바로가기 메뉴
본문 바로가기
대메뉴 바로가기

TECH M

[전망2018]가상화폐·생체·멀티팩터 인증겨냥 공격 본격화

2018년 ICT 이슈 - 보안

2018-02-02김승주 고려대학교 정보보호대학원 교수

 

[테크M=김승주 고려대학교 정보보호대학원 교수]

랜섬웨어, 가짜뉴스, 생체인증, 양자통신·암호, 블록체인 등 2017년에는 정말 많은 보안 이슈들이 있었다. 2018년에도 각종 보안 위협으로부터 벗어나기 위한 다양한 신기술이 등장할 것으로 예측된다.

각종 문헌과 정보를 토대로 2018년 중요하게 살펴봐야 할 사이버보안 이슈는 7가지로 요약된다.

 

가상화폐 공격부터 GDPR 대응까지

우선 첫 번째로 가상화폐 거래소와 거래 규모가 급증하면서 거래소 자체를 노린 공격이 증가할 것으로 예상된다.

국가정보원은 2017년 6월 국내 최대 가상화폐 거래소 ‘빗썸’에서 일어났던 3만6000여명의 회원 정보 유출, 4월과 9월 가상화폐거래소 ‘야피존’과 ‘코인이즈’ 가상화폐 계좌 탈취 사건 등을 북한 해커 집단이 일으켰다는 증거를 확보해 최근 검찰에 제공했다고 밝혔다.

 

북한의 가상화폐 거래소 공격은 국제사회의 대북 제재 강화에 따른 외화 벌이 여건 악화를 극복하려는 의도인 것으로 한국 정보당국은 보고 있다.

이들이 탈취했던 가상화폐는 당시 76억 원 규모였지만 현재 가치로는 900억 원에 이른다.

 

글로벌 사이버보안 전문회사인 카스퍼스키랩도 언급했듯 가상화폐 해킹은 랜섬웨어 공격과 더불어 수익성이 좋은 범죄 사업이 될 가능성이 높다. 때문에 2018년에도 더욱 심각해 질 것으로 예상되며, 사용자 PC에 가상화폐 채굴 봇을 몰래 심는 공격도 증가할 것으로 보인다.

 

두 번째로 유럽 일반개인정보보호법(GDPR)의 본격 시행에 따라 소비자 개인정보보호의 중요성이 증대될 것이다.

2018년 5월 25일은 유럽연합(EU) 28개 국가에 공통으로 적용되는 ‘일반개인정보보호법(GDPR: General Data Protection Regulation)’이 공식 발효되는 날이다.

이에 따라 내년은 개인정보보호와 관련된 광범위한 프라이버시 논쟁이 점화될 전망이다.

유럽에 지사를 갖고 있는 국내 대기업들 및 유럽 시장과 거래하는 서비스 기업들은 모두 GDPR 적용 대상이 된다.

 이를 위반할 경우 전 세계 연간 매출액의 4% 또는 2000만 유로(한화 약 250억원) 중 더 높은 금액이 과징금으로 부과되기 때문에, 소비자 개인정보보호가 그 어느 해보다 뜨거운 이슈가 될 것으로 보인다.

특히 이중에서도 확대된 개인정보의 정의, 비식별화 조치의 일종인 가명처리(pseudonymisation), 개인정보보호의 최소 수집 및 취급과 관련한 프로세스 구축 등이 주요 쟁점이 될 것으로 보인다.

 

세 번째로는 클라우드 확대에 따른 사물인터넷(IoT) 보안 및 암호의 중요성이 부각될 것이다.

클라우드 서비스를 이용하는 기업이 늘어남에 따라 직·간접적으로 클라우드 서비스 공급자를 대상으로 삼는 해커들은 더욱 증가할 것이다. 특히 평창동계올림픽은 사상 최초로 올림픽 전 구간에 클라우드 기술이 적용된 만큼, 클라우드 보안에 대한 관심사는 더욱 증가하게 될 것이다.

 

2016년 10월 미국 인터넷 도메인 서비스 업체 기업 딘(Dyn)을 대상으로 했던 대규모 디도스 공격에서 보듯 이제는 200억 개가 넘는 IoT 기기들이 클라우드 공격에 가장 취약한 수단이 될 것이다.

이에 IoT 보안의 중요성은 더욱 부각될 것이며 이와 관련해 암호화 등도 더욱 중요해질 것이다.

 

보안 자동화, 양자 내성 암호 등도 이슈 부상

네 번째로 보안 자동화와 보안 오케스트레이션이 2018년 이슈가 될 것이다. 수십 억 대의 IoT 기기가 PC와 연동돼 있는 현대의 복잡한 사이버 환경에서 뭔가 단독으로 기능을 발휘하는 보안 툴 또는 한두 명의 대단한 천재만으로는 각종 보안위협에 효과적으로 대응하기 어렵다.

