프루프포인트 Lucia Milică 글로벌 정보보호최고책임자(Global Resident CISO), 올해 전세계 각지에서 랜섬웨어 피해가 속출하여 힘든 한해였지만 세계 경제위기로 내년 한해도 사이버 위협 지속될 것으로 전망 

 

(서울, 2022년 11월 7일) 글로벌 사이버 보안 기업 프루프포인트(Proofpoint)은 내년 사이버보안 전망과 함께 대처방안을 발표했다. 프루프포인트 Lucia Milică 글로벌 정보보호최고책임자(Global Resident CISO)에 따르면 올해에는 사이버공격이 전세계 기관·조직을 파고들어 CISO들은 더없이 힘든 한 해를 보내고 있다고 한다. 랜섬웨어, 국가 주도 위협 행위자, 공급망 취약성 등 여러 위협이 중첩적으로 존재하는 가운데 핵심은 다음과 같다.  

• 전세계 각지에서 랜섬웨어 피해가 속출하였다. 157년의 역사를 자랑하는 교육기관(미국 링컨칼리지)가 폐쇄되고, 코스타리카는 국가 비상사태를 선언했으며, 글로벌 자동차 기업(도요타자동차)가 하루 내내 생산을 중단하는 사태가 벌어졌다.   

• 미국 공항을 노린 러시아 해커, 통신망 취약성을 악용한 중국의 국가 주도 위협 행위자 공격 등 핵심 인프라에 대한 공격이 지속되었다. 

• 본인인증 기술 관련 사이버공격으로 디지털 공급망 위협이 증가하였다.  

내년부터는 각 기업 CISO와 이사회는 글로벌 경제 변동성·경직성 확대와 인력문제를 감안하여 보안 수요급증에 대비해야 한다. 프루프포인트 상주 CISO팀(Resident CISO team)은 2023년을 전망하고 각 상황에 맞는 대처 방안을 다음과 같이 제시한다.  

1. 글로벌 경기둔화 및 물리적 갈등에 따른 압박이 구조적 리스크를 가중시켜 디지털 생태계 전반에 여파가 미칠 것으로 전망된다.  

디지털 생태계는 점차 복잡해지고 상호연계성도 커지면서 기존 보안문제가 악화하고, 새로운 구조적 리스크에 대한 우려도 생겨나고 있다. 단 한 가지라도 부분에 약점이 있으면 전체를 위협하는 요인으로 작용할 수 있다.  프루프포인트가 최근 발표한 2022년 이사회가 바라본 사이버보안(Cybersecurity: The 2022 Board Perspective) 보고서에 따르면, 각 기업 이사회의 75%는 조직 내 구조적 리스크를 잘 이해하고 있다고 응답했다. 그러나 글로벌 혼란 속에서 생태계 위협을 완벽히 파악하기란 쉬운 일이 아니기 때문에 구조적 리스크를 예의주시할 필요가 있다.  

실업, 금리인상, 생활수준 저하, 인플레이션 등 경기둔화 압박 요인으로 인해 근로자는 물론 각 가정에 금전적·심리적 부담이 가중되고 있다. 근무중 산만해지고 불만도 증가하는 시기의 심리적 약점을 틈타 위협 행위자의 공격이 훨씬 수월해진다. 사이버 위협 행위자들이 사람들의 불안한 심리상태를 악용해 기승을 부린다. 러시아의 우크라이나 침공 등 물리적 갈등 역시 글로벌 불안 요소로 신종 사이버공격을 일으키고 조직 내 구조적 리스크를 확대시킨다. 

2. 다크웹 해킹 툴 상용화로 인해 사이버 범죄가 증가하고 있다. 

최근 몇 년 사이 랜섬웨어 실행 해킹 툴이 지하범죄용 수단으로 변질되었다. 서비스형 랜섬웨어(RaaS)가 유행처럼 번져 다크웹 경제가 번성하였고, 랜섬웨어 공격이 확산되었다. 신규 다크웹 툴을 이용해 특별한 기술 없이도 랜섬웨어 공격이 가능하기 때문에 토르 브라우저(Tor Browser, 익명 네트워크)를 갖고 시간만 투자하면 누구나 사이버 범죄자가 될 소지가 있다.  

