2021년 사이버 공격 따른 손실 6조 달러 ... 기업들, AI 접목한 보안 시스템 개발
▎한국인터넷진흥원 인터넷침해대응센터 종합상황실에서 직원들이 ‘사이버 위협 현황 모니터’를 주시하고 있다. |
|
국내 암호 전문 스타트업 키페어는 소비자가전박람회(CES) 2018에서 가상화폐를 안전하게 보관하는 콜드월렛을 선보였다. 콜드월렛은 비트코인 잔고를 확인할 수 있는 암호화 키를 가상화폐 거래소와 분리된 별도의 저장소에 두는 오프라인 상태 지갑이다. 일종의 은행금고와 같은 역할을 한다. 때문에 거래소 서버가 해킹을 당하더라도 해커가 콜드월렛에 접속하는 건 불가능하다. 콜드월렛은 PC의 USB포트에 연결해서 사용할 수 있는 USB 형태와 근거리무선통신(NFC)이 내장된 일반 신용카드(교통카드) 형태의 두 가지 제품으로 만들었다. 이창근 키페어 대표는 “NFC기능이 내장된 콜드월렛 제품은 세계 최초”라며 “USB 형태의 콜드월렛은 비밀번호 입력 대신 지문인식으로 접속하기 때문에 빠르고 간편하게 이용할 수 있다”고 말했다.중국 컴퓨터 제조업체인 레노버는 이번 CES에서 웹캠(카메라) 해킹을 예방하는 기능을 넣은 3세대 씽크패드 X1 태블릿(ThinkPad X1 Tablet)을 소개했다. 최근 노트북에 내장된 카메라가 늘면서 카메라 해킹으로 사용자의 영상을 무단으로 확인하거나 유출되는 사고가 늘고 있다. 이에 레노버는 카메라에 프라이버시 모드를 설정하면 영상을 차단하고, 일정시간 동안 PC사용이 없으면 웹캠과 마이크 기능을 함께 차단해주는 씽크셔터 카메라 프라이버시(ThinkShutter Camera Privacy) 기능을 추가했다.
사이버 보안이 인류 위협하는 위험 요소지난 1월 9일(현지시간)부터 나흘 간 열린 CES 2018에서는 30여개 국내외 사이버 보안 기업이 관련 신기술과 제품을 소개했다. 사이버 보안은 자율주행차·로봇·사물인터넷(IoT) 가전과 함께 올해 CES의 핵심 키워드로 꼽힐 정도로 관심이 큰 분야다. CES 2018 트렌드 보고서에는 사이버 보안이 인류를 위협하는 가장 위험한 요소라고 밝힌 바 있다. 이는 자동차·가전제품 등 모든 기기에 정보통신기술(ICT)이 접목되면서 해킹을 통한 사고 위험이 점점 커지고 있어서다. 지난해 5월 세계적으로 발생한 랜섬웨어(데이터를 암호화해 사용할 수 없도록 하고 금전을 요구하는 악성 코드) 공격에 따른 피해 금액이 최대 50억 달러(약 5조3600억원)에 달하는 것으로 나타났다. CES는 보고서에서 오는 2021년까지 세계적으로 사이버 공격으로 인한 손실이 약 6조 달러(약 6432조원)에 달할 것이라고 전망했다.그동안 사이버 공격은 소셜네트워크서비스(SNS)를 통해 악성 코드가 삽입된 파일을 유포하거나 악성 모바일 애플리케이션을 스마트폰에 설치해 가짜 사이트로 유인, 다수의 개인정보를 빼내는 형태의 해킹이 많았다. 그러나 최근에는 가상화폐 열풍을 타고 가상화폐 채굴 악성 코드 유포, 비트코인 요구 목적의 랜섬웨어 유포, 인공지능(AI) 기술을 악용한 사이버 공격이 늘어나고 있다.사이버 공격을 가장 많이 받는 산업은 의료·금융·교육 부문이다. 실제로 지난해 4월 국내 가상화폐 거래소인 빗썸이 해킹을 당해 3만6487건의 개인정보가 유출됐다. 12월에도 가상화폐 거래소 유빗이 해킹 공격으로 파산했다(최근 파산이 아닌 매각으로 방향을 틀어 논란을 빚고 있다). 유빗의 피해 금액은 170억원에 달한다. 사이버 범죄가 늘면서 피해 금액도 늘고 있다. 미국 정보보안 연구 기관인 포네몬 인스티튜트에 따르면 데이터 유출에 따른 1인당 평균 피해금액은 2015년 154달러에서 2016년 158달러로 늘었다.
