해마다 12월이 되면 한국인터넷진흥원(KISA)는 다음 해에 문제가 될 사이버위협에 대한 전망을 내놓는데, 지난 5일에도 2020년을 위협할 7대 사이버 공격 전망을 발표하였다. KISA가 발표한 7대 사이버 공격 전망은 ① 일상으로 파고든 보안 취약점 ② 공공기관 및 기업으로 확대되는 랜섬웨어 공격 ③ 해킹에 취약한 가상통화 거래소 ④ 문자 및 이메일 안으로 숨어드는 악성코드 ⑤ 진화하는 지능형 표적 공격 ⑥ 모바일 소프트웨어 공급망 공격 ⑦ 융합 서비스 대상 보안 위협이다. 그 의미를 간략히 살펴보자.

① 일상으로 파고든 보안 취약점은 쉽게 말해 CCTV, AI 스피커 등 생활 속 사물인터넷(IoT) 결합 서비스를 대상으로 한 사이버 위협이 증가할 것이라는 의미이다. ②랜섬웨어는 컴퓨터 시스템을 감염시켜 ransom(몸값)을 요구하는 악성소프트웨어인데, 2020년에는 공공기관 및 기업을 대상으로 특정 기관을 사칭해서 더 진화한 APT(Advanced Persistent Threat, 특정 대상을 목표로 다양한 해킹 기술을 이용해 은밀하게 지속적으로 공격하는 행위)를 통해 랜섬웨어를 감염시키는 경향성이 커질 것이라는 전망이다. ③ 2019년 국감에서 지난 3년간의 가상통화 거래소 해킹이 8건이었고 그 피해액이 1635억원이라고 알려졌는데 2020년에도 가상통화 거래소를 상대로 한 해킹이 계속 반복될 것이라는 전망이다. ④ APT가 과거에는 PC를 대상으로 이루어졌다면 이제는 이메일 뿐 아니라 문자 메시지를 통해 스마트폰까지 그 대상이 확대될 것이라는 전망이다. ⑤ APT 공격에 사용되는 스피어 피싱이 날로 정교해져서 기업에서 일반적으로 활용하는 정상 서비스 등을 악용함으로써 보안 솔루션의 탐지를 우회하거나 국내외 웹 서버를 해킹하거나 호스팅 서비스를 받아 이메일 서버를 자체 구축해 발신지를 실제 공식 도메인처럼 조작하는 방식으로 APT가 더 진화할 것이라는 전망이다. ⑥은 ④와 그 의미가 비슷한데, 결국 모바일 앱의 도입이 활발해지면서 소프트웨어 공급망 공격이 모바일까지 확대될 것이라는 의미이다. ⑦은 스마트 시티, 공장, 의료 등 단순한 IoT를 사용한 기기 수준을 넘는 융합 서비스에 대한 보안 위협이 더 증가한다는 의미이다. 

유비무환(有備無患)이라 하였다. 각자 관련 있는 새로운 유형의 위협을 인식하고 그에 맞춰 기본에 충실하게 대응하는 것이 필요하다.

이근우 변호사 (법무법인 화우)