[IT 전문 블로그 미디어=딜라이트닷넷]

이승진 그레이해쉬 대표는 “공격 기술을 알아야 방어도 가능하다. 새로운 공격기법이 끊임없이 개발되고 기존 보안 솔루션을 우회한 공격이 이뤄지는 상황에서는 공격자 입장에서 하는 연구가 필수적이다”며 ‘오펜시브 리서치’의 중요성을 이같이 설파했다.

이 대표는 지난 2013년 세계 최대 해킹·보안 컨퍼런스인 ‘블랙햇’에서 삼성전자 스마트TV의 취약점을 발표해 주목을 끌었다. 애플 iOS의 제로데이 취약점도 여러차례 발견, 이를 전달해 패치된 사례도 있다.

지난 2006년 아시아 최초로 ‘데프콘’ 본선 진출권을 따냈고 국내 해커로는 최다 진출한 경험을 갖고 있다.

보안업계에서는 2000년부터 활동해 왔다. 보안업체를 거쳐 사이버사령부에서 군복무를 하다 전역해 프리랜서로 활동해왔으며, 현재도 자문을 맡고 있다. 그레이해쉬 설립 당시에는 4명이 함께 시작했다. 벌써 구성원이 7명으로 늘어났다.

현재 그래이해쉬의 주요 사업은 보안 컨설팅이다. 정식 법인이 설립되기 이전인 2012년부터 삼성전자, 삼성SDS, SK커뮤니케이션즈, SK텔레콤, 네이버 NBP·라인 등 국내 유수의 기업 보안컨설팅을 맡았다. 이들 기업 대상으로 보안 자문이나 교육도 수행하고 있다.

정보보호 컨설팅은 모의해킹과 취약점 점검, 정보보호 마스터플랜 수립, 정보보호 인증 컨설팅 등 유형이 다양하다. 그레이해쉬가 집중하는 부문은 기업들이 출시하는 제품·서비스의 취약점을 분석하는 분야다.

이 대표는 “기업에서 회사 웹페이지나 인프라를 모의해킹하는 것과 판매하는 제품이나 서비스의 보안 취약점을 찾아달라는 요구를 받는다”며 “우리나라 모의해킹의 역사는 길다. 하지만 리버스엔지니어링으로 특정 제품의 취약점을 찾는 분야는 아직까지 경쟁자가 많지 않아 이 분야에 더욱 주력하고 있다”고 설명했다.

오펜시브 리서치나 제품 취약점 분석 컨설팅의 필요성으로 이 대표는 “제품을 개발할 때 개발자들이 보안을 고려해 개발하는 것이 필수적이다. 그리고 자체적으로 문제점을 발견할 수 있는 전문지식을 가진 팀을 운영해야 한다. 자체적으로 이를 수행한다고 하더라도 미처 발견하지 못하는 경우도 있기 때문에 또 다른 경로로 리뷰를 거칠 필요성이 있다”고 강조했다.

또한 “오펜시브 리서치는 보안이 필요한 모든 영역에서 활용될 수 있다”며 “모바일기기나 데스크톱, 사물인터넷(IoT), 스마트그리드에 이르기까지 보안이 필요한 모든 분야에서 확장하고 있다. 해외에서는 국방 부문까지 컨설팅을 제공하고 있다”고 말했다.

그레이해쉬는 교육 사업도 활발히 벌이고 있다. 주제별로 10~15명 규모로 이뤄지는 해킹·보안 트레이닝 프로그램을 상시 진행하고 있다. 이달에는 웹 해킹 실습, 웹브라우저 제로데이 헌팅을 비롯해 버그헌팅·익스플로잇화, 스마트폰해킹 등의 프로그램을 운영할 예정이다.

작년에는 ‘화이트해쉬(WhiteHash)’라는 보안 영재 장학 프로그램을 신설, 운영하면서 후배 해커도 양성하고 있다. 한국정보기술연구원(KITRI)에서 주관하는 차세대 보안리더 양성 프로그램(Best of the Best, BoB) 멘토로도 활동하고 있다.

그래이해쉬는 모바일 애플리케이션 난독화 솔루션도 개발했다. 현재 솔루션 사업 전략을 짜고 있는 상태다. 사업 전략에 따라 출시 시기 등을 정할 계획이다. 일본 등 해외 시장 출시가 유력하다.

이 대표는 “그레이해쉬의 궁극적인 지향점은 보안 솔루션 공급회사가 되는 것”이라며 “공격기술 연구를 바탕으로 개발된 차별화된 보안 솔루션을 제공하고 싶다”고 밝혔다.

[이유지기자의 블로그=안전한 네트워크 세상]

댓글 쓰기