글로벌 차세대 사이버 보안 선도 기업인 팔로알토 네트웍스(Palo Alto Networks)가 2024년도 사이버 보안 예측을 발표했다.

팔로알토 네트웍스는 지난해 10월 사고 대응 팀에서 역대 가장 많은 연락을 받았다고 밝히며, 사이버 범죄자들이 랜섬웨어를 사용하여 중요 인프라를 표적으로 삼고, 생성AI와 같은 신기술을 악용하고 있다고 진단했다. 조직이 사이버 공격자들보다 앞서 나가려면 보안 트렌드를 예측하는 것이 중요하고, 거시경제적 요인, 신흥 기술, 클라우드 위험 등을 고려한 총체적인 접근 방식을 취해야 하는 상황이다.

2023년에는 기업들이 사이버 보안에 많은 투자를 단행했음에도 불구하고 공격의 피해를 입는 사례가 이어졌다. 이런 배경에는 사이버 공격자들이 사이버 위생 문제를 악용하거나 기존 방어 체계를 무너뜨리기 위해 새로운 방법을 찾는 것도 있지만 또 다른 주요 원인은 현대적인 인프라를 운영하는 대부분 조직들이 보안 기능을 복잡하게 구현한 것도 이유이기도 하다.

고도로 상호 연결된 혁신적인 환경을 보호하기 위해 평균 31.58개의 서로 다른 보안 도구를 사용하고 있는데, 이러한 도구들간 상관관계가 부족하고 노이즈가 발생하는 경우 엄청난 가시성 격차가 발생하고 탐지 및 대응 능력이 약화된다.

팔로알토 네트웍스가 공개한 2024년에 주목해야 할 5가지 사이버 보안 트렌드는 다음과 같다.

핵티비즘으로 구현하는 현대판 집단 행동

2023년 환경 운동가들이 방송 프로그램에 난입하는 사례가 발생한데 이어, 올해는 이러한 시위가 사이버 중심 캠페인의 형태로 나타날 가능성이 있다. 올림픽, 유로컵, 각국 총선 등 전세계 곳곳에서 중요한 이벤트가 열리는 가운데 ‘핵티비스트(해커 활동가)’들은 수백만 명의 공중에게 자신들의 대의를 알릴 수 있는 방법을 모색하고 있다. 이전에는 높은 수준의 기술 전문 지식이 필요했지만, 서비스형 사이버 범죄 모델 덕분에 문턱이 낮아져 이제 충분한 자금과 의욕이 넘치는 활동가만으로도 이러한 캠페인이 가능해졌다.

핵티비스트들은 또한 격변하는 지정학적 환경을 이용해 소속 단체에 대한 악명을 높이고 대의에 대한 공감을 얻고자 시도하고 있다. 대부분의 핵티비스트 활동은 분산 서비스 거부(DDoS) 공격을 통해 이루어지는데, 실제로 2023년도에 인도에서 열린 G20 정상회의 기간 동안 주변 국가의 30개 이상의 핵티비스트 그룹이 600개 이상의 정부 및 민간 기관의 웹사이트를 디도스 공격, 훼손, 데이터 유출을 통해 공격한 바 있다.

앞으로는 각 기업과 기관들이 진화하는 위협 환경에 맞서 리스크 프로파일들을 평가하고, 금전적 동기를 가진 공격뿐만 아니라 핵티비즘 및 국가적 공격에 대한 대비책을 마련해야 한다.

사이버 보안에서 AI는 양날의 칼

2022년 10월 챗GPT(ChatGPT)가 출시된 이후, 전 세계적으로 사이버 범죄를 민주화할 수 있는 가능성에 대한 우려가 제기됐다. 악성 애플리케이션을 방지하는 가드레일이 있음에도 불구하고, 다양한 창의적인 프롬프트를 통해 챗GPT는 '이상한 사람'인 듯 보이는 거의 완벽한 피싱 이메일을 엄청난 규모로 생성할 수 있기 때문이다.

딥페이크와 음성 기술 등 새로운 방식으로 생성AI를 사용하여 은행에서 수백만 달러를 탈취하는 시도도 발견됐다. 생성AI를 도입하는 기업은 모델 오염시키기(poisoning), 데이터 유출, 프롬프트 인젝션 공격 등의 취약성에 주의해야 한다. 공격자들은 합법적인 사용 사례에 생성AI를 활용해 혁신의 틈새를 계속해서 악용할 전망이다.

2024년의 AI 사이버 보안 트렌드 중 하나는 엔터프라이즈 환경의 AI 사용을 보호하는 방법에 대한 성숙도이다. AI 개발 프로젝트의 전체 수명 주기에 걸쳐 보안 제어, 취약성 관리 및 위협 모니터링 활동을 지속하는 것이다. 생성AI는 보안 이벤트를 요약하고, 노이즈를 걸러내고, 이벤트 개요를 제공하는 등의 임무에서 사람을 능가하며, 특히 큰 규모의 현대적인 SOC 운영 환경에서는 더욱 격차가 벌어질 것이다. LLM이 빠르게 발전함에 따라 단순히 영리하고, 때로는 환각을 제공하는 챗봇 이상으로 정교한 애플리케이션이 등장할 가능성이 높아지고 있다.

