4차산업혁명이라 불리는 거대한 변화의 바람이 불고 있다. 4차산업혁명이란 기존의 산업에 차세대 정보통신(ICT) 기술을 융합함으로써 디지털, 바이오, 오프라인 사이의 경계를 허무는 기술혁명을 의미한다. 이러한 개념이 2016년 1월 스위스 다보스에서 열린 ‘세계경제포럼’에서 처음 제시된 이래, 많은 정부 기관과 기업들은 미래 신성장 동력으로 ‘제 4차 산업혁명’을 꼽고 관련 기술을 선점하기 위해 박차를 가하고 있다.
전 세계적으로 4차산업혁명이 핫이슈로 떠오른 이유는 무엇일까? 기존 기술들과 사물인터넷, 클라우드, 빅데이터, 모바일, 인공지능으로 대변되는 차세대 ICT 기술을 융합하여 활용함으로써, 인간의 삶의 질과 노동 생산성을 비약적으로 향상시킬 수 있을 것으로 전망되고 있기 때문이다. 인터넷에 연결된 수 많은 IoT 기기에서 수집한 정보를 클라우드에 모으고, AI 기반의 빅데이터 분석을 실시간으로 수행함으로써, 개개인에 최적화된 서비스를 제공하고 합리적인 의사결정을 내릴 수 있게 된다는 얘기다.
하지만 한편에서는 새로운 기술 혁명을 받아들이는 동시에 보안성 확보에도 힘을 기울여야 한다는 목소리도 높아지고 있다. 많은 보안 기업들은 제 4차 산업혁명의 원동력으로 지목되는 ICT 기술에 보안성이 뒷받침되지 않는다면, 지금과는 비교도 할 수 없는 치명적인 사이버 보안 위협이 발생할 수 있다고 주장하고 있다. 한국인터넷진흥원 역시 작년 말 ‘2017년 정보보호 10대 이슈’를 발표하며, 보안이 제 4차 산업혁명의 플랫폼으로 자리잡을 수 있게 노력을 기울여야 한다고 강조한 바 있다.
4차산업혁명 시대의 보안 위협
4차산업혁명 시대의 보안 위협은 어떠한 형태로 발생할 수 있을까? 우선적으로, 우리 삶에 파고든 사물인터넷(IoT) 기기를 노린 사이버 공격이 빠르게 확산될 것으로 예상되고 있다. IoT 기기는 경량, 운영체제(OS), 인증 방식 등에서 다양한 차이가 있고 기기 간 접점이 무한대로 확장될 수 있는 까닭에 공격 경로로 악용될 가능성이 높다. 작년 12월 미 동부 지역에서 발생한 대규모 인터넷 마비 사태는 보안이 취약한 IoT 기기를 활용한 사이버 공격의 파급력을 여실히 증명한 대표적인 예이다.
빅데이터를 노리는 보안 위협도 몇 년 사이 지속적으로 부각되고 있다. 오늘날 많은 기업들은 개개인에 최적화 된 서비스를 제공하고자 방대한 빅데이터를 분석하고 있는데, 이 과정에서 개인을 식별할 수 있는 개인정보와 금융정보가 적지 않게 수집되고 있다. 따라서, 철저한 보안관리가 이뤄지지 않는다면 정보 유출로 인해 금전적 피해가 발생하고 개인의 프라이버시가 침해되는 2차 피해가 발생할 가능성이 높다. 유출된 정보를 불법 대출 등에 사용하거나 정보를 유출하겠다며 협박을 하는 식이다.
클라우드 도입 확산이 가속화됨에 따라, 클라우드 보안 위협 역시 증가하고 있다. 크라우드리서치파트너스를 비롯한 여러 조사기관들의 설문에 따르면, 많은 기업들이 효율성과 편의성을 높이기 위해 고객·임직원 데이터, 금융 정보, 지적 자산 등 상당한 양의 중요 정보를 클라우드에 보관하고 있으면서도, 클라우드 인프라와 저장된 데이터에 대한 정기적인 모니터링은 소홀한 것으로 드러나 정보 유출의 위험성이 높은 것으로 나타났다. 유명인의 사진이 유출된 애플 아이클라우드 해킹 사례가 대표적이다.
또한 모바일 기기에 중요한 정보를 저장하고 모바일 환경에서 IoT, 빅데이터, 클라우드 서비스를 제공받는 사용자가 점점 늘어나고 있는 만큼, 모바일 기기와 이에 연결된 정보, 사용자, 기기를 노리는 보안 위협 역시 지속적으로 증가하고 있는 추세다. 악성 앱을 다운로드 받게 유인한 뒤, 사용자가 입력하는 금융 정보를 모두 가로채 불법 결제 및 이체를 시도하거나, 최상위 권한을 빼앗아 민감한 금융·개인 정보를 탈취하고 이를 다크웹에 올려 판매하는 등 그 피해가 더욱 확대될 수 있다.
