임종인 고려대학교 사이버보안정책센터 센터장(정보보호대학원 교수)은 7일 서울 가락동 한국인터넷진흥원(KISA)에서 개최된 ‘2017년 정보보호 분야 전망 발표회’에서 이같이 말했다.

임 센터장은 “도널드 트럼프 미국 대통령 역시 15대 핵심과제로 사이버 보안을 선정한 만큼 우리나라도 보안 문제를 정책 분야의 중요한 영역으로 끌어올려야할 것”이라며 “(해킹사고 발생 시) 마녀사냥은 그만하고 어떤 사회를 만들 것인가에 대해 고민하고 노력해야한다”고 주장했다.

그는 “중국은 사이버사령부가 10만명, 북한은 6000명, 하지만 우리나라는 600명에 불과하다”며 “투자가 선행되지 않기에 같은 실수가 반복된다. 국정과제로 사이버 보안을 포함시킬 것을 건의해야한다”고 지적했다.

이날 KISA는 고려대 사이버보안정책센터, 인텔코리아와 조사를 통해 '정보보호 10대 이슈'와 함께 '정보보호 10대 기술'을 선정해 발표했다.

이번 10대 이슈는 3개 기관이 공동으로 전문가 의견 수렴, ICT 종사자 대상 설문조사, 전문가 심층 인터뷰 등을 통해 선정했다.

이들은 2017년 정보보호 분야에 대해 보안의 지능화, 서비스화, 대중화로 인해 4차 산업혁명 플랫폼으로 자리 잡을 것으로 내다봤다.

주요 이슈는 다음과 같다.

▲강대국 간 사이버 공방 심화 - 사이버 전면전 위험 고조, ▲사이버위협정보 공유와 협력 확대 - 대응이 빨라진다, ▲돈을 노린 랜섬웨어 공격 - 사이버범죄 주류에 등극, ▲빅데이터·AI·클라우드 활용 사이버보안 - 패러다임이 바뀐다, ▲분산저장기술 블록체인 - 이론에서 현실로, ▲다양화되는 바이오인증 - 사용자 인증의 대세로, ▲보안 고려 없는 사물인터넷 - 커지는 일상의 위험, ▲활성화되는 커넥티드 카의 안전띠 - 사이버보안, ▲잊힐 권리 보장 - 강화되는 개인정보 자기결정권, ▲개인정보 보호와 활용의 조화 - 4차 산업혁명을 좌우 등이다. 

세번째 랜섬웨어 공격은 내년에도 주류가 될 것으로 보인다. 랜셈웨어 피해를 경험한 전 세계 인터넷 사용자는 지속 증가 추세인데, 지난 2분기 31만 명에서 3분기는 82만 명으로 2.6배 급증했다(2016년 11월 카스퍼스키랩). 국내도 작년 상반기 552건에서 올해 상반기는 2019건으로 전년 대비 3.7배 늘었다(2016년 7월 RanCert). 이에 따른 경제적 피해도 증가 추세다.

특히 국내의 경우 주로 광고를 통해 감염되었지만, 최근에는 이메일 등을 활용한 일상적인 방법으로 진화하고 있다. 게다가 랜섬웨어는 그동안 외국어가 대부분이었는데, 요즘은 한글로 번역되는 추세다. 그만큼 피해도 늘어나고 있는 것이다.

KISA 조윤홍 정보보호산업본부장은 “안티 앤섬웨어 기술을 개발하는 중”이라며 “강력한 법 집행 등의 조치가 효과적으로 이루어진다면, 2017년 하반기에는 랜섬웨어가 감소할 수도 있다”고 밝혔다.

네번째 사이버보안 분야는 빅데이터, AI, 클라우드 등 새로운 기술을 활용하게 될 것이며, 클라우드 기반의 ‘빌려 쓰는 보안서비스’ 시장이 확대될 것이라고 한다. 빅데이터와 AI 등으로 보안 서비스는 훨씬 정교해지게 되며, 신생 스타트업의 출현도 기대해 볼 수 있다고 밝혔다.

