“올해 핵티비즘+기반시설공격 보안위협 대비해야”

한국CSO협회, ‘제2차 CSO포럼’서 올해 사이버공격 대응방안 모색

[보안뉴스 김정완] 우리나라는 올해 핵안보 정상회의, 여수세계박람회를 비롯해 총선과 대선 등이 치러지는 만큼 핵티비즘(Hacktivism)의 위험성이 그 어느 때보다도 높아질 것으로 보안전문가들은 예상하고 있다.

핵티비즘은 해커(hacker)와 행동주의(activism)의 합성어로, 정치·사회적인 목적을 위해 자신과 노선을 달리하는 정부나 기업·단체 등의 인터넷 웹 사이트를 해킹하는 행위를 의미하는데, 인터넷이 일반화되면서 나타난 새로운 유형의 정치·사회적 행동주의를 말한다.

특히, 2010년 9월 스턱스넷(StuxNet)으로 촉발된 기반시설 공격의 위험성이 높아지면서 이러한 핵티비즘과 결합돼 나타날 리스크는 상상 이상의 결과를 초래할 수 있다고 보안전문가들은 경고한다.

그런 만큼 이를 대비해야 하는 각 분야별 최고보안책임자(CSO)들의 역할이 그 어느 때보다도 중요해지고 있다. 이와 관련해 CSO(최고보안책임자) 간의 협력과 정보교류에 기여하고 있는 한국CSO협회(회장 이홍섭)는 28일 서울 프라자호텔에서 ‘2012년 제2차 CSO포럼’을 개최하고 핵티비즘과 기반시설 공격 등 올해 나타날 수 있는 사이버 공격동향을 살펴보고 대응방안 등을 모색하는 시간을 가졌다.

이날 포럼에는 행정안전부의 서필언 제1차관과 정윤기 정보기반정책관 등이 참석해 한국CSO협회 회원들이 중심이 돼 국가 보안수준 제고를 위해 힘써줄 것을 당부했다.

이날 서필언 차관은 “국가적으로 정보보안에 대해 신경쓰지 않으면 안 되는 시기에 와 있다”면서 “정보보안 강화는 정부의 노력만으로는 할 수 있는 것이 아닌 만큼 한국CSO협회 등 유관기관들의 적극적인 협조를 기대한다”고 말했다.

아울러 이날 포럼 강연자로는 조원영 시만텍코리아 전무가 나서 ‘2012 사이버 공격동향 및 대응방안’이라는 주제로 발표를 진행했다.

조원영 전무는 2011년 사이버 공격양상으로 △공격의 질적 성장(APT:지능적 지속 위협) △SNS 활용 공격 △스마트폰 기반 멀웨어 증가 △핵티비즘 등에 대해 설명했으며, 2012년 사이버 공격의 키워드로 △고도화 △회피 △복합 △CIP △스마트디바이스 △이슈 △혼란 △불확실성 등을 꼽았다.

이어 그는 “완벽히 안전하다고 증명된 시스템은 없다. 다만 그 시스템의 결함이 아직 발견되지 않았을 뿐”이라며, “그러므로 해킹을 완전히 막겠다는 시도는 어쩌면 비현실적일 수 있으니, 차라리 사이버 범죄자들이 먼저 찾아내기 전에 그러한 결함을 찾아내어 보완하는 것을 목표로 삼는 것이 보다 현실적일 수 있다”고 설명했다.

덧붙여 그는 “임베디드 SW 탑재기기, 스마트TV, 게임기 등으로까지 사이버공격의 타깃이 확대될 것”으로 예상하며, “특히, 올해는 핵티비즘과 기반시설에 대한 공격의 위험성이 높아지고 있어 이 둘이 결합된 보안위협에 대해서도 대비해야 한다”고 강조했다.

마지막으로 그는 이러한 보안위협으로부터 대비하기 위해서는 “우선 네트워크 경로, PC/SNS, 물리적 유출, 어플리케이션, 컴플라이언스 위반 등에서의 위협요소를 철저히 분류하고 파악할 필요가 있다”며, “보안정책의 지속적인 관리, 사고대응절차 수립 및 정보보호 솔루션의 통합관리 상관관계 분석과 함께 주기적인 교육 등이 포함된 프로세스의 정립이 반드시 필요하다”고 말했다.

또한, 그는 “진화되고 있는 보안위협에 대응하기 위해서는 통합관리체계 수립 및 가시성 확보가 필수적”이라면서 “강력한 IT 보안 정책의 수립, 정보중심의 보호, 시스템과 프로그램 관리, 인프라보호/재난복구체계 수립, 정보수집 공유 고도화/국제공조 등의 대응체계를 마련해야 한다”는 말로 강연을 마무리했다.

[김정완 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)