[IT 전문 블로그 미디어=딜라이트닷넷]

NSHC는 모바일 백신, 모바일 앱 위변조 방지, 앱 난독화, 키보드 입력 보안 솔루션을 공급하고 있는 모바일 보안 전문기업이다. 국내 금융사와 공공기관, 게임사 등에 모바이 보안 제품을 활발히 공급해 왔다.

최근에는 모바일 게임 보안에 특화된 지엑스쉴드(GxShield)’와 핀테크 통합 보안 솔루션인 에프엑스쉴드(FxShiedl)’를 선보이면서 제품군도 대폭 확대했다.

모바일 백신, 앱 위협조 방지, 앱 난독화, 키보드 입력보안 제품으로 구성된 대표 제품군인 드로이드엑스(Droid-X 3.0)’는 국내뿐만 아니라 일본 13개 은행에도 공급하는 솔루션 사업을 활발히 벌이고 있다.

2년 전에는 싱가포르에 진출, 허영일 대표가 직접 상주하면서 동남아시아 시장 개척에도 나섰다.

싱가포르에서는 오펜시브 리서치를 중점적으로 벌이면서 보안 정보제공 서비스와 보안 교육 서비스를 활발 벌이고 있다. 멕시코·대만·홍콩의 경찰청에 보안 정보 서비스를 제공하고 있으며, 대만과 홍콩, 이란, 르완다, 사우디아라비아, 콜롬비아 국가기관 등에 보안교육을 제공하는 등 서비스 사업이 활발하다.

NSHC는 먼저 레드얼럿취약점·보안위협 정보 제공 서비스를 시작하더니 모의해킹 서비스와 보안 교육 서비스까지 확장했다.

NSHC 레드얼럿팀이 수행한 오펜시브 리서치는 최근 국내 보안업계에 잇달아 이슈화됐다. 중국 제조사 공유기 취약점과 가정용 CCTV·IP카메라의 취약점·백도어 기능을 찾아냈고 모바일 결제 앱의 취약한 보안 수준을 진단한 결과를 잇달아 발표해 주목받았다. 최근에도 NSHC는 국내 기업, 은행, 공공기관에서 사용하고 있는 R사의 국산 라우터에서 심각한 취약점을 발견해 위험성을 공개하기도 했다.

사용자 삽입 이미지
오펜시브 리서치와 이를 바탕으로 한 보안 서비스에 적극 뛰어든 이유로 최병규 NSHC 경영전략본부 본부장은 사후 대응에 해당하는 방패만으로는 보안을 성숙시킬 수 없다. 사이버보안을 위해서는 예방이 중요하기 때문이라며 오펜시브 리서치는 바로 예방을 위한 것으로 보안을 위해 필요한 취약점과 위협 관련 정보를 주나 월, 분기 단위로 제공하고 있으며 취약점 모의해킹 서비스, 보안 교육까지 수행하고 있다고 말했다.

최 본부장은 “NSHC는 실제 해커와 같은 조건에서 모의해킹 서비스를 제공한다. 특정 제품을 대상으로 블랙박스 테스트를 하고 있다. 기존에 모의해킹이나 취약점 분석은 체크리스트 수준으로 해온 것과는 차별화된다고 부각했다.

그는 오펜시브 보안 분야가 사이버보안을 위해 더욱 활성화돼야 한다는 점을 강조했다.

실제로 구글, 마이크로소프트, 페이스북같은 글로벌 기업들이 상금을 내걸고 취약점을 찾아 달라는 버그바운티를 수행하고 있다. 이들이 버그바운티 프로그램을 포함해 다양한 오펜시브 리서치를 수행하는 이유는 제공하는 제품과 서비스의 보안을 향상시킬 수 있기 때문이다. 하지만 이 역시도 모바일 OS나 웹 브라우저 분야에서 활발히 이뤄지고 있지만, 개발기업 대부분, 특히 국내 기업들은 버그나 에러가 발견되더라도 이같은 사실을 숨기는데 급급한 수준이라는 게 최 본부장의 지적이다.

