Home > 전체기사
2018년을 뜨겁게 달군 보안 키워드 5
  |  입력 : 2018-12-10 13:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안 솔루션 기업 노르마, 2018년을 달군 보안 키워드 5 선정
스펙터·멜트다운, 양자내성암호, 제로트러스트, 크립토재킹, 쇼단과 인세캠 위협 증가


[보안뉴스 김경애 기자] 올해는 무선 네트워크 및 IoT, 클라우드 시장이 급성장했으며 양자컴퓨터 개발도 활발히 진행됐다. 또한, 암호화폐로 대표되는 블록체인이라는 혁신적인 기술이 대중화되며 관련 보안위협이 커졌다. 이에 따라 2018년을 뜨겁게 달군 보안 키워드로 △스펙터와 멜트다운 △양자내성암호 △제로 트러스트 △크립토재킹 △쇼단과 인세캠이 선정됐다.

[이미지=iclickart]


이는 무선 네트워크-IoT-블록체인 보안 솔루션 기업 노르마(대표 정현철)가 발표한 ‘2018 보안 키워드 5’로 R&D팀의 데이터 분석, 고객 문의와 제보, 국제 연구진의 발표 및 미디어 보도를 종합해 선정됐다. 이와 관련 노르마 정현철 대표는 “보안 전문기업으로서 각종 해킹 위협을 감지, 내부적으로 제품 개발에 반영하고 일반 사용자들에게는 경각심을 높이기 위해 주요 보안 키워드를 선정해 발표하게 됐다”며, “점차 공격방법이 지능화 자동화 고도화되어 가고 있고, 내부자의 관리 소홀도 꾸준히 문제점으로 지적되고 있는 만큼 이에 대응하는 보안 대책의 중요성도 더욱 커지고 있다”고 전했다.

보안 전문기업 노르마가 선정한 ‘2018 보안 키워드 5’
1. 스펙터와 멜트다운
올 해 마이크로 프로세서 업계의 최고 화제는 현존하는 CPU 대부분에 악영향을 주는 스펙터(Spectre)와 멜트다운(Meltdown) 등의 취약점을 해결하는 것이었다. 두 취약점은 올해 초 구글이 3가지 CPU 취약점 공격 기법 분석 결과를 발표하며 알려졌다. 대다수 인텔, AMD, ARM CPU에서 캐시메모리 데이터를 노출시키는 취약점이다. 인텔 CPU에서만 발견된 1가지 취약점은 멜트다운, 인텔, AMD, ARM CPU에서 발견된 2가지 취약점은 스펙터로 명명됐다. 이후 제 2의 멜트다운이라 불리는 포어셰도우(Foreshadow), TL블리드(TLBleed)도 추가로 발견됐다. 포어셰도우는 6세대 코어 프로세서부터 탑재된 보안 기술인 SGX를 무력화하는 버그다. TLB란 변환 색인 버퍼(Translation Lookaside Buffer)의 준말로, 공격자가 익스플로잇에 성공할 경우 하이퍼쓰레딩이 활성화 된 인텔 CPU의 TLB를 통해 정보를 빼돌릴 수 있게 된다.

관련 업계 및 연구자들은 실행 버그를 확인해 수정하는 한편 궁극적인 해결책에 더 많은 논의가 필요하다는 견해다. 현존하는 대다수 PC, 서버, 모바일 기기가 영향권에 놓였으며 관련 업체들이 일제히 패치 또는 업데이트를 내놨다. 이와 별도로 하드웨어와 소프트웨어 개발사의 연합을 통해 현재의 마이크로프로세서를 완전히 재설계해야 한다는 주장도 제기됐다.

2. 양자내성암호(PQC)
올해는 양자컴퓨터를 이용한 공격에 대해 안전한 내성을 갖는 암호기술, 즉 양자내성암호(PQC: Post Q uantum Cryptography) 기술의 필요성이 더욱 강조됐다. 양자컴퓨터 시대가 눈 앞으로 성큼 다가왔기 때문이다. 양자컴퓨터는 양자역학의 원리에 따라 작동하는 미래형 첨단 컴퓨터로 초고속 연산이 가능해 기존 PC에서 100만년 걸리던 연산을 10분 내로 처리할 수 있다.

