+ A

[Korea and the fourth industrial revolution <22-1 Security>] A more connected world, with better fences (국문)

[한국과 4차 산업혁명 <22-1>] 초연결 사회의 보안: 더 많은 울타리가 필요하다
Sept 18,2017
이미지뷰
At the end of August, the photo-sharing app Instagram sent an alarming message to some of its most high-profile users, saying it had fixed a bug that allowed hackers to access their email addresses and contact information.

인스타그램은 지난 8월 말 몇몇 유명 인사 사용자들에게 긴급 메시지를 보냈다. 그들의 e메일 주소와 연락처에 해커들이 접근할 수 없도록 앱의 버그를 수정했다는 내용이었다.

Hackers appeared to have exploited the bug before the patch was released, and though Instagram would not confirm the number of affected accounts, hackers claimed to have information on six million Instagram users, information that was obtained when users were asked to reset their passwords. The hackers said they had set up a searchable database so that people could dig up each victim’s information for $10 per search. Some of the victims included celebrities like Selena Gomez.

하지만 해커들은 인스타그램이 버그를 수정하는 패치를 배포하기 전에 앱의 취약점을 이용한 것으로 보인다. 인스타그램은 해커들의 공격에 영향을 받은 계정의 수를 발표하지 않았지만 해커들은 비밀번호 재설정 과정의 취약점을 이용해 인스타그램 사용자 600만 명의 개인 정보를 확보했다고 주장했다. 해킹된 사용자 정보는 데이터베이스화돼 검색 가능하며 한 건 당 10달러에 판매한다고 밝혔다. 해킹 피해자 중에는 미국의 인기 연예인 셀리나 고메즈 등이 있었다.

Hong Min-pyo, founder and CEO of the Silicon Valley start-up SEWorks, which specializes in mobile security, said the latest Instagram attack is just one of many cybersecurity incidents with different levels of gravity that could originate from vulnerabilities inside smartphone apps.

미국 실리콘밸리에 기반을 둔 모바일 보안 스타트업 '에스이웍스(SEWorks)' 설립자인 홍민표 대표는 인스타그램 해킹은 스마트폰 앱의 취약점 때문에 생길 수 있는 수많은 사이버 보안 사고 중 하나일 뿐이라고 말했다.

“Aside from manipulating or stealing users’ information, hackers can load malicious source codes into an app that can later be used in denial-of-service attacks,” Hong wrote in an email, “and in worse-case scenarios, hackers can intercept revenue generated from cash balances in games or financial apps, dealing massive financial damage.”

그는 코리아중앙데일리와의 e메일 인터뷰에서 "해커들은 악성 소스 코드를 스마트폰 앱에 심어 사용자 정보를 조작하거나 훔칠 수 있을 뿐 아니라 디도스 공격에도 사용할 수 있다"며 "최악의 경우 해커들은 게임이나 금융 앱의 현금을 가로챌 수 있다"고 말했다.

Hong, who is touted as one of the world’s top three “white hat,” or ethical, hackers, warned that an app’s source code can also be lifted to create a copycat app, infringing on the original developer’s intellectual property rights.

세계 3대 화이트 해커인 홍 대표는 앱의 소스코드는 앱 복제에 사용돼 개발자의 지적 재산권을 침해할 수도 있다고 경고했다.

With smartphones replacing computers in most aspects of our daily lives, from work to play, mobile security has become a critical objective in the tech world, but the level of protection is still spotty. SEWorks conducted its own research into 500 popular free and paid apps on the Google Play Store last year and found that 80 percent of them were susceptible to decompiling, meaning they were vulnerable to hackers.

스마트폰이 일부터 여가까지 일상 생활의 많은 부분에서 컴퓨터를 대체하면서 모바일 보안은 중요하게 떠올랐다. 하지만 보호의 수준에는 아직 허점이 많다. 지난해 구글 플레이 스토어 인기 순위 상위 500위 안에 드는 유무료 앱에 대해 자체 조사에 따르면 그 중 80%는 디컴파일링이 가능했다. 해커들이 침투할 여지가 있다는 의미다.