사이버 공격 탐지, 대응하는 기술로 진화
▎암호 전문 스타트업 키페어는 가상화폐를 안전하게 보관하는 콜드월렛을 선보였다. / 사진:키페어 제공 |
|
때문에 국내외 보안 IT 기업들은 사이버 범죄를 막기 위한 시스템 개발에 한창이다. 기존에는 사이버 공격을 차단하기 위한 시스템이었다면, 지금은 클라우드·IoT 확대에 따른 사이버 공격 탐지, 대응하기 위한 보안 기술로 진화하고 있다. 안랩 시큐리티대응센터(ASEC) 한창규 센터장은 “사이버 범죄 조직이 개발·판매·유통·마케팅까지 세분화된 기업(조직)의 형태를 갖춘 ‘사이버 범죄의 서비스화(CaaS)’가 현실화될 것”이라며 “로봇청소기, IP 카메라, 스마트 냉장고 등 IoT 기기가 보편화되며 보안 위협에 노출될 가능성이 있다”고 말했다.글로벌 보안 업체인 트렌드마이크로는 악성 코드 대응 기술을 접목한 ‘오피스스캔 XGEN(OfficeScan XGen)’을 선보였다. 오피스스캔 XGEN은 지능적인 신·변종 랜섬웨어 방어를 위해 실시간 행위분석 기능을 탑재했다. 악성 코드 대응기술과 인공지능 머신러닝(기계학습) 기술을 접목해 오탐을 최소화했다. 국내 보안기업 안랩은 지능형 위협 대응 솔루션 ‘안랩 MDS 에이전트’에 머신러닝 엔진을 적용했다. 안랩 MDS(Malware Defense System)는 악성 파일 ‘수집-분석-모니터링-대응’ 프로세스를 통해 지능형 위협을 방어하는 솔루션이다.국내 정보보안 기업 세인트시큐리티는 악성 코드를 탐지하는 ‘인공지능 평가 점수 알고리즘(AI 스코어)’을 개발했다. AI스코어는 파일별로 빅데이터에 기반한 프로파일링 정보와 정적, 행위 분석 등을 더해 계산된다. SK인포섹은 이 회사 보안관제 시스템인 ‘시큐디움’에 글로벌 위협 ‘인텔리전스’를 더해 보안관제 서비스 수준을 한 단계 끌어올렸다. ‘시큐디움 인텔리전스’는 글로벌 사이버위협연합(CTA) 공유 정보와 운영 중인 보안 시스템, SNS 등 다양한 경로에서 보안공격에 활용된 것으로 의심되는 정보를 수집하고 분석해 제공한다.
한국 사이버 공격 취약국 1위한편 사이버 위험 관리에 대한 중요성이 강조되고 있지만 국내 기업들은 여전히 준비가 미흡하다. 딜로이트 컨설팅에 따르면 아태지역 18개 국가 가운데 한국은 사이버 공격 취약국 1위(2016년 기준)로 꼽혔다. 실제로 보안에 대한 IT산업 전반의 인식은 부족한 상황이다. 과학기술정보통신부가 발표한 지난해 기업 정보보호 실태조사에 따르면 조사 대상 기업 9000개 가운데 정보기술(IT) 예산 중 정보보호 예산을 1% 미만으로 편성한 기업이 36.8%에 달하는 것으로 나타났다. 5% 이상 편성한 기업도 전년 대비 1.1%포인트 늘어난 2.2%에 불과했다. 정부도 사이버 보안 투자에 소극적인 태도를 보이고 있다. 과학기술정부통신부에 따르면 올해 사이버 보안 예산은 617억원에 불과하다. 2014년(249억원) 이후 매년 늘리고 있지만 아시아태평양지역 사이버 범죄 피해 규모가 연간 650조원이 넘는 상황에선 턱없이 부족하다.