양자컴퓨팅 시대의 모습이 구체화되면서 새로운 암호화 알고리즘에 대한 요구도 높아지고 있다. 기존 디지털 컴퓨터의 암호 기술은 공인인증서 등 여러 분야에 사용하는데, 양자컴퓨터 시대가 도래하면 일상적으로 사용하는 공개키 암호방식이 무력화돼 보안에 구멍이 뚫릴 수 있다. 양자컴퓨터의 초고속 연산 기능을 활용해 암호기술을 해제하고 정보를 탈취하는 일이 가능하다.

올해 인텔은 49큐비트, 구글에서는 72큐비트 컴퓨터를 발표했으며 캐나다의 D-웨이브시스템(D-Wave Systems)이라는 업체는 2000큐비트 성능의 제품 시연에 성공했다. 양자 컴퓨터가 기존의 공개 키 암호화 대부분을 파훼하려면 최소 4000개의 완전한 큐비트 또는 그 몇 배에 달하는 불완전한 큐비트가 필요할 것으로 보는데, 향후 5~10년 사이에는 4000큐비트를 매우 쉽게 확보할 수 있을 전망이다. 올해 5월 IBM 리서치 책임자는 미국 실리콘밸리에서 열린 연례 기술 포럼 처칠 클럽에서 5년 내 양자컴퓨터가 현존하는 암호화 기술을 뚫을 수 있을 것이라고 밝히기도 했다.

따라서 양자저항성을 가지는 암호를 발굴해 표준화하는 것이 무엇보다 중요한 시점이다. 미국 국립표준기술연구소(NIST)는 2012년 PQC 프로젝트를 시작해 현재까지 지속적인 워크샵을 개최하고 있다. 한국인터넷진흥원(KISA)은 서울대, 울산과기대와 긴밀히 협력해 양자내성암호인 ‘리자드(Lizard)’를 개발하여 NIST 프로젝트에 제출, 국내 표준화를 추진하고 있다.

앞으로 양자컴퓨팅 환경에서 안전성을 측정할 수 있는 합의된 방법론, 새로운 양자분석 알고리즘에 대한 발견, 양자저항성을 고려한 계산량, 보안강도 측정, 키사이즈 제안 등 다양한 연구가 지속 되어야할 것으로 예상된다.

3. 제로 트러스트
올해 주목 받은 클라우드 보안은 내년에도 최대 화두가 될 전망이다. 클라우드는 별도의 물리 서버 없이 가상의 클라우드 인프라를 이용해 서버 환경을 빠르게 구축하는 컴퓨팅 서비스다. 물리 서버에 비해 비용 효율이 높고 관리가 용이 하지만 보안에 대한 명확한 대비도 필요하다.

제로 트러스트(Zero-Trust)는 네트워크 경계가 모호해진 멀티 클라우드 환경에서 모든 네트워크를 의심하고 검증하는 보안 방식을 의미한다. ‘신뢰하되 검증’하는 것이 아니라 ‘모든 것을 검증하고 아무것도 신뢰하지 않는’ 방식이다. 모든 사용자의 접근을 엣지에서 통제해 직접 클라우드나 온프레미스 시스템에 접근하지 못하도록 한다. 엣지에서 사용자와 단말을 인증하고, 단말의 무결성을 확인하며, 위협 인텔리전스를 이용해 공격에 이용당하거나 공격당할 가능성이 있는 상황인지 점검한다.

이를 위해 제로 트러스트는 다중 인증이나 신원 및 접근 관리(IAM: Identity and Access Management), 오케스트레이션, 애널리틱스, 암호화, 스코어링 및 파일 시스템 인가 등의 기술을 사용한다. 각 직원에게도 맡은 업무별로 필요한 최소한의 접속 권한만을 허용하도록 운영지침을 변경할 것을 권장하고 있다.

4. 크립토재킹
암호화폐 시장은 2017년 급격히 성장했고 올해는 과열의 시기를 지나 생태계 안정을 위한 냉정한 고민이 이어지고 있다. 그 중에서도 보안은 토큰 이코노미의 성숙을 위한 필수 과제로 꼽힌다. 올해만 해도 암호화폐 거래소 해킹이 여러 차례 발생해 막대한 피해를 입었다. 암호화폐 채굴을 위해 개인 PC의 리소스를 탈취하는 크립토재킹이 흔해져 일반 유저가 일상적으로 경계해야 하는 상황이 됐다.

