[IT 전문 블로그 미디어=딜라이트닷넷]

사용자 삽입 이미지
그레이해쉬는 오펜시브 리서치 전문성을 전면에 내세운 대표기업이다. “공격 기술을 알아야 방어할 수 있다는 철학을 바탕으로 작년 6월 설립됐다. 신생업체이지만 국내외에서 해커 이승진 대표의 활약상은 이미 잘 알려져 있다.

이승진 그레이해쉬 대표는 공격 기술을 알아야 방어도 가능하다. 새로운 공격기법이 끊임없이 개발되고 기존 보안 솔루션을 우회한 공격이 이뤄지는 상황에서는 공격자 입장에서 하는 연구가 필수적이다오펜시브 리서치의 중요성을 이같이 설파했다.

이 대표는 지난 2013년 세계 최대 해킹·보안 컨퍼런스인 블랙햇에서 삼성전자 스마트TV의 취약점을 발표해 주목을 끌었다. 애플 iOS의 제로데이 취약점도 여러차례 발견, 이를 전달해 패치된 사례도 있다.

지난 2006년 아시아 최초로 데프콘본선 진출권을 따냈고 국내 해커로는 최다 진출한 경험을 갖고 있다.

보안업계에서는 2000년부터 활동해 왔다. 보안업체를 거쳐 사이버사령부에서 군복무를 하다 전역해 프리랜서로 활동해왔으며, 현재도 자문을 맡고 있다. 그레이해쉬 설립 당시에는 4명이 함께 시작했다. 벌써 구성원이 7명으로 늘어났다.

사용자 삽입 이미지
회사 대표를 맡고 있지만 이 대표는 올해에도 미국 라스베이거스에서 열린 데프콘에 참가하는 등 국내외 해킹 대회와 보안 컨퍼런스에 지속적으로 참여하고 있다.

현재 그래이해쉬의 주요 사업은 보안 컨설팅이다. 정식 법인이 설립되기 이전인 2012년부터 삼성전자, 삼성SDS, SK커뮤니케이션즈, SK텔레콤, 네이버 NBP·라인 등 국내 유수의 기업 보안컨설팅을 맡았다. 이들 기업 대상으로 보안 자문이나 교육도 수행하고 있다.

정보보호 컨설팅은 모의해킹과 취약점 점검, 정보보호 마스터플랜 수립, 정보보호 인증 컨설팅 등 유형이 다양하다. 그레이해쉬가 집중하는 부문은 기업들이 출시하는 제품·서비스의 취약점을 분석하는 분야다.

이 대표는 기업에서 회사 웹페이지나 인프라를 모의해킹하는 것과 판매하는 제품이나 서비스의 보안 취약점을 찾아달라는 요구를 받는다우리나라 모의해킹의 역사는 길다. 하지만 리버스엔지니어링으로 특정 제품의 취약점을 찾는 분야는 아직까지 경쟁자가 많지 않아 이 분야에 더욱 주력하고 있다고 설명했다.

오펜시브 리서치나 제품 취약점 분석 컨설팅의 필요성으로 이 대표는 제품을 개발할 때 개발자들이 보안을 고려해 개발하는 것이 필수적이다. 그리고 자체적으로 문제점을 발견할 수 있는 전문지식을 가진 팀을 운영해야 한다. 자체적으로 이를 수행한다고 하더라도 미처 발견하지 못하는 경우도 있기 때문에 또 다른 경로로 리뷰를 거칠 필요성이 있다고 강조했다.

또한 오펜시브 리서치는 보안이 필요한 모든 영역에서 활용될 수 있다모바일기기나 데스크톱, 사물인터넷(IoT), 스마트그리드에 이르기까지 보안이 필요한 모든 분야에서 확장하고 있다. 해외에서는 국방 부문까지 컨설팅을 제공하고 있다고 말했다.

그레이해쉬는 교육 사업도 활발히 벌이고 있다. 주제별로 10~15명 규모로 이뤄지는 해킹·보안 트레이닝 프로그램을 상시 진행하고 있다. 이달에는 웹 해킹 실습, 웹브라우저 제로데이 헌팅을 비롯해 버그헌팅·익스플로잇화, 스마트폰해킹 등의 프로그램을 운영할 예정이다.

