사이버 공격자들이 노리는 것은 기업이나 개인의 민감한 데이터다. 공격 목표는 예나 지금이나 크게 달라지지 않았지만 원하는 목표를 얻기 위한 공격 형태는 IT 환경 변화에 따라 빠르게 진화하고 있다. 이에 따라 보안 트렌드 역시 빠르게 변화하면서 기업들은 보안 환경 구축에 많은 어려움을 호소하고 있다.

특히 최근에는 직접적으로 보안 체계를 뚫기보다 공급망과 사회공학적 공격을 통해 최종 목표에 접근하는 형태의 공격이 성행하면서 기업들이 관리해야 할 보안의 영역이 갈수록 넓어지고 있다. 이러한 사이버 공격 기조는 2024년에도 지속될 것으로 보인다.

 

갈수록 늘어나는 보안 지출

보안 환경 복잡성의 증가는 기업들이 관리해야 하는 범위의 확장으로 이어지고 이는 곧 기업이 지출해야 할 보안 비용이 늘어남을 의미한다. 실제로 가트너가 발표한 자료에 따르면 2023년 글로벌 보안 및 위험 관리(SRM: Security and Risk Management) 지출을 약 1881억 달러(약 245조 원)로 추정했으며 2024년에는 이 보다 14.3% 증가한 약 2150억 달러(약 280조 원)에 이를 것으로 전망했다.

가트너의 자료를 분야별로 살펴보면 클라우드 보안과 개인정보 보안이 24% 이상씩 성장하면서 가장 성장률이 높게 나타났다. 클라우드 보안은 코로나19 팬데믹으로 촉발된 디지털 전환의 가속화로 인해 기업과 공공 기관의 클라우드 도입이 확산되면서 최근 수년 동안 높은 성장세를 이어가고 있다.

개인정보 보안 시장은 2022년에는 9.9%의 성장세를 보였지만 2023년에는 약 두 배인 18.5%, 그리고 2024년에는 24.6%로 갈수록 성장률이 높아질 것으로 내다봤다. 가트너는 2025년까지 전 세계 인구의 75%가 개인정보 보호 규정에 적용을 받는 개인 데이터를 갖게 될 것으로 예측되는만큼 앞으로 어떤 조직이든 개인정보 보호는 최우선적으로 고려해야 할 과제라고 설명했다.

가장 시장 규모가 큰 분야는 컨설팅, 아웃소싱, 하드웨어 구축 등 보안 서비스로 2023년 808억 달러(약 105조 원)에서 2024년 900억 달러(약 117조 원) 규모로 성장할 것으로 전망됐다. 성장률만 보면 11.3%로 클라우드나 개인정보 보안 분야보다 낮지만 시장 규모 자체가 아직은 압도적으로 크기 때문에 여전히 보안 기업들의 주력 시장이 될 것으로 보인다. 가트너의 자료 기준으로 보안 서비스 지출은 전체 SRM 지출의 42%에 이른다.

한 가지 눈여겨볼 만한 것은 코로나19 팬데믹 이후 보안 지출의 증가폭이 더욱 커졌다는 점이다. 이는 디지털 대전환 시기 이후에도 보안 관리가 필요한 분야가 지속적으로 늘어나고 있다는 것을 보여주는 간접적인 지표라고 할 수 있다. 가트너의 또 다른 전망 자료에 따르면 2024년 전체 IT 비용 지출은 전년 대비 8% 증가할 것으로 예측되는데 보안 지출은 이보다 더 빠르게 늘고 있는 것을 알 수 있다.

 

현실로 다가온 AI 보안 위협

많은 SF 창작물에서 AI(인공지능)는 인류의 적으로 그려지곤 한다. 기계와 인간의 처절한 생존 전쟁을 다룬 터미네이터 시리즈에서는 미국이 국방을 위해 개발한 AI 컴퓨터 스카이넷이 반란을 일으켜 인류를 몰살시키는 이야기를 다룬다. 물론 현재의 AI는 아직 이 정도 수준으로 발전하지 못했기 때문에 AI에 의한 핵전쟁이 발생할 확률은 없지만 AI로 인한 위협은 지금도 전문가들 사이에서 진지하게 논의되는 사안이다.

