“메타버스는 범죄자들의 새로운 놀이터” 팔로알토네트웍스가 내놓은 사이버보안 전망 5가지

By이유지

메타버스가 사이버범죄자들의 새로운 놀이터가 될 것이란 전망이 나왔다. 연결된 의료기기를 대상으로 한 공격으로 데이터는 물론 생명까지 위협할 수 있으며, 클라우드 공급망 공격이 비즈니스를 중단하는 결과를 불러올 것이란 예상도 나왔다.

팔로알토네트웍스(지사장 이희만)는 이같은 내용을 골자로 한 2023년 사이버보안 전망을 10일 발표했다.

올해 보안업계에서 주목해야 주요 사항으로 팔로알토네트웍스는 가장 먼저 5G 채택 가속화로 보안 취약성이 심화될 것으로 내다봤다. 사실 5G 보안 이슈는 상용화 이후 몇 년 동안 보안업계에서 사이버위협 전망에 종종 등장하긴 했으나 두드러진 보안 위협이나 공격은 없었다.

팔로알토네트웍스는 5G 연결 기기가 그동안 크게 늘어난데다, 5G 인프라 아키텍처가 클라우드 기반으로 구축되고 있고, 5G 프라이빗 네트워크(특화망) 구축까지 가속화되면서 보안 취약점과 위협이 커질 것으로 보고 있다.

5G는 클라우드 기반 환경, 보안 취약점 노출 심화될 것

세계이동통신협회(GSMA) 집계에 따르면, 5G 통신 인프라에 연결되는 기기는 지난 2021년 말 2억 개에서 2025년에는 4억 3000만 개에 달할 전망이다. 최신 5G 인프라는 클라우드 아키텍처를 기반으로 구성되고 있는데, 5G 코어에서 클라우드에 이르는 경로에서 보안 취약점을 노출시킬 수 있다는 게 회사측 설명이다. 이같은 취약점으로 대규모의 공격이 어디에서든 발생할 수 있고, 심지어 통신사업자 자체 네트워크 내에서도 나타날 수 있다고 경고했다.

5G 모바일 네트워크는 산업용 사물인터넷(IoT), 스마트 팩토리 등 다양한 새로운 사용 사례를 발굴하고 있다. 진화를 거듭하면서 막대한 비용 피해를 일으키는 랜섬웨어의 주요 공격 타깃도 될 수 있다. 5G의 속도와 엣지 디바이스의 확산으로 공격자들은 다양한 진입 경로를 얻는 동시에 초고속의 공격 개시가 가능해질 것으로 전망된다.

장성민 팔로알토네트웍스코리아 상무는 “모바일엣지컴퓨팅(MEC) 등 5G 인프라가 클라우드 기반 환경이라는 것은 보안취약점을 가질 수밖에 없는 상황”이라며 “MEC가 침해된다면 MEC를 통해 IoT 디바이스까지 침해될 수 있다. 실제로 지난 6월, 오로지 통신사만 공격하는 갈륨(Ga)이란 지능형지속위협(APT) 공격그룹이 2019년 이후 잠잠하다 다시 유럽, 동남아시아, 아프리카 통신사들 대상 공격을 시작했다. 5G 망이 확산되고 있기 때문에 공격그룹이 다시 활동을 시작한 것으로 예상된다”고 분석했다.

생명 위협하는 공격자들…연결된 의료기기 보안 중요

가상 진료 및 원격 진단 등 의료 산업의 디지털화가 가속화되면서, 의료(헬스케어) 업계의 기관보다 개인을 겨냥한, 이른바 ‘소프트 타깃’ 공격이 발생할 수 있다. 환자들과 가까운 기기는 환자의 안전에 영향을 미칠 가능성이 높고, 이를 무기화할 수도 있다. 메디컬 IoT에 대한 사이버보안의 중요성이 그 어느 때보다 높아진 상황이다.

이미 코로나 팬데믹을 지나며 의료 산업에 기술이 광범위하게 사용됐으며, 공격자들은 불법 이익을 취하기 위해 중요한 의료 기능을 거리낌 없이 방해하는 행위가 목격됐다. 또 이 기간동안 의료 IoT가 확산되었는데, 팔로알토네트웍스의 최근 조사에 따르면 스캔을 실시한 의료용 주입 펌프의 75%에서 공격자의 타깃이 될 수 있는 보안 격차가 발견됐다. 의료 기기를 보호하는 노력과 더불어 보건 기록과 같은 방대한 환자 데이터를 안전하게 보호하는 것도 중요하다. 공격자들은 데이터를 탈취하는 것은 물론 의료 시설에 랜섬웨어 공격을 가하기 위해 이를 암호화할 수 있기 때문이다.