작년에는 화이트해쉬(WhiteHash)’라는 보안 영재 장학 프로그램을 신설, 운영하면서 후배 해커도 양성하고 있다. 한국정보기술연구원(KITRI)에서 주관하는 차세대 보안리더 양성 프로그램(Best of the Best, BoB) 멘토로도 활동하고 있다.

그래이해쉬는 모바일 애플리케이션 난독화 솔루션도 개발했다. 현재 솔루션 사업 전략을 짜고 있는 상태다. 사업 전략에 따라 출시 시기 등을 정할 계획이다. 일본 등 해외 시장 출시가 유력하다.

이 대표는 그레이해쉬의 궁극적인 지향점은 보안 솔루션 공급회사가 되는 것이라며 공격기술 연구를 바탕으로 개발된 차별화된 보안 솔루션을 제공하고 싶다고 밝혔다.

[이유지기자의 블로그=안전한 네트워크 세상]


2015/09/23 14:39 2015/09/23 14:39
[IT 전문 블로그 미디어=딜라이트닷넷]

국내 정보보호 업계에 ‘젊은’ 해커들이 잇달아 뛰어들어 ‘오펜시브 시큐리티’, ‘오펜시브 리서치’라는 새로운 영역을 개척하고 있다.

‘데프콘’·‘블랙햇’같은 세계적인 해킹·보안 대회에 진출해 이름을 날리거나 국내 해킹방어대회에서 여러 차례 우승한 전적을 가진 해커들이 회사를 설립하면서 생겨나고 있는 새로운 조류다.


몇 년 전만 해도 해커 출신이 설립한 보안업체는 홍민표 대표가 설립한 에스이웍스와 허영일 대표가 이끄는 NSHC만 알려져 있었다. 하지만 이들도 백신, 모바일 보안 제품같은 ‘방어기술’ 영역의 솔루션을 제공하는데 주력했다. (지난 2010년 당시 주목할만한 신생업체로 홍 대표가 에스이웍스 이전에 설립한 쉬프트웍스(인프라웨어에 매각)와 NSHC 두 기업을 <딜라이트닷넷>에서 살짝 다룬 적이 있었다. 관련 포스팅 : 스마트폰 혁명과 함께 주목되는 신생 보안업체)

국내외에서 이름이 알려진 해커인 이승진 대표가 설립한 그레이해쉬나 심준보 기술이사(CTO)가 공동 창업한 블랙펄시큐리티 등은 공격자의 입장에서 공격기법을 연구하는 ‘오펜시브 리서치’ 분야의 전문성을 내세운 기업이다.

이를 바탕으로 기업에 보안수준 진단, 취약점 점검을 비롯한 보안 컨설팅과 교육 서비스를 제공하고 있다. NSHC 역시 기존 솔루션 사업 부문 외에 공격기법을 연구하는 오펜시브 리서치 부문을 강화하고 있다.


해커 출신인 허영일 대표가 해외로 나가 이 부문을 이끌면서 활발하게 오펜시브 리서치 기반의 차별화된 보안 서비스 제공에 나서고 있다. ‘창’과 ‘방패’ 분야의 전문성을 모두 손에 쥐고 국내외에서 한층 경쟁력 있는 보안기업으로 성장해나가겠다는 목표다.

이들 외에는 해킹방어대회 등에서 여러차례 우승하면서 이름을 알린 박찬암씨도 ‘오펜시브 리서치’ 기업인 스틸리언을 창업했다. 와우해커를 이끌며 오랫동안 활동해온 홍동철 에스이웍스 최고기술책임자(CTO)도 최근 엠시큐어를 설립해 해커 출신 기업가 대열에 동참했다.

<딜라이트닷넷>은 창간 6주년 기획으로 이승진 그레이해쉬 대표와 심준보 블랙펄시큐리티 이사, 그리고 NSHC 국내 및 일본 사업을 총괄하는 최병규 본부장을 만나 오펜시브 분야에 대한 견해와 사업 얘기를 들어봤다. 앞으로 다른 해커 출신 기업가들도 만나볼 계획이다.


사용자 삽입 이미지
‘오펜시브(Offensive) 시큐리티’는 공격기법과 공격에 악용될만한 취약점을 연구하는 분야로, 선제적인 보안의 개념이다. 그동안 국내에서는 생소했지만 유명 해커 출신이 설립한 기업들이 잇달아 ‘오펜시브 리서치’ 전문성을 내세우며 등장, 활약상이 알려지면서 최근 한층 활성화되고 있다.