그럼에도 불구하고 현시점에서 AI가 보안에 미치는 영향은 크다고 할 수 있다. 이미 사이버 공격자들은 수년 전부터 AI를 이용해 수많은 변동 악성코드를 생성해 무차별적인 공격을 시도하고 있다. AI를 이용한 공격이 급증하면서 보안 업체들도 AI를 활용한 방어 태세에 나섰다. 사실상 하루에도 수백 번씩 시도되는 사이버 공격을 사람이 모두 확인하고 대응하기는 불가능하기 때문에 AI를 기반으로 한 탐지 및 대응 솔루션이 적극 활용되고 있다.

하지만 2023년 초부터 챗GPT로 촉발된 생성형 AI의 대두는 보안 업계에 또 다른 과제를 안겨주었다. 사용자를 속여 악성 파일을 다운로드하게 만드는 사회공학적 공격 기법에 생성형 AI가 적극적으로 사용되면서 더 정교한 피싱 공격이 가능해진 것이다. 챗GPT 등 생성형 AI의 성능이 갈수록 빠르게 발전하면서 사회공학적 피싱 공격은 2024년에도 많은 사람들을 괴롭힐 것으로 예측되고 있다.

더욱이 최근에는 생성형 AI로 만들어진 가짜 음성이 보이스 피싱에 이용되는 사례도 등장하고 있다. AI로 만들어진 가짜 음성의 경우 실존 인물의 음성을 그대로 흉내내는 것이 가능해서 보이스 피싱에 악용될 경우 진위 여부를 가리는 것이 쉽지 않다고 한다. 수년 전부터 문제가 되었던 딥페이크 역시 화상 통화 등에 악용되면서 사용자들의 주의가 요구되고 있는 상황이다. 만약 문자뿐 아니라 음성이나 화상 통화로 지인으로부터 의심스러운 요구를 받는다면 반드시 지인에게 다시 연락을 해 진위 여부를 확인할 필요가 있다.

이처럼 생성형 AI로 생성된 콘텐츠가 악용되는 사례가 증가하면서 이를 탐지하는 기술 역시 연구되고 있다. 챗GPT로 작성된 논문을 탐지하거나 AI가 그린 이미지를 찾아내는 솔루션들이 속속 등장하고 있는데, 2024년에는 생성형 AI를 악용한 사이버 공격과 이를 탐지하는 AI 솔루션 간의 대결이 본격적으로 전개될 것으로 보인다.

 

피해가 늘고 있는 공급망 공격 이슈

사실 사이버 범죄 유형과 기술이 나날이 고도화되면서 기업이나 공공 기관들을 괴롭히고는 있지만 보안 기술 역시 그에 맞춰 발전하면서 알려진 공격들은 대부분 대처가 가능한 것이 현실이다. 문제는 이렇게 철저한 보안 체계를 구축하기 위해서는 많은 비용이 투입되어야 한다는 데 있다.

일반적으로 대기업이나 자금력이 충분한 중견기업들은 최대한의 보안 체계를 갖추어 놓기 때문에 공격자들이 직접 공략하기에는 쉽지 않은 편이다. 그래서 최근에는 공격자들이 상대적으로 자금력이 부족해 보안 체계 구축에도 한계가 있을 수밖에 없는 중소기업들을 노리는 경우가 늘고 있다.

현대 사회에서 기업이 필요한 모든 솔루션을 직접 개발해 사용하는 경우는 아마도 찾아볼 수 없을 것이다. 보안 솔루션을 구매하듯이 기업 운영이나 제품 생산에 필요한 솔루션이나 도구들은 외부 업체의 것을 구매해 사용하는 것이 일반적이다. 이러한 기업용 제품 중에는 중소기업을 통해 유통되는 제품들이 많은데 이들이 바로 사이버 공격자들의 타깃이 된다.

공급망 공격은 상대적으로 보안이 허술한 중소기업을 1차 목표로 삼고, 이 중소기업을 디딤돌 삼아 최종 목표인 대기업 시스템에 접근 권한을 획득하는 방식으로 공격을 수행한다. 이때 유용하게 이용되는 기법 중 하나가 바로 이메일 등을 통한 사회공학적 공격이다.

