시만텍에 따르면, 올해 주요 기업 시스템과 웹사이트에 대한 사이버 해킹이 지속됐고, 광범위한 표적과 피해자를 겨냥한 위협활동이 늘었다. 특히 마케팅 및 데이터 수집 기업 이그잭티스(Exactis)에서 약 3억 4,000만 건의 개인정보가 저장된 DB 유출되는 사례 등 많은 기업들이 보안 침해 피해를 입었으며, 해커들이 SNS를 통해 약 3천만 명의 사용자 정보를 탈취한 것으로 추정되는 사례도 있었다. 이런 공격들은 내년에도 심화될 것으로 예측된다. 시만텍의 전망은 아래와 같다.

공격자들은 인공지능(AI) 시스템을 익스플로잇하고 AI를 통해 공격을 지원할 것

오랫동안 고대했던 AI의 상업적 가능성이 최근 몇 년간 실현되기 시작했다. 이미 많은 비즈니스 운영 분야에서 AI 기반 시스템이 이용되고 있다. AI 시스템은 수작업을 자동화하고 의사결정 및 인간의 다른 활동을 개선하는데 도움을 주지만, 많은 AI 시스템에는 방대한 양의 데이터가 있기 때문에 유망한 공격 타깃으로 주목받고 있다.

또한 연구 인력들 사이에서 이러한 AI 시스템이 시스템의 로직을 손상시키고 운영에 영향을 미칠 수 있는 악성코드의 유입에 취약하다는 것에 대한 우려가 점차 높아지고 있다. 2019년에는 일부 AI 기술이 가진 취약성에 대한 우려가 커질 것으로 보인다. 특히 당시 인터넷은 인터넷 기반 전자상거래의 폭발적인 증가 이후 빠른 속도로 사이버 범죄자와 해커의 관심을 끌었다.

더불어 공격자들은 AI 기술로 공격 활동을 더욱 강화할 것으로 전망된다. AI 기반의 자동화된 시스템은 네트워크와 시스템을 뒤져 악용될만한 취약점이 있는지 찾을 수 있다. 또한 AI는 목표로 삼은 개인 사용자를 속일 목적으로 실제와 매우 유사한 동영상과 오디오, 또는 이메일을 만들어 피싱 및 다른 사회공학적 공격을 정교하게 만드는데 이용될 수 있다.

공격 툴킷이 온라인에서 판매되면서 공격자들이 새로운 위협을 상대적으로 쉽게 생성할 수 있게 됐다. 결국 초보적인 범죄자들도 정교한 표적 공격을 감행할 수 있게 하는 AI 기반 공격 툴이 나타날 것이다. 과거에는 고도로 개인화된 공격을 개발하는 작업이 노동 집약적이고 비용이 많이 들었는데, 이런 공격 개발을 자동화하는 툴과 함께 AI 기반의 툴킷을 이용하면 각각의 표적 공격을 추가로 개발하는 데 필요한 한계 비용을 본질적으로 제로로 만들 수 있다.

보호 프로그램 역시 반격 및 취약점 파악을 위해 점차 AI에 의존하게 될 것

AI와 관련해서 보안에 긍정적인 측면도 있다. 위협 식별 시스템은 이미 머신러닝 기법을 이용해 완전히 새로운 유형의 위협을 확인하고 있다. 또한 공격자들만이 AI 시스템을 이용해 공개된 취약점을 조사하는 것이 아니다. 보안 담당자들도 AI를 이용해 공격에 대한 방어체계를 강화할 수 있다. 예를 들어 AI 기반 시스템은 반복적인 공격을 통해 취약점을 우연히 발견해 공격자에게 발견되기 전에 조치를 취할 수 있도록 일정 기간 동안 기업 네트워크에서 일련의 시뮬레이션 공격을 실시할 수 있다.