OT 환경을 노리는 공격 증가

운영 기술은 모든 산업 조직의 핵심이다. 주요 수익 창출원으로서의 OT 시스템은 높은 수준의 사이버 성숙도를 갖춰야 한다. 그러나 많은 조직에서 여전히 OT 환경이 에어 갭을 통해 보호되고 있다고 믿고 있지만, IT/OT 융합으로 인해 OT는 그 어느 때보다 IT와 더 많이 연결되어 있으며, 클라우드와도 연결되어 있다. 이로 인해 공격 표면이 확대되고 OT 네트워크에 대한 위험이 크게 증가했으나 사이버 제어에 대한 투자는 늘지 않은 상황이다.

OT 시스템의 침해는 매출 손실뿐만 아니라 인명 사고로 이어질 위험도 있다. 사이버 보안이 확보되어야 안전하고 신뢰할 수 있는 OT 환경을 구축할 수 있으며, 제로 트러스트 아키텍처는 가장 중요한 OT 시스템을 위협으로부터 보호하는 동시에 조직이 디지털 혁신에 집중할 수 있도록 지원한다. 2024년에는 조직이 가장 중요한 비즈니스 시스템을 보호하고 증가하는 위험을 수용 가능한 수준으로 관리하기 위해 OT 사이버 보안 성숙도에 대한 투자가 늘어날 예정이다.

사이버 보안의 새로운 지평을 여는 통합 접근법

유닛 42의 클라우드 위협 보고서에 따르면 보안팀이 보안 경고를 해결하는 데 평균적으로 약 6일이 걸리며, 조직의 60%는 4일 이상 걸리는 것으로 나타났다. 공격자가 취약점을 찾아 악용하는 데 불과 몇 시간밖에 걸리지 않는 위협 환경에서 4~6일의 대응 기간은 보안 공백을 만들어낸다. 통합되지 않는 다양한 보안 도구를 사용하는 조직은 자동화 및 오케스트레이션을 배포하는 데 더 많은 어려움을 겪고, 평균 탐지 시간과 평균 대응 시간을 단축하는 데 큰 걸림돌이 된다.

위협 대응이 부진하고, 사일로화된 솔루션을 사용하는 조직은 신속한 디지털 혁신 이니셔티브를 보호하는 데 어려움을 겪는다. 거시 경제의 역풍과 인력 문제에 대응하고, 공급업체 복잡성을 줄이기 위해 통합 접근법을 찾는 조직이 늘어나고 있다. 위기가 닥쳤을 때 단일 창구인 경우 사이버 보안 스택을 관리하기가 훨씬 수월하기 때문이다. 장기적으로는 비용을 절감하고 더 나은 결과를 얻을 수 있다. 더 많은 조직이 통합의 이점을 깨닫고 있으며, 2024년에는 복잡성을 줄이고 통합 사이버 보안 스택으로 전환하는 사례가 증가할 것으로 전망된다.

멀티/하이브리드 클라우드 보안 중요성 높아져

사이버 보안 현황 조사에 따르면, 아태지역 기업들은 인프라의 상당 부분을 클라우드로 이전하고 있다. 이에 따라 44%가 클라우드 보안을 도입하기 위해 사이버 보안 전략을 조정하는 등 우선순위에 반영하는 추세이다. 클라우드 얼리 어답터는 일반적으로 단일 하이퍼스케일러로 시작하며, 단일 클라우드 모델은 선택한 클라우드 서비스 공급업체(CSP)의 기본 보안 툴을 채택하게 된다. 그러나 시간이 지남에 따라 멀티 클라우드 또는 하이브리드 클라우드 전략을 채택해야만 해결할 수 있는 문제 및 운영 중단을 경험하게 된다. 이러한 멀티클라우드 여정에서는 네이티브 CSP 보안 툴이 다른 CSP에 원활하게 적용되지 않기 때문에 기존 클라우드 보안 패러다임에 대한 검토가 필요하다.

2024년에는 멀티 클라우드 또는 하이브리드 클라우드 프로젝트를 진행해야 하는 조직에서 둘 이상의 클라우드 공급업체와 거래할 때 보안에 대한 보다 통합된 접근 방식을 구축하는 방향으로 나아갈 전망이다. 또한 전체 개발 라이프사이클에 걸쳐 클라우드 보안 도구를 개선하여 더 높은 가시성, 상관관계, 보안 모니터링을 제공하는 데 초점이 맞춰지게 된다.

팔로알토 네트웍스의 아태지역 최고 보안 책임자인 이안 림(Ian Lim)은 "2024년에도 강한 동기를 가진 사이버 범죄 조직, 국가 차원의 공격, 핵티비스트들이 계속해서 늘어날 전망인데 반해 이를 늦추기 위해 우리가 할 수 있는 일은 많지 않다. 하지만 AI를 통해 보안 기능의 복잡성을 해결하여 보다 효과적이고 비용 효율적으로 만들 수 있고, 또 그래야만 한다"고 강조했다.