마지막으로 4차산업혁명 시대 도래에 따라, 보안 위협의 경계가 모호해지고 있다는 사실에 반드시 주목할 필요가 있다. 차세대 ICT 기술들은 하나 하나 떼어놓고 보기 어려울 정도로 유기적으로 연관되어 있고 전통적인 산업 구조 및 개개인의 삶에도 적지 않은 영향을 미치고 있다. 이는 즉 IoT 기기를 이용해 DDoS 공격을 감행하는 등 이전에는 상상할 수 없었던 복합적인 사이버 공격이 발생하고, 기밀 정보 유출에서 사회기반시설 파괴, 사람의 생명 위협까지 보안 위협이 확장될 수 있음을 의미한다.
4차산업혁명 시대의 보안 요구사항은?
이러한 보안 위협에 맞서 4차산업혁명의 혜택을 보다 안전하게 누리기 위해서는 어떠한 노력이 요구될까.
많은 전문가들은 데이터 중심의 보안에서 한 단계 나아가 사회기반시설에 대한 안전, 사람의 생명까지 고려하는 보안체계를 구축해야 한다고 강조하고 있다. 다시 말해 보안에 대한 관점을 새롭게 전환해야 한다.
지금까지 사이버 공격이 PC, 네트워크, 데이터센터 위주로 발생했던 것과 달리, 여러 산업들과 개체들이 서로 유기적으로 융합되는 제 4차 산업혁명 시대에는 TV, 냉장고, 제조설비, 자동차, 난방기기 등 우리가 생각하지 못했던 다양한 요소들이 공격의 대상이 될 수 있기 때문이다.
더불어 이미 빠르게 대중화되고 있는 IoT 기기 및 서비스의 보안성을 높일 필요가 있다. 다양한 특성을 가진 기기들이 상호 연결되는 만큼 공격자가 뚫고 들어올 수 있는 취약점이 많을뿐더러, 공격 성공 시에는 사용자의 프라이버시가 침해되거나 심지어 생명을 위협받는 상황이 발생할 수도 있는 까닭이다. 이에, IoT 기기/서비스 제공업체들은 기획·설계 단계부터 기술적인 취약점을 점검하여 보완하고, 지속적으로 보안 패치 및 업데이트를 진행하며, 사용자에게 안전한 보안 설정 방안을 제시하는 등 IoT를 노린 보안 위협에 대처할 수 있는 보안책을 하루바삐 마련해야 할 것으로 보인다.
기존 패턴을 벗어나는 새로운 유형의 보안 위협을 보다 정확하게 탐지할 수 있도록, 다양한 신 기술들을 적극적으로 활용하며 방어의 효율성을 높여야 할 것이다. 이글루시큐리티를 비롯한 여러 보안 기업들은 방대한 위협 정보를 빠르게 수집, 분석하고 비정상적 행동과 이상 행위를 탐지·경고하는 대응 측면에서 특히 AI 기술이 큰 효과를 발휘할 것으로 예측하고 있다. 머신러닝 알고리즘이 인간을 대신해 방대한 보안 데이터를 쉬지 않고 스스로 자동 분석하게 함으로써, 공격 탐지와 대응 시간을 비약적으로 단축시킬 수 있게 된다는 설명이다.
사이버 보안 없는 4차산업혁명은 기회가 아닌 위기
4차산업혁명 시대 도래에 따라, 우리의 삶은 놀라울 정도로 편리해지고 기업들은 새로운 성장 기회를 얻게 될 것이다. 그러나, 이러한 시대 변화에 걸맞은 지능화된 보안 방법론이 마련되지 않는다면, 제 4차 산업혁명은 기회가 아닌 위기가 될 수 있다. 인간보다 빠르게 보안 취약점을 찾아내는 AI 해커, 좀비화된 IoT 기기, 기존의 RSA 암호체계를 무력화시킬 수 있는 양자 컴퓨터에 의해 얼마든지 사이버 공격이 들어올 수 있기 때문이다.
그리고, 이러한 지능화된 사이버 공격을 효과적으로 막아내지 못한 기업들은 제 4차 산업혁명 시대의 패자가 될 수 있다. 산업의 경계를 넘어 다양한 기술이 유기적으로 결합되고 현실과 가상 세계의 경계가 급격히 흐려지고 있는 지금, 기업들은 그러한 변화에 발맞춰 보안에 대한 관점을 새롭게 전환하고 보다 진화된 사이버 보안 방법론을 마련할 필요가 있다. 4차산업혁명의 핵심 열쇠가 될 사이버 보안에 대한 관심이 반드시 요구되는 이유다.