"내부자 정보 유출 따른 보안 사고 확산"

재작년 발생한 카드사 개인정보유출사고나 각종 내부 기밀정보유출은 모두 내부자 혹은 협력업체 직원들의 소행으로 밝혀졌다. 내년에도 외부 위협에 대한 대응에 더해 친구이자 적을 뜻하는 일명 '프레너미(Frenemy)'에 대한 대응이 중요해질 전망이다.

이글루시큐리티(대표 이득춘)는 자사 보안전문가 20명으로 구성된 보안분석팀의 예측을 기반으로 이러한 내용을 담은 '2016년 보안 위협 전망 보고서'를 9일 발표했다.

보고서에 따르면 모바일 오피스 확산과 클라우드 서비스 사용자 증가에 따라 프레너미, 즉 내부 직원이나 협력업체 직원을 통한 정보유출 위험성이 더 심화될 것으로 예상된다. 인가 받지 않은 경로로 자료를 전송하거나 고의로 고객 신상 정보, 핵심 기술 자료를 유출시키는 등 위협이 지속될 수 있다는 설명이다.

이에 따라 내부 직원을 대상으로 정기적인 보안교육을 실시하고, 보다 강화된 사내 기밀 유지 규정을 마련하며 협력업체와 기밀유지계약(NDA)을 맺는 등 기업 내부 정보 흐름을 파악하고 유출시도를 탐지하는데 주력해야할 것으로 전망된다.

이와 함께 보고서는 모바일 보안 위협이 더욱 진화할 것으로 예상했다. 모바일 기기의 이동성, 확장성 및 간편성을 악용하는 새로운 보안 위협에 대한 연구에 기반해 보안관제 서비스, 이상금융거래탐지시스템(FDS), 금융거래 분석 등 여러 보안 방법론이 상호연관된 대응 방안 마련에 대한 수요가 높아질 것으로 보인다.

클라우드 발전법이 통과되면서 국내서 클라우드 도입이 이전보다 활성화될 것으로 예상되면서 이와 관련된 위협도 늘어날 전망이다. 보고서는 클라우드에 적합한 보안솔루션을 도입하고, 맞춤형 보안관제관리방안을 마련하는 등 노력이 필요하다고 밝혔다.

사물인터넷(IoT)과 관련해서는 통합보안관제체계를 구축하고 관련 기술에 대한 표준화가 필요할 것으로 예상된다. 개인 사생활 침해, 국가 기밀 유출에서 더해 생명을 위협할 수 있는 위험성을 내포하고 있는 사물인터넷 보안 문제가 전 세계적인 화두로 떠오를 것으로 보인다.

일반적인 기업이 제품, 서비스의 기획과 설계 단계부터 보안성을 고려하고 지속적으로 IoT 기기를 관리, 점검하며 기기들이 연결된 네트워크 전체에 대한 가시성을 확보하기는 어려운 것이 사실이다.

미래창조과학부와 한국인터넷진흥원에서 공표한 'IoT 보안 7개 원칙'을 만족하는 보안 모듈들을 'onM2M', 'MOBIUS'와 같은 국제표준 및 개방형 플랫폼 상에서 개발하는 등 구체적인 대응 방안을 마련할 필요가 있다.

의료정보를 노린 공격도 증가할 것으로 예상된다. 이미 미국 등 원격의료가 활성화된 국가에서 각종 의료정보에 대한 해킹 우려가 늘어나고 있는 만큼 개인의 진료기록 등에 대한 정보를 확인할 수 있게 해야한다.

지능형 공격에 더해 전통적인 보안위협도 지속적으로 피해를 유발하고 있어 내년에도 방심할 수 없는 상황이다. 보고서는 분산서비스거부(DDoS), 웹셀, SQL인젝션 등 공격수법이 지속될 것으로 보인다. 이글루시큐리티 보안분석팀에 따르면 전통적인 보안위협에 따른 침해사고 발생률은 여전히 70% 비중을 차지하고 있다. 기본적인 공격에도 당할만큼 보안수준이 낮은 기업, 기관들이 여전히 많다는 점을 확인시켜준다.

이글루시큐리티 보안분석팀 정일옥 팀장은 "내년 역시 보안 위협이 빠르게 진화할 것으로 보인다"며 "특히 보안 위협의 경로, 공격 대상 및 범위, 공격 실행 방법이 한층 다양하고 정교한 형태로 다변화되고 있을 뿐만 아니라 보안 위협이 개인의 삶 곳곳에 파고들고 있다는 사실"이라고 말했다.