SEWorks’ latest product, AppSolid, is a cloud-based security solution that developers can apply to their mobile apps. “When our client is done with app development, they log onto our web page, have the app scanned for any vulnerabilities and apply binary protection, a sort of protective coat,” Hong said. “Then the app is ready for launch. No additional coding is needed from the developer.”

에스이웍스의 최신 제품 '앱솔리드'는 개발자들이 모바일 앱에 적용할 수 있는 클라우드 기반의 보안 솔루션이다. 홍 대표는 "고객이 앱을 개발한 후 우리의 앱솔리드 웹페이지에 접속해서 앱에 취약점이 있는지 스캔한 후에 보호막인 바이너리 레벨의 난독화 과정을 거친다"며 "그러면 앱은 출시 준비를 마치게 되며 개발자가 추가적인 코딩을 할 필요가 없다"고 설명했다.

As the power and spread of malware continues to grow, with some hackers even selling their services to cybercriminals, global spending on information security is projected to pick up 7 percent from last year to reach $86.4 billion this year and then climb to $93 billion in 2018, according to Cybersecurity Ventures, a market information provider.

해커들이 범죄자들에게 소프트웨어를 팔기까지 하는 상황에서 멀웨어로 불리는 악성 소프트웨어의 위력과 범위는 커지고 있다. 시장 정보 제공 회사인 사이버시큐리티 벤처스는 세계 정보 보안 지출은 올해의 경우 지난해보다 7% 늘어난 864억 달러에 이를 것으로 예측된다. 2018년에는 930억 달러가 될 것으로 전망한다.

Many Korean companies witnessed just how vulnerable their systems were to attack when they were infected by WannaCry ransomware in May. The attack affected some 200,000 computers across 150 countries and was the worst cyberattack case in history.

많은 한국 회사들은 지난 5월 워너크라이 랜섬웨어에 전염되는 사고를 겪으면서 그들의 시스템이 외부 공격에 얼마나 취약한 지를 목격했다. 전세계 150개국 20만 대의 컴퓨터가 이 공격을 받았는데 이는 역사상 최악의 사이버 사고 중 하나로 꼽힌다.

Of note, the advertisement servers of retail conglomerate CJ’s multiplex chain, CGV, were affected by the malware, forcing theaters to stop running ads before movies started, though few customers seemed to mind. The internal networks at a few general hospitals, equipment monitoring servers at local IT service providers and processing at some manufacturers were also victims of the cyberattack.

CJ가 운영하는 CGV 영화관 체인의 광고 서버는 이 멀웨어의 공격을 받았다. 이 공격으로 CGV 영화관들은 영화 시작 전 상영하는 광고를 할 수 없었다. 비록 그리 많은 관객들이 상관하지는 않았지만 말이다. 몇몇 종합병원과 IT 서비스 기업의 장비 모니터링 서버, 제조 기업의 공정이 이 사이버 공격의 희생양이 됐다.

Cybersecurity in a hyperconnected society

초연결사회의 사이버 보안


The technology of the fourth industrial revolution promises a more connected society, and greater ties also require stronger fences. Information security has now become just a subset of the broader concept of cybersecurity, which encompasses everything from protecting medical devices, biometric information and embedded systems to securing automobiles, airplanes, military technology and other devices that don’t fall under the traditional IT umbrella, according to a report by market researcher Gartner in August.

4차 산업혁명 기술은 더 많이 연결된 사회를 약속하지만 동시에 더욱 강력한 방어를 요구한다. 정보 보안은 이제 사이버 보안이라는 더 큰 개념의 하위 범주에 속하게 됐다. 8월 가트너가 발표한 리포트에 따르면 사이버 보안은 의료 장치, 생체학 정보, 임베디드 시스템을 보호하는 것부터 자동차, 비행기, 군사 기술 뿐 아니라 전통적인 IT 분야에 속하지 않던 다른 장치들을 안전하게 지키는 것을 의미한다.