다크웹 커머스가 성장하면서 사이버 공격 가능성이 증가한다는 사실은 쉽게 짐작할 수 있다. 스미싱 공격과 모바일 장치 해킹 툴이 자주 등장할 것으로 보여 특별한 기술이 없는 위협 행위자라도 차단하기가 더욱 어려워질 전망이다.  

3. 위협 행위자의 비즈니스 모델이 이중갈취(double-extortion schemes)로 변모하고 있기 때문에 향후 랜섬웨어 공격의 핵심은 데이터 유출이 될 것이다.  

랜섬웨어가 무차별적으로 확산하면서 그 어떤 조직도 예외가 아니라고 할 수 있다. 프루프포인트가 발표한 2022년 피싱 현황 보고서에 따르면, 글로벌 기관 중 68%가 랜섬웨어 감염을 경험한 적이 있는 것으로 나타났다. 그런데 지난 3년 간 데이터 암호화가 데이터를 암호화하는 동시에 유출하는 이중갈취로 변질되었다는 사실이 더욱 우려스럽다.  

2019년만 해도 이중갈취를 행한 범죄조직은 한 군데에 불과했다. 그러나 2021년 1분기에는 전체 사이버공격 중 77%가 데이터 유출 위협을 수반했다. 최근 들어서는 목표로 설정한 조직뿐만 아니라 데이터 유출 영향을 받을 수 있는 모든 기관으로부터 결제가 이루어지도록 공격하는 추세다. 위협 행위자들이 점점 대범해지고 현금화 전략도 과감해지고 있는 것이다. 단순한 암호화 공격으로 시작해 피봇팅 공격 발생이 불가피할 수 있다.  

4. 사이버 범죄자들이 방어 침해 및 인간 행동의 약점을 악용할 새로운 방법들을 찾아내면서 멀티팩터인증(MFA, multi-factor authentication) 우회공격이 증가할 것이다.  

위협 행위자들은 인간 행동을 점차 알아나가고 신뢰를 얻기 위한 새롭고 쉬운 방법들을 터득하면서 수법을 지속적으로 변경한다. 사이버보안 산업은 MFA를 강화하면서 대응해왔고, 하나의 보안 표준이 되면서 또다른 추격전이 시작되었다. MFA를 보안장벽으로 채택하는 기관 수가 증가하고 있고, MFA 약점과 사용자들의 피로도를 노려서 피봇팅하는 사이버 범죄자 수도 늘고 있다. 최근 보도기사에서 이러한 변화들을 알 수 있었고, 새 트렌드가 시작된 것으로 본다.  

위협 자체는 어제 오늘의 일이 아니다. 프루프포인트 연구진은 2년 전에 MFA 우회공격의 취약성을 검증해냈다. 그러나 토큰을 빼내가는 피싱 키트 등 공격 실행 툴이 새롭게 생겨나고 있다. 점점 위협을 격파하기 어려워지는 이유는 기술뿐만 아니라 인간의 약점을 악용한 범죄가 증가하고 있기 때문이다. 사이버 공격자들은 타깃이 된 직원에게 결제요청을 수락할 때까지 계속 보내는 등 알림 메시지를 통해 압박하는 방식에 의존하는 경우가 빈번하다.  

5. 협력업체/거래처와의 신뢰를 악용하여 공급망 무기화는 앞으로 더욱 심화할 것이다.  

SolarWinds와 Log4j 사건이 경종을 울리는 계기가 되었을 수도 있지만, 디지털 공급망 취약성 관련 보호체계 구축에 필요한 적절한 툴을 보유하려면 긴 시간이 소요될 것이다. 세계경제포럼 설문조사에 따르면, 기관의 약 40%가 공급망 내 사이버 보안 사고를 경험해 본 적이 있는 것으로 나타났고, 거의 모든 응답자가 생태계 내 중소기업의 회복력에 대해 우려를 표명했다.  

이러한 우려는 2023년에도 지속될 것으로 전망된다. 외부 파트너와 공급사가 주요 공격 채널 중 하나로 부상할 것이 분명하다. 특히 우리가 늘상 사용해서 의존도가 높아 위협 행위자들이 노릴 API가 우려된다. 여러 기관들이 안전한 API 통합관리 경험이 부족하기 때문에 위협 행위자들 입장에서는 공격하기가 무척 쉽다. 전반적 공급망에서의 긴장도 더욱 가중될 것으로 보인다. 기관들이 업체 실사 과정을 통해 리스크 파악에 나서고 있는 한편, 공급사들은 그 과정에초점을 맞추고 있기 때문이다.  

