[Daily IT News] 모빌리티, 보안 위협 전망

지금까지 정부의 전략을 살펴보면 모빌리티 전체를 아우르는 전략보다는 각 산업별 전략이 많이 나왔었는데요, 최근에 정부에서도 모빌리티 전략 전체가 나오면서 이제는 교통과 관련된 산업을 하나씩 보는게 아닌 전체적인 측면에서 바라봐야 할 것 같습니다.

금일(2022.12.26. 월) 신문리뷰 입니다

---

● 전자신문

구분	헤드라인	설명
(SV) 모빌리티	국민 눈높이에 맞는 모빌리티 대응 체계 전환	자동차 산업이 'CASE'(Connectivity·Autonomous·Shared Service·Electric)라는 키워드를 바탕으로 미래 모빌리티 산업으로 빠르게 전환하고 있다. 우리나라도 선제 대응해 사회·경제적 변화에 따른 문제를 해소하고 지속 가능한 국가 경쟁력을 갖추는 것이 시급하다. 2025년 초 초고령사회로의 진입이 가시화하면 교통약자 및 고령 운전자가 증가, 사고 위험이 증가할 것으로 전망된다. 수도권 집중과 지방 소멸이 지속되면서 도시·환경 비용 증가와 비도시권 교통 소외 현상도 심화할 것으로 보인다. 경제 성장률 연 2%대가 지속되면서 국내총생산(GDP)의 12.7%와 고용의 11.5%를 차지하는 자동차 산업의 성장도 주춤하고 있다. 올해 국토교통부가 고시한 제3차 자동차정책기본계획이 중요한 이유다. 앞으로의 자동차 산업과 정책 방향은 CASE로 요약해 설명할 수 있다. 연결성(Connectivity)은 4차 산업혁명의 키워드인 통신과 사물인터넷(IoT) 기술이 자동차에 접목, 운전자에게 안전·편의를 제공하는 커넥티드카 시대 도래에 대응한 자동차 안전 패러다임의 전환을 요구한다. 자율주행차(Autonomous)는 미래 모빌리티 핵심 분야로, 기술 선점을 위한 글로벌 경쟁이 지속될 것으로 보인다. 연평균 40% 이상의 성장세가 전망되는 가운데 소프트웨어(SW)의 중요성이 대두된다. IT 기업들이 뛰어들며 산업 간 경계가 모호해지면서 산업 분야 및 민간 기업 간 경쟁 또한 가속화할 것으로 전망된다. 자율주행과 접목한 공유 서비스(Shared Service)는 기존 공급자 중심의 거점 간 이동 서비스에서 수요 맞춤형 서비스 제공 방향이 달라지는 등 새로운 모빌리티 서비스 산업으로의 발전이 예상된다. 마지막으로 친환경 모빌리티 전동화(Electric)다. 미국, 유럽연합(EU), 중국 등 주요 자동차 생산국의 연비 규제가 지속적으로 강화되고 있다. 우리 정부도 2030년 친환경차기본계획에 근거해 450만대 보급목표(NDC) 정책을 추진하고 있다. 세계적인 환경 규제에 따른 전동화 전환은 거스를 수 없는 대세로, 선제 대응해야 한다. 새로운 모빌리티 수단과 연관된 신산업이 등장함에 따라 친환경차 안전체계 마련이 필수로 떠오른다. CASE 전환에 따라 자동차 애프터마켓 분야도 성장 잠재력이 큰 중요한 산업의 축이다. 자동차 튜닝은 2020년 5조9000억원 규모에서 2030년 10조5000억원 규모로의 성장이 전망된다. 캠핑 문화 확산에 대응한 튜닝 허용과 승인, 인증부품 확대 등 지속 가능성이 짙은 분야다. 하지만 전기차 튜닝 부품은 부재하다. 내연기관차에서 전기차로의 개조 사례도 아직 없다. 현재 자동차관리법상 승인 범위와 절차 등이 제도 운용에만 초점이 맞춰져 있기 때문이다. 앞으로 규제 개선을 통해 친환경·첨단 기술 적용 등 신기술 튜닝 분야도 확대해야 한다. 자동차 해체와 재활용 시장 논의도 필수다. 현재 폐차 시장은 거짓과 과장 광고, 무등록업자 불법 폐차 등 음성적인 거래 관행으로 소비자 피해가 발생하고 있다. 정부의 실효성 있는 정책 대응이 절실하다. 전기차 폐배터리 재사용과 재활용도 활발해지면서 해체와 재활용 시장의 중요성이 더 커진 만큼 신산업으로의 육성 가능성도 밝다. 정부는 모빌리티 산업의 성장을 적극적으로 지원해야 한다. 낡은 규제를 개선하고 법 제도와 인프라를 선제적으로 준비해야 한다. 국민이 일상에서 체감할 수 있는 모빌리티 서비스 개발과 상용화 지원에 집중하는 동시에 글로벌 경쟁 우위 선점을 위한 전방위적 지원 체계를 확립할 필요성이 있다. 내연기관차 위주 자동차 안전관리 체계를 친환경 모빌리티에 최적화한 관리 체계로 구축해야 한다. 성장 잠재력이 큰 애프터마켓 규제 혁파와 수요 창출을 통한 신산업으로의 전환도 필요하다. 국민 눈높이에 맞는 모빌리티 대응 체계로의 전환이 무엇보다 중요한 시기다.