So-called Internet of Things, or IoT, devices are particularly susceptible to manipulation. The devices by design are meant to openly communicate with each other to make our lives easier, helping us turn lights on and off or check the home temperature with the tap of a smartphone, but since the devices run over Wi-Fi and the product category is in a nascent stage, the devices are filled with security loopholes.

IoT (사물인터넷) 장치들은 특히 조작되기 쉽다. 이러한 장치들은 서로와 열린 소통을 통해 스마트폰으로 집안의 조명을 끄거나 켜고 온도를 확인할 수 있도록 하는 등 일상 생활을 더 편리하게 만드는 것을 목적으로 한다. 하지만 이런 장치들은 와이파이를 통해 연결돼 있고, 보안에 허점이 많다. 가트너는 2020년 경에는 기업에 대한 확인된 공격의 25% 이상이 스마트 TV, 냉장고, 가스 밸브, 전기 미터 등 IoT 장치와 결부돼 있을 것으로 예측한다.

IoT hacks first emerged as a real-life threat in March after CIA documents published by WikiLeaks showed Samsung Electronics’ smart televisions could be used to secretly record conversations in a room and send them over the internet to a covert CIA server. The bug existed on Samsung television released between 2012 and 2013, and Samsung immediately released a patch for the televisions after the leak this year.

위키리크스가 지난 3월에 누설한 CIA 문서를 계기로 IoT 해킹은 실생활을 존재하는 위협으로 떠올랐다. 삼성전자의 스마트 TV가 방에서 나누는 대화를 몰래 녹음해 CIA의 비밀 서버로 넘길 수 있다는 점을 밝혔기 때문이다. 이같은 취약점은 2012~2013년 사이에 출시된 삼성 TV에서 발견됐으며 삼성은 곧바로 보안 패치를 배포했다.

Samsung, with its plethora of products that boast IoT functionality, has been stepping up measures to bolster its security system. “Security has become a top priority now that we have entered an IoT age,” a Samsung spokeswoman said, adding that while Samsung has maintained a low profile on security, the company is not treating it as any less important and working on the issue routinely.

IoT 기능을 갖춘 수많은 제품을 만들고 있는 삼성은 관련 보안 시스템을 보완하려는 다양한 대책을 내놓고 있다.

삼성전자 대변인은 "IoT 시대에 접어들면서 보안은 우리의 최우선 순위가 됐다"며 "삼성이 보안 영역에서 눈에 띄는 활약상을 보이지 않은 것은 보안이 중요하지 않아서가 아니며 일상적으로 보안 이슈에 대응하고 있기 때문"이라고 말했다.

In May, the tech giant quietly scouted Ahn Gail-joon, a professor of computer science and engineering at Arizona State University and renowned security expert, to head the security team at its software center in the semiconductor division. Three months later, the software center hosted its first hacking competition for white hackers in the fields of attack, defense, coding, algorithm and reverse engineering, with a reward of up to 80 million won ($70,810) and a spot in the company.

지난 5월 삼성은 세계적으로 유명한 보안 전문가 안길준 미국 아리조나주립대의 컴퓨터공학과 교수를 스카웃해 반도체 사업부 산하 소프트웨어 보안팀을 이끌도록 했다. 3개월 후 소프트웨어 센터는 공격, 방어, 모팅, 알고리즘, 역공학 분야에서의 화이트 해커 경쟁 대회를 처음으로 주최했다. 우승자는 최대 8000만원의 상금과 삼성전자 취업의 기회를 얻었다.

Earlier this month, Samsung said it would expand a “bug bounty” program that it has been running since 2012. The program rewards individuals with cash for reporting vulnerabilities in its smart televisions. Samsung plans to double the bounty to $200,000 and expand the program’s coverage to other products including mobile devices like the Galaxy S, Note, A and J as well as software like the virtual personal assistant Bixby and Samsung Pay.

