2024-03-19 18:45 (화)
2018년 주요 보안 키워드 5
상태바
2018년 주요 보안 키워드 5
  • 길민권 기자
  • 승인 2018.12.10 14:29
이 기사를 공유합니다

양자컴퓨터, IoT, 블록체인과 암호화폐 등 최신 IT 분야와 연관된 보안 위협 증가

aaaa-5.jpg
보안기업 노르마(대표 정현철)는 R&D팀의 데이터 분석, 고객 문의와 제보, 국제 연구진의 발표 및 미디어 보도를 종합해 ‘2018 보안 키워드 5’을 선정해 발표했다.

올해는 무선 네트워크 및 IoT, 클라우드 시장이 급성장했으며 양자컴퓨터 개발도 활발히 진행됐다. 또한 블록체인과 암호화폐라는 혁신적인 기술이 대중화되며 관련 보안 위협이 커졌다. 노르마는 이에 대한 대안으로 CCTV 보안 어플리케이션 ‘CCTV Care’, 거래소를 위한 암호화폐 보안 모듈, 보안성이 강화된 모바일 전용 전자지갑 등을 출시하기도 했다.

노르마 정현철 대표는 “보안 전문 기업으로서 각종 해킹 위협을 감지, 내부적으로 제품 개발에 반영하고 일반 사용자들에게는 경각심을 높이기 위해 주요 보안 키워드를 선정해 발표하게 됐다”고 배경을 설명하며 “점차 공격방법이 지능화 자동화 고도화되어 가고 있고 내부자의 관리 소홀도 꾸준히 문제점으로 지적되고 있는 만큼 이에 대응하는 보안 대책의 중요성도 더욱 커지고 있다”고 전했다.

◇노르마가 선정한 ‘2018 보안 키워드 5’

-스펙터와 멜트다운

올 해 마이크로 프로세서 업계의 최고 화제는 현존하는 CPU 대부분에 악영향을 주는 스펙터(Spectre)와 멜트다운(Meltdown) 등의 취약점을 해결하는 것이었다. 두 취약점은 올해 초 구글이 3가지 CPU 취약점 공격 기법 분석 결과를 발표하며 알려졌다. 대다수 인텔, AMD, ARM CPU에서 캐시메모리 데이터를 노출시키는 취약점이다. 인텔 CPU에서만 발견된 1가지 취약점은 '멜트다운', 인텔, AMD, ARM CPU에서 발견된 2가지 취약점은 '스펙터'로 명명됐다. 이후 제 2의 멜트다운이라 불리는 포어셰도우(Foreshadow), TL블리드(TLBleed)도 추가로 발견됐다. 포어셰도우는 6세대 코어 프로세서부터 탑재된 보안 기술인 SGX를 무력화하는 버그다. TLB란 변환 색인 버퍼(Translation Lookaside Buffer)의 준말로, 공격자가 익스플로잇에 성공할 경우 하이퍼쓰레딩이 활성화 된 인텔 CPU의 TLB를 통해 정보를 빼돌릴 수 있게 된다.

관련 업계 및 연구자들은 실행 버그를 확인해 수정하는 한편 궁극적인 해결책에 더 많은 논의가 필요하다는 견해다. 현존 대다수 PC, 서버, 모바일 기기가 영향권에 놓였으며 관련 업체들이 일제히 패치 또는 업데이트를 내놨다. 이와 별도로 하드웨어와 소프트웨어 개발사의 연합을 통해 현재의 마이크로프로세서를 완전히 재설계해야 한다는 주장도 제기됐다.

-양자내성암호(PQC)

올해는 양자컴퓨터를 이용한 공격에 대해 안전한 내성을 갖는 암호기술, 즉 양자내성암호(PQC, Post Q uantum Cryptography) 기술의 필요성이 더욱 강조됐다. 양자컴퓨터 시대가 눈 앞으로 성큼 다가왔기 때문이다. 양자컴퓨터는 양자역학의 원리에 따라 작동하는 미래형 첨단 컴퓨터로 초고속 연산이 가능해 기존 PC에서 100만년 걸리던 연산을 10분 내로 처리할 수 있다.

