최근 한 연구원이 심박 조율기에 무선으로 830볼트의 충격을 가할 수 있는 방법을 제시해 디지털 공격이 실생활에 영향을 미칠 수 있음을 보여줬다. 오늘날 자동차, 전화기, 의학 장비에까지 컴퓨팅 디바이스가 내장되고 있다. 하지만 시스템 개발 시 보안을 우선적으로 고려하지 않는다. 범죄자나 핵티비스트, 국가에서 특정 목표를 향한 사이버 공격을 실행하고 있으며, 이는 물리 시설 파괴로까지 이어져 사람들의 일상생활이 실제로 위험해 질 가능성이 있다.



워치가드는 2013년 8가지 보안 전망(WatchGuard’s 2013 security predictions)을 발표하고 이와 같은 내용을 중점적으로 경고했다. 워치가드의 보안 연구 분석에 따르면, 2013년 사이버 위협은 더욱 심화될 것이며 정부가 법 제정 등을 통해 보안 위험에 강력히 맞설 것으로 예측했다. 또한 보안 업계는 2013년 ‘반격 보안’ 방법에 초점을 맞출 것으로 전망되지만, 이런 움직임이 큰 효력을 얻지 못해 궁극적으로 실행하지 못할 것으로 내다봤다.

멀웨어, 가상화로 진입
지난해 가상 머신(Virtual Machine; VM)에서 멀웨어가 직접적으로 감염될 수 있다는 사실이 밝혀졌다. 또한 가상 머신과 가상 시스템에서 동작하는 악성 코드가 속출하면서 가상환경 보안이 시급한 해결과제로 떠올랐다. 워치가드는 2013년 공격자가 가상화된 자동 위협 탐지 시스템을 피하면서 더 많은 VM 타깃 멀웨어를 생성해 여러 가상 환경에 존재하는 취약점을 악용할 것으로 예측했다.

브라우저 감염도 증가
2013년은 브라우저를 감염시키는 멀웨어가 빠른 속도로 증가할 것으로 예상된다. 온라인 뱅킹 등 클라우드 서비스 도입이 활발해지면서 웹 브라우저에 존재하는 개인 정보 및 민감한 데이터의 양도 증가하고 있다. 많은 안티-바이러스 솔루션은 운영 시스템(OS)을 감염시키는 기존 멀웨어를 잡아내는 데 집중돼 있어 브라우저 기반 감염의 효과적인 탐지에 취약하다. MitB(Man-in-the-Browser)나 브라우저 좀비로 불리는 새로운 형태의 멀웨어는 악성 브라우저 확장자, 플러그인, 도우미 객체, 자바스크립트의 일부로 나타나며, 전체 시스템을 감염시키기보다는 브라우저에 대한 완전한 통제권을 갖고 피해자가 웹을 이용하는 동안 언제든 작동할 수 있다.

반격 보안, 효과 미비
2013년 보안 업계는 사이버 해커에 능동적으로 대응하는 ‘반격 보안’ 기술을 주목하고 있다. 하지만 워치가드는 해당 기술이 다양한 국가에서 발생하는 디지털 공격의 관할적 문제를 야기하며, 범죄자는 멀웨어에 ‘위장된 플래그(false flag)’를 심어 피해자와 관리자가 공격 배후에 누군가 있는 것으로 착각하도록 만들 수 있어 많은 조직이 이를 실제로 도입하지 않을 것이라고 전망했다.

IPv6, 전문성 부족
IPv6 기반 공격 및 IPv6 공격 툴이 성행할 것으로 보인다. IT 업계가 IPv6를 네트워크에 도입하는 속도가 더디기는 하지만, 대부분의 새로운 디바이스는 IPv6를 인지하며 자체적으로 IPv6 네트워크를 생성할 수 있다.
네트워크에 IPv6 트래픽과 디바이스가 존재함에도 많은 IT 전문가들이 IPv6에 대한 세부적인 기술 내용을 숙지하지 못하고 있다. 이는 대부분의 관리자가 IPv6 보안 제어책을 아직 마련하지 않았으며, 공격자가 보호되지 않은 약점을 공략하도록 문을 활짝 열어둔 셈이다.

모바일 지갑을 노리는 안드로이드 소매치기
모바일 멀웨어의 급증과 안드로이드 플랫폼의 개방성, 모바일 결제 증가로 안드로이드 디바이스는 다른 디바이스에 비해 공격의 목표가 되기 쉽다. 특히, 구글 등 여러 기업이 신용카드를 모바일 디바이스에 장착하는 모바일 지갑(Mobile Wallets)을 출시해 공격자들이 안드로이드 디바이스로부터 금전을 탈취해갈 수 있다고 예측했다.

취약성 시장의 부당 거래가 차세대 APT로 등장
단 하나의 제로 데이 익스플로이트(Zero day exploit) 판매도 2013년에는 규모 있는 타깃 공격으로 발전할 수 있다. 취약성 시장이나 경매는 정보 보안 분야에서 새로운 트렌드로, 가장 높은 가격을 제시한 사람에게 ‘보안’ 기업이 제로 데이 소프트웨어 취약성을 판매하도록 하는 방식이다. 판매 조직은 오직 북대서양조약기구(NATO) 정부와 합법적인 기업에게만 취약성을 판매하고 있다고 주장하며 고객을 고소하기도 하지만, 이를 통해 이익을 얻으려는 부당 조직을 막을 수 있는 보호 장치가 부족한 것은 사실이다.

중요한 사이버 보안 관련 법 마련으로 규제 강화
2013년 미 정부가 개인사업자를 규제하는 새로운 사이버 보안법을 한 개 이상 통과시킬 것으로 예상된다.
미 정부는 그 동안 대통령 및 다양한 정부 기관이 미 인프라에서 벌어지는 사이버 공격을 통제하도록 허용하는 사이버 보안 법안을 추진해왔으며, 개별 인프라 조직과 미 정보부가 보다 많은 협력 관계를 이루도록 노력해왔다. 업계는 정부가 상세한 사이버 범죄 법안을 통해 디지털 범죄를 처벌할 수 있는 환경을 마련하기 바라고 있으며, 일부 조직은 더욱 강력한 디지털 IP 시행을 요구하고 있어 개인 정보보호 옹호자들과 의견 대립을 일으키기도 한다. 워치가드는 새로운 사이버 법안을 시행하는데 어려움이 존재했던 2012년과 달리 2013년에는 구체적인 결과가 있을 것으로 예상하고 있다.
워치가드의 스콧 로버트슨(Scott Robertson) 아태지역 부사장은 “지난해는 새롭고 고도화된 취약성이 떠올라 개인, 비즈니스 및 정부에 영향을 끼치는 등 사이버 위협에 놀라운 사건이 많았다”며 “올해는 보안 공격이 더욱 빈번해져 준비를 갖추지 않은 조직이 큰 피해를 경험할 것”이라고 경고했다.