본문 바로가기

보안 이야기

[보안 이슈] 2014년 보안 이슈 및 2015년 보안 이슈 전망

 

   <출처 : flickr>

 

어느덧 2014년의 해가 지고 있습니다.

 

지난 2014년 한 해 동안 수많은 보안 이슈들이 발생 했었고,
앞으로 다가올 2015년에도 예상되는 보안 이슈들이 전망 되고 있는데요.

 

올해 정보 보안 이슈를 돌아보면,
정말 “다사다난” 했다는 말을 그대로 느끼게 해준 한 해가 아닌가 생각합니다.

 

이번 포스팅에서는 2014년 우리들을 놀라게 했던 보안 이슈들을 돌아보고
2015년 예상되는 보안 이슈는 어떠한 것들이 예상 되는지 알아보겠습니다. 

 

 

 2014년 우리를 놀라게 했던 보안 이슈들..

 

▲ 정보유출 사고 - 개인정보 유출 & 산업기밀 유출

 

올해는 유독 정보유출 사고가 많았습니다.
카드사나 통신사의 고객 정보부터 한국수력원자력 발전소의 원전 도면까지
유출된 정보의 종류도 다양한데요.

 

기업의 입장뿐 아니라 국가적인 차원에서 정보유출 사고는
매우 충격적인 사건임에 틀림 없습니다.

 

 

먼저 2014년 1월 카드사 정보 유출 사고의 경우,
총 1억 4천만 건의 고객 정보가 유출된 사상 초유의 사태였습니다.
협력 업체 직원이 내부정보를 탈취하여 발생한 이번 사건으로
카드사의 부실한 보안 시스템이 여지없이 드러났지요.

 

비슷한 사건으로는 3월 KT 고객 정보 유출이 있습니다.
홈페이지의 취약점을 파고든 해커의 공격으로
2012년에 이어 올 해에도 같은 유형의 해킹 피해가 발생하였고
KT는 연이은 해킹 사고로 기업 이미지에 엄청난 타격을 입게 되었습니다.

 

엄청난 양의 개인정보 유출.
하지만2014년 정보유출 사고는 여기서 끝이 아닌데요.

 

최근에는 1급 국가 시설인 한국수력원자력 발전소의
직원 정보, 프로그램 파일, 제어 프로그램 정보가 유출되었고
해커는 원전 내부정보를 빌미로 지속적인 협박과 사이버 공격을 진행 중에 있어
국민들의 불안감이 더욱 커지고 있습니다.

 

 

올해가 가기 전 한수원 해킹 사건도 조속히 마무리되고
2015년에는 더 이상 이와 같은 정보유출 사고가 발생하지 않기를 바래봅니다.

 

 

▲ 주민번호 수집금지 – 마이핀 My-Pin

 

<출처 : 정책브리핑, 마이핀, 주민번호 대신하는 ‘신원확인번호>

 

2014년 8월 개인정보보호법 개정안이 시행됨에 따라
마이핀(My-Pin)이 새로운 본인확인 수단으로서 등장했습니다.

 

아직 병원 진료, 검사 예약 시에는 주민번호 수집이 가능 하지만
일반적인 경우에는 주민번호수집이 금지되었지요.

 

마이핀은 개인정보가 포함되어 있지 않은 총 13자리의 번호로 이루어져있어
개인 정보를 통한 금융 사기 피해를 방지할 수 있습니다.

 

개인 정보 보호에 효과가 있는 마이핀은 발급 절차도 간단한데요.
가까운 주민센터에 직접 방문하거나
공공 I-PIN센터 홈페이지에서 온라인 상으로도 발급 받을 수 있습니다.
저희 소프트캠프 블로그의 마이핀 관련 포스팅 참고하시고
(http://blog.softcamp.co.kr/26)
2015년이 되기 전 여러분의 개인정보 보호를 위해
한 번 발급받아 보시는 건 어떨까요?^^


 

▲ 2014년 악성코드 동향

 

2014년 기승을 부렸던 악성코드는
드라이브 바이 다운로드 방식의 악성코드 유포 방식이 전체의 73%로
가장 높은 비율을 차지했습니다.

 

드라이브 바이 다운 로드 방식이란,
해커가 보안이 취약한 홈페이지에 악성코드를 심어 놓고
보안 패치가 제대로 되어 있지 않은 홈페이지 방문자의 컴퓨터를 감염시키는 방식인데요.
불특정 다수를 대상으로 한 악성코드 유포 방식으로
주로 웹사이트 방문자의 금융 정보를 탈취하기 위해 사용 되었습니다.

