IOT 기기가 보안 취약점과 연결되면 사용자를 위험에 빠뜨려
핵심 인프라 소유자는 별도의 네트워크를 구성하고 필수 운영 요소에서 인터넷을 차단해야 해
AI 기반 시스템은 설계상 자립적이며 안전하다
[아웃소싱타임스 이효상 기자] 세계적인 선도적 정보보안 콘퍼런스 및 전시회인 RSA 콘퍼런스(RSA Conference)가 갈수록 강화되는 위협과 보안 기술을 둘러싼 핵심 이슈에 대한 전문가적 인사이트를 공개했다.
싱가포르 마리나베이 샌즈 컨벤션 센터(Marina Bay Sands Convention Center)에서 7월 16일 화요일부터 18일 목요일까지 개최되는 RSAC 2019 APJ를 앞두고 행사 프로그램 위원회와 연사들을 포함한 업계 전문가들은 진화하는 위험 지형도에서 무엇이 과장됐고 무엇이 현실인지를 파헤치며 이런 정보가 아시아태평양 지역 CISO와 기업에 어떤 시사점을 주는지 논의를 시작했다.
린다 그레이 마틴(Linda Gray Martin) RSA 콘퍼런스 선임 이사 겸 총괄 매니저는 “RSA 콘퍼런스는 시기적절한 대화를 촉진하는 동시에 기업들에 어떻게 사이버보안 관련 결정을 내릴 것인지 전달하는 플랫폼 역할을 한다. 새로운 기술이 지속 발전하는 가운데 기업들은 사이버 위험을 전략적으로 관리하는 데 불필요한 보안 제품을 갈수록 많이 쌓아두고 있다.
우리는 업계 전문가들을 RSAC 2019 APJ에 모아 어떤 위험이 저평가됐고, 또 과대평가됐는지 알아봄으로써 기업과 CISO가 진짜 위험과 과장된 소문을 구분할 수 있게 지원할 계획”이라고 말했다.
업계의 전망과 지역 내 파트너 및 소비자와의 교류를 바탕으로 전문가들은 다음 네 가지 논쟁적 주장이 2019년 지역 사업에 영향을 미친다고 보고 있다.
■ 사이버보안 솔루션이 해킹을 완전히 차단할 수 있는가?
아시아 지역에서 다중인증, 생체 솔루션 등 사기 탐지 및 예방 솔루션이 급부상하고 있다. 그랜드 뷰 리서치(Grand View Research)에 따르면 아시아 태평양 시장에서는 2018년부터 2025년 사이에 가장 빠른 성장률을 보이면서 개인 정보 보호 강조, 엄격한 규제 준수 의무, 커넥티드 디바이스와 클라우드 기술에 대한 투자 증가 등의 추세가 나타날 전망이다.
이런 솔루션이 공격에 완충 작용을 해주기는 하지만 전문가들은 업계가 단지 기술을 갖추는 것만으로 안심해선 안 된다고 경고한다.
비키 레이(Vickey Ray) 유닛42위험정보(Unit 42 Threat Intelligence) 아시아 태평양 수석연구원은 “생체 인증은 몇 가지 새로운 위험을 수반한다. 어떻게 개인 식별 정보를 수집하고, 공유하고, 사이버 범죄자들로부터 이를 보호할 것인지 등 개인정보에 얽힌 우려가 있다.
생체인증 기술은 확률과 신뢰 점수에 의존하므로 이를테면 사진 같은 것에 시스템이 속아 넘어갈 위험이 있다. 그러므로 생체인식 기술을 다른 보안 수단과 함께 사용하는 것이 최선”이라고 말했다.
포춘 100대 기업 임원 고문과 RSAC 프로그램 위원회도 비슷한 입장을 전했다. 그는 “우리는 만병통치약이 나타났다가 사라지는 모습을 수없이 봐 왔다. 지금은 생체인증이 그런 취급을 받는다. 판매업체는 인공지능을 궁극의 사이버 보안 병기라고 홍보한다.
안타깝지만 해커들은 늘 가장 약한 고리인 사람을 공격한다. 생체인증은 보안을 한층 두텁게 해주는 좋은 기술이지만 그저 한 개의 층에 불과하다. 해커가 사람들을 속여서 해선 안 될 행동을 하게 만들면 아무런 기술도 소용이 없다”고 말했다.
■ IOT 기기가 보안 취약점과 연결되면 사용자를 위험에 빠뜨려
사물인터넷 형상이 업계에 가져다준 기회는 독보적이다. 무수히 많은 기계가 연결되어 핵심 물리 데이터를 제공하고 클라우드를 통해 추가적인 비즈니스 인사이트를 제공한다. 그러나 이 기술로 인해 분산 서비스 거부 공격과 서버를 향한 인터넷 보안 침범이 늘어나고 있다.
