과기정통부, 클라우드 보안인증 등급제 본격 시행 <ICT>

1. 보안 상태 등급제 2024년, 더욱 치밀해지는 표적 공격올해에 이어 내년에도 보안업계가 마주할 과제는 만만치 않을 전망입니다. 인공지능(AI)을 활용한 사이버범죄가 등장한 데다, 랜섬웨어 등 기존에 있던 위협도 고도화된 방식으로 진화하기 시작했기 때문이죠.​올해는 그야말로 AI가 모든 산업을 장악한 해였습니다. 생성형 솔루션을 필두로 AI 기술을 개발하는 속도는 빨라졌고, 이에 따라 업무 효율을 높이기 위해 AI를 도입하는 기업도 늘어났습니다. AI로 효율을 높인 것은 사이버 범죄자들도 마찬가지인데요. AI는 기본적으로 학습을 통해 작동하는데, 범죄자들은 특히 해킹 및 악성코드와 관련된 데이터를 대량 학습한 AI를 활용하기 시작했습니다. 통로만 있다면 지문과 금융 정보를 학습하는 것도 가능합니다. 업계에서는 금융 정보를 알아내 금전을 갈취하는 피싱 범죄에도 AI가 활용될 것으로 보고 있습니다. AI로 피해자의 목소리를 위조한 뒤 생체 인증을 우회할 위험도 있습니다. 기업 입장에서는 AI를 보안 상태 등급제 활용해 외부 공격을 방어할 수 있지만, 범죄자들 또한 AI를 통해 공격을 가할 수 있게 됐습니다.​오랜 기간 보안업계를 괴롭힌 랜섬웨어도 주요 화두로 떠오를 전망입니다. 국내에서는 특히 '서비스형 랜섬웨어(RaaS)'에 대한 경각심이 커지고 있습니다. RaaS는 사이버 범죄자가 랜섬웨어를 배포하고 관리하는 데 필요한 툴과 서비스를 제공하는 사업 모델을 뜻하는데요. 별도의 프로그래밍 지식 없이도 랜섬웨어 공격을 가할 수 있는 시대가 온 것입니다. 현재 주요 국가들은 RaaS 생태계에 대응하기 위해 사법기관 차원의 국제 협력이 필요하다는 데 뜻을 모으고 있습니다.​출처: 디지털데일리​​2. 노코드, 로우코드 기반 보안 취약점 주의디지털전환(DX)이 본격화되며 노코드, 로우코드와 로봇 프로세스 자동화(RPA) 등 업무를 자동화하는 서비스가 전 산업에 걸쳐 빠르게 확산되고 있습니다. 다만 업무 혁신을 위해 자동화 툴을 무분별하게 도입하는 과정에서 보안취약점이 발생할 수 있어 주의가 보안 상태 등급제 요구됩니다.​마이크로소프트(MS), 구글, SAS 등 주요 IT기업에서 자동화 서비스를 선보이고 있으며 이를 도입하는 기업 비율이 가파르게 성장 중입니다. 하지만 도입 및 운영 과정에서 보안 문제가 종종 발생하는 것으로 나타났습니다. OWASP 조사에 따르면 관리자 비밀번호를 소홀하게 관리해 사용 권한을 탈취당하거나, 보안이 부족한 외부 환경까지 기능을 공유해 내부망까지 침투를 허용하는 등이 보안 문제가 발생하는 것으로 나타났습니다. 이러한 보안취약점 발생 원인으로 비개발자의 참여와 인공지능(AI) 도입 확대가 지목되었는데요. 개발 관련 지식을 충분히 갖추지 못한 실무자가 개발에 참여하게 되면서 개발한 앱이나 데이터가 얼마나 중요한지 인식하기 어렵다는 설명입니다. 이로 인해 충분한 보안 환경을 갖추지 못해 취약점이 발생할 수 있다는 지적입니다.​보안 기업들은 이러한 위협을 줄이기 위한 방안으로 계정 탈취를 막기 위해 외부 접근의 경우 전용 애플리케이션, 서비스 계정을 보안 상태 등급제 사용하고 관리자 계정의 경우 패스키 등 2차 인증을 적용할 것을 권고합니다. 또한 민감한 데이터의 경우 외부 접근을 제한하고, 연결이 필요한 사용자나 앱에 한정해 검증을 거친 후 접근할 수 있는 프로세스를 구축해야 하는데요. 외부 구성 요소를 연결할 경우 충분히 신뢰성을 확보한 경우로 한정해야 합니다. 더불어 모든 앱과 데이터를 사용 중인 사용자를 한눈에 확인하고 이상 접근을 즉시 체크할 수 있는 모니터링 환경을 구축하는 것이 좋습니다. 특히 자동화 도구를 사용하는 모든 관계자를 대상으로 지속적인 보안 교육을 실시해 사고를 미연에 방지해야 합니다.​출처: 지디넷코리아​​3. 클라우드 보안인증제(CSAP), 내년으로 미뤄지나연초 데이터 주권 논란까지 불러일으켰던 ‘클라우드 보안인증 등급제(CSAP)’ 시행이 내년으로 연기될 전망입니다. CSAP는 공공분야에서 민간 클라우드 도입을 촉진하기 위해 규제를 완화한 제도입니다.