급변하는 정보보호 사회 속에서 우리는 무엇을 준비해 나가야 할까요? 미래사회의 불확실성에 대비하기 위한 준비는 현재를 진단하고 트렌드를 분석하는 일에서부터 시작될 것입니다.
한국인터넷진흥원(KISA)은 정보보호 분야의 변화를 예측하고 정책 등에 반영하고자 매년 ‘정보보호 10대 이슈 전망’을 발표하고 있는데요, 안전한 미래사회를 위해 우리가 관심을 가져야 하는 2017년도 정보보호 10대 이슈는 무엇인지 살펴 봅시다.

1. 강대국간 사이버공방 심화 – 사이버전쟁 위기 고조
미국, 중국, 러시아 주요 강대국 간 힘겨루기가 총성 없는 전쟁이라고 불리는 ‘사이버 전쟁’에 대한 우려가 높아지고 있습니다. 사이버전쟁으로 인터넷에 연결된 전력망이 파괴되면 전기가 끊길 수 있고, 상하수도 시설이 공격당하면 수돗물을 공급받지 못할 수도 있습니다.
전세계 국가들은 사이버 전쟁에 대비하여 방어역량 뿐만 아니라 선제적인 공격역량도 키우고 있습니다.
보안업체 파이어아이는 미국, 러시아, 아시아 지역 등에서 발생했던 사이버공격이 중국 해킹 그룹에 의한 것으로 추정한 바 있습니다. 또 미국 국토안보부(DHS)는 민주당 전국위원회 해킹사건 배후로 러시아를 지목하기도 했습니다.
이러한 상황에서 미국 트럼프 대통령 당선인은 대선기간 중에 사이버공격 무기를 개발하고 관련 법률도 만들어야 한다고 언급했습니다. 최근 영국도 자국이 사이버공격 표적이 되는 것을 대비하기 위해 사이버공격 능력을 키우고, 공격수단을 활용하여 적극 대응할 것이라고 밝혔습니다. 국내에서도 2017년 대선을 앞두고 북한 등 국외로부터의 사이버 공격을 주의해야 할 시점입니다.

2. 사이버위협정보 공유와 협력의 확대 – 대응이 빨라진다
사이버위협은 오프라인에 존재했던 거리와 시간의 제약을 전혀 받지 않기 때문에 인터넷이 연결된 곳이라면 전세계 어느 곳, 어느 때라도 우리를 위협할 수 있습니다. 이러한 사이버위협의 특성은 위협 대응 방식에서도 단일한 수단이 아닌 복합적인 방법을 요구하고 있습니다.
이러한 공감 아래 세계 각국은 사이버 위협정보를 공유하기 위한 연대를 확대하고 있습니다. 미국은 국가사이버위협 인텔리전스 센터(CTIIC)를 설립하고, 사이버보안 정보공유법(CISA)을 제정하여 정부, 기업, 보안업체 사이의 위협정보에 대한 공유를 강화하였습니다. 2016년 6월에는 미국과 이스라엘 침해사고대응조직(CERT)과 협력을 강화하고, 실시간에 가까운 위협정보를 쌍방이 공유하기로 하였습니다. 팔로알토 네트웍스, 시만텍 등 글로벌 사이버보안업체는 사이버위협동맹(CTA)을 결성하여 운영 중입니다. IBM, MS, HP 등 ICT 기업 또한 사이버 위협정보를 공유하는 시스템을 운영하고 있습니다.
국내에서도 한국인터넷진흥원(KISA)을 중심으로 사이버위협정보 분석 및 공유시스템(C-TAS)을 구축하여 운영 중이며, 국내외 보안업체로 구성된 ‘글로벌 사이버위협 인텔리전스 네트워크’를 설립하여 사이버위협 정보 공유 협력과 대응을 확대하고 있습니다.