이달 초 삼성은 2012년부터 운영해온 '버그 바운티' 프로그램을 확대하기로 결정했다. 지금까지는 스마트 TV에서 발견된 취약점을 보고하는 개인들에게 보상금을 제공해 왔다. 이제부터는 보상금 액수를 두 배로 늘려 20만 달러로 책정하고 해당 제품 또한 갤럭시 S, 노트, A, J 등의 모바일 기기 뿐 아니라 인공지능 비서 빅스비와 삼성 페이 같은 소프트웨어로 늘어난다.

Global tech giants like Microsoft, Facebook and Google have been operating similar bounty programs; Samsung is the only company in Korea to do so. However, domestic enterprises are stepping up their security enhancement efforts. SK Telecom, which has been ratcheting up its IoT business, is taking the lead, partnering with other tech firms like LG CNS, start-ups and academics to analyze vulnerabilities in its devices and propose regulatory guidelines for the government to implement.

마이크로소프트나 페이스북, 구글 같은 세계적인 기술 기업들은 비슷한 보상 프로그램을 운영해 왔다. 한국에서는 삼성만이 유일하게 이런 시스템을 유지 중이다. 국내 기업들도 이제는 보안 체계 향상을 위한 노력을 기울이기 시작했다. IoT 사업을 확장중인 SK 텔레콤은 LG CNS 같은 타기업, 스타트업, 학자들과 손잡고 제품의 취약점을 분석하고 정부가 도입할 수 있을 만한 정책 가이드라인으르 제안하고 있다.

Cyber threats to industry

산업 분야의 사이버 위협


Beyond the consumer level, successful hacking attempts at manufacturing facilities have relied on vulnerabilities in IoT devices. These interruptions can cause malfunctions in the manufacturing process and deal a massive financial blow.

In 2014, hackers targeted a steel mill in Germany by manipulating and disrupting its control systems and prevented a blast furnace from properly shutting down, resulting in great damage at the facility. It still remains unclear whether the hackers intended to cause physical destruction or the accident was simply collateral damage.

소비자에 대한 해킹을 넘어 제조 시설에 대한 해킹 역시 IoT 장치의 취약점을 파고 들고 있다. 해킹은 제조 공정에 오작동을 일으켜 엄청난 금전적 피해를 입힐 수 있다. 실제로 2014년 해커들은 독일의 한 제철소를 타겟으로 삼아 제어 장치를 파괴해 용광로 조작을 방해해 큰 피해를 초래했다. 해커들이 이 용광로를 파괴시키려 했던 것인지 단순한 부수적 피해인지는 아직 확실하지 않다.

Gartner estimates that by 2020, at least one major safety incident per year will be caused by an IT security failure, leading to significant injury. “It is easy to imagine a scenario that an IT failure could have a physical safety outcome,” Rob McMillan, research director at Gartner, said in a June report. “The increasing complexities of connections means things and infrastructure with different levels of security are now interacting. It will be difficult to predict the risk that will arise.”

가트너는 2020년 경에는 매년 한 건 이상의 대형 사고가 IT 보안 때문에 발생할 것으로 예측했다. 가트너의 연구 디렉터인 롭 맥밀란은 지난 6월 발표한 리포트에서 "IT 문제가 물리적인 안전 사고로 이어지는 시나리오는 꽤 예측 가능하다"며 "날로 복잡해지는 연결성은 다양한 보안 수준의 사물과 기반 시설이 서로 교류를 하고 있다는 점을 뜻하며 이로 인해 불거질 위험을 예측하기는 어려울 것"이라고 말했다.

With more factories adopting IoT devices in their manufacturing, Penta Security Systems, a 20-year-old security software provider based in Seoul, jumped into the fledgling field of smart factory security solutions this year. The company provides encryption modules in both software and hardware form to improve the security of IoT devices in smart factories.

