[IT 전문 블로그 미디어=딜라이트닷넷]

방어기법을 개발하기 위해서는 공격기법을 연구해야 한다. 이는 단순히 특정 기업이나 기관의 문제가 아니라 국가 차원의 사이버보안 수준에 영향을 미친다.”


블랙펄시큐리티의 공동 창업자인 심준보 기술이사
(CTO)오펜시브 시큐리티의 필요성을 이같이 강조하면서 기업은 물론, 국가 차원에서도 이 분야가 좀 더 활성화될 수 있도록 노력 기울여야 한다고 견해를 밝혔다.


사용자 삽입 이미지
그 이유로 심 이사는
해커들로부터 실제 공격 받는 경험을 갖는다는 것은 아주 값지다. 향후 방어를 위한 정책을 수립하는데 있어 중요하다공격자는 일단 공격을 감행하면 시스템이 무조건 뚫린다는 것을 가정한다. 부족한 현재 수준을 점차 줄여나가는 것이 보안을 강화하는 과정이 된다고 말했다. 우리나라가 안타까운 세월호 침몰 사건을 경험한 이후 선박에 대한 안전문제, 국가 재난 대처 수준과 방식을 재점검하고 새롭게 수립하게 된 것과 같은 맥락이라는 것이 그의 얘기다.


오펜시브 보안 사업의 대표적인 유형으로는 대개 기업의 인프라를 대상으로 한 모의해킹과 소프트웨어 제품의 취약점 점검이 꼽힌다
. 인프라나 제품에 존재하는 취약점을 알아내 침투가 가능한지 테스트를 수행해 나온 결과를 바탕으로 보안 컨설팅을 수행하는 것이다.


심 이사는 오펜시브 시큐리티 기업들이 제공하는 모의해킹 방식은 그동안 국내 보안업계에서 정보보호컨설팅 업체들이 정보통신기반보호법에 따라 의무화돼 있는 주요 정보통신기반시설을 대상으로 수행해온 방식과는 차별점이 있다고 강조했다.


그는 모의해킹은 화이트박스 테스팅과 블랙박스 테스팅으로 구분된다. 화이트박스 테스팅은 기업에 앞으로 해킹을 진행할 모든 정보를 알려준 상태에서 한정된 대상에 대해 수행하는 것이라며 오펜시브 보안 기업들에게 의뢰하는 최근의 요구는 주로 블랙박스 테스팅으로, 국내에서는 휴대폰 제조사 등 대기업이 출시하는 신제품이 많다고 설명했다.


또한 기업의 감사팀이 보안팀이나 기업 보안수준을 진단하기 위해 침투테스트를 벌이는 경우도 있으나 아직 그 수요는 많지 않다. 하지만 점차 늘어나고 있는 추세라고 덧붙였다.


심 이사는 블랙박스 테스팅이 보다 효과적이 되려면 특정 제품이나 기업 차원의 요구를 넘어 국가 차원에서 진행할 필요가 있다는 점을 강조했다. 이를 위해서는 국가사이버보안 강화를 위해 민··군이 공동 대응해야 하고 민간 전문가들과의 적극적인 참여와 공조를 유도해야 한다을지훈련이나 사이버민방위훈련처럼 주기적으로 전 국민이 참여할 수 있는 체계가 필요하다고 제안했다.


블랙펄시큐리티는 201111월 설립된 기업으로 5년차에 접어들었다. 현재 취약점 분석과 보안 컨설팅뿐 아니라 교육 사업도 벌이고 있다. 심 이사는 한국정보기술연구원(KITRI)에서 주관하는 차세대 보안리더 양성 프로그램(Best of the Best, BoB) 멘토로 활동하고 있다.


그는 블랙펄시큐리티의 강점으로 취약점을 가장 잘 찾을 수 있다고 자부한다. 이슈가 됐던 홈트레이딩시스템(HTS) 취약점을 공표했고 한글과컴퓨터의 한글 제로데이 취약점을 잇달아 찾아 보고한 적이 있다. 스카다(SCADA), 지하철망 등 기반시설 시스템 취약점을 분석하는데 전문성을 갖고 있다고 말했다.


심 이사는 우리나라는 정보보호 관련법이 견고한 반면에 해커 커뮤니티가 잘 돼 있는 국가다. 다만 정부지원은 거의 없다. ‘사이버보안은 돈이 안된다고 할만큼 그동안 해커들이 돈을 벌기에도 힘든 조건에 있었다회사를 설립한 것도 기술수준이 우수하지만 일반 기업의 조직문화에 적응하지 못하는 해커들도 다닐 수 있고 맘껏 연구할 수 있는 환경을 제공하고 싶었기 때문이다. 소수정예로 운영하면서 잘 먹고 잘 사는 기업을 만들자는 것이 목표라고 강조했다.


이어 사업적 측면에서는 국내 시장에서 보안 사업은 레드오션이다. 이같은 레드오션을 블루오션으로 만들 수 있는 전략이나 돌파구가 바로 오펜시브 시큐리티’”라고 진단했다.


