[디지털투데이 석대건 기자] 365일 해킹은 발생하고 365일 보안은 지속된다. 

여전히 정부 및 공공기관을 사칭한 이메일 공격이 기승을 부리고, 랜섬웨어는 끝도 없이 만들어지고 있다. 2019년 1분기에만 총 34만여 개의 신규 랜섬웨어 샘플이 수집됐다고 안랩은 밝히기도 했다. 이는 전년 동기 대비 48% 가량 증가한 수치다.

공격과 방어의 와중에도 이슈는 계속됐다. 상반기 보안 업계를 달군 주요 이슈를 돌아본다.

취약점, 준비하지 않으면 당한다

MS는 2020년 1월 14일을 기점으로, 윈도 7의 기술 지원을 종료할 예정이다. 이후에는 신규 취약점이나 오류가 발견되더라도 보안 업데이트가 이뤄지지 않기 때문에 해커의 공격에 무방비로 노출된다. 

국내에는 윈도 7 운영체제 사용자가 약 30%로, 높은 점유율을 차지하고 있다. 이에 MS를 비롯해 KISA는 최신 운영체제로 교체를 권고하고 전하고 있지만 전환 속도는 더디다.

어도비 플래시도 2020년에 기술 지원 종료를 앞두고 있다. 이미 보안업계에서는 플래시의 취약점을 노리는 제로데이 공격(Zero-Day Attack)이 위험성이 수차례 지적됐다. 어도비 플래시는 플러그인 방식으로 설치돼 취약점 패치를 하지 않은 사용자 PC는 해커들의 좋은 공격 통로였다. 플래시의 취약점은 곧 사용자의 취약점이었다. 

물론 구글 크롬 브라우저를 비롯해 사파리, 파이어폭스 등 자체적으로 플래시 동작을 막고 있고, MS도 새롭게 출시되는 브라우저에서는 플래시 기능을 제거할 예정이지만 쉽지 않다. 여전히 많은 홈페이지에서 부가 기능 지원을 위해 플래시 설치를 요구하고 있다. 현재 KISA는 별도 설치 없이도 서비스 가능한 웹 표준 HTML5 전환을 지원 중이다. 

대세는 클라우드, 보안 솔루션도 함께

클라우드 열풍은 보안업계에서 불었다. SK인포섹, 안랩, 펜타시큐리티 등 전문 보안기업을 비롯해 메가존, 베스핀글로벌 등 MSP 기업도 클라우드 보안 솔루션을 내놨다.

안랩은 클라우드 보안의 ‘퍼스트 무버(First mover)’라며, 클라우드 보안 컨설팅 및 보안관제 서비스를 내세웠다. 시큐아이도 클라우드 전용 통합보안 서비스인 ‘클라우드맥스’를 선보였다. 게다가 SK인포섹은 클라우드 보안 관제 플랫폼 ‘시큐디움’의 관제 범위에 ‘안전’ 영역까지 더해 스마트팩토리 등 디지털트랜스포메이션을 원하는 기업까지 공략 중이다. 

MSP 기업도 클라우드 보안에 뛰어들어 시장은 더 치열해졌다. 베스핀글로벌은 지난 3월 클라우드 보안 관제 서비스인 ‘가드듀티(GuardDuty) 보안 관제 서비스’를 출시했다.

이에 질세라, 메가존은 시만텍과의 협력을 통해 클라우드 보안 플랫폼 공동 연구 협약을 체결했다. 시만텍은 중개 형태로 통합 보안 서비스를 제공하는 클라우드 접근보안중계(CASB) 시장을 이끌고 있다.

시작된 'CISO 모시기', 기업 정보 보호 의식 높아질까? 

제도적 측면에서는 무엇보다 CISO(최고정보보호 책임자) 제도가 본격적으로 시작됐다. 과학기술정보통신부는 지난 6월 13일부터 CISO 겸직 제한 및 자격 요건을 담은 개정된 정보통신망법 개정안이 시작된다고 밝혔다. 

과기정통부는 기업 내 정보 보호 제도와 책임을 강화하기 위해 CISO를 자격 요건을 강화하고 겸직을 제한했다. 개정안에 따라 자산총액 5조 원 이상 또는 정보보호 관리체계 인증 의무대상자 중 자산총액 5천억 원 이상 기업은 정보보호 관련 학력, 경력 등을 갖춘 CISO을 임명해야 한다. 

물론 일련의 기업군에서 CISO 영입 및 임명, 조직 운영 부담 등의 이유로 즉각적인 시행이 어렵다는 의견을 받아들여 올 연말까지 계도기간이 주어지기도 했다. CISO는 하반기 기업들의 챙겨야 할 필수 보안 이슈다.