사업 영역은 주로 특정 제품에 대한 취약점을 찾고 시스템을 대상으로 침투테스트를 수행해 결과를 제공해 보안 컨설팅을 수행하는 분야와 해킹·보안 관련 교육 서비스를 제공하는데 집중돼 있다.

주로 기업이나 기관이 자체 시스템이나 제공할 서비스 상품과 인프라의 보안수준을 진단, 부족한 점을 보완해 보안성을 강화하기 위해 채택한다.

NSHC의 문해은 보안연구소 레드얼럿팀장은 ‘오펜시브 리서치’를 백신에 비유하며 “백신은 병에 걸리지 않을 정도로 병원균을 약화시켜 사전에 주입해 우리 몸이 병을 이겨내게 만들어 면역체계를 강화한다. 취약점과 부족한 부분을 찾아내 드러내기 때문에 관계자들(제품 개발이나 인프라 보안담당자)을 심각하게 만들 수는 있지만 결국 보안체계를 튼튼하게 하는 역할을 수행한다”고 설명하기도 했다.

해외에서 ‘오펜시브 시큐리티’ 사업 범위는 국내보다 넓다. 해외 관련업체들은 분석한 취약점을 국가기관이나 기업들에게 판매하거나 공격 도구와 기법을 개발, 판매까지 하는 등 보다 폭넓은 사업 범위를 갖고 있다.

<관련 포스팅>
: 그레이해쉬 “공격 기술을 알아야 방어도 가능”
: 블랙펄시큐리티 “해킹 경험은 보안수준 향상에 기여, ‘오펜시브’ 보안 분야 활성화 필요”

[이유지기자의 블로그=안전한 네트워크 세상]
2015/09/23 14:39 2015/09/23 14:39

사용자 삽입 이미지
국제 해커조직으로 이름을 날린 ‘어나니머스(Anonymous)’ 조직원 25명이 지난 2월 인터폴에 의해 검거됐습니다.

인터폴 주도로 유럽과 남미 경찰과 공조해 벌인 성과입니다.

인터폴은 유럽과 남미 15개 도시에서 ‘언마스크(Unmask)’라는 작전명으로 대대적인 검거작전을 벌여, ‘어나니머스’가 벌인 해킹, 디도스(DDoS, 분산서비스거부) 공격 등에 가담한 용의자들을 체포했습니다. 

이 작전에는 지난해 4월 콜롬비아에서 어나니머스의 디도스 공격이 발생한 것을 계기로 콜롬비아를 포함해 도미니카 칠레 스페인 아르헨티나 5개국이 참여했다고 합니다.

이 작전을 주도한 하이메 안시에타(Jaine Ansieta) 인터폴 재정·하이테크범죄 분과 부국장이 최근 방한했습니다. 그는 지난 26일부터 27일까지 서울 대한상공회의소에서 경찰청 사이버테러대응센터와 인터폴이 공동 개최한 ‘2012 국제사이버범죄 심포지엄’에서 이 수사사례와 시사점을 풀어냈습니다. 

안시에타 부국장은 이 자리에서 “당시 작전으로 인터폴은 15개 도시에서 47건의 가택을 급습했고, 32명을 체포했다. 아직도 이들을 대상으로 수사가 계속되고 있다”고 말했습니다. 

놀라운 점도 공개했는데요. 이들을 검거한 지 넉 달이 지난 아직까지도 압수한 휴대폰·IT시스템 등을 이용한 데이터분석을 못하고 있고, 기소할 방법도 결정하지 못했고 합니다.

공조수사는 성공적으로 벌여 용의자들을 검거하긴 했는데, 피의자를 기소하고 처벌하는 국제적인 사이버범죄 관련 사법체계와 절차가 아직 제대로 마련돼 있지 않기 때문입니다.

안시에타 부국장은 “국가마다 사법체계가 다르다보니 어떠한 사법체계를 적용해야 할 지, 기소 주체는 검찰이 해야할 지, 경찰 또는 지방법원이 할 지 합의가 되지 않았다”며, “사업적인 문제가 해결되지 않기 때문이며, 공조시스템이 아직은 부재하다”고 말했습니다.

다음 단계로 이 작전에 참여한 수사·경찰관들이 모임을 갖고 데이터 분석을 포함해 국가 간 수사공조·조율 시스템을 논의할 예정이라고 합니다.