 

● 클라우드 신문

구분	헤드라인	설명
(SE) 보안위협 전망	안랩이 예상한 2023년 '5대 보안 위협'은	안랩이 '2023년 5대 사이버 보안위협 전망'을 23일 발표했다. 안랩이 전망한 내년 주요 보안 위협은 △랜섬웨어 조직, '양보다 질(Quantity to Quality)' 전략 추구 △조직의 핵심 정보를 장기간 유출하는 '기생형' 공격 대세 △파급력 높은 '잭팟' 취약점 발굴과 악용 지속 △공급망 공격, 모바일 환경으로 확대 △개인 가상 자산 지갑을 노린 공격 심화 등이다. ◇랜섬웨어 조직, '양보다 질' 전략 추구 최근 신규 랜섬웨어 등장은 주춤한 가운데 앞으로 랜섬웨어 공격그룹은 최소 공격으로 최대 수익과 효과를 노리는 '양보다 질' 전략을 추구할 것으로 보인다. 이를 위해 공격 그룹들은 먼저 조직의 핵심 인프라를 장악한 후 정보 유출, 랜섬웨어 감염, 디도스까지 결합하는 '다중 협박'으로 하나의 타깃을 집요하게 노릴 것으로 전망된다. 또 전 세계적으로 랜섬웨어 조직에 대한 수사와 검거가 이어지는 가운데 압박을 받은 사이버 범죄자들이 대규모 공격을 감행한 후 은퇴할 가능성도 있다. 따라서 조직에서는 기본적인 보안 체계 구축 외에 TI(위협 인텔리전스)를 활용해 최신 공격 동향과 취약점 정보를 파악해야 한다는 게 안랩 조언이다.   ◇조직 핵심 정보를 장기간 유출하는 '기생형' 공격 대세 올해는 기술, 개인 정보 등 주요 자산을 보유한 가상 자산 거래소, 대기업, 공공기관 등을 노린 공격이 이어졌다. 몇몇 공격 그룹은 자신들의 성과를 외부에 공개하기도 했다. 공격자들도 '투자 대비 효과'를 중요하게 생각하기 때문에 내년에도 주요 기관과 기업 핵심 기술·자산을 탈취하기 위한 시도는 이어지겠지만, 그 방식은 고도화할 것으로 전망된다. 특히 과거처럼 시스템을 파괴하거나 공개하는 '보여주기'식 공격보다는 인프라를 장악한 후 장기간에 걸쳐 핵심 기술이나 민감 정보를 유출하는 '기생형' 공격이 주를 이룰 것으로 예상된다. 공격 방식도 계정 정보 수집은 물론 화면 캡처, 영상 녹화 및 음성 녹음 등 광범위하게 확대될 수 있어 조직은 시스템의 모든 영역을 아우르며 대응할 수 있는 통합 보안체계를 구축해야 한다는 설명이다.   ◇파급력 높은 '잭팟' 취약점 발굴과 악용 지속 올해에는 시스템의 주요 권한에 정상적으로 접근할 수 있지만 취약점을 가지고 있는 드라이버를 악용하는 'BYOVD(Bring Your Own Vulnerable Driver)' 공격 방식이 발견됐다. 내년에도 공격자들은 PC부터 모바일, 클라우드, OT(운영 기술) 환경 등을 가리지 않고 파급력이 높은 '잭팟' 취약점을 찾아 공격에 악용할 전망이다.  특히 공격자들은 보안 패치 지원이 끊긴 소프트웨어(SW)나, 아직 패치가 되지 않은 취약점을 직접 발굴 또는 다크웹 등에서 구매해 정보 유출 및 랜섬웨어 공격에 악용할 수 있다. 