알파벳으로 풀어보는 2013 보안키워드 ①A-E

APT에서 Ethics까지...알파벳 순서대로 되짚어보는 올해 보안이슈

[보안뉴스 권 준] 박근혜 정부가 본격 출범한 2013년은 보안 분야에 있어서도 그 어느 때보다도 격동의 한해를 보냈다고 할 수 있다. 국내에서는 청와대를 비롯해 방송국, 금융권을 강타한 3.20 및 6.25 사이버테러 등 전 국민의 간담을 서늘케 한 대형사건이 연이어 발생했다.

이 뿐만이 아니다. 전 세계적으로도 애플, 트위터, 페이스북 등 글로벌 IT 기업의 해킹사건이 美·中간 사이버전 논란으로 확산됐고, 스노든 사건으로 정보전쟁 및 사이버戰에는 영원한 우방이 없음을 다시금 각인시키는 계기가 되기도 했다.

이에 본지는 2013년을 한달 여 남긴 이 시점에서 A부터 Z까지 26개의 알파벳을 바탕으로 올해의 주요 키워드를 정리해보는 연말기획을 5회에 걸쳐 진행하고자 한다.

A. APT(Advanced Persistent Threat)

알파벳 첫자인 A로 시작되는 올해 보안키워드는 뭐니 뭐니 해도 APT 공격이라고 할 수 있다. 지난해부터 핫이슈로 떠오른 이후, 올해는 3.20 및 6.25 사이버테러 등 대형 보안사건에 빠지지 않고 등장하는 용어가 됐고, APT 공격 대응방법에 대한 연구도 그만큼 활발하게 진행된 한해이기도 했다.

APT는 Advanced Persistent Threat의 약자로, 지능형 방법으로 지속적으로 특정 대상에게 가하는 보안위협을 뜻하는 신조어라고 할 수 있다. 무엇보다 불특정 다수를 노렸던 과거의 보안위협과 달리 하나의 타깃을 정해 성공할 때까지 지속적으로 공격하는 것이 가장 큰 특징이라고 할 수 있다.

APT의 주요 공격수단으로는 공격 타깃이 현혹되기 쉬운 문서에 악성코드를 첨부한 다음 이메일을 발송하는 스피어 피싱(Spear Phishing) 기법과 공격 타깃이 자주 방문하는 웹사이트를 보안취약점을 악용해 악성코드에 감염시키거나 특정 사이트로 리다이렉트 시킨 후, 사용자가 방문해서 감염되기만을 기다리는 워터링 홀(Watering Hole)이 대표적이다.

현재까지는 APT 공격을 100% 차단할 수 있는 방법은 없다는 것이 정설이지만, APT 대응 솔루션들이 하나둘씩 출시되고 있고, 이러한 공격에 선제 대응할 수 있는 방안들이 지속적으로 연구되고 있어 2014년에는 획기적인 APT 대응책이 등장할 수도 있지 않을까 기대를 걸어본다.

B. BYOD & Big Data

B로 시작되는 올해 보안키워드는 크게 BYOD와 빅데이터, 크게 두 가지로 나눌 수 있다. 사실 두 단어 모두 IT 분야의 주요 키워드라고 할 수 있는데, 보안 분야와 밀접하게 관련되면서 보안 분야의 빅이슈로 등장한 케이스다.

우선 개인 소유의 스마트 모바일 기기를 회사 업무에 활용하는 BYOD(Bring Your Own Device) 추세로 인해 새로운 스마트워크 업무환경에서 개인 사생활 보호와 기업 보안정책 준수를 모두 만족시킬 수 있는 방안이 기업의 새로운 고민거리가 됐다. 이로 인해 MDM(Mobile Device Management)과 MAM(Mobile Application Management) 등 모바일 보안 솔루션과 모바일 가상화, 컨테이너 기술 등이 주목받고 있으며, 내년에 이 시장이 크게 활성화될 것으로 보인다.

빅데이터에 있어 보안이슈는 빅데이터 시대가 도래하면서 범위가 더욱 애매해지고, 보호하기 어려워진 개인정보 관련 이슈와 빅데이터 분석기술을 보안업무에 적용시키는 이슈로 크게 구분되는데, 이 두 가지를 포함한 ‘빅데이터와 보안’은 내년에도 핫이슈로 자리매김할 것으로 예상된다.

C. Cloud Computing

보안키워드 가운데 C로 시작되는 단어는 클라우드 컴퓨팅이라고 할 수 있다. 그러나 아직까지 클라우드 컴퓨팅 환경에서의 보안은 클라우드란 단어처럼 구름 속을 헤매는 상황이라고 표현할 수 있다.

국내 환경에 맞는 클라우드 컴퓨팅 보안가이드가 아직 마련되지 않았고, 국내외 클라우드 사업자들의 보안의식과 환경 역시 낮은 수준으로 조사됐기 때문이다. 그나마 다행스러운 건 올해 한국클라우드보안협회가 설립되는 등 클라우드 보안강화를 위한 다방면의 활동과 논의가 진행되고 있어 내년에는 보안가이드 제정 등 가시적인 성과가 기대된다는 점이다.

D. DDoS

올해 보안 분야에 있어 주목할 만한 것 가운데 하나는 6.25 사이버테러를 계기로 디도스 공격이 다시 전면에 부상했다는 점이다. 지난 7.7 및 3.4 디도스 대란을 겪은 후, 국내 주요기관 및 기업들에서 디도스 방어장비를 집중적으로 도입했고, 이로 인해 디도스 공격으로 대규모 피해를 입는 경우가 드물었기 때문이다.

그러나 올해 6.25 사이버테러의 경우 국가기관의 DNS를 대상으로 한 디도스 공격과 특정 타깃을 대상으로 한 고도의 APT 공격이 병행됐던 것이다. 또한, 지난 7월 25일 본지 단독보도로 알려진 언론사, 포털, 통신사, 게임사, 보안업체 등 40곳의 관리자 계정정보를 노린 악성코드에도 디도스 유발기능이 포함돼 있었던 것으로 분석된 바 있다.

이렇듯 이제 디도스 공격은 APT 공격과 결합돼 원래 목적을 은폐하기 위한 위장용 공격으로 활용되거나 청소년들의 사이버범죄 수단으로 악용되고 있는 상황이다.

E. Ethics

2013년을 뒤돌아 봤을 때 보안 분야에 있어 가장 많이 언급됐던 단어 가운데 하나가 바로 윤리(ethics)이라고 할 수 있다. 특히, 올해 여러 해킹방어대회에서 부정행위가 다수 발견됐고, 청소년들에 의한 사이버범죄가 극성을 부린 한해였기 때문이다.

이로 인해 대학교 보안관련 학과 커리큘럼이나 각종 보안인재 육성 프로그램에서 윤리교육 강화가 화두가 됐으며, 해킹·보안기술 위주에서 벗어나 법·제도, 관리적 보안, 사이버윤리의 중요성이 인식되는 계기가 됐다. 그러나 정식과목 반영은 아직 미흡한 수준으로 내년에 실질적인 커리큘럼 개편으로까지 이어질지 주목되고 있다.

[권 준 기자(editor@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)