사이버공격은 이미 특정한 국가나 기업만의 문제가 아니라는 것을 잘 알고 있습니다. ‘어나니머스’처럼 전세계에 걸쳐 활동하는 국제해커조직이 존재하고 있지요. 어떤 국가나 기업도 공격자들의 대상이 될 수 있습니다.

우리나라의 경우, 대표적로 대규모 개인정보를 유출한 SK커뮤니케이션즈, 넥슨 사건이 아직까지 제대로 수사가 마무리되지 않는 큰 이유 가운데 하나도 해당 공격자가 우리나라에 있지 않기 때문입니다.  

우리나라에서 발생하는 많은 디도스, 해킹 및 개인정보유출과 같은 사이버범죄도 국가 간  공조수사가 아주 중요합니다. 

하지만 현실에선 어려운 점이 너무나 많지요. 국가마다 법체계가 다르고 정치·사회적인 입장과 문화도 다르다보니 공격자들보다도 국가라는 경계를 넘어 서로 공조하기 어려운 상황에 있습니다.

공격근원지로 간주되는, 또는 범죄용의자가 있는 국가에서 협조해주지 않으면 우리나라에서 막대한 피해를 입은 경우에도 수사가 어렵다는 것은 충분히 예상할 수 있습니다. 

안시에타 부국장은 “만일 디도스 공격을 범죄로 간주하지 않는 국가가 있다면 수사를 함께 진행하기 어렵다”는 것을 예로 들었는데요. 실제로 디도스를 범죄로 여기지 않는 국가가 있다고 합니다.

그는 “전세계 사법체계가 ‘우리’의 편에 서있지 않다는 생각마저 든다”고 토로하면서 “실질적으로 공조할 수 있도록 사법부를 포함한 법조계, 국회 등 정치권에서 함께 이를 위해 논의해야 하며, 학계도 지원해야 한다”고 강조했습니다.

안시에타 부국장이 한가지 더 강조한 것이 민간의 협조입니다.

사이버공격은 국가차원에서 해결해야 할 심각한 문제가 됐지만 공격대상이 기업인 경우가 많습니다. 기업의 경우, 자칫 회사 이미지나 비즈니스에 큰 타격을 입을 수 있기 때문에 정보를 공개하는 것을 꺼립니다.

안시에타 부국장은 “민간이 열의를 갖고 참여해야 사이버범죄 수사가 진전될 수 있다”면서 “사회 전체가 힘을 합쳐 변화를 이끌어 내 사이버범죄 조직범죄를 무찔러야 한다”고 지적했습니다.

2012/07/01 16:28 2012/07/01 16:28


최근 주목되는 신생 보안업체 두 곳이 있습니다.

쉬프트웍스와 NSHC라는 회사인데요, '아이폰'을 비롯한 스마트폰의 등장으로 IT산업에 큰 변화가 일어나고 있는 요즘, 두 업체에 부쩍 관심이 쏠리고 있습니다. 

두 업체는 모두 해커 출신이 설립해 대표로 있습니다. 무척 젊은 대표들입니다.  

무엇보다 아이폰, 안드로이드폰 같은 스마트폰용 보안 솔루션을 앞서 개발했다는 공통점이 있습니다.

프트웍스(대표 홍민표)는 아직 국내 출시되지도 않은 안드로이드 전용 백신(브이가드)을 가장 먼저 개발했습니다.

전세계 이용자들이 다운로드 할 수 있도록 현재 구글 마켓에 등록 절차를 밟고 있다고 합니다. 

안드로이드용 백신은 전세계적으로도 아직 몇 개 없는 것으로 알려져 있는데요, 제품 성능과 수준이 어느정도인지는 모르지만 개발된 것만큼은 세계에서 두세번째 손가락 안에 꼽힐 것으로 추측됩니다.

쉬프트웍스는 아이폰 전용 백신도 이미 개발해 테스트중이고, '애플 앱스토어'에 등록할 절차도 진행하고 있습니다.

이뿐만 아니라 다른 신규 모바일 보안 제품 개발을 계속 추진하고 있답니다.

NSHC(대표 허영일) 역시 아이폰용 백신(악성코드/해킹 방지 프로그램) '산네'와 입력보안 제품(엔-필터)을 개발했습니다. 이중에서 '엔-필터'의 경우는 얼마전 보도자료를 통해 정식으로 출시를 발표했지요.

두 제품은 모두 전자금융거래(인터넷뱅킹) 서비스 제공시 금융기관들이 사용자들에게 의무적으로 내려받아도록 제공해야 하는 보안 솔루션들과 같은 역할을 합니다. 