더 많은 공장들이 IoT 장치를 공정에 사용하기 시작하면서 서울의 '펜타 시큐리티' 시스템 올해 스마트 팩토리 보안 솔루션이라는 신규 영역에 뛰어들었다. 설립 20년을 맞은 이 보안 소프트웨어 회사는 소프트웨어와 하드웨어 형태로 암호화 모듈을 제공해 스마트 팩토리의 IoT 장치의 보안 수준을 높여준다.

“Smart factories have gained attention globally for their ability to innovate manufacturing process,” said Frank Han, chief evangelist at Penta Security Systems. “Collecting, monitoring and controlling manufacturing process-related data is crucial, but also important is guaranteeing that the data available is not intercepted and counterfeited. That’s where the need for building an optimal security system designed to block network attack comes from.”

'펜타 시큐리티' 프랭크 한 이사는 "스마트 팩토리는 제조 공정을 혁신할 수 있다는 점 때문에 주목을 받았다"며 "제조 공정 관련 데이터를 모으고, 감시하고 조정하는 것은 중요하지만 데이터를 누군가 중간에 가로챈 다음 위조하지 않도록 확인하는 것 또한 중요하다"고 말했다. 그는 또 이러한 이유로 네트워크 공격을 막을 수 있도록 최적의 보안 시스템을 구축하는 것이 필요한 것이라고 덧붙였다.

Tackling public threats

공공을 향한 공격에의 대처


The Korean government has only recently begun to tackle IoT security threats. Last year, the Ministry of Science and ICT released broad IoT security guidelines and followed up recently with more specific recommendations for how companies should cope with vulnerabilities in smart home devices and appliances. But the guidelines do not carry any legal obligations from manufacturers’ side yet.

한국 정부는 최근에서야 IoT 보안 공격에 대한 대책을 마련하기 시작했다. 과학기술정보통신부의 전신인 미래부는 지난해 IoT 가이드라인을 마련했고 최근에는 기업들이 어떻게 스마트 홈 장치들의 취약점에 대처해야 하는지에 대한 구체적인 대처 방안을 발표했다. 하지만 제조업체들이 그와 관련해 어떤 법적 책임을 져야 하는 지에 대해서는 아직 다루고 있지 않다.

“We are in a toddler status when it comes to IoT security,” said Park Chang-youll, head of the IoT security technology team at the Korea Information Security Agency. “The previously predominant view was that reinforcing security features from the early stage of product development could slow down and even hamper the process. Only since 2014 has the government been gradually aware of the importance of security-related policies.”

한국인터넷진흥원 박창열 IoT 보안기술팀장은 "IoT 보안 관련 한국은 아직 걸음마 단계에 있다"며 "과거에는 제품 개발 초기 단계부터 보안 기능을 넣으면 개발이 늦어지거나 방해받을 수 있다고 생각했지만 2014년부터는 차츰 보안 관련 정책의 중요성에 대해 깨닫기 시작했다"고 전했다.

Kim Seung-joo, a professor at Korea University’s Department of Cyber Defense and Graduate School of Information Security, argues that authorities in Korea should upgrade their understanding of overall security issues.

김승주 고려대 정보보호대학원 교수는 정부가 보안 문제 전반에 대한 이해도를 높여야 한다고 주장했다.

“There are only three Korean security firms listed among the top 500 in the world,” he said. “It is high time that the government move away from thinking security is merely about personal information leakage or web page paralysis.”

그는 "세계 500위권 안에 드는 보안 회사 가운데 한국 회사는 단 세 곳뿐"이라며 "정부는 보안 문제를 개인 정보 유출이나 웹 페이지 마비 이상의 수준으로 생각할 필요가 있다"고 말했다.

Kim was referring to the Cybersecurity 500 index from Cybersecurity Ventures, an industry information provider, which showed three Korean companies among the 500 most innovative companies in cybersecurity during the second quarter this year. The three companies were AhnLab, a 22-year-old antivirus software developer that ranked 104th; SEWorks, which placed 363rd; and Fasoo, a 17-year-old data security firm that captured 460th.

