2018년에도 전 세계적으로 유수의 기업이 심각한 보안 침해 피해를 입었다. 보안 업계는 마케팅 및 데이터 수집 기업 이그잭티스에서 3억4000만건에 이르는 개인정보 기록이 저장된 데이터베이스가 유출된 사례가 단일 데이터 유출 사고로는 가장 큰 규모일 것으로 보고 있다. 페이스북 역시 해커에 의해 3000만명에 달하는 사용자 정보를 탈취당한 것으로 추정된다.

해킹 이미지. / IT조선DB
해킹 이미지. / IT조선DB
보안 업계는 2019년 인공지능(AI)이 사이버 공격에 본격적으로 악용되기 시작하는 한편, 마치 창과 방패처럼 사이버 공격을 막는 AI 기술도 고도화될 것으로 내다본다. 또 5세대(5G) 이동통신이 본격적으로 상용화됨에 따라 5G 네트워크 인프라와 여기에 연결되는 수많은 사물인터넷(IoT) 기기에 대한 위협도 커질 것으로 보고, 철저한 대비가 필요하다고 목소리를 높인다.

◇ 적이자 동시에 아군이기도 한 인공지능

‘자동화'는 공격과 방어 진영 모두에게 유용한 도구다. 공격자는 일일히 수작업으로 찾아내야 했던 타깃 시스템상의 취약점 검색을 자동화해 효과적으로 공격 포인트를 찾아내고, 공격에 들이는 시간과 비용을 줄일 수 있다. 방어하는 입장에서도 자동화된 시뮬레이션을 통해 내재된 취약점을 미리 찾아내거나 하루에도 수십만개씩 쏟아지는 악성코드를 중요도에 따라 걸러내 우선 대응하는 프로세스를 갖출 수 있다.

과거에는 고도로 개인화된 공격 도구를 개발하는 작업이 노동 집약적이고 비용이 많이 들었는데, AI를 활용해 이런 공격 도구 개발을 자동화할 수 있다면 사실상 추가 개발 비용을 본질적으로 제로로 만들 수 있게 된다. 최근 사이버 공격 집단이 기업화되면서 투자 대비 수익(ROI)을 우선시한다는 점을 고려하면 AI는 양지는 물론 음지에서도 효과적인 비즈니스 수단이 될 수 있다.

한발 더 나가가 AI 기반의 자동화된 시스템은 더 정교하게 사람을 속이는 사회공학적 공격에 악용될 수 있다. 단순히 실제와 똑같이 제작된 피싱 사이트 수준을 넘어 특정 개인이나 조직에 맞춤형으로 제작된 가짜 동영상이 대표적인 예다. 일례로 한 기업의 최고경영자(CEO)가 심각한 재정 위기나 보안 침해 사실을 발표하는 가짜 동영상을 AI가 만들어낸다면 해당 기업에 큰 타격을 입힐 수 있다.

방패로서의 AI도 진일보하는 중이다. 위협 식별 시스템은 이미 머신러닝(기계학습) 기법을 이용해 완전히 새로운 유형의 위협을 발견하는 수준으로 진화했다. 개인정보를 요구하거나 결제 진행 과정에서 AI를 결합해 비밀번호와 같은 최소한의 요구사항을 충족하더라도 평소 사용자 행동과 다른 패턴을 보이면 추가 인증을 요구하는 사기 감지 시스템도 날로 고도화되고 있다. 사람은 잠시 소홀하거나 실수할 수 있지만, AI가 그 빈틈을 막아줄 수 있는 셈이다.

◇ 5G 초연결 시대, IoT가 더 위험해진다

2018년 5G 네트워크 인프라 구축이 시작되면서 2019년에는 본격적으로 서비스 영역으로 확장될 전망이다. 5G에 대한 관심의 초점이 상당부분 스마트폰에 집중돼 있지만, 당장 5G 스마트폰 수요는 제한적일 수밖에 없다. 오히려 통신사업자는 고정형 5G 모바일 핫스팟과 5G 지원 가정용 라우터에 초점을 두고 시장을 확대할 가능성이 높다.

이는 결국 5G 네트워크에 직접 연결되는 IoT 기기가 폭발적으로 증가할 수 있음을 의미한다. IoT 기기는 하나하나의 성능은 보잘것 없지만, 그 수가 엄청나기 때문에 대규모 분산서비스거부(디도스, DDoS) 공격에 주로 악용된다. 실제로 최근 몇 년간 대규모 디도스 공격의 대부분이 수만대의 감염된 IoT 기기를 악용한 공격이었다.

5G 시대를 맞아 자동차부터 스마트팩토리 등 주요 생산시설까지 하나로 연결되는 초연결 사회로의 진입을 앞두고 있는 만큼 보안 업계는 IoT 기기에 대한 보안 위협이 날로 커질 것으로 내다본다.

이재우 SK인포섹 이큐스트그룹장은 "IoT 환경의 생산시설을 노린 공격은 기업에 직접적인 피해를 입힐 수 있고, 이를 매개로 더 큰 금전적 이득을 얻을 수 있기 때문에 앞으로도 늘어날 것이다"라며 "4차 산업혁명의 전환기를 맞이하고 있는 산업시설들이 보안에 더 관심을 기울여야 한다"고 말했다.

◇ GDPR 그 이후…데이터 보호 규정 변곡점 온다

유렵연합(EU)이 2018년 일반개인정보보호법(GDPR)을 시행함에 따라 비슷한 보안 및 개인정보보호 정책이 세계적으로 확대될 조짐을 보인다. 전 세계적으로 많은 국가가 GDPR 적정성을 보유했거나 적정성 평가를 논의 중이다.

캐나다는 이미 GDPR과 비슷한 법을 시행했고, 브라질은 2020년 시행 예정인 새로운 개인정보보호 법안을 최근 통과시켰다. 호주와 싱가포르는 GDPR의 영향을 받아 72시간 침해 통보제를 제정했고, 인도는 GDPR에서 영감을 받은 법을 고려하고 있다. 미국은 GDPR 시행 직후 캘리포니아주에서 미국 역사상 가장 엄격한 수준으로 평가되는 개인정보보호법을 통과시켰다.

GDPR 시행으로 인해 전 세계 기업이 데이터 수집과 저장에 많은 주의를 기울이게 됐다. 실제로 많은 기업이 GDPR을 기준선으로 삼아 준수 격차를 평가하고, 전반적인 보안 전력을 구축하기도 했다. 비록 국가별로 디지털 성숙도에는 차이가 있으나, 자국 상황을 적용한 자체 GDPR과 같은 데이터 보호 규정을 예고하고 있는 만큼 2019년은 국가적 데이터 보호 규정의 변곡점이 되는 해가 될 것이란 관측에 힘이 실린다.

보안과 개인정보보호 요구를 해결하기 위한 법률 및 규제 활동 증가에도 불구하고, 일부 요구조건은 자칫 역효과를 가져올 수도 있다는 지적도 있다. 예를 들어 지나치게 광범위한 규정은 보안 기업이 공격을 식별하고 대응하기 위한 정보 공유조차도 차단할 가능성이 있다. 보안 업계도 개인정보보호 규정이 허술하게 수립된다면 다른 취약점을 해결하더라도 또 다른 취약점을 만들어낼 수 있다고 지적한다.


키워드