갈수록 증가하는 5G 구축 및 도입으로 인해 공격 영역이 확장될 것

2018년 다수의 5G 네트워크 인프라 구축이 시작됐으며, 2019년은 5G가 가속화되는 한 해가 될 것이다. 5G 네트워크와 5G 폰 및 기타 다른 기기가 광범위하게 활용되기까지 시간이 걸리겠지만 빠르게 성장할 것이다. 일례로 IDG는 2019년을 5G 측면에서 ‘중대한 해’가 될 것이라고 말했으며, 5G 및 5G와 관련된 네트워크 인프라 시장은 2018년 약 5억2,800만 달러에서 2022년 260억 달러로 증가해 연평균 118%의 성장률을 기록할 것으로 전망했다.

5G에 대한 관심의 초점이 상당부분은 스마트폰에 집중되어 있지만 2019년 5G를 지원하는 휴대폰의 수는 제한적일 가능성이 있다. 5G 모바일 네트워크가 확산됨에 따라, 일부 통신사업자들은 고정형 5G 모바일 핫스팟과 5G 지원 가정용 라우터를 제공할 것이다. 5G 네트워크의 최대 데이터 전송속도가 10Gbps(4G의 경우 1Gbps)인 것을 고려하면 5G로의 전환은 새로운 운영 모델, 새로운 아키텍처, 그 결과 새로운 취약점의 발생을 촉진하는 역할을 할 것이다.

향후 와이파이 라우터를 경유하지 않고 5G 네트워크에 직접 연결되는 5G IoT 기기가 늘어날 것이다. 이런 추세로 인해 5G IoT 기기들은 직접적인 공격에 더욱 취약하게 될 것으로 우려된다. 더욱 광범위하게 봤을 때 대량의 데이터를 클라우드 기반 스토리지로 쉽게 백업 또는 전송할 수 있는 능력은 공격자에게 새로운 공격 타깃을 풍부하게 제공할 것으로 생각된다.

IoT 기반 이벤트가 대규모 DDoS 공격을 넘어 보다 위험하고 새로운 공격 형태로 진화할 것

최근 몇 년간 대규모 봇넷 기반의 분산서비스거부(DDoS) 공격은 수만 대의 감염된 IoT 기기를 이용해 공격 대상의 웹사이트를 마비시킬 정도의 트래픽을 전송했다. 이런 공격은 최근에는 언론의 많은 관심을 받지 못하고 있지만 지속적으로 일어나고 있고 앞으로도 계속 위협이 될 것으로 전망된다. 이와 동시에 보안이 허술한 IoT 기기들이 다른 유해한 목적으로 사용될 것으로 예상된다.

가장 문제가 되는 것 중의 하나는 디지털 세상과 실제 세상을 연결하는 IoT 기기를 겨냥한 공격이 될 것이다. 이러한 IoT 사물에는 자동차 등과 같이 동력으로 움직이는 것이 있는 반면, 중요한 시스템을 제어하는 것도 있다. 배전망과 통신망처럼 주요 기반 시설을 제어하는 IoT 기기에 대한 공격이 날로 증가할 것으로 예상된다. 또한 가정용 IoT 기기가 더욱 보편화되면서 미래에는 이런 기기를 무기화하는 공격 시도가 있을 수 있다.

공격자들이 전송 중인 데이터(data in transit)를 더 많이 캡처할 것

가정용 와이파이 라우터와 기타 보안이 허술한 소비자 IoT 기기를 새로운 방식으로 악용하는 공격이 나타날 가능성도 존재한다. 암호화폐 채굴을 위해 많은 IoT 기기를 모아 대규모 크립토재킹 공격을 하는 사례가 이미 등장하고 있다.

2019년과 그 이후 가정용 라우터와 기타 IoT 허브를 통과하는 일부 데이터를 탈취하기 위해 기기에 접근하려는 시도가 증가할 것으로 예상된다.