양자컴퓨팅 시대의 모습이 구체화되면서 새로운 암호화 알고리즘에 대한 요구도 높아지고 있다. 기존 디지털컴퓨터의 암호 기술은 공인인증서 등 여러 분야에 사용하는데, 양자컴퓨터 시대가 도래하면 일상적으로 사용하는 공개키 암호방식이 무력화돼 보안에 구멍이 뚫릴 수 있다. 양자컴퓨터의 초고속 연산 기능을 활용해 암호기술을 해제하고 정보를 탈취하는 일이 가능하다.

올해 인텔은 49 큐비트, 구글에서는 72 큐비트 컴퓨터를 발표했으며 캐나다의 D-웨이브시스템(D-Wave Systems)이라는 업체는 2000 큐비트 성능의 제품 시연에 성공했다. 양자 컴퓨터가 기존의 공개 키 암호화 대부분을 파훼하려면 최소 4000개의 완전한 큐비트 또는 그 몇 배에 달하는 불완전한 큐비트가 필요할 것으로 보는데, 향후 5~10년 사이에는 4000큐비트를 매우 쉽게 확보할 수 있을 전망이다. 올해 5월 IBM 리서치 책임자는 미국 실리콘밸리에서 열린 연례 기술 포럼 처칠 클럽에서 5년 내 양자컴퓨터가 현존하는 암호화 기술을 뚫을 수 있을 것이라고 밝히기도 했다.

따라서 양자저항성을 가지는 암호를 발굴해 표준화하는 것이 무엇보다 중요한 시점이다. 미국 국립표준기술연구소(NIST)는 2012년 PQC 프로젝트를 시작해 현재까지 지속적인 워크샵을 개최하고 있다. 한국인터넷진흥원(KISA)은 서울대, 울산과기대와 긴밀히 협력해 양자내성암호인 ‘리자드(Lizard)’를 개발하여 NIST 프로젝트에 제출, 국내 표준화를 추진하고 있다.

앞으로 양자컴퓨팅 환경에서 안전성을 측정할 수 있는 합의된 방법론, 새로운 양자분석 알고리즘에 대한 발견, 양자저항성을 고려한 계산량, 보안강도 측정, 키사이즈 제안 등 다양한 연구가 지속 되어야할 것으로 예상된다.

-제로 트러스트

올해 주목 받은 클라우드 보안은 내년에도 최대 화두가 될 전망이다. 클라우드는 별도의 물리 서버 없이 가상의 클라우드 인프라를 이용해 서버 환경을 빠르게 구축하는 컴퓨팅 서비스다. 물리 서버에 비해 비용 효율이 높고 관리가 용이 하지만 보안에 대한 명확한 대비도 필요하다.

제로 트러스트(Zero-Trust)는 네트워크 경계가 모호해진 멀티 클라우드 환경에서 모든 네트워크를 의심하고 검증하는 보안 방식을 의미한다. ‘신뢰하되 검증’하는 것이 아니라 ‘모든 것을 검증하고 아무것도 신뢰하지 않는’ 방식이다. 모든 사용자의 접근을 엣지에서 통제해 직접 클라우드나 온프레미스 시스템에 접근하지 못하도록 한다. 엣지에서 사용자와 단말을 인증하고, 단말의 무결성을 확인하며, 위협 인텔리전스를 이용해 공격에 이용당하거나 공격당할 가능성이 있는 상황인지 점검한다.

이를 위해 제로 트러스트는 다중 인증이나 신원 및 접근 관리(IAM, Identity and Access Management), 오케스트레이션, 애널리틱스, 암호화, 스코어링 및 파일 시스템 인가 등의 기술을 사용한다. 각 직원에게도 맡은 업무별로 필요한 최소한의 접속 권한만을 허용하도록 운영 지침을 변경할 것을 권장한다.