최 본부장은 보안위협 정보 서비스 요구는 많지만 아직까지 성공한 모델은 없다. 국내에서 오펜시브 리서치나 관련 컨설팅, 모의해킹 수요도 생각보다 많지 않은 상황이라며 오펜시브 리서치는 의사결정이 C(경영진)레벨에서 수행돼야 한다. 자칫 개발자 잘못이 될 수 있기 때문에 실무진들은 피하려고 한다. 이 점이 가장 어렵다고 지적했다.

컨설팅과 서비스 사업을 동남아시아지역 사업을 벌이는 싱가포르 법인에서 주도하고 있는 이유도 이와 관련돼 있다는 것이 그의 설명이다.

최 본부장은 “NSHC는 창과 방패를 모두 갖추고 제공하는 유일한 기업으로 지속 성장해 나갈 것이라며 아시아 넘버원 사이버보안 회사로 도약하기 위해 오는 2018년 싱가포르 법인 상장을 목표로 하고 있다고 포부를 밝혔다.

[이유지기자의 블로그=안전한 네트워크 세상]


2015/09/23 14:39 2015/09/23 14:39
[IT 전문 블로그 미디어=딜라이트닷넷]

방어기법을 개발하기 위해서는 공격기법을 연구해야 한다. 이는 단순히 특정 기업이나 기관의 문제가 아니라 국가 차원의 사이버보안 수준에 영향을 미친다.”


블랙펄시큐리티의 공동 창업자인 심준보 기술이사
(CTO)오펜시브 시큐리티의 필요성을 이같이 강조하면서 기업은 물론, 국가 차원에서도 이 분야가 좀 더 활성화될 수 있도록 노력 기울여야 한다고 견해를 밝혔다.


사용자 삽입 이미지
그 이유로 심 이사는
해커들로부터 실제 공격 받는 경험을 갖는다는 것은 아주 값지다. 향후 방어를 위한 정책을 수립하는데 있어 중요하다공격자는 일단 공격을 감행하면 시스템이 무조건 뚫린다는 것을 가정한다. 부족한 현재 수준을 점차 줄여나가는 것이 보안을 강화하는 과정이 된다고 말했다. 우리나라가 안타까운 세월호 침몰 사건을 경험한 이후 선박에 대한 안전문제, 국가 재난 대처 수준과 방식을 재점검하고 새롭게 수립하게 된 것과 같은 맥락이라는 것이 그의 얘기다.


오펜시브 보안 사업의 대표적인 유형으로는 대개 기업의 인프라를 대상으로 한 모의해킹과 소프트웨어 제품의 취약점 점검이 꼽힌다
. 인프라나 제품에 존재하는 취약점을 알아내 침투가 가능한지 테스트를 수행해 나온 결과를 바탕으로 보안 컨설팅을 수행하는 것이다.


심 이사는 오펜시브 시큐리티 기업들이 제공하는 모의해킹 방식은 그동안 국내 보안업계에서 정보보호컨설팅 업체들이 정보통신기반보호법에 따라 의무화돼 있는 주요 정보통신기반시설을 대상으로 수행해온 방식과는 차별점이 있다고 강조했다.


그는 모의해킹은 화이트박스 테스팅과 블랙박스 테스팅으로 구분된다. 화이트박스 테스팅은 기업에 앞으로 해킹을 진행할 모든 정보를 알려준 상태에서 한정된 대상에 대해 수행하는 것이라며 오펜시브 보안 기업들에게 의뢰하는 최근의 요구는 주로 블랙박스 테스팅으로, 국내에서는 휴대폰 제조사 등 대기업이 출시하는 신제품이 많다고 설명했다.


또한 기업의 감사팀이 보안팀이나 기업 보안수준을 진단하기 위해 침투테스트를 벌이는 경우도 있으나 아직 그 수요는 많지 않다. 하지만 점차 늘어나고 있는 추세라고 덧붙였다.


심 이사는 블랙박스 테스팅이 보다 효과적이 되려면 특정 제품이나 기업 차원의 요구를 넘어 국가 차원에서 진행할 필요가 있다는 점을 강조했다. 이를 위해서는 국가사이버보안 강화를 위해 민··군이 공동 대응해야 하고 민간 전문가들과의 적극적인 참여와 공조를 유도해야 한다을지훈련이나 사이버민방위훈련처럼 주기적으로 전 국민이 참여할 수 있는 체계가 필요하다고 제안했다.