입력보안 프로그램은 이용자가 인터넷뱅킹에 접속하면 자동으로 내려받는 '키보드 보안' 제품과 같은 역할을, '산네'는 해킹방지프로그램과 같은 역할을 하지요.

'엔필터'는 가상키패드를 이용해 스마트폰에서 입력하는 모든 개인정보, 금융정보 등을 암호화합니다.

이 아이폰용 입력보안 제품의 경우엔 전세계 최초로 개발되지 않았을까 하는 생각이 듭니다.

전자금융서비스에서 사용이 의무화된 탓에 국내 사용자들이 널리 쓰고 있는 키보드 보안 프로그램이 해외에는 거의 없는 것처럼 말이지요.

혹시 은행에서 제공하는 아이폰 뱅킹 서비스에 적용될 수 있을지 관심이 갑니다.

이같은 아이폰용 보안 제품, 안드로이드용 보안 제품은 시만텍도, 안철수연구소도 아직 공식적으로 제공하지 않고 있습니다.

생 업체들인만큼 이미 거대화된 업체들보다 발빠르게 제품을 개발, 출시할 수 있었을 겁니다.

아마 조만간 모든 백신 업체, 다양한 보안 업체들이 이같은 스마트폰용 보안 제품을 출시할 것입니다.

특정 분야에서는 벤처가 대기업보다 더 빠르게 전문화된 제품을 선보일 수 있었던 것처럼 말이지요. 

조금 시간이 지나면 다른 주류 보안업체들도 출시할테니 혹시 인지도나 신뢰성면에서 뒤질 수는 있습니다.

그런데 요즘 나타나는 변화의 물결을 보면 꼭 그렇지만도 않을 것 같다는 생각도 듭니다.

아이폰을 비롯한 스마트폰은 기존 세상에 변화를 일으키고 있습니다. 기존 틀에 박힌 생각대로만은 돌아가지는 않을 것 같습니다.

스마트폰과 '앱스토어' 같은 모바일 오픈마켓이 결합되면서, 휴대폰 사용자들의 이용행태와 소비방식을 크게 바꾸고 산업지형까지 뒤흔들고 있기 때문입니다.

그렇게 몰고 오는 변화는 '혁명'이라는 단어로까지 표현되고 있습니다. 그만큼 파장이 크다는 이야기일 것입니다.

업에 미치는 변화는 (좀 과장하면) 이제 개인들도 이제 마음만 먹으면 누구나 오픈마켓에 자신이 개발한 모바일 콘텐츠와 애플리케이션을 올려 소위 '대박'을 칠 수도 있는 시대가 왔을 정도입니다.

이것이 IT산업에도 모처럼 활력이 되고 있는 것 같습니다.

휴대폰과 통신업계뿐 아니라 소프트웨어, 인터넷서비스 업체들은 이같은 변혁에 주목해 다양한 스마트폰용 모바일 서비스를 잇달아 내놓는 등 발빠른 대응에 나서고 있습니다.

한발 늦었다가는 자칫 향후 산업에서 도태될 수 있기 때문입니다.

그래서 소프트웨어, 포털업체들도 앞다퉈 각종 스마트폰용 서비스를 내놓고 있는 것일테지요.

그런 면에서 기존에 보안 시장에서 1, 2위 하던 업체들이 모바일로 인한 변화에 빠르게 대응하지 못한다면,
앞으로 펼쳐질 무궁무진한 시장에서 쉬프트웍스나 NSHC같은 신생업체들이 그들을 제치고 앞설 수 있는 가능성도 충분하다고 생각합니다.

아마 제가 몰라서 그렇지, 쉬프트웍스나 NSHC같은 회사들이 훨씬 많을 것입니다. 

이들이 보안산업을 더욱 성장, 발전시킬 차세대 주역으로 성장할 수 있길 기대합니다.  모바일로 인한 제2의 '벤처' 신화가 생겨날 지 주목되는군요. 

2010/01/05 15:30 2010/01/05 15:30

루마니아 해커로 알려진 ‘우누(Unu)’가 최근 보안업체들이 운영하는 웹사이트를 잇달아 해킹해 국내에서 화제가 되고 있습니다.