김 교수는 사이버시큐리티벤처스가 발행한 사이버시큐리티 500 인덱스를 인용했다. 올해 2분기 세계 500대 보안 기업에 포함된 세 곳의 한국 회사는 세계 104위를 차지한 안랩, 363위 에스이웍스, 그리고 460위 파수닷컴이다.

The 500 companies were from 136 countries, with 120 of them coming from Silicon Valley. Twenty-two came from the Asia-Pacific region, and that figure represents a twofold increase from last year.

500위권 안에 든 회사들은 모두 136개 국 출신이었으며, 그 중 120개 회사가 미국 실리콘밸리에서 나왔다. 22개 회사는 아시아 태평양에 기반을 두고 있다. 이는 지난해에 비해 두 배로 늘어난 숫자다.

“Korea has low awareness of security, and even related industries tend to find one-time solutions after an incident occurs rather than consistently implementing preventive measures,” said Hong of SEWorks. Even if any security failures take place at a certain company, it faces few legal liabilities, and the level of penalties including fines is lower than in other advanced countries like the United States. Hong recommended the government amend regulations to require better security from tech companies.

에스이웍스의 홍 대표는 "한국은 보안에 대한 인식이 낮은 편이며, 관련 산업에서조차 지속적으로 예방 조치를 취하기보다 사고가 난 후에야 단발적인 해결책을 내놓는 경우가 많다"고 말했다.

그는 "한국은 보안에 문제가 생긴 회사에 대한 법적 제재와 처벌이 미국 등 다른 나라에 비해 적은 편"이라며 "한국 정부는 기술 기업들이 보안 수준을 높이도록 관련 규정을 개정해야 한다"고 주장했다.

Beyond IoT

IoT를 넘어서면


The range of products connected to the internet is growing, and automobiles have been one of the biggest. By IHS Markit’s estimates, over 112 million connected vehicles are running on roads worldwide. New technology is turning cars into computers on wheels, as more vehicles are embedded with special-purpose computers known in the industry as electronic control units.

인터넷과 연결된 제품의 범주는 점차 넓어지고 있다. 그 가운데 자동차 분야가 가장 두드러진 성장세를 보이고 있다. IHS 마켓에 따르면 현재 전세계에는 1120만 대의 커넥티드 카(connected cars)가 주행 중인 것으로 추정된다. 점점 더 많은 자동차에 전자제어 장치로 알려진 특수 목적의 컴퓨터가 깔림에 따라 자동차들은 빠르게 바퀴 달린 컴퓨터로 진화하고 있다.

Today, a car typically carries 50 to 60 electronic control units and more than 80 microprocessors, and electric vehicles have much more. That means each of these electronic components — the engine, transmission, sensors, GPS, radio or climate control — can serve as a gateway for hackers to get into one’s car. They may easily locate a car’s location or break into one of numerous controls.

오늘날 자동차 한 대에는 50~60개의 전자제어 장치와 80개 이상의 마이크로 프로세서가 들어 있다. 전기차에는 이런 부품들이 훨씬 많이 들어 있다. 엔진, 변속장치, 센서, GPS, 라디오, 실내 온도 조절기 등의 전자 부품들이 모두 해커가 자동차로 침투할 수 있는 관문 역할을 할 수 있다는 얘기다. 해커들은 차의 위치를 쉽게 알아내고 수많은 장치 가운데 한 곳으로 잠입할 수 있다.

A legendary demonstration in July 2015 by two security researchers, Charlie Miller and Chris Valasek, of a hack into a 2014 Jeep Cherokee SUV showed how they were able to access the vehicle’s computer system and then rewrite the firmware to plant a malicious code that makes it possible for them to take control of the car.