블랙펄시큐리티는 201111월 설립된 기업으로 5년차에 접어들었다. 현재 취약점 분석과 보안 컨설팅뿐 아니라 교육 사업도 벌이고 있다. 심 이사는 한국정보기술연구원(KITRI)에서 주관하는 차세대 보안리더 양성 프로그램(Best of the Best, BoB) 멘토로 활동하고 있다.


그는 블랙펄시큐리티의 강점으로 취약점을 가장 잘 찾을 수 있다고 자부한다. 이슈가 됐던 홈트레이딩시스템(HTS) 취약점을 공표했고 한글과컴퓨터의 한글 제로데이 취약점을 잇달아 찾아 보고한 적이 있다. 스카다(SCADA), 지하철망 등 기반시설 시스템 취약점을 분석하는데 전문성을 갖고 있다고 말했다.


심 이사는 우리나라는 정보보호 관련법이 견고한 반면에 해커 커뮤니티가 잘 돼 있는 국가다. 다만 정부지원은 거의 없다. ‘사이버보안은 돈이 안된다고 할만큼 그동안 해커들이 돈을 벌기에도 힘든 조건에 있었다회사를 설립한 것도 기술수준이 우수하지만 일반 기업의 조직문화에 적응하지 못하는 해커들도 다닐 수 있고 맘껏 연구할 수 있는 환경을 제공하고 싶었기 때문이다. 소수정예로 운영하면서 잘 먹고 잘 사는 기업을 만들자는 것이 목표라고 강조했다.


이어 사업적 측면에서는 국내 시장에서 보안 사업은 레드오션이다. 이같은 레드오션을 블루오션으로 만들 수 있는 전략이나 돌파구가 바로 오펜시브 시큐리티’”라고 진단했다.


[이유지기자의 블로그=안전한 네트워크 세상]
2015/09/23 14:39 2015/09/23 14:39

[IT 전문 블로그 미디어=딜라이트닷넷]

사용자 삽입 이미지
그레이해쉬는 오펜시브 리서치 전문성을 전면에 내세운 대표기업이다. “공격 기술을 알아야 방어할 수 있다는 철학을 바탕으로 작년 6월 설립됐다. 신생업체이지만 국내외에서 해커 이승진 대표의 활약상은 이미 잘 알려져 있다.

이승진 그레이해쉬 대표는 공격 기술을 알아야 방어도 가능하다. 새로운 공격기법이 끊임없이 개발되고 기존 보안 솔루션을 우회한 공격이 이뤄지는 상황에서는 공격자 입장에서 하는 연구가 필수적이다오펜시브 리서치의 중요성을 이같이 설파했다.

이 대표는 지난 2013년 세계 최대 해킹·보안 컨퍼런스인 블랙햇에서 삼성전자 스마트TV의 취약점을 발표해 주목을 끌었다. 애플 iOS의 제로데이 취약점도 여러차례 발견, 이를 전달해 패치된 사례도 있다.

지난 2006년 아시아 최초로 데프콘본선 진출권을 따냈고 국내 해커로는 최다 진출한 경험을 갖고 있다.

보안업계에서는 2000년부터 활동해 왔다. 보안업체를 거쳐 사이버사령부에서 군복무를 하다 전역해 프리랜서로 활동해왔으며, 현재도 자문을 맡고 있다. 그레이해쉬 설립 당시에는 4명이 함께 시작했다. 벌써 구성원이 7명으로 늘어났다.

사용자 삽입 이미지
회사 대표를 맡고 있지만 이 대표는 올해에도 미국 라스베이거스에서 열린 데프콘에 참가하는 등 국내외 해킹 대회와 보안 컨퍼런스에 지속적으로 참여하고 있다.

현재 그래이해쉬의 주요 사업은 보안 컨설팅이다. 정식 법인이 설립되기 이전인 2012년부터 삼성전자, 삼성SDS, SK커뮤니케이션즈, SK텔레콤, 네이버 NBP·라인 등 국내 유수의 기업 보안컨설팅을 맡았다. 이들 기업 대상으로 보안 자문이나 교육도 수행하고 있다.