이에 보안 자동화(security automation) 및 보안 오케스트레이션(security orchestration)에 대한 요구는 2017년에 이어 2018년에도 꾸준히 증대될 것이다.

 

2018년에는 더 많은 기업 및 기관들이 ‘자동화’를 통해 보안과 관련한 수많은 단순 반복 작업들을 신속하고 정확하게 해결해 나가려고 할 것다. 이외에도 여러 가지 보안 툴들과 인력, 조직을 종합해 능률을 높임으로써 보안 조치를 더 탁월하게 실행시키기 위해 ‘오케스트레이션’을 도입하는 기업도 늘 것이다.

 

다섯 번째 이슈로 양자 내성 암호 논의의 본격화를 꼽을 수 있다. 최근 양자 컴퓨터 관련 기술은 빠르게 발전하고 있으며, 해킹을 시도하는 사람들 역시 양자 컴퓨터를 이용할 가능성이 있어 머지 않은 미래에 기존 컴퓨터 보안체계는 무용지물이 될 가능성이 높다.

이와 같은 이유로 2016년 12월 미국 국립표준기술연구소(NIST)는 양자 내성 암호화 기술(quantum-resistant cryptographic algorithms)에 대한 공모를 시작해 2017년 11월 30일 마감했다.

 

현재 우리나라를 포함한 25개국에서 80여개의 후보 알고리즘을 제출했으며, 2018년 초부터 NIST는 관련 전문가들과 함께 제출된 후보 기술들에 대한 본격적인 안전성 검증 절차에 들어가게된다.

 

여섯 번째로 국가 지원 사이버공격의 증가 및 군 무기체계 보안에 대한 중요성도 부각될 것이다.

최근 민간에 대한 국가 지원 사이버 공격(state-sponsored hacking)이 증가하면서 구글이나 페이스북 등은 국가 또는 국가에 선정된 기관에서 사용자 계정을 해킹하려할 때 공격 대상이 된 사용자들에게 경보를 보내는 서비스를 운영하고 있다.

이러한 국가 지원 사이버공격은 더욱 증가할 것이며 그 대상도 민·관·군의 컴퓨터 시스템뿐만 아니라 망 분리가 된 정부시스템 및 군 무기체계에 이르기까지 더욱 다양해 질 것이다.

 

실제로 미국 국방부의 정보보호책임자는 최근 한 언론과의 인터뷰에서 “모든 무기 도입에 있어서 사이버 보안에 대한 고려가 반드시 선행되어야 한다”고 말한 바 있다.

영국의 ‘영미안보정보협의회(BASIC)’는 지난 6월 발간한 ‘영국의 전략무기용 핵잠수함에 대한 해킹 위협 보고서(Hacking UK Trident : A Growing Threat)’에서 “핵잠수함과 같은 최첨단 무기시스템들은 이미 너무나도 많은 컴퓨터 시스템들에 의존하고 있으며, 망 분리가 돼 있다고는 하지만 이는 제조 단계, 소프트웨어 업데이트 과정 등에서 얼마든지 쉽게 우회가 가능하다. 영국 정부는 조속히 첨단 무기 시스템들에 대한 사이버 공격에 철저히 대비해야 한다”고 밝힌 바 있다.

 

늦었지만 우리 군도 합동참모본부를 중심으로 국군기무사령부, 국군지휘통신사령부, 사이버사령부, ADD, 고려대 등과 함께 첨단 무기 체계에 대한 보안대책 마련에 나서는 모양새다. 이러한 논의는 2018년 더욱 본격화 될 전망이다.

 

일곱 번째로 단문문자메시지(SMS) 기반의 멀티팩터 인증 및 생체인식기술에 대한 공격도 심화될 것이다.

2014년 독일의 카스텐 놀(Karsten Nohl)이 최초 시연한 이후 해커들은 SS7(Signaling System 7)의 결함을 사용해 SMS 문자 메시지를 리다이렉션(redirection, 방향수정)을 한다든지 함으로써 멀티팩터 사용자 인증(multi-factor authentication)을 우회하려는 시도를 꾸준히 해오고 있다.

 

멀티팩터 사용자 인증은 보안 강도를 높이기 위해 ID와 패스워드, 생체인증, 인증서, 일회용비밀번호(OTP) 등을 조합해서 사용하는 기법이다.

우리나라의 경우 최근 공인인증서 대체 수단으로 각종 간편 인증 수단이 대두되면서 SMS 문자 메시지를 이용한 인증도 점차 그 응용분야를 확대해 나가고 있는 실정이다.

이에 SMS 기반 멀티팩터 인증에 대한 공격 시도는 심화될 것으로 보이며, 이와 더불어 저가형 센서를 이용한 생체인식기술에 대한 해킹 시도도 꾸준히 증가할 것이다.

<본 기사는 테크M 제57호(2018년 1월) 기사입니다>

뉴스