미래창조과학부와 한국인터넷진흥원(KISA)은 2014년을 전 세계적으로 많이 사용하는 오픈소스 등에서 고위험 취약점이 연이어 출현하고 공유기 등 다양한 형태의 침해사고가 발생하면서 보안위협이 고조됐던 한해로 8일 평가했다.

또 올해는 고도화·지능화되는 APT(Advanced Persistent Threat) 공격, 취약점 출현, 스미싱 등 전자금융사기, 사물인터넷(IoT) 보안위협이 증가할 것이니 사이버보안 대응체계를 지속적으로 강화하겠다고 밝혔다.

미래부는 먼저 스마트폰 이용이 활성화되면서 전자금융사기 및 악성앱 등 모바일 위협이 지속적으로 증가하고 있다며 악성 앱 탐지건수가 2014년 4천48건으로 2013년 2천351건 대비 72% 증가했다고 밝혔다.

피싱·파밍·스미싱 차단건수는 2013년 1만311건에서 2014년 1만5천470건으로 50% 상승했다.

미래부는 올해도 공공기관이나 지인을 사칭해 이용자를 현혹하거나 사회적 이슈를 악용한 스미싱이 계속되고 새로운 방식(캡차코드 등)이 출현해 스미싱 대응이 한층 어려워질 것으로 전망했다.
미래부는 "악성 앱 모니터링과 모바일 보안을 강화해야 할 것"이라며 "이용자도 피해를 예방하기 위해 신뢰할 수 없는 사이트는 방문하지 않고 출처가 불명확한 문자·URL은 클릭하지 않아야 한다"고 당부했다.

두 번째로 지난해는 다수의 홈페이지 장애를 동시에 유발하는 DNS 대상 공격, 5G 이상의 파급력 높은 디도스 공격이 발생한 것으로 분석됐다.

2014년 탐지된 디도스 공격은 총 110건으로 2013년(116건)과 유사한 수준이나 5G 이상 공격이 15%(17건)가 발생했고 DNS 대상 공격도 25%(27건)로 큰 비중을 차지했다.

올해도 파급력이 큰 DNS 대상 공격이 지속되고 다량의 패킷을 전송해 시스템의 과부하를 일으키는 공격도 증가할 것으로 보인다.

공격방식도 PC뿐만 아니라 서버, IoT 기기 등을 이용한 공격이 증가할 것으로 예상된다.

이에 대응해 기업들은 디도스 공격을 사전 탐지할 수 있는 시스템을 갖추고 디도스 공격 발생 시 사이버대피소를 활용하는 등 더 체계적인 디도스 대응체계를 갖출 필요가 있다.

2014년 악성코드 유포지는 2013년 4천472건에서 2014년 2천583건으로 42% 감소했다.

하지만, 악성코드 경유지는 240% 증가해 단시간 내 많은 좀비 PC를 확보하기 위한 방향으로 진화했다.

또 허트블리드로 명명됐던 OpenSSL 취약점, NTP(네트워크 타임 프로토콜) 취약점 등 고위험도의 취약점이 발견되면서 사이버 보안 위협이 고조됐다.

미래부는 "올해도 단기간에 대량의 좀비PC를 확보하기 위해 다수의 악성코드 경유지가 악용되고 유포채널도 이메일, SNS, P2P 등 다양한 방식으로 변화해 나갈 것"이고 "오픈소스 사용이 확대됨에 따라 오픈소스 취약점을 악용한 공격도 늘어날 것"이라고 예상했다.

또 "사이버 범행은 최근 소니픽처스, 한국수자원전력 사고와 같이 주요 정보를 유출해 협박 수단으로 이용하거나 유출 정보를 공개하는 등 사회적 혼란을 야기하는 새로운 양상으로 진화하고 있다"며 "APT 공격 등에 대비한 주기적인 모의훈련 및 통합보안 체계 구축 등 대응체계를 강화하고 이용자들은 백신 업데이트 등 보안조치를 수행해야 할 것"이라고 강조했다.

다음으로 IoT 환경이 도래하면서 국내에서도 유무선 공유기, 홈CCTV 등의 보안취약점을 악용한 침해사고가 발생하는 등 IoT 보안 위협이 등장했다.

미래부는 "이에 대비하기 위해 IoT 기기에 대한 사용자 인증을 강화하고 제품 기획·설계단계부터 정보보호를 고려하는 등 제조사·이용자들이 더욱 보안을 강화해야 할 것"이라며 "정부는 관계기관과 협업해 기반시설, 다중이용 서비스를 점검하고 '사이버 위협정보 분석·공유시스템'을 고도화하는 등 안전한 IoT 이용환경을 조성해 나갈 예정"이라고 밝혔다.

그러면서 "사이버 공격에 대응하는 정부의 노력과 함께 기업, 이용자 등 주체별로 피해 예방을 위한 대비가 중요하다"며 "주요 시설 및 기업에서는 정보보호 관련 인력을 강화하는 한편 최신 공격방법을 반영해 실질적인 모의훈련을 하고, 이용자들은 최신 보안 업데이트 및 백신 검사 둥 보안수칙 이행을 생활화해야 한다"고 권고했다.