크립토재킹은 암호화폐(cryptocurrency)와 하이재킹(hijacking)의 합성어다. 암호화폐를 채굴하려면 고성능의 PC로 암호화 과정을 풀어야 하는데 개인이 채굴하는 것은 한계가 있으므로 타인의 PC 리소스와 프로세스파워를 몰래 끌어와 채굴에 동원하는 것이다.

최근에 ‘커피 마이닝’이라는 신조어도 등장했다. 커피 마이닝은 카페와 같은 곳에서 무료 공용 와이파이를 쓰는PC나 스마트폰을 악성 코드로 공격해 백그라운드로 암호화폐를 채굴하는데 악용하는 수법을 말한다.

크립토재킹이나 커피 마이닝을 예방하려면 백신과 운영체제(OS)를 최신 버전으로 업데이트하고 의심스러운 메일이나 파일은 실행하지 않아야 한다. 무료 공용 와이파이 연결 시에는 반드시 해당 업소가 제공하는 것인지 확인이 필요하다.

5. 쇼단과 인세캠
IoT 산업 발전과 함께 네트워크 업계에도 변화가 일었다. IoT 통신을 위해서는 낮은 지연속도, 적은 전력 소비, 넓은 커버리지 등이 요구된다. 이에 WIFI, BLE, Z-wave, SIGFOX, LoRa, LTE-M, NB IoT 등 다양한 통신 프로토콜들이 사용되고 있다. 이처럼 무선 프로토콜이 다양해지는 한편으로 애초에 보안을 염두하지 않고 설계된 IoT 디바이스도 많아 보안의 중요성이 더욱 커지고 있다.

올해 과학기술정보통신부 국정감사의 화제 중 하나는 IoT 검색엔진 ‘쇼단(Shodan)’이었다. 한 의원이 쇼단에서 웹캠을 검색해 국내 사무실이나 수영장의 모습을 실시간으로 볼 수 있음을 직접 시연하며 위험성을 경고했다.

쇼단은 본래 IoT 기기 취약점 정보 공유를 위한 검색 엔진이지만 해커들이 이를 악용해 '어둠의 구글', '해커들의 놀이터'로 불린다. 쇼단과 유사한 웹캠 해킹사이트로 인세캠이 있으며 인증절차가 별도로 없어 해커의 접근이 더 용이하다.

IoT 보안에 소홀하면 해커가 쇼단이나 인세캠 통해 취약점을 검색하고 사생활을 들여다볼 위험이 있다. 예를 들어 IP 카메라의 아이디와 패스워드를 admin, 1234 등 단순한 초기값으로 설정해 놓고 사용한다면 해커의 좋은 먹이감이 된다. 반대로 쇼단에 검색된 IoT 기기라도 보안성을 갖췄다면 개인 정보가 유출될 위험은 크지 않다.

따라서 IoT 해킹을 예방하기 위해서는 구입 시 반드시 초기 아이디와 패스워드를 재설정하고 주기적으로 변경해야 한다. IoT 기기를 외부와 연결하는 네트워크의 계정도 꾸준히 관리해야 한다. 외부에서 인가되지 않는 네트워크에 IoT 기기를 연결하는 것도 신중해야 한다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

이노뎁
VMS

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

쿠도커뮤니케이션
스마트 관제 솔루션

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

한국씨텍
PTZ CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

링크플로우
이동형 CCTV 솔루션

엔토스정보통신
DVR / NVR / CCTV

트루엔
IP 카메라

다민정보산업
기업형 스토리지

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

디비시스
CCTV토탈솔루션

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

옵티언스
IR 투광기

옵텍스코리아
실내 실외 센서

구네보코리아
보안게이트

엑사비스
사이보 보안 CCTV

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

수퍼락
출입통제 시스템

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

파이브지티
얼굴인식 시스템

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

다원테크
CCTV / POLE / 브라켓

티에스아이솔루션
출입 통제 솔루션

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

금성보안
CCTV / 출입통제 / NVR

지와이네트웍스
CCTV 영상분석

이후커뮤니케이션
CCTV / DVR

지에스티엔지니어링
게이트 / 스피드게이트

넷플로우
IP인터폰 / 방송시스템

아이유플러스
레이더 / 카메라

DK솔루션
메트릭스 / 망전송시스템

두레옵트로닉스
카메라 렌즈

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

KPN
안티버그 카메라

싸이닉스
스피드 돔 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

창우
폴대

유진시스템코리아
팬틸트 / 하우징

브이유텍
플랫폼 기반 통합 NVR

글로넥스
카드리더 / 데드볼트

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향