의료 산업을 노리는 대표적인 랜섬웨어 공격 그룹으로는 대표적으로 콘티(Conti)가 있다. 장 상무는 “콘티 랜섬웨어 그룹이 의료기관을 노리는 이유 중 하나는, 재산이 아니라 실제 사용자의 목숨 즉 공격 피해자의 목숨을 노린다는 점에서 대가를 줄 수밖에 없기 때문이다. 이렇게 발전해나가고 있는 상황이다. 앞으로 의료기관 IoT 디바이스 공격이 더 많이 집중될 것이다. 실제로 랜섬웨어 타깃 대상을 보면 1, 2 순위가 의료 분야다. 레거시 의료 시스템을 공격해 생명의 위협을 줄 수 있는 공격까지 확산될 것이란 예측이 나왔다”고 설명했다.

클라우드 공급망 공격이 비즈니스 중단 부른다

클라우드 네이티브 아키텍처를 채택하는 기업에서는 핵심 애플리케이션 내부에 써드파티 코드를 사용하게 된다. 실제로 로그포제이(Log4j) 사례는 소프트웨어 패키징 프로세스에 깊숙이 심어진 종속 코드로 인해 얼마나 많은 조직들이 빠르게 취약해질 수 있는지 보여줬다. 또 이러한 오픈소스 코드 구조를 유지 관리하는 프로젝트 공헌자들을 공격하여 패키지 업데이트 프로세스를 통해 조직에 침투하는 사례도 있었다.

클라우드 애플리케이션은 수많은 오픈소스 코드에 다운스트림 의존성을 갖는 코드 패키지를 기반으로 하며, 오픈소스 소프트웨어에는 패치 되지 않은 취약성 또는 숨겨진 악성 코드가 포함될 수 있다. 또 클라우드 공급망 취약성의 범위는 애플리케이션에만 국한되지 않는다. 대부분의 조직은 기존의 환경을 확장할 때 자동화를 위해 코드형 인프라(IaC)를 채택하고 있는데, 팔로알토네트웍스에서 주요 IaC 레포지토리를 스캔할 결과 템플릿의 64%에 적어도 하나 이상의 심각한 혹은 중요한 레벨의 안전하지 않은 구성이 포함돼 있는 것으로 나타났다. 모든 클라우드와 소프트웨어 서비스 공급 업계에 오픈소스 코드가 널리 사용되고 있다는 점을 고려할 때, 재사용 가능한 코드 조각(code snippet) 하나가 클라우드 생태계 전체에 영향을 미칠 수 있다.

데이터 주권 논쟁 가열…“데이터 현지화 법규제, 보안에 부정적 영향”

데이터와 디지털 정보의 중요성이 커지면서 데이터 현지화 정책이나 개인정보나 기밀정보의 데이터 보호 규제가 늘어나고 있는 상황이다. 실제로 최근 여러 국가에서 데이터 현지화 정책을 받아들이고 있다. 팔로알토네트웍스는 이같은 정책을 받아들이는 데는 다양한 배경이 있긴 하지만, 데이터 현지화가 개인정보보호와 사이버보안에 더 효과적이라는 오해에서 비롯된 부분이 있다고 주장했다. 더욱이 ‘보안 데이터가 국경을 넘지 못하도록 제한하는 데이터 현지화 법률이나 정책이 전세계 넓은 지역에 구축된 예방적 방어와 보안 조치의 실시간 이점에 영향을 미칠 수 있다, 보안 인식을 위한 인공지능이나 머신러닝을 사용해 실시간으로 사이버 위협 정보를 파악하는 것도 어려워질 수 있다’며 부정적인 의견을 내놨다.

다시 말해 데이터 현지화 등 데이터 주권 강화 법규제로 데이터 수집이나 이전이 제한된 국가가 많아지게 된다면, 사이버보안 업체들이 세계 곳곳에서 사이버위협 정보를 광범위하게 수집·분석·공유하고, 이를 바탕으로 공격을 방어하거나 위협에 빠르게 대응하는데 걸림돌로 작용한다는 얘기다.

메타버스, 사이버 범죄자들의 새로운 놀이터 된다

팔로알토네트웍스는 구매자와 판매자가 새로운 방식으로 연결되는 메타버스에서 가상재화 거래가 연간 540억달러 규모로 거래될 것이라는 예상 수치를 언급하면서 메타버스가 활성화될 것으로 전망했다. 메타버스 특유의 몰입형 경험으로 기업과 소비자 모두에게 새로운 기회가 생기고, 기업은 혼합 현실 경험을 활용해 제품을 다양화하는 등 소비자의 요구를 충족시키고자 하는 추세라는 것이다. 이로 인해 메타버스에 사이버 범죄자들을 위한 새로운 놀이터가 열릴 것으로 관측하고 있다.

