미래 온라인 보안 위협에 대한 전망 (펌: KISTI 글로벌 동향 브리핑)

아래는 한국과학기술정보연구원 (KISTI)의 서비스 중 하나인 NDSL이 제공하는 글로벌 동향 브리핑 (GTB) 2009. 8. 2자 기사입니다.

인터넷을 포함한 정보통신망의 발달로 개인이나 기업 간의 의사소통이 시간과 장소에 구애됨에 없이 쉽게 이루어 질 수 있게 되어 개인생활의 편리함과 기업경영의 효율성 및 효과성이 향상된 것은 틀림 없는 사실이지만, 그에 못지 않은 역기능도 상대적으로 커지고 있습니다.

 

정보 유통은 필요한 정보가, 필요한 사람에게 제공되어야 그 목적이 달성되는데 허용되지 않은 사람에게 그러한 정보가 누출됨으로 인해 생기는 폐해를 막기 위해서는 정보 보호라는 방패가 함께 발전되어야 합니다. 이런 점에서 미래에 예상되는 11가지 보안 위협에 대한 제도적, 기술적 대책이 마련되어야 할 것이라 봅니다.

-----------------------------------------------------------------------------------------------------------------------------------------------

 

미래의 온라인 보안 위협은 현재 우리가 직면하고 있는 것과 유사하지만, 몇몇 새로운 변화가 예측된다. 정보보호포럼(ISF, Information Security Forum)은 이와 관련, 2011년에 가장 크게 대두될 11가지 보안위협에 대해 발표했다. ISF의 연구 책임자인 제이슨 크리시(Jason Creasey)는 2011년 등장하게 될 온라인 보안 위협 중 대다수는 현재 우리가 직면하고 있는 것들이 진화하고 보다 정교한 형태로 변화한 공격기술이 될 것이라고 말했다.

온라인 보안 위협 중 가장 높은 순위는 사이버범죄(cyber crime)로 나타났는데, 서비스로서의 크라임웨어(Crimeware as a Service) 형태로 기존에 만들어진 악성소프트웨어(malware) 또는 봇넷(Botnet) 등이 내부자 공격과 함께 가장 빈번하게 발생할 것으로 예측되었다. 그는 아울러 금융 위기가 이러한 도전을 더욱 촉진시키고 있는데, 즉, 내부인력의 교체와 금전적 이득을 노리는 조직범죄 집단의 증가 등으로 그 위험이 크게 증가하고 있다고 주장했다.

다른 보안 우선 이슈 사항으로 IT 기반의 취약성, 엄격한 규율, 아웃소싱, 그리고 모호해진 네트워크 경계 등이 높은 순위에 올랐다. 상위 10개의 보안 위협은 모바일 악성소프트웨어, 웹 2.0 보안 취약성, 기업 기밀정보 유출, 이용자 중심 시스템의 보안성 강화의 어려움, 직장 업무와 개인의 삶에 있어서 경계의 모호함 등인 것으로 나타났다. 이들 보안취약점 중 가장 두드러진 사항 중 하나는 내부 정부에 접근할 수 있는 조직의 인력이 범죄 집단과 공모하여 범죄를 저지르는 것이다. 기업들이 IT 예산에 많은 제약을 받게 되고, 이로 인해 비용절감을 위한 아웃소싱 등의 도입을 늘려갈 때, 조직 범죄자들은 더욱 정교하고 계획된 접근을 수행한다.

크리시는 IT 기반과 3자 관계, 특히 클라우드 컴퓨팅이 증가하고 있는 현 시점의 잠재적 취약점은 위험을 최소화하기 위한 올바른 노력과 통제 없이는 미래에 매우 더욱 심각한 위협이 될 수 있다고 주장했다. ISF는 기업들이 自社가 보유하고 있는 데이터의 보안을 유지하기 위해 관련 부문에 보다 많은 투자를 기울이도록 권고했다. ISF의 최고책임자인 하워드 슈미트(Howard Schmidt)는 보안 강화와 투자확대를 통해 그 어느 때보다도 보안위협을 최소화할 수 있는 좋은 위치에 있다고 말했다.

ISF가 제시한 2011년의 상위 보안위협은 아래와 같다.

1. 범죄 공격(Criminal attacks)
2. 기반 취약점(Weaknesses in infrastructure)
3. 엄격한 규제 환경(Tougher statutory environment)
4. 오프쇼링/아웃소싱에 대한 압력(Pressures on offshoring / outsourcing)
5. 네트워크 경계의 침해(Eroding network boundaries)
6. 모바일 악성소프트웨어(Mobile malware)
7. 웹 2.0의 보안 취약성(Vulnerabilities of Web 2.0)
8. 기업 기밀정보 유출 사고(Incidents of espionage)
9. 불안전한 이용자 중심 개발(Insecure user-driven development)
10. 문화의 변화(Changing cultures)