‘우누’는 지난 24일 자신의 블로그에 전세계 대표 보안업체인 시만텍의 개인용 보안 제품 ‘노턴(Norton)’의 고객지원 사이트를 해킹했다고 올린 데 이어, 지난 27일에는 국내 업체인 잉카인터넷의 ‘엔프로텍트(nProtect)’ 사이트를 해킹했다고 공개했습니다.


해킹한 시만텍의 웹사이트는 일본의 고객지원 사이트로, ‘우누’는 블로그 제목에 패스워드와 제품 시리얼 번호 등 개인정보가 노출됐다는 점을 부각했습니다.
여기에는 일본뿐 아니라 한국 고객 정보가 포함돼 있다는 점에서 국내에서도 이 사실이 급속히 퍼졌습니다.

잉카인터넷 관련 포스팅도 마찬가지입니다.


‘우누’는 지난 2월에는 카스퍼스키랩의 ‘카스퍼스키’ 제품 웹사이트도 해킹했습니다.


해킹 등 보안위협을 막는 기술을 개발하는 이들 보안 업체들은 SQL 인젝션(Injection) 취약점으로 자사 웹사이트가 잇달아 뚫리면서 망신을 당했습니다.

 
아마도 다른 유명 보안업체들도 이같은 구설수에 오르지 않도록 자사가 운영하는 웹사이트에 보안취약점이 없는지 다시 한 번 점검해보고, 보안관리를 더욱 강화하게 될 것 같습니다.


그렇지 않으면 신뢰성과 이미지 타격은 물론, 아무리 훌륭한 보안기술을 개발해 각종 보안위협을 막을 수 있는 제품을 내놔도 고객으로부터 외면당할 수 있기 때문입니다.


웹사이트나 고객 DB관리가 취약해 진짜로 고객정보라도 유출당하는 사고가 발생한다면, 그야말로 회사를 유지하기 힘들게 될 것입니다.


그런 점에서 ‘우누’는 자신의 주장대로 해를 끼치려는 게 아니라 허점을 알려줘 보안업체들에게 경각심을 높이고 이를 보완할 수 있게 하는 계기를 마련했습니다.


‘우누’는 업체들마다 자사 웹사이트에 허점이 있다는 것을 용기 있게 인정했다는 점을 높이 사기도 했고, 나중에 취약점이 보완됐다는 사실도 공지했습니다.  


그런데 왜 전 아쉬움이 있을까요?


‘우누’가 진정한 화이트 해커라면 보안업체들에게 먼저 알려줬으면 더 좋았을 것 같다는 생각이 듭니다.


그런데도 보안업체들이 취약점을 시급히 보완, 조치하지 않는 등 등한시할 경우 공개하는 것이 더 좋지 않았을까 생각합니다.


물론, 업체들마다 필요한 암호화 조치가 돼 있었다거나 개인정보 수집을 최소화해 “고객 개인정보가 유출되지 않았다”고 밝혔지만, ‘우누’의 이야기대로 각 업체의 고객정보가 노출될만큼 위험하다면 더욱 그랬어야 하지 않을까 싶습니다.


그 사이 진짜 악의적인 해커들이 ‘우누’의 블로그에 올려진 글을 보고 고객정보 유출을 시도할 수도 있지는 않을까 하는 우려 때문입니다. 


보안업체들이 가장 무서워하는 것이 바로 ‘해킹 당했다’, ‘제품이 뚫렸다’는 이야기 아닐까요.

 
예전에 해커들은 자신의 이름을 알리기 위해 유명한 사이트를 노렸다고 하지요. 선의로 행한 것이라면 ‘우누’가 알려진 보안업체들의 웹사이트를 잇달아 해킹해 공개함으로써 혹시라도 불필요한 오해를 사지 않길 바랄 뿐입니다. 




2009/11/30 17:01 2009/11/30 17:01


얼마 전, 실력있는 해커그룹 ‘와우해커’를 이끈 홍민표 쉬프트웍스 대

표를 만날 기회가 있었습니다.

홍 대표는 국내외 해킹대회에서 화려한 수상경력을 갖고 있는만큼, 해커들과 보안전문가들 사이에서는 아주 유명한 인물입니다. 현재는 보안회사를 운영하고 있습니다. ‘새싹’이라는 이름의 토종 무료백신을 사용해보신 분이라면 홍 대표를 아실 수도 있겠습니다.(쉬프트웍스를 알고싶으시다면 예전에 디지털데일리에 나왔던 기사를 참고하세요.)

