2016년 부상할 보안 이슈 'IoT·랜섬웨어·생체인식'

스마트워치, 피트니스 트래커 등 IoT 기기 겨냥한 공격 늘어날 듯
랜섬웨어-악성코드 유포자 간 경쟁도 심화될 전망

[아시아경제 한진주 기자] 내년에는 사물인터넷(IoT), 랜섬웨어, 애플 기기에 대한 보안 위협이 심화될 것이라는 전망이 나왔다.

글로벌 사이버 보안회사 시만텍은 '2016년 주요 보안 동향 전망'을 발표했다.

시만텍은 2016년에 주목해야 할 보안 이슈로 ▲IoT 기기의 보안 이슈 확대 ▲애플 기기를 공격하는 사이버 범죄 증가 ▲랜섬웨어 범죄 집단과 악성코드 유포 집단의 경쟁 심화 ▲주요 기간시설 겨냥한 공격 위험 증가 ▲암호화 필요성 대두 ▲생체인식 보안 본격화 등을 꼽았다.

◆IoT 기기 보안 강화해야= 올 한해는 IoT와 모바일, 클라우드 등 새로운 환경이 조성되면서 사이버 범죄 영역도 확대됐다. 시만텍은 스마트워치, 활동 트래커 등 IoT 기기를 사용하는 소비자가 늘어남에 따라 IoT 기기의 보안 강화 필요성도 더욱 높아질 것으로 내다봤다.

시장조사기관 가트너(Gartner)는 2020년까지 다양한 산업 전반에서 약 300억대 기기가 연결될 것으로 전망했다. IoT 기기 시장에 값싼 하드웨어 플랫폼과 운영체제가 다수 존재하고 있고, 여전히 세분화 돼있는 실정이다.

시만텍은 "최근 몇 년간 모바일 영역에서 안드로이드 플랫폼을 겨냥한 공격이 증가한 것처럼, 특정 생태계의 성장과 맞물려 IoT 기기를 겨냥한 공격은 분명히 증가할 것"이라고 말했다.

의료기기 분야도 새로운 보안 위협 영역이 될 것으로 보인다. 아직까지 현실에서 해킹 사례는 보고된 바 없지만, 인공심장박동기(pacemaker)나 인슐린 펌프와 같은 생명 유지 기기의 해킹 가능성은 이미 알려져있다. 모바일 헬스(mHealth)의 발전으로 환자들이 점차 집에서 의료 기기를 사용하게 되고, 공용 네트워크에 의료 기기가 연결되고, 스마트폰 등을 통해 의료 정보 데이터도 주고 받게 될 것이다.

일부 국가나 산업에서는 IoT 기기와 관련한 정보 사용, 데이터 소유권, 동의 등 새로운 문제를 해결하기 위한 가이드라인을 마련하게 될 것이다.

◆애플기기 공격 증가= IDC에 따르면, 애플은 전세계 스마트폰 출하량의 13.5%, 전세계 PC 출하량의 7.5%를 차지한다. OS X나 iOS 기기의 감염을 목적으로 악성코드를 만들어내는 사이버 공격자의 수도 증가하고 있다.

애플 운영체제를 노리는 위협은 주요 경쟁사들(윈도우, 안드로이드)과 비교했을 때 매우 낮은 수준이지만, 애플을 겨냥한 위협이 지난 18개월간 급증했다는 것은 주목해야한다.

지난 해 애플을 노린 위협들이 다수 발견되면서 보안 연구진은 SW 취약점에 더욱 집중하고 있다. 제로데이 공격 브로커들은 최근 iOS 9.1 탈옥 기법에 100만 달러의 현상금을 걸기도 했다. 애플의 인기가 지속적으로 늘어난다면 이러한 현상은 내년에도 계속될 가능성이 있다.

