된 개인, 컴퓨터, 기계 장비, 네트워크 노드만이 정보에 접근할 수 있도록 정보를 보호하는 것을 목적으로 합니다. 그러기 위해서는 두 단계가 필요합니다. 보안적인 신원 확인과 인증입니다. 커넥티드카를 예로 들어보겠습니다. 미래의 자동차는 지금보다 훨씬 더 많은 전자 장치를 탑재할 것이며, 공격에 취약할 수 있는 외부 인터페이스가 훨씬 많아질 것입니다.

이러한 인터페이스들을 보호하기 위해서는 자동차의 소프트웨어를 주기적으로 업데이트해야 합니다. 그러기 위해서는 업데이트를 제공하는 컴퓨터와 자동차 제어 시스템의 게이트웨이가 서로를 인증해야 합니다. 다시 말해서, 두 장치만이 데이터를 교환할 수 있도록 하는 것입니다. 또한 둘 사이의 통신을 암호화해야 합니다. 업데이트를 위해서 정비소에 갈 필요가 없도록 스마트폰을 사용할 때처럼 무선(OTA)으로 업데이트를 할 것입니다.

이를 위해서는 적합한 하드웨어가 필요합니다. 인피니언은 제어 유닛을 위한 다양한 인증 및 암호화 칩을 제공합니다. 머신-대-머신 통신을 위해서는 보안적인 인증 프로세스가 중요합니다.

전문가들에 따르면, 2025년에 1억 대의 차량이 인터넷을 통해서 연결될 것이라고 합니다. 자동차가 “바퀴 달린 컴퓨터”가 되는 것입니다. 자동차가 인프라에 연결되고(V2I) 자동차와 자동차가 서로 연결될 것입니다(V2V). 자율주행 자동차에는 5G나 ITS-G5 같은 새로운 표준이 사용될 것입니다.

생산 기계, 열차 신호 시스템, 의료 장비, 자동차, 항공기 등의 구형 제품이나 시스템이 문제가 될 수 있습니다. 제품이 단종되고 업체들이 더 이상 유지보수를 지원하지 않는다면 구형 시스템을 업그레이드하기 위해서 상당한 비용과 인력이 들어갈 것입니다. 이러한 경우에 흔히 사용하는 방법은 구형 장비를 네트워크에서 차단하는 것입니다.

인터넷을 보안적으로 사용하기 위해서는 다음의 권장사항을 따라야 합니다:

전력, 의료, 금융, 교통은 국가의 주요 인프라를 구성하는 분야입니다. 유럽 시민들은 이들 기관이 제공하는 기본적인 서비스를 이용할 권리가 있습니다. 이러한 인프라가 공격을 받는다면 심각한 서비스 중단이나 혼란이 발생할 수 있으며 사람들이 피해를 입게 됩니다. 따라서 정부 당국에서는 사이버 보안을 강화하기 위해서 다음과 같은 조치들을 취하고 있습니다.

• 2015년에 시행된 독일의 IT 보안법은 독일의 2,500여개 설비 운영자가 IT 시스템을 특별히 보호하도록 의무화했습니다. 이에 따라서 운영자는 더 엄격한 보안 요건을 충족해야 하며 감사에서 이를 입증해야 합니다. 또 어떤 데이터 오용이 발견되면 즉시 고객들에게 알려야 하며, 사고가 발생되면 당국에 보고해야 합니다. 이에 해당되는 EU 규정은 NIS 규정이라고 하며, 모든 EU 회원국에 동일하게 적용됩니다.
• 또한 당국에서는 개인 사용자들이 사이버 공격을 방어할 수 있도록 지원하며, 온라인 서비스 제공 업체 및 하드웨어 제조업체의 주도에 의존합니다. EU의 사이버 보안법에 의거해서, 컨슈머 디바이스 인증에 관한 일관된 규정을 개발할 예정입니다. 이것은 EU 지역에서 B2C(business-to-consumer) 시장용 컨슈머 전자기기(CE)의 보안 수준을 높이기 위한 것입니다. B2B(business-to-business) 시장에서도 제품, 솔루션, 서비스에 대해서 IT 보안 인증을 크게 확대할 계획입니다. 공공 분야(business-to-government, B2G)에서의 목표는 모든 EU 회원국의 IT 보안 표준을 최대화하고 조화시키는 것입니다.
• EU 위원회는 2019년 말에 EU 사이버 보안 역량 센터(ECCC)라고 하는 새로운 기관을 설립할 예정입니다. 이 센터는 새로운 공격과 이를 방어하기 위한 조치들에 대한 노하우를 모으고자 합니다. EU 지역에서 600개 이상의 시험소 및 검사소가 네트워크를 형성할 것입니다.

사이버 보안을 향상시키는 것은 전기 전자 업계에도 중요한 문제입니다. 독일 전기 전자 제조업체 협회(ZVEI)는 이렇게 말합니다. “개인 정보 및 기술 정보가 보호되지 않는다면 디지털화를 유용하게 활용할 수 없습니다. 소비자를 보호하고, 제품 품질을 보장하고, 고객 충성도를 높이기 위해서 사이버 보안이 갈수록 더 중요해질 것입니다.”

라우터 제조업체가 가장 발빠르게 움직이고 있다는 것은 놀랄 일이 아닙니다. 라우터는 모든 가정의 홈 네트워크의 핵심 장비이기 때문입니다. 홈 네트워크와 인터넷 사이의 인터페이스로서, 라우터에 대한 공격이 점점 더 빈번해지고 있습니다.

마지막 업데이트: 2019년 10월