다섯번째 블록체인은 전 세계 은행 80% 이상이 도입할 것으로 내다봤다. 지금까지 블록체인은 이론적인 부분이었다면, 내년에는 상용화가 될 것이고, 거스를 수 없는 대세가 될 거라고 한다.

일곱번째 사물인터넷은 앞으로 폭발적 성장이 예상되는 분야다. 에릭슨은 2021년까지 160억 개의 사물이 인터넷에 연결될 것으로 예상한다. 문제는 사물인터넷 기기가 늘어날수록 네트워크 보안은 잠재적으로 위협이 클 수밖에 없다. 사물이 네트워크에 연결되어 있으므로 사이버 공격 루트로 악용될 소지가 많은 것. 이 경우 제조사, 사용자, 서비스 제공자 등 어디에 책임을 물어야 할지 논란이 많이 생길 것으로 예상된다. 제도, 인증, 평가 등 여러 부분이 선결되어야 할 것이다.

여덟번째 커넥티드 카는 IoT의 한 종류라고 할 수 있다. 인텔리전스는 2020년 생산차량 중 75%가 커넥티드 카가 되리라 전망할 만큼 빠르게 증가할 것으로 보인다. 문제는 지금의 기계식 차량과 달리 커넥티드카는 전자식이기 때문에 인명사고 등을 고려하면 전자제어장치(ECU)의 작은 센서까지 꼼꼼한 보안 필요하다는 것. 이에 따라 세계 각국은 관련 정책과 제도를 마련하려는 움직임을 보이고 있다.

 

인터넷진흥원이 발표한 ‘2017년 산업체가 주목해야 할 정보보호 10대 기술’에 따르면, 지능정보사회 도래에 따라 내년에는 ‘보안기술의 지능화(3A : Active, Automated, Advanced)’와 IoT, 커넥티드카 등 ‘융합보안 내재화기술’의 중요성이 증대될 전망이다. 

주요 기술로는 ▲지능형 APT공격 위협 감지를 위한 사이버위협 인텔리전트 기술, ▲스스로 취약점을 분석·치유하는 능동형 사이버 자가방어기술, ▲편리한 금융서비스 설계시 보안성을 확인하는 인공지능 기반 이상거래 탐지기술, ▲오픈소스의 안전한 활용을 위한 취약점 시험 자동화 기술, ▲보안이 내재화된 하드웨어 기반 IoT 단말 보안기술, ▲커넥티드카 이용자의 안전성을 보장하는 V2X 데이터 보안기술, ▲신·변종 랜섬웨어를 잡아내는 랜섬웨어 동작 프로세스 프로파일링기술, ▲안전거래 환경을 위한 블록체인 기반 보안플랫폼 기술, ▲사용자가 편리한 방식으로 본인을 인증할 수 있는 행동패턴 기반 무자각․무인지 인식기술, ▲빅데이터 환경에서 개인정보 비식별화를 위한 프라이버시 보존형 데이터마이닝 등 10개 기술이 선정됐다.

APT(Advanced Persistent Threat, 지능형 지속 위협) 공격기술은 특정 대상을 겨냥해 명확한 목표를 두고 지능적, 지속적으로 은밀히 공격을 가하여 정보를 수집하고 유출하는 해킹기법이다. 또 V2X(Vehicle to Everything)은 운전 중 도로 인프라 및 다른차량(V2I, V2V, V2N)과 통신하면서 교통상황 등 정보를 교환하는 기술을 말한다.

조윤홍 본부장은 “보안이 내재화된 산업과 생활이야말로 국가 경쟁력과 삶의 질을 좌우한다는 점에서 보안이 4차산업혁명의 플랫폼이 되도록 노력해야 한다”고 강조했다.

[변재연기자 byun6270@biztribune.co.kr]