기업 측면에서 볼 때 2018년에 전송 중인 데이터가 유출되는 수많은 사례가 있었다. 이런 ‘폼재킹(formjacking)’ 공격은 최근 수많은 글로벌 기업의 웹사이트에 피해를 입혔다. 기업의 전송 중인 데이터를 겨냥한 또 다른 공격의 경우 VPN필터(VPNFilter) 악성코드가 다수의 라우터와 NAS(network-attached storage) 장치를 감염시켜 계정 정보 탈취, 네트워크 트래픽 변경, 데이터 암호 해독, 표적 조직 내 다른 악의적인 활동을 위한 진입점 제공 등의 활동을 했다.

네트워크 기반의 기업 공격은 표적 기업의 운영 현황 및 인프라에 대한 가시성을 제공하기 때문에 2019년 사이버 공격자들은 계속해서 네트워크 기반으로 기업을 공격하는 활동에 집중할 것으로 예상된다.

공급망 익스플로잇 공격이 그 빈도 및 영향력 면에서 증가할 것

소프트웨어 공급망을 악용하는 공격의 빈도와 영향력이 증가할 것으로 예측된다. 공격자들이 일상적인 배포 위치에서 합법적인 소프트웨어 패키지에 악성코드를 이식하는 등 소프트웨어 공급망을 겨냥한 공격이 갈수록 흔해지고 있다. 이런 공격은 소프트웨어 벤더나 써드파티 공급업체의 제조 단계에서 발생할 수 있다.

이런 유형의 공격은 점점 늘어나고, 정교해지고 있다. 향후 하드웨어 공급망을 감염시키려는 시도도 있을 것으로 전망된다. 이런 종류의 위협은 제거하기 어려우며, 감염 컴퓨터를 재부팅하거나 하드 디스크를 다시 포맷한 후에도 여전히 남아있을 수 있다.

갈수록 증가하는 보안 및 개인정보 보호 우려로 인해 법률 및 규제 활동이 증가할 것

유럽연합(EU)이 2018년에 GDPR(일반개인정보보호법)을 시행함에 따라 역외 국가에서 다양한 보안 및 개인정보 보호 정책이 시행될 것으로 보인다. 캐나다는 이미 GDPR과 유사한 법을 시행했고, 브라질은 2020년 시행 예정인 GDPR과 유사한 새로운 개인정보 보호 법안을 최근 통과시켰다. 호주와 싱가포르는 GDPR에서 영향을 받아 72시간 침해 통보제를 제정했고, 인도는 GDPR에서 영감을 받은 법을 고려하고 있다.

이밖에 전세계적으로 많은 국가가 GDPR 적정성을 갖고 있거나 적정성 평가를 논의하고 있다. 미국은 GDPR 시행 직후 캘리포니아 주에서 미국 역사상 가장 엄격한 수준으로 평가되는 개인정보 보호법을 통과시켰다. 따라서 2019년 전세계적으로 GDPR이 가져올 영향이 더욱 분명하게 나타날 것으로 전망되고 있다.

미국 연방의회는 이미 보안과 개인정보 보호 영역을 더욱 깊이 살펴보고 있다. 이러한 법은 더욱 탄력을 받아 내년에 구체화될 가능성이 있다. 이에 따라 미국은 2020년 대선 운동이 진행될 시기에 선거 시스템 보안에 대한 관심이 지속적으로 증가할 것으로 보인다.

보안과 개인정보 보호 요구를 해결하기 위한 법률 및 규제 활동이 증가할 것은 거의 확실하지만 일부 요구조건은 도움이 되기보다는 역효과를 가져올 가능성이 있다. 예를 들어 지나치게 광범위한 규정은 보안 기업이 공격을 식별하고 대응하기 위해 심지어 일반 정보조차도 공유하지 못하도록 막을 수 있다. 보안과 개인정보 보호 규정이 허술하게 수립된다면 다른 취약점을 해결한다 해도 새로운 취약점을 만들 수 있다.