이에 조직 보안 담당자, 구성원은 주기적으로 보안 패치를 적용하고 사용하지 않는 프로그램은 삭제해야 한다.   ◇공급망 공격, 모바일 환경 확대 금전 거래와 개인 정보 활용 등이 모바일로 활발하게 이뤄지는 가운데 내년에는 그간 PC용 SW 중심으로 진행되던 공급망 공격이 모바일 분야로 확대될 수 있다. 공격자들은 악성 앱(악성 코드)을 만들어 유포하는 기존 방식보다 아예 정상 앱 마켓에 앱을 등록할 수 있는 제작사 또는 제작 도구를 해킹해 앱 제작 초기 단계부터 침투를 시도할 것으로 보인다.  이 밖에도 모바일 앱 배포 또는 업데이트 단계에서 악성 코드 주입을 시도하거나, 정상 모바일 앱의 인증서를 탈취해 이를 악성 앱 제작과 배포에 활용할 수도 있다.  모바일 서비스 제공자라면 개발 및 배포 과정에서 반드시 보안을 고려하고, 주요 자산에 대한 위협 탐지 및 대응 체계를 갖춰야 한다는 게 안랩의 조언이다.   ◇개인 가상 자산 지갑 노린 공격 심화 최근 대형 암호 화폐 거래소나 주요 블록체인 서비스 관련 해킹 공격이 발생하며 코인·NFT 등 가상 자산을 개인 지갑으로 옮기는 사용자가 늘고 있다. 이에 안랩은 내년 개인 가상 자산 지갑을 노린 공격 시도가 증가할 것으로 예상하고 있다.  많은 사용자가 계정 소유권 인증 및 지갑 복구를 위해 사용되는 시드 구문이나 12개(혹은 24개) 단어로 이뤄진 니모닉키를 외우지 못해 사진 또는 이메일, 휴대전화 메모 등으로 기록한다. 공격자들은 이런 니모닉키 정보와 지갑 계정 정보를 탈취하기 위해 정보 유출 악성 코드나 유명 가상 자산 지갑을 사칭한 피싱 웹사이트/앱 유포를 확대할 것으로 보인다. 개인 지갑 사용자는 시드 구문이나 니모닉키를 안전한 곳에 보관하고, 키 분실 위험에서 안전한 지갑을 사용해야 한다.  이 같은 보안 위협을 예방하기 위해 조직 차원으로 △조직 내 PC, 운영 체제, SW 웹사이트 등에 대한 수시 보안 점검 및 패치 적용 △보안 솔루션, 서비스 활용 및 내부 임직원 보안 교육 진행 △관리자 계정에 대한 인증 이력 모니터링 △멀티팩터 인증 도입 등 예방 대응책을 마련해야 한다. 또 개인은 △출처가 불분명한 메일 속 첨부 파일, URL 실행 자제 △콘텐츠, SW 다운로드는 공식 경로 이용 △최신 보안 패치 적용 △로그인 시 비밀번호 외 이중 인증 사용 △백신 최신 버전 유지 및 실시간 감시 기능 실행 등 보안 수칙을 지켜야 한다.

---

금일 주목할 기사는 보안위협 관련 기사입니다.

진화하는 기술에 대한 새로운 보안 위협은 지속적으로 발생하는데요, 2023년에 주목하는 보안 위협은 랜섬웨어, 개인 가상 자산 공격, 공급망 모바일 환경 공격, 잭팟 취약점 발굴 등이 있습니다. 관련하여 모든 위협이 우리 피부에 와닿지는 않지만 각각의 위협의 인지는 하고 있어야 하는게 아닌가 생각합니다.