◆랜섬웨어·악성코드 유포자 경쟁 심화= 데이터를 인질로 금전을 요구하는 랜섬웨어는 러시아어권 지역에서 시작되어 서유럽, 미국, 캐나다, 호주, 유럽 및 아시아 지역으로 확산되고 있다. 수익을 올릴 수 있다는 점 때문에 랜섬웨어의 규모는 더 커질 것으로 예상된다.

랜섬웨어 범죄 집단이 기존의 악성코드 유포 집단과 갈등을 일으킬 가능성도 점쳐진다. 랜섬웨어는 탐지가 어렵지 않고, 발견 즉시 파일을 정리할 수 있다. 그러나 악성코드 유포자들이 심어놓은 악성코드들도 함께 삭제돼 악성코드 유포 집단의 비즈니스에도 영향을 주게 될 수 있다. 악성코드 유포 네트워크가 증가해 랜섬웨어 집단이 자신들만의 유포 방식을 고안해낼 가능성이 있다.

◆기간시설 겨냥한 공격 증가= 국가와 정치 조직이 사이버 전쟁을 일으키고, 핵심 기반시설에 대한 공격은 정치적인 동기나 범죄 의도를 가지고 있다.

산업 분야의 IoT는 부가적인 서비스들과 연결을 통해 보고 및 기능을 개선하고자 하는 필요성 때문에 점점 더 네트워크에 긴밀하게 연결되고 있다. 이러한 변화로 전통적으로 보호가 어려운 기간시설로까지 사이버 공격이 확대되고 있다.

◆암호화 필요성 높아져='모든 곳을 암호화하라(Encrypt everywhere)'는 말은 IT 업계에서 하나의 주문이 되고 있다. 오고 가는 데이터에 대한 강력한 암호화가 필요하다는 것은 오랫동안 인지되어 왔고, 이제는 일반적으로 암호화가 도입되고 있다.

안타깝게도 많은 신규 기기와 앱에 암호화가 허술하게 구축된 경우 취약점을 이용해 공격자들이 통신 데이터에 접근할 수 있다. 모바일 OS 제조사는 자사 제품의 암호화 수준을 지속적으로 개선하고 있다. 암호화가 사용자의 데이터를 사이버 공격으로부터 보호하는 데 도움이 되지만, 법 집행에 있어서 장애물이 된다고 생각하는 정부 입장에서는 불만이 높아지고 있다.

◆생체인식 보안 본격화=최근 2년간 생체인식 기술의 활용이 급증했다. 주요 기업들을 중심으로 디지털 기기 자체의 새로운 센서나 파이도(FIDO), 터치ID(TouchID)와 등 인증 체계를 도입함에 따라 앞으로 생체인식은 더욱 늘어날 전망이다.

생체인식 보안의 활성화로 개인 사용자 입장에서 보안은 한층 강화되고, 디지털 기기의 잠금 해제나 구매 및 결제의 편의성은 크게 높아진다. 이러한 흐름 속에서 비밀번호 의존도를 줄이려는 기업들의 생체인식 보안 도입이 늘고 있다.

◆게임화로 보안 의식 제고= 보안 의식을 제고하기 위해 보안 교육에 게임화(gamification)와 시뮬레이션의 도입이 확대될 전망이다.

게임화(gamification)는 게임이 아닌 분야에 게임의 메커니즘과 사고방식을 접목하는 것이다. '보안 게임화'는 컴퓨터 게임에서 얻는 심리적 보상과 만족감을 이용해 지속적인 행동 변화를 가져올 수 있다. 예를 들어, 게임 방식을 이용해 피싱 이메일이나 강력한 패스워드의 생성 및 사용에 대해서도 교육할 수 있다.

박희범 시만텍코리아 대표는 "정보 보안 사고는 한번 발생하면 사회경제적으로 막대한 영향을 끼친다"며 "2016년에도 랜섬웨어나 IoT 기기, 애플 기기 등을 노리는 신종 보안 위협이 증가할 것으로 전망돼 대응체계나 보안의식을 강화하는 노력이 필요하다"고 말했다.

한진주 기자 truepearl@asiae.co.kr