​과학기술정보통신부는 올해 1월31일 클라우드 보안인증 등급제(CSAP) 하등급을 보안 상태 등급제 우선 시행한 데 이어, 중·상 등급 시스템의 민간 클라우드 전환 시 보안성 검증, 보안인증 세부 평가기준 마련 등을 위해 실증사업을 추진한 바 있습니다. 그러나 국정원이 실증 사업에 대해 보안진단을 하는 과정에서 제동이 걸렸습니다. 국정원은 실제 돌아가는 시스템상에서 모의침투를 하자고 제안했는데, 자칫 원래 시스템이 멈출까 우려한 과기정통부와 업계가 난색을 표한 것이죠. 국정원 보안진단이 끝나야 중·상등급 세부 평가기준이 나오고 이를 기반으로 시장 진입을 준비할 수 있는데 현재로서는 내년으로 넘어가는 분위기입니다.​국내 기업들이 관심을 두는 중·상 등급 시행은 물론 연초 시행된 하등급 역시 인증사업자가 아직 없습니다. 글로벌 클라우드 기업인 아마존웹서비스(AWS), 마이크로소프트(MS), 구글 클라우드 등이 하등급을 받기 위한 인증 절차를 진행 중인데, 국정원이 국내 보안적합성(CC)검증과 암호모듈검증 통과를 요구하면서 정체됐습니다. 글로벌 기업들은 CSAP 하등급이 요구하는 논리적(소프트웨어적) 보안 상태 등급제 망 분리를 충족했음에도 국정원이 국내 CC 검증과 국내 암호화 알고리즘 ‘아리아(ARIA)’와 ‘시드(SEED)’ 사용을 요구하는 것은 공공 클라우드 시장에 외국계 진입을 봉쇄하려는 조치라고 반발하고 있습니다.​출처: 이데일리​​4. 사이버보안 인력 2배로 늘리는 일본전 세계가 중국과 북한 해커들의 공격으로 인해 사실상 1년 365일 사이버 전쟁을 방불케 하는 대결 상태에 놓인 가운데 일본 정부는 정부 기관을 노린 사이버 공격을 막고 부정한 접근을 차단하기 위해 국립사이버보안센터(NISC) 인력을 내년에 2배로 늘리고 조직을 확대한다고 밝혔습니다.​일본 정부는 지난해 12월 국가안전보장전략을 개정해 사이버 보안 분야 대응 능력을 미국이나 유럽 주요국과 동등한 수준으로 향상하기로 했습니다. 하지만 올해 여름 나고야항이 사이버 공격을 받아 컨테이너 하역 작업이 중단됐고, 우주항공연구개발기구(JAXA)도 조직 내 네트워크를 일원화해 관리하는 서버에 부정한 접근이 있었다는 사실이 확인되는 등 잇따라 허점이 보안 상태 등급제 노출됐습니다. 여기에다 중국 해커로 의심되는 이들이 NISC를 작년 10월 해킹해 9개월 동안 각종 민감 데이터에 접근해온 정황이 밝혀져 파문이 일었습니다.​일본 정부가 NISC를 확대 개편한 것은 이처럼 사이버 공격 우려가 커지는 상황에서 감시 체제를 정비하고 방어 능력을 강화하는 조치의 일환입니다. 교도통신에 따르면 일본 정부는 향후 사이버 보안 정책을 총괄하는 새로운 조직도 설립할 계획입니다.​출처: 디지털타임스​​5. 이커머스 사이트서 신용카드 데이터 유출전 세계 443개 이커머스 서비스에서 신용카드 데이터가 유출된 사실이 밝혀졌습니다. 유로폴과 유럽 연합 사이버보안청(ENISA)은 이 사실을 발표하면서 디지털 스키밍 공격 대응이 시급하다고 밝혔습니다. 이는 보안 기업 및 17개국 침해사고대응팀이 협력해 2개월동안 조사한 결과로, 조사에 참여한 조직은 감염된 웹 사이트, 감지된 악성 코드 서명, 추출된 도메인, 게이트, 공격자가 데이터를 수집하거나 다른 악성 코드를 로드하는 보안 상태 등급제 데 사용하는 URL에 대한 정보 등을 분석했습니다.​이스키밍, 폼재킹, 메이지카트 등으로 불리는 디지털 스키밍은 웹사이트의 취약점을 이용해 결제 과정에 악성코드를 주입하는 공격입니다. 공격자는 전자상거래 사이트 소스코드나 제3자 코드에 취약점을 심는데요. 소스코드에 내재된 취약점이나 구성오류, 무차별 대입으로 악성코드를 심고 고객이 결제를 위해 신용카드 정보를 입력하면 그 정보를 탈취합니다. 이번 공격에서 여러 악성코드를 발견되었으며, 그중 JS스니퍼는 23개 계열이 식별된 것으로 알려졌습니다. 2021년 하반기부터 2022년 상반기 사이 JS 스니퍼를 사용한 신용카드 정보 유출 사고가, 발견 된 것만 전 세계 32만개 이상이라고 밝혔습니다.​한편 유로폴은 디지털 스키밍 사고 방지를 위해 △악성코드 모니터링 △MFA와 강력한 비밀번호 △스피어피싱 대응 교육 △전자상거래 플랫폼과 타사 구성요소에 대한 정기적인 취약성 검사 △보안 패치 △콘텐츠 보안 정책, 하위 리소스 무결성 구현을 통해 보안 상태 등급제 악성코드 삽입을 차단해야 한다고 설명했습니다.​출처: 데이터넷​​​​