지난 7.7 DDoS(분산서비스거부) 공격 당시 국가정보원이 공격진원지, 배후로 북한을 지목하자 자체 분석결과를 토대로 “악성코드 유포지는 ‘미국 서버 IP로, 북한 개입 가능성도 있지만 근거가 부족하다”며 사실상 반박했던 것도 홍 대표였습니다.

홍 대표는 마이크로소프트의 새로운 윈도서버 2008 R2를 사용하면서 이 운영체제(OS)가 제공하는 보안성과 편리성을 높이 사고 있었는데요. “윈도서버는 더 이상 뚫기 쉬운 서버가 아니다”라고 단언했습니다.

마이크로소프트의 운영체제가 보안에 취약하다는 인식을 갖고 있는 컴퓨터 사용자들이라면 홍 대표의 이야기를 한 번 들어보셔도 좋겠습니다.

제가 소화하기 어려운 기술적인 용어를 사용한 이야기가 상당수 있었지만, 재밌는 표현도 많이 튀어나왔습니다.

무엇보다 컴퓨터 사용자들의 보안관리에 크게 도움이 될 만한 메시지는 정확히 읽을 수 있었습니다.

쉽지만은 않았던 ‘해커와의 대화’, 이제 시작해볼까요?

홍 대표는 가장 먼저 “윈도 NT, 2000이 나왔던 2003년 초반까지 윈도서버는 보안에 아주 취약해, 뚫기 쉬운 서버였다”고 회상했습니다.

그러나 지난 2008년 마이크로소프트가 제공하는 비지스파크 벤처창업지원프로그램을 통해 홍 대표가 운영하는 쉬프트웍스의 총 20대의 웹, DB, 미디어 서버를 윈도서버로 모두 바꾸면서 향상된 보안성과 편리성을 맘껏 확인해 볼 수 있었다고 합니다.

#윈도서버에 대한 인식 전환 계기…“예전에는 윈도 방화벽이 썩었었죠.”

홍 대표는 “윈도서버에 대한 인식이 예전과는 많이 달라졌다”고 운을 뗐습니다.

성능이 우수해 서비스거부(DoS) 공격이 들어오더라도 서비스가 마비되지 않고 사용자에게 지속적인 서비스를 유지할 수 있을 정도라는 것을 느낄 수 있었답니다.

“윈도서버 2008 7.0이나 7.5 R2의 기본 설치 그대로 IIS를 올려 공격해 봤는데 멀쩡하게 운영되더라고요. 신경써서 세팅하면 더 많은 공격도 막을 수 있겠다 싶었습니다.”

그 이유 중 하나가 윈도에서 제공되는 방화벽 기능이 크게 향상됐기 때문이라고 홍 대표는 설명했습니다.

“예전에는 방화벽이 썩었었다”고 표현할 정도로 기능이 미비했지만, 이제는 인바운드, 아웃바운드 패킷 필터를 통한 양방향 공격 보호 기능을 제공합니다.

윈도서버 2003까지는 인바운드 공격 필터 기능만 제공됐다고 하네요.

# OS 자체 보호 기능 탁월…“윈도는 양파껍떼기”

무엇보다 서버 커널 수준의 보안 기능이 크게 강화돼 있다는 점을 칭찬했습니다.

알 수 없는 OS 자체 보호 기능이 겹겹이 둘러 싸여 있어 해킹 시도가 어려웠다고 합니다. “마치 양파껍데기처럼 하나를 까면 막고 있고, 또 까보면 또 막고 있더라고요.”

마이크로소프트는 이를 두고 계층적 방어(Defense In Depth)라고 부른답니다.

공격이 계속 들어오면 캐시로 바꿔 처리하는 방식도 다르다고 합니다. 그리고 자체적으로 빠르게 회복할 수 있는 능력도 갖고 있다고 하네요.

윈도는 공격을 하려고 해도 반드시 우회공격 루트를 찾아야 한다고 이야기 했습니다. 이를 리버스엔지니어링 기법이라고 하죠? 반드시 컴퓨터 어드민 권한을 얻어야 공격을 할 수 있답니다. 그런데 범위가 너무 넓다는 게 홍 대표의 이야깁니다.

“윈도 커널을 디버깅하거나 IIS 서버 취약점을 찾으려 할 때 엄청난 시간이 걸린다.”

홍 대표는 다른 두드러진 보안 기능으로는 메모리 실행 보호기능을 들었습니다.