3. 돈을 노린 랜섬웨어 공격 – 사이버범죄 주류에 등극
돈을 갈취하려는 랜섬웨어가 날로 기승을 부리고 있습니다. 랜섬웨어는 ransom(몸값)과 ware(제품)의 합성어입니다. 인터넷에 연결된 타인의 컴퓨터나 스마트폰에 저장된 문서, 스프레트시트, 그림파일 등을 암호화해 열지 못하도록 만든 후 암호를 풀어주는 조건으로 금품을 요구하는 악성 프로그램입니다.
최근 랜섬웨어가 돈벌이가 된다고 널리 알려지면서 악용하려는 범죄 조직이 늘고 있습니다.
또 전 세계 인터넷 사용자 중에서 2016년 3분기에만 82여만 명이 피해를 입었다고 알려지고 있습니다. 국내에서도 올해 상반기에만 랜섬웨어 피해건수가 2천여 건이나 됩니다. 지난 11월에는 랜섬웨어 공격으로 샌프란시스코 전철의 결제시스템이 정지되는 사고가 발생하기도 하였습니다. 미국 FBI는 올해 연간 피해액이 10억 달러에 달할 것으로 추정하였습니다.
최근에는 PC와 스마트폰에 저장한 파일을 수차례에 걸쳐 암호화하는 등 랜섬웨어가 끊임없이 교묘해지고 있습니다. 향후 랜섬웨어를 제품 형태로 제작하여 사고 파는 블랙마켓의 등장으로 랜섬웨어가 더욱 기승을 부릴 것으로 전망됩니다. 이에 따라 국내외 관계기관의 대응공조도 필요하고, 주기적인 백신 업데이트 등 인터넷 이용자의 각별한 주의도 요구되고 있습니다.

4. 빅데이터‧AI‧클라우드 활용 사이버보안 – 패러다임이 바뀐다
인터넷이 생활화되면서 방대한 양의 빅데이터(Big Data)가 생성되고 있는데, 최근 이를 사이버보안에 활용하려는 움직임이 나타나고 있습니다. 인터넷 이용자의 행위 데이터를 지속적으로 축적하여 생성한 방대한 보안 빅데이터를 분석해서 사이버위협을 탐지할 수 있는 제품들이 출시되고 있는 것입니다.
또한 알파고로 급속하게 성장하기 시작한 인공지능(AI) 기술이 사이버보안 제품에 적용되기 시작했습니다. 보안전문가가 오랜 시간에 걸려 분석하던 것을 AI 기술을 적용해서 신속하게 사이버위협을 찾아내고 자동적으로 대처하기 위한 것입니다.
아울러 클라우드 기반의 보안서비스를 선보이는 보안업체가 늘고 있는데, 이는 기업들이 기존에 자체적으로 보안인프라를 구축해야 했던 것을, 전문업체의 보안서비스를 활용할 수 있게 만든 것입니다. 이는 비용을 줄이고, 신속하게 최신보안서비스를 받을 수 있다는 점에서 향후 수요가 크게 증가할 것으로 예상됩니다. 향후 빅데이터, AI, 클라우드를 적용한 보안에 대한 연구와 투자가 더욱 늘어나면서 기존 보안업체 외에 새로운 보안 스타트업 기업이 출현하는 등 보안시장도 다각화될 전망입니다.