앞서 언급한 것처럼 생성형 AI의 등장 이후 사회공학적 공격이 더욱 정교해지면서 외부 협력 업체를 통한 최종 목표 공격은 기업들의 큰 골치거리가 되고 있다. 공급망 공격은 외부와의 협력을 완전히 단절하지 않는 이상 언제든 발생할 수 있으며, 내부자가 아닌 외부 업체를 통해 접근하기 때문에 관리가 쉽지 않다는 어려움도 있다.

기업들은 공급망 공격을 방지하기 위해 아이덴티티 보안과 제로 트러스트 보안 정책의 적용 등을 강화하고 있지만 사람의 작은 실수 하나만으로도 언제든 구멍이 뚫릴 수 있어 위험을 완전히 해소할 수는 없다. 공급망 공격은 현재 매우 유효한 공격 기법인 만큼 2024년에도 이러한 공격 기조는 지속될 것으로 예상된다.

 

여전히 강력한 랜섬웨어 공격

기술의 발전에 따라 많은 사이버 공격 방법이 등장하고 진화하면서 공격자와 수비자의 보이지 않는 싸움은 나날이 고도화되고 있다. 하지만 공격의 수법이 바뀌었어도 공격의 목적은 과거와 크게 달라지지 않았다.

일부 해커들은 자신들의 주장을 전파하기 위해서나 혹은 장난으로 사이버 공격을 시도하기도 하지만 대부분의 사이버 범죄자들은 금전적 이들을 위해 사이버 공격을 감행한다. 그리고 이러한 공격의 최종 목표는 타깃의 민감한 데이터를 확보해 인질로 삼는 것이다. 즉 타깃의 데이터를 암호화하고 이를 풀어주는 대가로 금전을 요구하는 랜섬웨어 공격은 2024년에도 여전히 유효하고 인기 있는 사이버 공격이 될 것이다.

공급망 공격이나 피싱 등 새롭게 등장하고 고도화된 사이버 공격들도 최종적으로는 타깃 시스템에서 민감한 데이터를 탈취하거나 랜섬웨어를 설치하는 것이 목적인 경우가 많다. 최근에는 다크웹 등에서 서비스형 랜섬웨어를 공급하는 조직들이 늘어나면서 사이버 범죄자들이 더욱 쉽게 랜섬웨어 공격을 시도할 수 있게 됐다.

여기에 생성형 AI가 더해지면 공격 성공률도 끌어올릴 수 있다. 사이버 공격을 위한 최적화 기술이 갖춰진 만큼 당분간은 생성형 AI 기반의 사회공학적 공격을 이용한 공급망 공격과 이를 통한 타깃 시스템의 접근 권한 획득 및 데이터 탈취 시도가 매우 빈번하게 발생할 것으로 보인다.

 

철저한 인력 관리와 데이터 백업 필요

대부분의 경우 공격하는 측보다 수비하는 측이 분리하기 마련이다. 공격자는 수많은 공격 시도를 통해 한 번만 성공하면 되지만, 반대로 수비자는 99%를 방어하더라도 한 번의 실수로 모든 것을 잃기 십상이다. 사이버 보안 역시 이와 마찬가지다. 아무리 철저한 대비를 했다고 해도 만약의 경우를 위한 복구 방안도 생각해 둬야 한다.

사이버 보안 전문가들은 보안 사고는 대부분 시스템보다 사람에게서 비롯되므로 우선적으로 인력에 대한 철저한 보안 교육이 지속적으로 이루어져야 한다고 조언한다. 또한 데이터가 유출될 경우 함부로 열어볼 수 없도록 암호화 기술을 적용하거나 혹은 특정 시스템에서만 열람할 수 있는 DRM 등의 기술을 도입해야 한다. 만약 랜섬웨어 등으로 데이터 자체를 사용할 수 없게 될 경우에는 즉각적으로 데이터를 복구할 수 있도록 재해복구 시스템 역시 필수적으로 구축할 필요가 있다.

다만 이러한 보안 시스템을 구축할 경우 비용적인 문제를 고려해야 하기 때문에 여전히 중소기업에서는 어려움이 따를 수밖에 없다. 그래서 이제는 대기업들이 협력사의 보안 시스템을 점검하고 지원하는 협업도 자주 이루어지고 있다. 협력사의 보안까지 챙기는 것이 당장은 추가 지출로 이어지지만 결과적으로 큰 손실을 예방하는 최선책이 될 수도 있을 것이다.