[박스기사] 늘어나는 해킹, 저조한 사이버보험 가입률 - 보장한도 낮고 보험산출 어려워국내에서 최근 5년(2013년~2017년 7월) 간 해킹 등으로 5342만개 이상의 개인정보가 빠져나갔다. 그러나 개인정보 유출 사고에 대비한 국내 기업의 사이버 보험 가입률은 1.3%(보험연구원 2015년 기준) 수준이다. 관련 시장 규모는 322억원 수준에 불과하다. 이와 달리 미국은 전체 기업의 약 30%가 사이버 보험에 가입했다. 미국의 2016년 사이버보험 시장 규모는 전년 대비 34.7% 늘어난 13억4000만 달러(약 1조4472억원)에 달한다. 사이버종합보험은 데이터 손해 또는 도난, 개인정보 침해 피해, 사이버 협박, 네트워크 보안 배상책임 등 사이버 관련 위험을 보장하는 상품이다.국내에서 사이버 보완 취약성에 대한 우려가 커지고 있지만 사이버보험 가입률은 저조하다. 사이버보험이 활성화되지 않는 이유는 상품 개발을 위한 데이터가 부족하기 때문이다. 사이버보험은 자동차보험처럼 사고 발생 확률이나 피해 규모 등과 같이 통계 데이터를 산출하기 어렵고, 피해 규모도 크기 때문에 상품을 만들기가 쉽지 않다는 게 보험사들의 얘기다.이렇다 보니 사이버보험의 보장이나 보상금액도 제한적이다. 현대해상·DB손해보험·KB손해보험·메리츠화재·한화손해보험·AIG손해보험 등이 판매하고 있는 사이버보험의 대부분은 배상책임보험 형태다. 예컨대 기업 해킹으로 고객의 개인정보가 유출됐거나 기업 홈페이지에 접속했다가 바이러스 감염 등의 피해를 입으면 기업이 고객을 대신해 피해액을 보험사가 보상해주는 정도다. 그러나 미국은 해킹으로 기업의 평판이 나빠지면 이와 관련한 비용까지 보상하고 일본은 내부 직원에 의한 데이터 유출 피해까지 보험으로 보장한다. 국내에서는 사이버보험에 가입했더라도 이 같은 피해는 기업이 직접 책임져야 한다.또 보험사들이 보상해주는 항목도 적기 때문에 보상금액도 평균 30억원 수준이다. 그러나 미국이나 일본은 보상 항목이 많기 때문에 보상금액도 높은 편이다. 지난 2013년 미국 대형 유통 업체 타깃의 해킹으로 총 2억5200만 달러(약 2683억원)의 피해를 입었지만 피해금액의 3분의 1 수준인 9000만 달러(약 958억원)를 보상받았다. 유진호 상명대 지식보안경영학과 교수는 “기업 입장에서는 보험 가입조건이 까다롭고 혜택이 많지 않고, 보험사는 기업들의 위험도 평가가 쉽지 않지 않기 때문에 보험 가입률이 저조할 수밖에 없다”고 말했다.이에 업계에서는 사이버보험 의무가입과 보상한도를 늘리는 방안이 필요하다는 목소리도 나온다. 고용진 더불어민주당 의원은 2016년 12월 정보유출에 따른 손해배상에 대비해 정보통신서비스 사업자의 보험 또는 공제 가입을 의무화하는 ‘정보통신망법 개정안’을 발의했다. 이 개정안이 지난해 말 국회 과학기술정보방송통신위원회 상임위원회를 통과했다. 만약 연내 본회의를 통과하면 사이버보험 시장은 커질 가능성이 크다. 현재는 신용정보법에 따라 금융회사만 정보유출배상책임보험에 의무 가입하고 있지만 개정안이 시행되면 가입대상 기업이 2만개 이상 늘어나기 때문이다.한편 개인의 사이버 위험을 보장하는 보험도 필요하다는 의견도 나온다. 실제로 개인 PC에 랜섬웨어로부터 피해를 입을 경우, 이를 복구하는 비용은 최대 400만원 수준이다. 그러나 현재 보험사가 판매 중인 사이버보험 상품은 기업보험이기 때문에 개인이 가입할 수 없다.