5. 분산저장기술 블록체인 – 이론에서 현실로
‘블록체인’이란 데이터를 한 곳에 집중저장하지 않고 여러 곳에 분산저장하는 방식을 말합니다. 예컨대, 비대면 금융거래의 경우, 블록체인 기술을 이용하면 금융거래정보를 금융회사의 중앙 집중형 서버에 보관하는 대신, 거래에 참여하는 모든 사용자에게 거래 내역을 보내주어 거래 때마다 이를 대조하게 함으로써 데이터 위조를 매우 어렵게 만듭니다.
안전성, 투명성, 비용 측면에서 효율적인 블록체인은 현재 금융서비스 중심으로 도입이 추진되고 있는데요, 2016년 8월 세계경제포럼(WEF)은 향후 1년 이내 전 세계 은행 중에서 80%가 블록체인을 도입할 것으로 전망하기도 하였습니다. 금융부분에서는 블록체인을 이용할 가능성이 높은 분야로 실시간 송금, 암호화된 화폐, 주식거래 결제 등이 꼽히고 있습니다.
또한, 미국 연방준비은행, 싱가포르 통화청 등은 블록체인을 활용한 결제시스템을 개발 중이고, 최근 국내에서도 금융위원회가 금융사, 핀테크 기업들과 공동 블록체인 컨소시엄을 구성하여 운영하고 있습니다. 국내의 경우 블록체인의 도입은 아직 태동기 단계이지만 2017년을 기점으로 금융권 전반에서 상용화를 시도할 전망입니다.

6. 다양화되는 바이오인증 – 사용자 인증의 대세로
바이오정보는 개인이 고유하게 가지고 있는 신체적 특징으로서 본인 여부를 인증할 수 있는 안전한 수단 중 하나입니다. 숫자나 문자로 이뤄진 기존의 비밀번호에 비해 제3자가 탈취하거나 악용할 가능성이 낮으면서 동시에 외울 필요가 없어 편리한 방법입니다.
이전에는 보안구역 등 물리적인 출입통제를 위해 많이 활용되었는데, 최근에는 모바일 결제 및 뱅킹 등이 대중화되면서 금융권에서 본인 인증 수단으로 앞다퉈 도입하기 시작했습니다. 2015년 말부터 국내 주요 은행들이 ATM기, 모바일앱, 모바일뱅킹 서비스 등에 바이오인증 기술을 도입하고 있고, 카드사 및 전자상거래 업체들은 간편결제에서 이 기술을 적용하고 있습니다. 지문, 홍채, 정맥 등의 신체적 특징을 이용한 것에서 음성, 걸음걸이 등 행동적 특징을 이용한 것으로 변화하고 있는데, 이는 제3자의 악의적인 탈취 자체를 더욱 어렵게 하여 인증의 안전성을 높일 것으로 기대됩니다.

7. 보안 고려 없는 사물인터넷(IoT) – 커져가는 일상의 위험
사물인터넷(IoT)은 ‘Internet of Things’의 약자로, 말 그대로 모든 주변의 사물들이 인터넷으로 연결되었다는 뜻입니다. 이전에는 컴퓨터를 켜야만, 또는 휴대전화에 와이파이나 데이터를 연결해야만 인터넷을 사용할 수 있었지만, IoT 환경에서는 우리 실생활 속에 있는 냉장고, TV, 전화기 등의 모든 가전제품이 인터넷을 통해 쌍방향 통신이 가능하게 될 것입니다.
아직은 산업환경에서 많이 구현되고 있지만 앞으로 우리 실생활 속에 적용되면, 냉장고가 식품의 유통기한을 자동으로 알려주고 TV 드라마에 나오는 물건을 실시간 구매할 수 있게 되는 등 생활의 편리함은 극도로 커지겠지요. 하지만, 만약 이 네트워크가 바이러스에 감염되고 해킹된다면 어떻게 될까요?
IoT 해킹은 먼 미래의 일이 아닙니다. 2016년 10월, 미국에서는 악성코드에 감염된 50만개 이상의 IoT(DVR) 기기들을 통한 대규모 DDoS 공격으로 아마존, 트위터, 넷플릭스 등 대형 사이트 1,200여개 사이트가 마비된 사건이 일어났었습니다. 컴퓨터나 휴대전화에 비해 개체수가 어마어마한 IoT에 대한 보안은 아무리 강조해도 지나치지 않을 것입니다.

