[IT 전문 블로그 미디어=딜라이트닷넷]

“방어기법을 개발하기 위해서는 공격기법을 연구해야 한다. 이는 단순히 특정 기업이나 기관의 문제가 아니라 국가 차원의 사이버보안 수준에 영향을 미친다.”


블랙펄시큐리티의 공동 창업자인 심준보 기술이사(CTO)는 ‘오펜시브 시큐리티’의 필요성을 이같이 강조하면서 기업은 물론, 국가 차원에서도 이 분야가 좀 더 활성화될 수 있도록 노력 기울여야 한다고 견해를 밝혔다.


사용자 삽입 이미지
그 이유로 심 이사는 “해커들로부터 실제 공격 받는 경험을 갖는다는 것은 아주 값지다. 향후 방어를 위한 정책을 수립하는데 있어 중요하다”며 “공격자는 일단 공격을 감행하면 시스템이 무조건 뚫린다는 것을 가정한다. 부족한 현재 수준을 점차 줄여나가는 것이 보안을 강화하는 과정이 된다”고 말했다. 우리나라가 안타까운 세월호 침몰 사건을 경험한 이후 선박에 대한 안전문제, 국가 재난 대처 수준과 방식을 재점검하고 새롭게 수립하게 된 것과 같은 맥락이라는 것이 그의 얘기다.


오펜시브 보안 사업의 대표적인 유형으로는 대개 기업의 인프라를 대상으로 한 모의해킹과 소프트웨어 제품의 취약점 점검이 꼽힌다. 인프라나 제품에 존재하는 취약점을 알아내 침투가 가능한지 테스트를 수행해 나온 결과를 바탕으로 보안 컨설팅을 수행하는 것이다.


심 이사는 오펜시브 시큐리티 기업들이 제공하는 모의해킹 방식은 그동안 국내 보안업계에서 정보보호컨설팅 업체들이 정보통신기반보호법에 따라 의무화돼 있는 주요 정보통신기반시설을 대상으로 수행해온 방식과는 차별점이 있다고 강조했다.


그는 “모의해킹은 화이트박스 테스팅과 블랙박스 테스팅으로 구분된다. 화이트박스 테스팅은 기업에 앞으로 해킹을 진행할 모든 정보를 알려준 상태에서 한정된 대상에 대해 수행하는 것”이라며 “오펜시브 보안 기업들에게 의뢰하는 최근의 요구는 주로 블랙박스 테스팅으로, 국내에서는 휴대폰 제조사 등 대기업이 출시하는 신제품이 많다”고 설명했다.


또한 “기업의 감사팀이 보안팀이나 기업 보안수준을 진단하기 위해 침투테스트를 벌이는 경우도 있으나 아직 그 수요는 많지 않다. 하지만 점차 늘어나고 있는 추세”라고 덧붙였다.


심 이사는 블랙박스 테스팅이 보다 효과적이 되려면 특정 제품이나 기업 차원의 요구를 넘어 국가 차원에서 진행할 필요가 있다는 점을 강조했다. 이를 위해서는 “국가사이버보안 강화를 위해 민·관·군이 공동 대응해야 하고 민간 전문가들과의 적극적인 참여와 공조를 유도해야 한다”며 “을지훈련이나 사이버민방위훈련처럼 주기적으로 전 국민이 참여할 수 있는 체계가 필요하다”고 제안했다.


블랙펄시큐리티는 2011년 11월 설립된 기업으로 5년차에 접어들었다. 현재 취약점 분석과 보안 컨설팅뿐 아니라 교육 사업도 벌이고 있다. 심 이사는 한국정보기술연구원(KITRI)에서 주관하는 차세대 보안리더 양성 프로그램(Best of the Best, BoB) 멘토로 활동하고 있다.


그는 블랙펄시큐리티의 강점으로 “취약점을 가장 잘 찾을 수 있다고 자부한다. 이슈가 됐던 홈트레이딩시스템(HTS) 취약점을 공표했고 한글과컴퓨터의 한글 제로데이 취약점을 잇달아 찾아 보고한 적이 있다. 스카다(SCADA), 지하철망 등 기반시설 시스템 취약점을 분석하는데 전문성을 갖고 있다”고 말했다.


심 이사는 “우리나라는 정보보호 관련법이 견고한 반면에 해커 커뮤니티가 잘 돼 있는 국가다. 다만 정부지원은 거의 없다. ‘사이버보안’은 돈이 안된다고 할만큼 그동안 해커들이 돈을 벌기에도 힘든 조건에 있었다”며 “회사를 설립한 것도 기술수준이 우수하지만 일반 기업의 조직문화에 적응하지 못하는 해커들도 다닐 수 있고 맘껏 연구할 수 있는 환경을 제공하고 싶었기 때문이다. 소수정예로 운영하면서 잘 먹고 잘 사는 기업을 만들자는 것이 목표”라고 강조했다.


이어 사업적 측면에서는 “국내 시장에서 보안 사업은 레드오션이다. 이같은 레드오션을 블루오션으로 만들 수 있는 전략이나 돌파구가 바로 ‘오펜시브 시큐리티’”라고 진단했다.


[이유지기자의 블로그=안전한 네트워크 세상]

댓글 쓰기

저작권자 © 딜라이트닷넷 무단전재 및 재배포 금지