[이유지기자의 블로그=안전한 네트워크 세상]
2015/09/23 14:39 2015/09/23 14:39
[IT 전문 블로그 미디어=딜라이트닷넷]

국내 정보보호 업계에 ‘젊은’ 해커들이 잇달아 뛰어들어 ‘오펜시브 시큐리티’, ‘오펜시브 리서치’라는 새로운 영역을 개척하고 있다.

‘데프콘’·‘블랙햇’같은 세계적인 해킹·보안 대회에 진출해 이름을 날리거나 국내 해킹방어대회에서 여러 차례 우승한 전적을 가진 해커들이 회사를 설립하면서 생겨나고 있는 새로운 조류다.


몇 년 전만 해도 해커 출신이 설립한 보안업체는 홍민표 대표가 설립한 에스이웍스와 허영일 대표가 이끄는 NSHC만 알려져 있었다. 하지만 이들도 백신, 모바일 보안 제품같은 ‘방어기술’ 영역의 솔루션을 제공하는데 주력했다. (지난 2010년 당시 주목할만한 신생업체로 홍 대표가 에스이웍스 이전에 설립한 쉬프트웍스(인프라웨어에 매각)와 NSHC 두 기업을 <딜라이트닷넷>에서 살짝 다룬 적이 있었다. 관련 포스팅 : 스마트폰 혁명과 함께 주목되는 신생 보안업체)

국내외에서 이름이 알려진 해커인 이승진 대표가 설립한 그레이해쉬나 심준보 기술이사(CTO)가 공동 창업한 블랙펄시큐리티 등은 공격자의 입장에서 공격기법을 연구하는 ‘오펜시브 리서치’ 분야의 전문성을 내세운 기업이다.

이를 바탕으로 기업에 보안수준 진단, 취약점 점검을 비롯한 보안 컨설팅과 교육 서비스를 제공하고 있다. NSHC 역시 기존 솔루션 사업 부문 외에 공격기법을 연구하는 오펜시브 리서치 부문을 강화하고 있다.


해커 출신인 허영일 대표가 해외로 나가 이 부문을 이끌면서 활발하게 오펜시브 리서치 기반의 차별화된 보안 서비스 제공에 나서고 있다. ‘창’과 ‘방패’ 분야의 전문성을 모두 손에 쥐고 국내외에서 한층 경쟁력 있는 보안기업으로 성장해나가겠다는 목표다.

이들 외에는 해킹방어대회 등에서 여러차례 우승하면서 이름을 알린 박찬암씨도 ‘오펜시브 리서치’ 기업인 스틸리언을 창업했다. 와우해커를 이끌며 오랫동안 활동해온 홍동철 에스이웍스 최고기술책임자(CTO)도 최근 엠시큐어를 설립해 해커 출신 기업가 대열에 동참했다.

<딜라이트닷넷>은 창간 6주년 기획으로 이승진 그레이해쉬 대표와 심준보 블랙펄시큐리티 이사, 그리고 NSHC 국내 및 일본 사업을 총괄하는 최병규 본부장을 만나 오펜시브 분야에 대한 견해와 사업 얘기를 들어봤다. 앞으로 다른 해커 출신 기업가들도 만나볼 계획이다.


사용자 삽입 이미지
‘오펜시브(Offensive) 시큐리티’는 공격기법과 공격에 악용될만한 취약점을 연구하는 분야로, 선제적인 보안의 개념이다. 그동안 국내에서는 생소했지만 유명 해커 출신이 설립한 기업들이 잇달아 ‘오펜시브 리서치’ 전문성을 내세우며 등장, 활약상이 알려지면서 최근 한층 활성화되고 있다.

사업 영역은 주로 특정 제품에 대한 취약점을 찾고 시스템을 대상으로 침투테스트를 수행해 결과를 제공해 보안 컨설팅을 수행하는 분야와 해킹·보안 관련 교육 서비스를 제공하는데 집중돼 있다.

주로 기업이나 기관이 자체 시스템이나 제공할 서비스 상품과 인프라의 보안수준을 진단, 부족한 점을 보완해 보안성을 강화하기 위해 채택한다.

NSHC의 문해은 보안연구소 레드얼럿팀장은 ‘오펜시브 리서치’를 백신에 비유하며 “백신은 병에 걸리지 않을 정도로 병원균을 약화시켜 사전에 주입해 우리 몸이 병을 이겨내게 만들어 면역체계를 강화한다. 취약점과 부족한 부분을 찾아내 드러내기 때문에 관계자들(제품 개발이나 인프라 보안담당자)을 심각하게 만들 수는 있지만 결국 보안체계를 튼튼하게 하는 역할을 수행한다”고 설명하기도 했다.

해외에서 ‘오펜시브 시큐리티’ 사업 범위는 국내보다 넓다. 해외 관련업체들은 분석한 취약점을 국가기관이나 기업들에게 판매하거나 공격 도구와 기법을 개발, 판매까지 하는 등 보다 폭넓은 사업 범위를 갖고 있다.

<관련 포스팅>
: 그레이해쉬 “공격 기술을 알아야 방어도 가능”
: 블랙펄시큐리티 “해킹 경험은 보안수준 향상에 기여, ‘오펜시브’ 보안 분야 활성화 필요”

[이유지기자의 블로그=안전한 네트워크 세상]
2015/09/23 14:39 2015/09/23 14:39