이스트시큐리티 시큐리티대응센터(ESRC)는 올해 발생한 다양한 보안 위협과 최신 보안 위협 동향을 분석해, 내년에 발생할 것으로 예상되는 보안 위협 5가지를 선정해 20일 발표했다.
최근 국내외 많은 보안기업에서 인공지능(AI) 관련 기술을 활용한 각종 솔루션과 보안 기능을 선보이고 있다. AI 기술을 통해 보안 제품이 진화하고 있기 때문에 다가오는 내년에는 악성코드 분석 및 모니터링 방해, 다형성 악성코드 제작, 보안 솔루션 우회 등을 목적으로 공격자들 역시 AI 기술을 활용한 진화된 공격을 시도할 것으로 예상된다.
또한 내년에는 이미 공개된 서버 취약점들을 악용한 랜섬웨어 공격이 발생할 것으로 예상된다. 일반적으로 기업들이 사용자에게 안정적으로 자신의 서비스를 제공하기 위해 서버 업데이트를 진행하지 않거나 미루는 경향이 많기 때문에, 서버 취약점을 악용한 랜섬웨어 공격이 많아지면 기업의 피해도 더욱 증가할 것으로 예상된다고 이 회사는 설명했다.
사물인터넷(IoT) 관련 기술을 탑재한 기기의 일반 가정 보급률이 높아짐에 따라, 공격자가 공격 타깃을 가정용 IoT 기기로 확장할 가능성이 높아지고 있다. 가정용 IoT 기기는 PC에 비해 상대적으로 신속한 보안패치가 이뤄지지 않아 초기 설정을 유지하는 경우가 많고 특성상 24시간 활성화돼 있기 때문에, 공격자 입장에서는 적은 노력으로 더 큰 성과를 얻을 수 있어 효과적인 공격 타깃이 될 가능성이 높다. 내년에는 가정용 IoT 기기들을 목표로 하는 공격이 활발히 진행될 것으로 예상되며, 감염된 IoT 기기들로 인해 발생하는 공격 규모 역시 크게 확대될 것으로 예상된다.
이스트시큐리티는 스피어 피싱을 이용한 사회공학적 기법은 많은 해킹 조직들이 사용하는 방법으로, 2019년도에도 고도화된 방식으로 공격이 지속될 것으로 예상했다. 또한 기존의 스피어 피싱 공격이 대부분 PC 환경의 사용자들이 목표였다면, 이제는 PC 환경 사용자뿐만 아니라, 모바일 및 태블릿 사용자들도 타깃으로 할 수 있는 넓은 범위의 스피어 피싱 공격이 예상된다는 설명이다. 또한 공격 방식 역시 단순히 ‘zip’ 파일 혹은 악성 매크로가 포함된 파일을 이메일에 첨부하는 방식이 아닌, 파워셸(powershell)을 이용한 파일 리스 공격처럼, 탐지하기 힘들고 흔적도 남지 않는 고도화된 방법들을 사용할 것으로 예상된다.
유럽연합(EU)의 개인정보보호규정(GDPR), 중국의 사이버 보안법, 미국의 소비자정보보호법 등 여러 국가에서 자국민의 정보를 보호하기 위한 다양한 정책들을 공표하고 시행하고 있다. 내년에도 많은 국가에서 자국민의 개인정보 주권을 위한 다양한 정책들을 공표하고 시행할 것으로 예상되며, 이에 따라 다양한 국가의 요구 사항을 만족시켜야 하는 만큼 글로벌 IT 기업들이 사업을 전개하는데 어려움이 있을 것으로 예상된다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지