-크립토재킹

암호화폐 시장은 2017년 급격히 성장했고 올해는 과열의 시기를 지나 생태계 안정을 위한 냉정한 고민이 이어지고 있다. 그 중에서도 보안은 토큰 이코노미의 성숙을 위한 필수 과제로 꼽힌다. 올해만 해도 암호화폐 거래소 해킹이 여러 차례 발생해 막대한 피해를 입었다. 암호화폐 채굴을 위해 개인 PC의 리소스를 탈취하는 크립토재킹이 흔해져 일반 유저가 일상적으로 경계해야 하는 상황이 됐다.

크립토재킹은 암호화폐(cryptocurrency)와 하이재킹(hijacking)의 합성어다. 암호화폐를 채굴하려면 고성능의 PC로 암호화 과정을 풀어야 하는데 개인이 채굴하는 것은 한계가 있으므로 타인의 PC 리소스와 프로세스파워를 몰래 끌어와 채굴에 동원하는 것이다.

최근에 ‘커피 마이닝’이라는 신조어도 등장했다. 커피 마이닝은 카페와 같은 곳에서 무료 공용 와이파이를 쓰는PC나 스마트폰을 악성 코드로 공격해 백그라운드로 암호화폐를 채굴하는데 악용하는 수법을 말한다.

크립토재킹이나 커피 마이닝을 예방하려면 백신과 운영체제(OS)를 최신 버전으로 업데이트하고 의심스러운 메일이나 파일은 실행하지 않아야 한다. 무료 공용 와이파이 연결 시에는 반드시 해당 업소가 제공하는 것인지 확인이 필요하다.

-쇼단과 인세캠

IoT 산업 발전과 함께 네트워크 업계에도 변화가 일었다. IoT 통신을 위해서는 낮은 지연속도, 적은 전력 소비, 넓은 커버리지 등이 요구된다. 이에 WIFI, BLE, Z-wave, SIGFOX, LoRa, LTE-M, NB IoT 등 다양한 통신 프로토콜들이 사용되고 있다. 이처럼 무선 프로토콜이 다양해지는 한편으로 애초에 보안을 염두하지 않고 설계된 IoT 디바이스도 많아 보안의 중요성이 더욱 커지고 있다.

올해 과학기술정보통신부 국정감사의 화제 중 하나는 IoT 검색엔진 ‘쇼단’이었다. 한 의원이 쇼단에서 웹캠을 검색해 국내 사무실이나 수영장의 모습을 실시간으로 볼 수 있음을 직접 시연하며 위험성을 경고했다.

쇼단(Shodan)은 본래 IoT 기기 취약점 정보 공유를 위한 검색 엔진이지만 해커들이 이를 악용해 '어둠의 구글', '해커들의 놀이터'로 불린다. 쇼단과 유사한 웹캠 해킹사이트로 인세캠이 있으며 인증절차가 별도로 없어 해커의 접근이 더 용이하다.

IoT 보안에 소홀하면 해커가 쇼단이나 인세캠 통해 취약점을 검색하고 사생활을 들여다볼 위험이 있다. 예를 들어 IP 카메라의 아이디와 패스워드를 'admin' '1234' 등 단순한 초기값으로 설정해 놓고 사용한다면 해커의 좋은 먹이감이 된다. 반대로 쇼단에 검색된 IoT 기기라도 보안성을 갖췄다면 개인 정보가 유출될 위험은 크지 않다.

따라서 IoT 해킹을 예방하기 위해서는 구입 시 반드시 초기 아이디와 패스워드를 재설정하고 주기적으로 변경해야 한다. IoT 기기를 외부와 연결하는 네트워크의 계정도 꾸준히 관리해야 한다. 외부에서 인가되지 않는 네트워크에 IoT 기기를 연결하는 것도 신중해야 한다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★