 

이 외에도 악성코드를 감염시킬 때 쓰는 도구인 익스플로잇 킷(Exploit Kit)
자바, 플래쉬, IE 등의 취약점을 이용하는 CKVIP가 국내에서 가장 활발히 유포 되었으며
해외에서는 악성 코드를 대상의 컴퓨터에 설치하는 것이 아닌 직접 주입하여
흔적을 남기지 않는 앵글러 익스플로잇 킷(Angler exploit kit)이 기승을 부렸습니다.

 

이러한 악성코드 유포 툴은 지속적으로 업데이트 되어
웹사이트 방문자를 감염시키고 있는 반면,
관련 웹사이트는 이에 대한 충분한 보안 대책을 마련하고 있지 않습니다.
따라서, 지금부터라도 악성코드에 대비한 보안 대책을 마련해 놓지 않는다면
갈수록 다양화 되는 악성 코드 공격에 속수무책으로 당할 수 밖에 없을 것입니다. 

 


▲ 하트블리드(Heartbleed)

 

 

정보 보안 관련 기사에서 하트블리드를 접하신 분은
피 흘리는 심장 이라는 이름의 이 버그가 과연 어떤 것일지 궁금하셨을 텐데요.

 

하트블리드는 Open SSL에서 사용하는 통신 신호인 하트비트(Heart Beat)에서 비롯되었습니다.
사용자와 서버 간의 하트비트(Heart Beat)가 제대로 이루어지지 않게 되는
심각한 해킹 피해를 초래할 수도 있다고 하여 하트블리드(Heartbleed)라고 표현하였지요.
이처럼 엄청난 피해를 야기할 수 있는 하트블리드 취약점이 발견된 지 몇 달이 흐른 지금도 30만대 이상의 서버가 여전히 보안 패치가 미설치 되어있는 상태라고 합니다.
취약점을 통해 SSL서버 비밀 키, 세션 키, 쿠키, 개인정보 등이 빠져나갈 우려가 있어
아직도 하트블리드로 인한 잠재적 보안 위협이 남아 있습니다.


 

▲ 윈도우 XP 서비스 중단

 

올해 초 마이크로소프트사의 윈도우 XP 서비스 지원이 종료되었습니다.
때문에 XP사용자는 더 이상 보안 관련 패치를 제공 받지 못하게 되었는데요.
이를 이용한 취약점 공격이 활발히 진행되고 있습니다.

 

먼저 웹사이트를 통해 유포되는 악성코드들은 그 종류도 다양하고
마이크로소프트사의 모든 패치가 적용된 상태라고 하더라도
윈도우XP는 단순 웹서핑만으로 악성코드에 감염될 확률이 매우 높습니다.
악성코드에 감염된 PC들이 좀비 PC로 악용되는 2차적 피해가 발생할 가능성도 있지요.
따라서 해커 집단의 좀비PC를 이용한 DDos공격을 방지하기 위해서는
정부 차원의 지원과 XP사용자 대상의 보안 솔루션이 필요합니다.

 

또한, ATM기기나 POS 단말기, 티켓 발권기 등 XP를 이용하는 기기들은
OS 업그레이드 과정에서 하드웨어도 같이 교체해야 하기 때문에
시간과 비용이 투자 되어야 합니다.

 

ATM 기기의 OS를 교체 하지 않을 시에는
해커에 의한 ATM기기 직접 해킹 등의 상당한 보안 위협이 있습니다.
따라서 금융 관련 기기들의 OS를 빠른 시일 내에 업그레이드 하여
해커들의 공격에 대비하는 것도 시급한 문제입니다.

 

 


 2015년 예상되는 보안 이슈들..

 

 

▲ 은행 등 금융을 대상으로 한 사이버 공격 확산

 

 

전문가들은 기존 은행 서비스 이용 고객을 대상으로 이루어지던 해킹 공격이 ATM 기계나
은행의 네트워크를 직접 노리는 방식으로 변화 될 것으로 예상하고 있습니다.

 

보안업체 조사에 따르면 해커들은 직접적으로 금전을 탈취하기 위해
은행 직원의 컴퓨터를 공격하여 금전을 탈취하거나
현재 서비스 지원이 끝난 윈도우XP의 보안 취약점을 이용하여
ATM 기기에 원격으로 명령을 실행하는 등 직접적인 은행 및 금융권 해킹이
심화될 전망입니다.

이뿐만 아니라 점차 확산되고 있는 애플페이 등의 NFC를 이용한 결제 시스템도
이용자가 점차 늘고 있어 해커의 타깃이 될 가능성이 높아지고 있습니다.