전문가들은 이 주장에 일리가 있다고 경고하며, 사용자를 보호하려면 더 많은 수단이 강구돼야 한다고 지적한다. 서닐 바키(Sunil Varkey) 시만텍(Symantec) 중동, 아프리카, 동유럽 최고기술책임자 겸 보안전략가는 “IoT 도입이 빠르게 진행되어 머지않아 모든 일상에서 사용될 수도 있는 상황이어서 보안이 강화되어야 한다.
현재는 개발 단계에서 보안이 중요 고려 사항이 아니다. 대다수 보안 업계 관계자는 IoT에 대한 보안 프로토콜에 익수하지 않은데 이 부분도 바뀌어야 한다. 취약점이나 구성상의 결함을 이용한 공격은 안전에 큰 타격을 일으킬 수 있다”고 말했다.
스린바스 바티프롤루(Srinivas Bhattiprolu) 노키아(Nokia) 아시아 태평양 및 일본 지부 솔루션 및 서비스 부문 수석 이사는 위험 벡터가 어떻게 IoT 기기를 악용할 수 있는지 설명하면서 해커가 자산을 장악하고 보안 경계 안에서 이동하는 형태의 공격 방식이 늘고 있다고 말했다. 바티프롤루는 “엔드투엔드 IoT 시스템을 보호하려면 각 구성요소뿐 아니라 시스템 전체에 연관된 취약점을 명확하게 이해해야 한다”고 설명했다.
■ 핵심 인프라 소유자는 별도의 네트워크를 구성하고 필수 운영 요소에서 인터넷을 차단해야 해
최근 수년간 APJ 지역 정부와 기관은 독립된 네트워크를 도입하기 시작했고, 심지어 인터넷 연결을 직원들의 기기에서 차단하여 이메일, 공유 문서 등을 통한 유출 가능성을 없애려 하고 있다.
싱가포르 정부가 2017년 5월 보여준 행보는 해커가 업무용 기기에 악성코드를 심어서 침투하지 못하도록 하기 위한 대표적 조치다. 이 조치가 필수적인지에 대해서는 전문가마다 의견이 달랐다.
마그다 릴라 칠리(Magda Lilla Cheely) 리스폰서블 사이버(responsible Cyber Pte Ltd.) 상무이사는 "보안 전문가들이 레거시 시스템에서 직면하는 문제는 설계상의 복잡성과 보안 부족이기 때문에 네트워크 차단이 필수적이다. 이는 격리를 통해 잠재적인 공격 지점을 제한함으로써 핵심 시스템의 노출을 줄이고, 위험 경감 통제를 가능케 하는 통상적인 보안 수법”이라고 말했다.
그러나 바키는 이 방법에 더 큰 문제가 있다고 지적했다. 바키는 “네트워크 격리 및 분리는 시스템과 정보가 규정된 경계와 기업 네트워크 안에 잘 구축돼 있을 때는 유효한 방어 전략이었지만, 더 이상은 문제를 해결하기에 충분하지 않을 수 있다. 이기종 멀티 클라우드 환경에서는 사용자가 여러 IT 신원을 가지고 활동하기 때문”이라고 말했다.
이어 바키는 “격리를 넘어서 핵심 인프라 설비를 운영하는 소유자와 운영자는 그들의 시스템이 적절하게 안전성을 확보하고, 최신 패치와 업데이트를 거쳤고 모니터링이 되고 있는지를 확인해야 한다. 오늘날엔 한 개인이 여러 검색 엔진에 들어가서 구성이 잘못됐거나 패치가 되지 않은 핵심 시스템을 쉽게 찾을 수 있다”고 덧붙였다.
■ AI 기반 시스템은 설계상 자립적이며 안전하다
시장조사 업체 리포트링커(Reportlinker[1])에 따르면 아시아 태평양 지역은 IoT, 빅데이터, 클라우드 컴퓨팅 등 발전된 기술의 채택률이 높아 가장 큰 AI 보안 시장으로 떠오를 전망이다. AI의 보안 능력에 대해 전문가들은 AI가 사이버 보안과 사이버 범죄를 모두 강화할 것이라고 경고한다.
첼리는 “최근 사이버 보안 솔루션에 배치된 AI를 보면 기업들은 자신들이 AI를 사용해 공격을 더 빨리 탐지할 수 있다고 주장한다. 논문에 따르면 성공률은 85%에서 99%다. 이는 모두 구현과 알고리즘, 데이터에 달려 있다”고 설명했다.
첼리는 이어 “AI가 성공적으로 운영되려면 적절한 데이터 입력이 필요하다. 데이터가 조작되거나 편향됐다면 새로운 보안 위험이 빠르게 발생할 수 있다. 데이터 입력과 진실성, 사용 가능성이 AI 기술에 핵심적인 요소”라고 덧붙였다.
