"올해 해커들 공격 표적은 미국 대선·올림픽"

올해 미국에서 치러지는 대통령 선거와 온라인 기반 인구 조사, 도쿄 올림픽에 대한 해커들의 관심이 집중될 것이라는 전망이 나왔다.

주니퍼네트웍스는 '2020년 보안 부문 전망'을 발표, 이같이 예상했다.

주니퍼네트웍스 위협 부문 총괄 연구원인 무니르 하하드는 "11월3일 치뤄질 미국 대선은 국가적 사이버 공격 타겟이 될 가능성이 크다"며 "4년 전에 비해 더욱 정교한 방식으로 소셜 미디어에서 방해 활동이 시도될 것"이라고 전망했다. 선거의 특정 결과에 관심이 있거나, 선거 과정에 분란을 일으키고자 하는 집단이 적합한 서비스를 탐색할 것이라는 분석이다. 선거 본부 직원을 대상으로 피싱 이메일과 스파이웨어 공격 시도도 발생할 것으로 봤다.

무니르 마하드는 올해 미국 인구 조사에서 처음으로 완전한 온라인 응답 방식이 도입되는 과정에서 보안 허점이 노출될 것으로 예상했다. 국가 단위 공격 집단과 사이버 범죄자 등이 해당 데이터 위조나 탈취를 위해 이런 보안 허점을 악용하려 할 것이라는 진단이다.

올림픽을 겨냥한 사이버 공격은 일반화된 만큼, 올해도 등장할 것으로 전망했다. 특히 도핑 조사 활동 또는 행사를 방해하거나 조직위원회를 염탐하려는 공격이 시도됐다고 강조했다.

주니퍼네트웍스는 올해 주의할 만한 사이버 공격 기법도 소개했다.

주니퍼네트웍스 기술 보안 부문 책임자인 트레버 포트는 "지난해 말 해커가 이미 확보한 로그인 정보 등 개인 신상 관련 암호화 정보인 '크리덴셜'을 다른 계정에 무작위로 대입해 정보 탈취를 꾀하는 '크리덴셜 스터핑' 공격이 증가했다"고 언급했다. 이에 올해부터 보안 담당자는 서비스형 소프트웨어(SaaS) 애플리케이션과 서비스형 인프라(IaaS) 계정, 특히 주요 클라우드 서비스와 연계된 계정에 주의를 기울여야 한다고 당부했다. 피해를 예방하기 위해 되도록 다단계 인증(MFA)을 활용하라고 권장했다.

피싱 공격은 고도화되고 탐지가 어려워질 것으로 전망했다. 해커가 공격 대상자의 신상 정보를 파악해 이를 피싱 공격에 활용한다는 관측이다. 주니퍼네트웍스 글로벌 보안 전략 부문 이사인 로렌스 피트는 "사이버 범죄자는 보다 효과적인 공격을 수행하기 위해 인터넷에 흩어져 있는 공개된 정보를 사용해 개인의 정치적 성향, 관심사, 애완 동물, 직업, 가족 등을 파악할 수 있다"며 "인터넷은 우리가 누구인지에 대한 방대한 양의 데이터를 보유하고 있으며, 이러한 정보는 흔히 공개돼 있다"고 우려했다. 피해를 최소화하기 위해 ▲이메일 링크 클릭 지양 ▲이메일 수신 시 해당사 공식 웹사이트에서 진위 여부 파악 ▲비밀번호 관리 프로그램 사용을 권했다.

지난해 최초 상용화된 5G가 보안업계에 미칠 변화에 대해서도 주목했다.

로렌스 피트는 5G 네트워크를 활용한 엣지 컴퓨팅 도입이 확대될 것으로 보고 "향후 몇 년 동안 보안팀은 보안을 네트워크 엣지까지 확장할 수 있도록 보안 정책과 프로세스를 검토해야 한다"고 지적했다. 신속한 탐지와 격리가 이루어지지 못하면 5G 네트워크에서 위협이 탐지되기 전에 주요 영역에서 막대한 피해가 발생할 수 있다는 우려다.

관련기사

늘어나는 커넥티드 기기로 인해 기업을 위협하는 신종 공격도 증가할 전망이다. 로렌스 피트는 "커넥티드 기기의 위험은 더 이상 스마트폰과 태블릿에 국한되지 않는다"며 "현대 조직은 효율화를 실현하고 시장 변화에 민첩하게 대응하기 위해 사물인터넷(IoT)를 활용할 수 밖에 없다"고 언급했다. 그러나 이런 기기 중 상당수가 자체적인 보안 기능이 내장돼 있지 않아 사이버 공격에 악용될 소지가 있다고 봤다.

이에 무니르 하하드는 최초의 대규모 IoT 랜섬웨어 공격이 올해 등장할 것이라고 예상했다. 그는 "올해는 인터넷에 연결된 IoT 기기 수가 일정 수준에 도달해 사이버 범죄자들에게 매력적인 타겟이 될 것"이라며 "저전력 마이크로 프로세서에서 실행되는 기기와 안드로이드 또는 리눅스 운영체제를 사용하는 IoT 기기를 겨냥한 최초의 대규모 랜섬웨어 공격이 시작될 것"이라고 언급했다.