장 상무는 “연간 60조달러 이상의 가상재화가 메타버스 환경에서 거래된다고 한다. 메타버스가 아직은 와닿지 않기도 하지만 우리나라에서도 젭(ZEP) 플랫폼에 가입한 사용자가 300만이다. 해커의 눈에 들어올 수밖에 없는 것”이라며 “메타버스 환경 역시 5G처럼 플랫폼 자체가 클라우드에 있고 여러 모듈을 많이 연결하기 때문에 API 기반 통로, 웨어러블 디바이스, 사용자 개인정보 등까지 위협 대상이 확장될 수 있다. 이제 해커들이 메타버스 환경까지 눈을 돌리게 되는 한 해가 될 것으로 예상된다”고 내다봤다.

회사측은 플랫폼, 경로, 엣지, 사용자까지 메타버스의 네가지 필수 계층에서 공격이 발생할 수 있다고 경고했다. 이에 따르면, 대부분의 메타버스 플랫폼은 클라우드 아키텍처(퍼블릭 또는 프라이빗)를 기반으로 구축되며 클라우드 기반 공격에 취약하다. 연결 경로는 메타버스는 애플리케이션프로그래밍인터페이스(API)와 다른 연결 프로토콜을 통해 다른 플랫폼과 상호 작용한다. 이 경로가 공격 대상이 되며, 특히 메타버스 간 암호화폐 전달 경로가 주요 타깃이 된다. 메타버스에 몰입하기 위해 스마트 글래스나 헤드셋과 같은 웨어러블 기기를 사용하게 되는데, 이러한 IoT 장비는 엔드포인트 공격에 취약하며 데이터 및 개인 정보 침해로 이어질 수 있다. 아울러 디지털 신원 사용 사례가 확대됨에 따라 사이버범죄자들이 악용할 소지가 높아진다.

한편, 팔로알토네트웍스는 클라우드 환경과 어디서든 근무할 수 있는 환경 변화, 인공지능(AI) 툴을 이용한 공격자 위협 증가라는 굵직한 추세와 이같은 올해 보안 전망을 감안해, 모든 산업과 시장 영역에서 요구되는 보안 기능이나 솔루션을 충족하기 위해 플랫폼 형태로 제공하는 접근방식을 취하고 있다. 이같은 방식으로 사이버보안 트랜스포메이션과 혁신을 해야한다는 입장이다.

팔로알토네트웍스는 크게 ▲차세대방화벽에서 시작해 시큐어액세스서비스엣지(SASE)까지 확장된 네트워크 보안 플랫폼 ▲제로트러스트와 클라우드 네이티브 애플리케이션 보호(CNAP) 플랫폼인 프리즈마 클라우드(Prisma Cloud) ▲보안운영센터(SOC, 보안관제센터)에서 나오는 수많은 보안 로그를 AI로 분석해 자동 대응할 수 있게 하는 코텍스(Cortex) 보안 플랫폼 세 가지에 위협 인텔리전스 서비스를 결합해 제공한다.

김병장 팔로알토네트웍스코리아 전무는 “그동안 기업의 보안 솔루션 도입 방식은 포인트 솔루션들을 필요한 위치에 가져다 설치하는 형태였다보니, 현재 사용하는 보안 솔루션의 개수가 40개에서 60개, 많은 곳은 100개 가까이 되는 기업도 있다. 이 경우 복잡성으로 인해 보안 허점이 생기고 있다. SOC 근무자들 중에서는 심지어 보안 장비에서 나오는 수많은 인시던트와 로그에서 무엇을 손대야 하는지 잘 모르겠다고 하는 분들도 많다. 분석을 하는 로그는 굉장히 많은 수에서 하루 몇 개 정도에 불과하다. 해커들에게 털려도 전혀 이상할 게 없는 상황이라고 보안담당자들이 말하기도 한다”고 지적하며 “팔로알토네트웍스는 보안의 홀이 생기지 않고 최고의 보안을 제공하면서 보안 복잡성을 굉장히 단순화하는 플랫폼 접근방식을 제공하고 있다”고 강조했다.

김 전무는 “사이버 공격에 유동성이 더해지고 있는 만큼 보안 접근방식을 끊임없이 혁신하고 전환해야 하는 상황이다”라고 말하며 “사전 예방 우선적인 AI 활용과 제로트러스트 전략, 플랫폼 기반 아키텍처의 채택이 필수적이다. 이에 더해 위협 인텔리전스와 보안 전문성의 범위를 확대하고 심화시키는 것이 중요하다. 불가피하게 침해 사고가 발생할 경우 탄력적으로 대응하고 복구할 수 있는 회복력을 갖춰야 하는데, 이를 팔로알토네트웍스가 지원한다”고 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

이유지

씩씩하고 당당하게, 그리고 신나게!

이유지 기자 yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다