2015년에 보안 전문가 찰리 밀러와 크리스 발라섹은 2014년형 지프 체로키 SUV를 대상으로 한 전설적인 해킹 실험을 통해 자동차의 컴퓨터 시스템에 접근, 펌웨어에 악성코드를 심어 차를 통제할 수 있게 조작하는 과정을 보여줬다.

They were able to remotely control air-conditioning, steering, brakes and transmission, and the scene of the car’s remotely disabled brakes — sending it careening into a ditch — delivered a shockwave across the globe. In response to the researchers’ demonstration, Chrysler recalled a whopping 1.4 million units of the hack-prone Jeep.

그들은 원격으로 에어컨 뿐 아니라 조종장치, 브레이크, 변속장치를 조종할 수 있었으며, 원격으로 브레이크를 무기력화시켜 차가 배수로에 처박히게 했다. 이 장면은 전세계에 충격을 줬다. 이 시범의 여파로 크라이슬러는 지프 차량 140만 대를 리콜했다.

With autonomous driving likely to be commercialized as early as 2025, the dangers of leaving vehicle operation to a computer will only multiply. “Cybersecurity will be one of the toughest challenges that the auto industry will face in the next decade or two,” said Colin Bird, a senior analyst of connected car consumer insights at IHS Markit.

이르면 2025년 경에는 자율주행이 도입될 것으로 예상되는 상황에서 자동차의 운행을 컴퓨터에게 맡기는 데서 오는 위험은 더 커질 것이다. IHS 마켓 커넥티드카 소비자 인사이트의 선임 애널리스트인 콜린 버드는 "사이버 보안은 자동차 산업이 향후 10~20년 간 맞닥뜨릴 가장 어려운 도전 중 하나가 될 것"이라고 말했다.

The main approach to address the growing problem is developing and installing multiple cybersecurity software programs to protect key electronic control units. One Korean start-up, Fescaro, has developed security software that automakers and parts suppliers can embed in their electronic control units. A start-up working in car security is a rarity within Korea, where some 150 start-ups are engaged in security but few of them have shown distinguished accomplishment in international arena.

이 문제에 대한 주요 해결책은 전자제어 장치를 보호하기 위한 복수의 사이버 보안 소프트웨어 프로그램을 개발하고 설치하는 것이다. 한국의 스타트업 '페스카로'는 자동차 제조사와 부품 업체들이 전자제어 장치에 적용할 수 있는 보안 소프트웨어를 개발했다. 한국에는 자동차 보안 분야의 스타트 업이 드문 상황이다. 150여 개 보안 스타트업이 있지만 세계적으로 주목받는 회사는 많지 않다.

Hong Seok-min, who founded Fescaro last year, says automotive security has a high barrier largely because it requires knowledge in both cars and information technology. Mainstream carmakers have been hiring an increasing number of electrical engineers and IT specialists.

지난해 페스카로를 설립한 홍석민 대표는 자동차 보안은 자동차 뿐 아니라 IT에 대한 지식을 필요로 하기 때문에 진입 장벽이 높다고 말한다. 주요 자동차 제조업체들은 점차 많은 수의 전기 엔지니어와 IT 전문가들을 채용하고 있다.

Himself a former engineer in charge of electronic control unit security at a Hyundai Motor affiliate, Hong underscored the importance of keeping cars secure by saying, “A single hack of a vehicle could claim human lives, the worst-case scenario one can imagine.”

현대자동차 계열사에서 전자제어장치 보안 담당 엔지니어로 근무한 경력이 있는 홍 대표는 "단 한 번의 자동차 해킹이 사람의 목숨을 빼앗는 최악의 상황을 불러일으킬 수 있다"며 자동차 보안의 중요성을 강조했다.

Outside of Korea, over-the-air security is coming into force with Tesla cars receiving software updates over the internet. Escrypt, a subsidiary of Bosch, the leading car parts supplier, is gearing up to provide security capabilities to cars via wireless networks. General Motors also announced recently that it would begin delivering updates to vehicles over its wireless OnStar network. In the longer run, integral electrical architectures within vehicles will be designed from the ground up with cybersecurity in mind, IHS predicts.