6. 사이버 공격에서 딥페이크 기술(deepfake technoloy)의 역할이 크게 증가할 것이다. 신분위조 사기, 금융사기, 허위정보 등의 리스크가 커질 것이다.  

딥페이크 기술이 대중화하고 있다. 방대한 이미지 데이터베이스에 익숙한 AI로 인해 기술이 부족하더라도 누구나 딥페이크를 만들 수 있다. 최신 모델의 경우 문제점이 있긴 하지만 기술이 지속 향상되고 있고, 사이버 범죄자들은 이를 활용해서 피해자의 관심을 끌만한 화술을 만들어낼 것이다.  

원래 딥페이크는 사기와 업무용 이메일 손상 수법을 썼지만, 향후 더욱 확산되리라 전망한다. 주요 기업 딥페이크 CEO나 CFO가 주가를 폭락·급등시킬만한 과감한 발언을 했다고 가정해보자. 이때 발생할 금융시장의 혼란을 상상해보라. 아니면 범죄자가 생체 인증과 신분 위조 사기나 계좌 도용 딥페이크를 결합하여 어떻게 활용하는지를 생각해보라. 여기서 언급한 사례는 하나의 예시에 불과하다. 사이버 범죄자가 얼마든지 새로운 방식을 찾아낼 수 있다는 점은 명약관화하다.  

7. 이사회 차원의 규제당국 조사 수위가 높아지면 CISO의 역할이 변화하고, 이에 따라 이사회의 기대치와 요건도 증가할 것이다.  

투명성 제고를 위한 미국 증권거래위원회(SEC)  공시 요건안을 보면 기업들이 감독을 개선하고 이사회 자체적으로 사이버 보안 전문지식을 쌓아야 한다. 이로써 CISO의 기존 역할을 떠나 새로운 요건과 기대치를 제시할 것이다.  

그러나 최근 미국 연방법원의 우버(Uber) 사건 평결은 이사회가 사건의 법적 책임을 CISO에 직접 전가하는 위험한 선례다. 업계가 사이버 보안 전문가 채용을 노력하고 있는 상황에서 이러한 평결은 인재유치에 찬물을 끼얹는 격이다.  

그런데 CISO 중 절반만이 소속사 이사회와 직접 접견하여 보고하고 있는 현실에서 CISO에 대한 기대와 사이버 공격에 대한 개인적 책임 부담이 증가할 경우 이사회와 CISO의 관계만 경색될 가능성이 높고, 조직 사이버 보안에 미치는 파장도 클 것이다.  

내년도 전망은 결국 조직이 기본으로 돌아가 사람과 데이터를 보호해야 한다는 동일한 주제로 귀결된다. 2023년 위협 행위자의 약점이 무엇이든간에 사람들을 우선 공격대상으로 정하고 원하는 데이터를 노릴 것이다.  따라서 사이버 하이진(cyber hygiene)과 방어전략의 총체적 접근이 상당히 중요하다.  

개별 조직을 넘어 큰 그림을 봤을 때 보안 회복력을 강화하기 위해서는 공공·민간부문의 협력이 절실해지고 있다. 최근 사이버 보안이 국가안보 문제로 부상했으므로, 업계와 정부가 협력하여 사이버 보안 문제를 해결해 나갈 필요가 있다.   

 

###

프루프포인트 소개 

프루프포인트는 기업의 가장 큰 자산과 가장 큰 위험인 ‘사람’을 보호하는 선도적인 사이버 보안 기업이다. 프루프포인트는 클라우드 기반 솔루션의 통합 제품 라인업을 통해 전 세계 기업이 표적 위협을 차단하고 데이터를 보호하며 사용자가 사이버 공격에 대해 보다 탄력적으로 대처할 수 있도록 지원한다. 포춘(Fortune) 100대 기업의 75%를 포함한 모든 규모의 선도기업은 프루프포인트의 보안 솔루션을 사용한다. 프루프포인트는 이메일, 클라우드, 소셜 미디어 및 웹 전반에 걸쳐 있는 위험을 완화하는 사람 중심의 보안 솔루션을 제공하고 있다. 자세한 내용은 프루프포인트 공식 홈페이지(www.proofpoint.com)에서 확인할 수 있다. 

프루프포인트 소셜 미디어: Twitter | LinkedIn | Facebook | YouTube