 

 

▲ 사물인터넷 보안 위협 증가

 

 

 

 

2014년 IT업계의 핫 이슈였던 사물인터넷.
해가 갈수록 사물인터넷이 접목된 기기들은 늘어나고 있고
그에 따라 보안 위협도 증가할 것으로 예상 됩니다.

 

특히, 내년에는 스마트 홈 자동화에서 사용되는 CCTV나 전등 및 실내 온도조절장치 같은
별도의 설정이 필요 없는 플러그 앤 플레이 형태의 기기들이
주 공격 대상이 될 것이라고 하는 데요.

 

실제로 최근에 해커가 IP 카메라를 해킹해서
집안 내부 영상을 웹사이트에 게시한 사건도 있었습니다.

 

스마트홈 서비스의 이용자 수가 많아질수록
이와 같은 사생활 침해 사례가 발생할 가능성이 높아지는 것이지요.

 

사물인터넷 시대로 완전히 접어들기 전에
사생활 침해와 개인정보유출 방지를 위한 대안 마련이 필요합니다.

 


▲ 모바일 기기 보안 위협 증가

 

스마트폰 사용률이 지속적으로 증가하고 있는 만큼
모바일 기기를 타켓으로 한 해킹이 증가하는 것은 당연한 일이겠죠??

 

기존의 모바일 기기 해킹은 단순 악성 앱 설치를 통한 방법이 주를 이루었다면
2015년에는 모바일 기기를 이용하여 해킹을 시도하거나 금융 결제에 필요한
NFC를 해킹하는 등 스마트폰의 중요 정보 보관 및 전송에 있어서의 보안 위협이
증가할 것으로 예상 됩니다.

 

또한, 모바일 앱의 보안 취약점을 이용한
불특정 다수의 개인정보 유출도 심화될 것으로 보입니다.

 

최근 북한에서 게임 앱에 악성코드를 심어
우리나라 스마트폰 2만여 대를 해킹한 경우가 있었습니다.

 

이러한 대량의 해킹 사태를 방지하기 위해
앱 개발 과정에서 보안 시스템을 적용하고 관리하는 것이 중요 하겠지요.

 

우리가 24시간 이용하는 스마트폰은 점차 그 활용도도 높아지고
삶에 밀접한 연관이 있는 도구가 되어 가고 있습니다.
그만큼 보안에 신경을 쓰지 않는다면 우리의 삶을 옥죄는 도구가 될 수도 있을 것입니다.

 


▲ 클라우드 보안 위협 증가

 

 

 

 

2015년 예상되는 보안 이슈로 클라우드 보안도 빠질 수 없지요.
요즘 개인은 물론 기업에서도 클라우드 서비스를 이용하고 있는데요.
원활한 자료의 공유와 업무 능률 향상에 도움을 주는 클라우드 서비스.
2015년 에도 그 사용자 수가 더욱 늘어날 전망입니다.
그에 따른 보안 대책 마련도 꼭 필요합니다.

 

개인은 올 해 발생했던 아이클라우드(iCloud) 해킹과 같은 피해를 방지하기 위해
개인의 계정 관리가 가장 중요할 것이며,
기업은 중요 자료를 보관하고 공유하는 서버 해킹에 대한 보안 대책이 필요할 것입니다.

 

여기에 클라우드 서비스 이용 기업을 대상으로 한 랜섬웨어(Ransom ware)까지, 
편리성과 업무 능률 향상의 두 마리 토끼를 잡기 위해서는 보안 위협을 해소하기 위한
기업과 개인의 보안 의식 제고와 그에 대한 대책 마련도 중요 합니다.

 

 

 점차 증가하는 보안 위협, 미리 예측하고 대비해야..

 

올 한 해 있었던 보안 이슈들을 돌이켜 보면서..
한 해 동안 참 많은 보안 이슈들이 있었구나 하는 생각이 듭니다.

 

내년에도 올 해 있었던 카드사 개인정보 유출처럼 예상치 못한
막대한 보안 위협이 발생할 수도 있는 만큼,
철저한 보안 예측과 대비를 해 놔야 할 것입니다.

 

어느 것도 예측할 수 없는 지금,
우리가 할 수 있는 일은 기술 발달에 따른 삶의 편의에만 치중하지 말고
보안 의식 제고와 더불어 지속적으로 발생하는
보안 이슈에 관심을 가지고 대비하는 것이 중요하다고 생각합니다.

 

내년에도 저희 소프트캠프는 정보유출방지를 위한 보안 솔루션 개발과
시시각각 발생하는 보안 이슈 전달에 최선을 다하겠습니다.