정보보호 컨설팅은 모의해킹과 취약점 점검, 정보보호 마스터플랜 수립, 정보보호 인증 컨설팅 등 유형이 다양하다. 그레이해쉬가 집중하는 부문은 기업들이 출시하는 제품·서비스의 취약점을 분석하는 분야다.

이 대표는 기업에서 회사 웹페이지나 인프라를 모의해킹하는 것과 판매하는 제품이나 서비스의 보안 취약점을 찾아달라는 요구를 받는다우리나라 모의해킹의 역사는 길다. 하지만 리버스엔지니어링으로 특정 제품의 취약점을 찾는 분야는 아직까지 경쟁자가 많지 않아 이 분야에 더욱 주력하고 있다고 설명했다.

오펜시브 리서치나 제품 취약점 분석 컨설팅의 필요성으로 이 대표는 제품을 개발할 때 개발자들이 보안을 고려해 개발하는 것이 필수적이다. 그리고 자체적으로 문제점을 발견할 수 있는 전문지식을 가진 팀을 운영해야 한다. 자체적으로 이를 수행한다고 하더라도 미처 발견하지 못하는 경우도 있기 때문에 또 다른 경로로 리뷰를 거칠 필요성이 있다고 강조했다.

또한 오펜시브 리서치는 보안이 필요한 모든 영역에서 활용될 수 있다모바일기기나 데스크톱, 사물인터넷(IoT), 스마트그리드에 이르기까지 보안이 필요한 모든 분야에서 확장하고 있다. 해외에서는 국방 부문까지 컨설팅을 제공하고 있다고 말했다.

그레이해쉬는 교육 사업도 활발히 벌이고 있다. 주제별로 10~15명 규모로 이뤄지는 해킹·보안 트레이닝 프로그램을 상시 진행하고 있다. 이달에는 웹 해킹 실습, 웹브라우저 제로데이 헌팅을 비롯해 버그헌팅·익스플로잇화, 스마트폰해킹 등의 프로그램을 운영할 예정이다.

작년에는 화이트해쉬(WhiteHash)’라는 보안 영재 장학 프로그램을 신설, 운영하면서 후배 해커도 양성하고 있다. 한국정보기술연구원(KITRI)에서 주관하는 차세대 보안리더 양성 프로그램(Best of the Best, BoB) 멘토로도 활동하고 있다.

그래이해쉬는 모바일 애플리케이션 난독화 솔루션도 개발했다. 현재 솔루션 사업 전략을 짜고 있는 상태다. 사업 전략에 따라 출시 시기 등을 정할 계획이다. 일본 등 해외 시장 출시가 유력하다.

이 대표는 그레이해쉬의 궁극적인 지향점은 보안 솔루션 공급회사가 되는 것이라며 공격기술 연구를 바탕으로 개발된 차별화된 보안 솔루션을 제공하고 싶다고 밝혔다.

[이유지기자의 블로그=안전한 네트워크 세상]


2015/09/23 14:39 2015/09/23 14:39
[IT 전문 블로그 미디어=딜라이트닷넷]

국내 정보보호 업계에 ‘젊은’ 해커들이 잇달아 뛰어들어 ‘오펜시브 시큐리티’, ‘오펜시브 리서치’라는 새로운 영역을 개척하고 있다.

‘데프콘’·‘블랙햇’같은 세계적인 해킹·보안 대회에 진출해 이름을 날리거나 국내 해킹방어대회에서 여러 차례 우승한 전적을 가진 해커들이 회사를 설립하면서 생겨나고 있는 새로운 조류다.


몇 년 전만 해도 해커 출신이 설립한 보안업체는 홍민표 대표가 설립한 에스이웍스와 허영일 대표가 이끄는 NSHC만 알려져 있었다. 하지만 이들도 백신, 모바일 보안 제품같은 ‘방어기술’ 영역의 솔루션을 제공하는데 주력했다. (지난 2010년 당시 주목할만한 신생업체로 홍 대표가 에스이웍스 이전에 설립한 쉬프트웍스(인프라웨어에 매각)와 NSHC 두 기업을 <딜라이트닷넷>에서 살짝 다룬 적이 있었다. 관련 포스팅 : 스마트폰 혁명과 함께 주목되는 신생 보안업체)

국내외에서 이름이 알려진 해커인 이승진 대표가 설립한 그레이해쉬나 심준보 기술이사(CTO)가 공동 창업한 블랙펄시큐리티 등은 공격자의 입장에서 공격기법을 연구하는 ‘오펜시브 리서치’ 분야의 전문성을 내세운 기업이다.

