올해 상반기를 빛낸 'CES 2017'의 주요 화두는 '연결성'이었다. 이번 CES에서는 정보기술(IT)과 자동차·스포츠 등이 융·복합된 자율주행자동차, 스마트홈, 로봇 등 신기술이 공개됐다.
제품 단계에서의 융·복합에만 그치는 게 아니라 자동차와 가전, 컴퓨터, 통신이 한데 어우러진 변화가 일어나는 것이다. 이에 인공지능(AI) 소프트웨어(SW)와 빅데이터라는 데이터베이스(DB)의 결합으로 4차 산업혁명이 목전에 왔음을 실감하게 한다.
또 앞으로는 모바일 결제 등 모든 것이 모바일로 되는 세상이 온다. 사물인터넷(IoT)의 발전으로 모든 사물이 서로 연결된다. 여기에 가상현실(VR)까지 더해져서 상상만 하던 세상이 미래로 다가올 것이다.
그러나 이런 전망 뒤에는 그림자도 있다. 스마트 공장, 무인 자동차, 드론, 로봇 등 산업 제품뿐만 아니라 스마트홈 냉난방기·냉장고 등 가전제품과 심장 맥박을 조절하는 심장박동기의 IoT가 오작동을 일으키면 어찌될 것인가. 각종 IoT 기기가 분산서비스거부(DDoS) 공격으로 중앙 서버를 공격할 가능성도 있다.
그런 만큼 모든 제품에서 '사이버 보안'의 의미가 중요해진다. 2007년에 개봉한 영화 '다이하드4'에서 국가에 불만을 품은 전직 국가정보국 요원이 금융, 교통, 보안, 통신 등 국가 기반 시설을 해킹하는 것처럼 현실이 될 수 있다.
포레스터 리서치는 '2017년에 더욱 고조되는 사이버보안 위협' 보고서에서 “IoT, 클라우드, BYOD(개인 단말기를 업무에 사용하는 환경) 확산으로 기업 대응 전략이 바뀌게 됐다”면서 “고급 정보를 목표로 유명인 및 일반인 대상의 무작위 랜섬웨어 살포, IP 절도, DDoS, 사생활 침해 등은 수천 개 기업의 파산·매각 등 심각한 결과를 초래할 것”이라고 진단했다.
또 국가 간 충돌로 격상되는 사이버 전쟁이 가능하다. 비욘드트러스트 보안 전문가들은 “각국의 대통령 선거 등 중요 이슈 개입, 개인 정보 탈취 및 협박, 전력망 방해부터 스턱스넷(Stuxnet, 기간시설 파괴 목적의 바이러스)에 이르기까지 우리는 다양한 사이버 공격 양태를 목격해 왔다”면서 “올해에는 국가가 또 다른 국가를 상대로 한 대규모 사이버 공격을 감행하는 사례가 발생할 것”이라는 부정 전망을 제시했다.
이 밖에 접근 권한 단계가 높은 고위층 사용자를 노리는 공격도 증가할 수 있다.
최근 해외 대기업도 보안 위험에 크게 노출됐다. 지난해 어도비 버그는 93건, 마이크로소프트(MS) 감염 사례는 69건, 애플 취약점은 46건 등을 기록했다.
사이버 공격에 대비하기 위해 기업은 일반 정보 보호 규정을 변경해야 한다. 최근 동향에 기반을 두고 문화와 기술, 컴플라이언스(규제 준수) 기준, 비즈니스 우선 순위에 부합하는 정책을 수립해야 한다.
큰 틀에서 보면 정부나 기업이나 개인이나 크게 다르지 않다. 부문별로 맞게 보호 규정을 계속 조정해 나가야 한다. 한국인터넷진흥원(KISA)의 '보호나라'에서도 여러 대책과 함께 가이드 및 정보를 제공하고 있으며, 관련 신고도 접수하고 있다.
결국 사이버 보안 정책의 목표는 '사용자가 해야 할 일을 알려 주고, 사용자가 약속한 내용을 그대로 실천하도록 만드는 것'이 돼야만 한다. 서재철 한국인터넷진흥원(KISA) 수석연구위원 sir@kisa.or.kr