2023년 사이버보안 전망 코멘터리
[정보통신신문=최아름기자]
내년도 사이버 보안 업계에서 ‘사이버 회복력’이 주목받을 것으로 보인다. 소셜 엔지니어링 공격과 스피어 피싱, 소프트웨어 공급망 불안정성과 높은 클라우드 벤더 의존도에 대비한 보안책도 강화해야 한다.
줌 비디오 커뮤니케이션즈(줌)의 정보보안최고책임자(CISO)인 마이클 아담스(Michael Adams, 사진)는 최근 이 같은 2023년 기업 리더들이 주목해야 할 주요 보안 전망 4가지를 공유했다.
먼저 사이버 보안 리더들은 사이버 위협으로부터 조직을 보호하는 주 보안 프로그램과 더불 어, 보안 위협 상황에서의 복원력과 비즈니스 연속성을 유지할 수 있는 사이버 회복력(Cyber Resilience)에 더 큰 중점을 둘 것으로 보인다. 사이버 위협으로부터 조직을 보호하기 위해서는 관련 자원에 투자하는 것은 물론, 사이버 위협의 영향력을 완화하고 사업 운영을 지속하기 위해 관련 인력, 과정, 기술에도 투자해야 한다.
최근 많이 보이는 스피어 피싱과 사람의 심리를 악용해 권한을 확보하는 소셜 엔지니어링 공격 기법은 갈수록 정교해지고 있다. 이 때문에 공격자를 파악하기가 어려워 기업들이 이러한 공격에 맞서 제대로 대비하는 것 또한 쉽지 않다. 내년에는 딥페이크와 AI 기술을 활용한 소셜 엔지니어링 공격도 더욱 늘어날 것으로 보인다.
아담스 CSO는 “세계는 지난 몇 년 간 대규모 공급망 공격을 목도해 왔지만, 소프트웨어 공급망의 중요도는 더욱 커져만 가고 있다. 최근 미 백악관에서 연방기관을 대상으로 발표한 행정명령은 이러한 소프트웨어 공급망의 중요도를 고려한 적절한 조처의 예시로 볼 수 있다”며 “기업들은 이에 더해 제로트러스트(Zero-Trust) 방식을 도입해 인프라서비스(코드 서명, 공개키, 보안 릴리스 과정 강화)를 강화하는 등 보안책을 강화해야 할 것”이라고 말했다.
또한, 기업은 늘어나는 서드파티 의존도를 고려해 서드파티 리스크 평가, ID 및 액세스 관리, 재빠른 패치 적용 등 소프트웨어 공급망 전반의 보안 제어에 집중해야 할 것으로 보인다.