이를 바탕으로 기업에 보안수준 진단, 취약점 점검을 비롯한 보안 컨설팅과 교육 서비스를 제공하고 있다. NSHC 역시 기존 솔루션 사업 부문 외에 공격기법을 연구하는 오펜시브 리서치 부문을 강화하고 있다.


해커 출신인 허영일 대표가 해외로 나가 이 부문을 이끌면서 활발하게 오펜시브 리서치 기반의 차별화된 보안 서비스 제공에 나서고 있다. ‘창’과 ‘방패’ 분야의 전문성을 모두 손에 쥐고 국내외에서 한층 경쟁력 있는 보안기업으로 성장해나가겠다는 목표다.

이들 외에는 해킹방어대회 등에서 여러차례 우승하면서 이름을 알린 박찬암씨도 ‘오펜시브 리서치’ 기업인 스틸리언을 창업했다. 와우해커를 이끌며 오랫동안 활동해온 홍동철 에스이웍스 최고기술책임자(CTO)도 최근 엠시큐어를 설립해 해커 출신 기업가 대열에 동참했다.

<딜라이트닷넷>은 창간 6주년 기획으로 이승진 그레이해쉬 대표와 심준보 블랙펄시큐리티 이사, 그리고 NSHC 국내 및 일본 사업을 총괄하는 최병규 본부장을 만나 오펜시브 분야에 대한 견해와 사업 얘기를 들어봤다. 앞으로 다른 해커 출신 기업가들도 만나볼 계획이다.


사용자 삽입 이미지
‘오펜시브(Offensive) 시큐리티’는 공격기법과 공격에 악용될만한 취약점을 연구하는 분야로, 선제적인 보안의 개념이다. 그동안 국내에서는 생소했지만 유명 해커 출신이 설립한 기업들이 잇달아 ‘오펜시브 리서치’ 전문성을 내세우며 등장, 활약상이 알려지면서 최근 한층 활성화되고 있다.

사업 영역은 주로 특정 제품에 대한 취약점을 찾고 시스템을 대상으로 침투테스트를 수행해 결과를 제공해 보안 컨설팅을 수행하는 분야와 해킹·보안 관련 교육 서비스를 제공하는데 집중돼 있다.

주로 기업이나 기관이 자체 시스템이나 제공할 서비스 상품과 인프라의 보안수준을 진단, 부족한 점을 보완해 보안성을 강화하기 위해 채택한다.

NSHC의 문해은 보안연구소 레드얼럿팀장은 ‘오펜시브 리서치’를 백신에 비유하며 “백신은 병에 걸리지 않을 정도로 병원균을 약화시켜 사전에 주입해 우리 몸이 병을 이겨내게 만들어 면역체계를 강화한다. 취약점과 부족한 부분을 찾아내 드러내기 때문에 관계자들(제품 개발이나 인프라 보안담당자)을 심각하게 만들 수는 있지만 결국 보안체계를 튼튼하게 하는 역할을 수행한다”고 설명하기도 했다.

해외에서 ‘오펜시브 시큐리티’ 사업 범위는 국내보다 넓다. 해외 관련업체들은 분석한 취약점을 국가기관이나 기업들에게 판매하거나 공격 도구와 기법을 개발, 판매까지 하는 등 보다 폭넓은 사업 범위를 갖고 있다.

<관련 포스팅>
: 그레이해쉬 “공격 기술을 알아야 방어도 가능”
: 블랙펄시큐리티 “해킹 경험은 보안수준 향상에 기여, ‘오펜시브’ 보안 분야 활성화 필요”

[이유지기자의 블로그=안전한 네트워크 세상]
2015/09/23 14:39 2015/09/23 14:39