8. 활성화되는 커넥티드 카의 안전띠 – 사이버보안
자율주행차에 대해서는 많이들 들어보셨을 것입니다. 커넥티드 카(Connected Car)란 이보다는 더 폭넓은 개념으로, 말 그대로 자동차와 IT의 융합을 통해 인터넷에 접속할 수 있는 자동차를 말합니다. 우리에게 익숙한 말로 ‘스마트 카’라고도 부릅니다.
커넥티드 카에 탑승하면, 차안에서 운전하면서 컴퓨터나 휴대전화 등 별도의 단말을 이용하지 않고도 교통 통신기반 시설 연결로 위험경고 및 원격차량 제어 멀티미디어 등을 제공받을 수 있게 됩니다. 향후 커넥티드 카는 자율주행이나 자동충전은 물론이고 운전자의 건강상태나 혈중 알코올 농도에 따라 운전가능 여부도 점검할 수 있을 것입니다. 그야말로 획기적인 생활의 변혁이 예상됩니다.
하지만 외부 네트워크와 연결된 커넥티드 카가 사이버 침해를 당할 경우, 인명사고까지도 날 수 있기 때문에 전자제어장치(ECU)는 물론, 작은 센서까지도 꼼꼼하고도 철저한 보안이 요구됩니다.

9. 잊힐 권리 보장 – 강화되는 개인정보 자기결정권
천리안, 하이텔, 유니텔 등 PC통신을 통해 온라인 공간에 디지털화된 방식으로 글, 사진, 동영상 등을 올려 자신을 표현하기 시작했을 때, 사람들은 공간과 시간을 뛰어넘는 소통방식에 매우 열광하였습니다. 인터넷이 일상생활이 된 지금은 온라인이 이미 오프라인을 뛰어넘는 통신수단이 되었고요.
그러나 이러한 소통방식에 문제가 발생했습니다. 즉, 온라인 공간에 한번 올린 글, 사진, 동영상은 복제와 이동이 손쉬워 거둬들이기가 곤란하다는 점입니다. 사람들은 이제 온라인 상에서 ‘잊힐 권리(The Right to be forgotten)’를 찾기 시작했습니다.
유럽을 중심으로 이러한 ‘잊힐 권리’에 대한 제도적 보호조치를 강구하고 있고, 우리나라 역시 2016년 ‘인터넷 자기게시물 접근배제 요청권 가이드라인’을 마련하여 시행 중입니다. 가이드라인을 시작으로 표현의 자유, 알 권리 등 상충 가능한 권리들과의 관계 등을 고려하여 사회 각계각층의 의견을 수렴하여 사회적 합의를 유도해나가야 할 것입니다.

10. 개인정보 보호와 활용의 조화 – 4차 산업혁명을 좌우한다
우리나라에 온라인상에서의 개인정보보호 개념이 도입된 2000년을 전후로 개인정보보호와 활용에 대한 논쟁이 시작되었는데, 사회환경 변화에 따라 논쟁은 균형점을 옮겨가며 지속되고 있습니다. 최근에는 빅데이터, 사물인터넷(IoT) 등 새로운 기술과 서비스의 등장으로 4차 산업혁명이 도래하자 개인정보 활용에 대한 사회적 요구가 커지면서 이 논쟁이 다시 표면위로 불거지게 되었습니다.
미국, EU 등 해외 주요국들은 개인정보보호 환경이 변화함에 따라, 개인정보 범위를 재정의하고 개인을 비식별할 수 있는 조치 기준을 관련법에 반영하고 있습니다.
우리나라에서도 2016년 ‘개인정보 비식별 조치 가이드라인’을 마련하여 시행 중이며, 국회에서 비식별 조치 관련 법안이 발의되어 입법이 추진되고 있습니다. 한마디로 개인정보는 철저히 보호하되, 개인을 식별할 수 없는 데이터를 생산하여 이를 산업에 적극 활용하려는 움직임입니다.

개인정보 보호와 활용의 조화를 어느 나라가 성공적으로 잡게 될까요?

4차 산업혁명의 승자는 바로 이것에 따라 가려지게 될 것입니다.

출처 : KISA BLOG 원문다운로드