테슬라 자동차가 인터넷으로 소프트웨어 업데이트가 가능한 것처럼 무선으로 보안을 강화하는 방법도 해외에서 개발됐다. 세계적인 자동차 부품 업체인 보쉬의 자회사인 '에스크립트'는 무선 네트워크를 통해 자동차 보안 기능을 제공할 채비를 하고 있다. 제너럴 모터스 또한 최근 자체 무선 네트워크인 '온스타'를 통해 업데이트를 제공하겠다고 발표했다. IHS 마켓은 나중에는 자동차 내부의 필수적인 전기 시스템이 초기 단계부터 사이버 보안을 염두에 두고 디자인될 것이라고 예측했다.

Combating cyberterrorism

사이버 테러와의 전쟁


Cybersecurity threats on a larger scale affecting critical infrastructure are not unimaginable, either. Last year, dozens of South Korean vessels suffered a GPS jamming that was serious enough to force them back to port. North Korea is accused of masterminding the jamming.

주요 사회 기반 시설에 영향을 미치는 대규모의 사이버 보안 위협 또한 이제는 상상의 영역을 벗어났다. 지난해 한국에서는 수십 척의 어선들이 GPS 교란을 겪은 이후 조업을 포기하고 항구로 돌아와야 했다. 북한이 이 도발의 배후였던 것으로 알려졌다.

A more terrifying example of cyberterrorism was detailed in a June report by the British American Security Information Council. The London-based think tank said that a successful cyberattack on Britain’s nuclear submarines could “neutralize operations, lead to loss of life, defeat or perhaps even the catastrophic exchange of nuclear warheads (directly or indirectly).”

더 공포스러운 사이버 테러의 예는 영미안보정보협의회가 지난 6월 발간한 리포트에 담겼다. 영국 런던에 위치한 이 연구소는 영국의 핵잠수함에 대한 사이버 공격이 성공한다면 "목숨을 빼앗을 뿐 아니라 직간접적인 핵탄두 교환이라는 재앙적인 상황을 불러일으킬 수도 있다"고 주장했다.

Professor Kim of Korea University said significant attention is needed to the imminent threat of weapons connected over the network, especially given today’s dynamic security landscape involving North Korea and the United States.

고려대 김승주 교수는 북한과 미국을 둘러싼 현재의 불안한 안보 상황에서는 특히 네트워크에 연결된 무기로 인해 발생할 수 있는 위협에 큰 관심을 기울일 필요가 있다고 말했다.

“Unlike traditional weapons, the latest series of weapons in development are connected wirelessly for navigation and are powered by artificial intelligence,” he said. “These ‘cyber weapons’ are never free from cyber intrusions. It’s high time that South Korea upgrade its overall cyber defense system encompassing development, procurement, operation and evaluation of weapons, which has long remained in old form.”

"전통적인 무기와 달리 최근에 개발된 무기들은 내비게이션을 위해 무선으로 연결됐으며 인공지능에 기반을 둔다"며 "이러한 사이버 무기들은 사이버 침입으로부터 결코 자유롭지 못하기 때문에 한국 정부는 재래식 무기를 포함해 모든 무기의 개발, 조달, 운영, 평가를 아우르는 사이버 방위 시스템을 업그레이드해야 한다"고 말했다.

In the face of escalating military tensions, U.S. President Donald Trump in August elevated the status of the Pentagon’s U.S. Cyber Command to help spur development of cyber weapons to deter attacks, punish intruders and tackle adversaries.

군사적 긴장감이 높아짐에 따라 도널드 트럼프 미국 대통령은 지난 8월 공격을 억제하고 침입자를 체벌하고 적대국을 물리치기 위한 사이버 무기의 개발을 서두르기 위해 펜타곤의 사이버 지휘부를 격상시켰다.


서지은 기자 SEO JI-EUN [seo.jieun@joongang.co.kr]