“윈도 시스템을 직접 공격하는 것이 아니라 다른 사용자 PC를 통해 공격하기 위해서는 DLL 인젝션 기법을 써야하는데 메모리 실행 보호기능 때문에 어려웠습니다. 리눅스의 경우, 라이브러리에 스텍가느나 랜덤스틱같이 메모리 영역에서 조작이 안되게 하는 기능을 모두 알 수 있기 때문에 쉽게 회피할 수 있습니다.”

제가 질문했습니다. “그렇다면 윈도 자체를 공격할 수가 없다는 건가요? 계속 새로운 보안취약점이 발견되고 있지 않습니까?”

이에 대해 “윈도 OS 자체, 커널에서의 심각한 결함이 아니라 대부분 서비스나 애플리케이션 기능과 관련한 취약점입니다. 윈도 커널의 뼈대, OS 자체는 아주 강합니다”라고 말하더군요.

결국 윈도의 보안성이 취약하다는 건 운영체제 자체의 이슈보다는 애플리케이션 이슈가 더 크다는 것입니다.

# 보안업데이트가 더 중요…“서버는 서버답게 사용해야지, 서버백신은 의미 없다”

여기에 한가지 더, 사용자들의 이용행태의 문제점을 지적합니다.

홍 대표는 “서버보안을 위해 서버용 백신을 사용하는 것은 의미가 없다”는 폭탄 발언을 했습니다.

그 이유를 들어보니 고개가 끄덕여집니다. “서버는 하루종일 서비스만 돌아가는 시스템인데 왜 악성코드가 실행되는 거죠?”

사용자가 윈도서버에서 인터넷 서비스를 이용한다든지 하는 다른 동작을 했기 때문에 악성코드가 실행되는 것이고, 그 때문에 백신도 필요하게 된다는 이야깁니다.

본래의 기능대로 서버를 이용한다면 보안문제도 발생하지 않을 것이란 게 홍 대표의 생각입니다.

일반 PC용 운영체제를 사용해도 될 것을 성능이 좋을 것이라면서 노트북에 (그것도 불법복제된) 윈도서버2008을 설치하고, 많은 애플리케이션과 서비스를 사용하다보니 악성코드 감염 원인으로 작용하는 경우는 실제로 많을 것입니다.

여기에 윈도 보안업데이트도 안한다면 해킹은 얼마든지 당할 수 있습니다.

홍 대표는 “보안업데이트만 꼬박꼬박 잘하고, 윈도에서 제공하는 보안기능을 사용하면 해킹은 안 당할 것”이라고 말했습니다.

하나 관심가는 이야기도 했는데요. IDC에 서버를 설치하면 자동업데이트 기능을 끄라고 권고한답니다.

업데이트로 인한 서비스 중단, 별도로 손가는 작업을 안하기 위해서이겠지요. 이게 서버 운영체제의 보안패치율 저하로 이어지게 만드는 큰 원인 중 하나가 아닐지 걱정됩니다.

# 오픈소스와의 비교…“윈도 업데이트 안하고 보안기능 안쓰는 게 불편해서라구요?”

윈도 보안업데이트를 안하거나 윈도에서 제공되는 방화벽(디펜더)을 사용하지 않는 사람들도 나름대로 이유가 있습니다. 불편해서 입니다.

먼저, 윈도에서 제기되는 문제가 재부팅 이슈입니다.

홍 대표는 오히려 “리눅스에 비해 편리하다”고 이야기합니다.

“리눅스는 커널 업그레이드를 매번 해줘야 하고 커널 컴파일 문제가 생기면 보안을 적용하기 위한 리컴파일 작업을 위해 서버가 놓여있는 IDC로 찾아가야 한다. 하드도 파일시스템이 아니기 때문에 파일이 깨지거나 시스템이 깨져 데이터를 날릴 수도 있다. 리눅스도 자동업데이트 기능은 있지만 커널 업데이트는 자동으로 하지 않는다. 사용자가 직접 해야 한다.”

윈도는 자동업데이트 때 커널 업데이트까지 수행한다고 합니다. 리눅스도 커널 업데이트를 자동으로 한다면 재부팅이 잦을 수밖에 없을 듯 보입니다.

그렇다고 홍 대표가 리눅스가 나쁘다고 이야기하는 건 아닙니다. “문서가 많지 않거나 규모가 작을 경우 리눅스도 편하고 좋다”고 강조합니다.

대신에 “돈을 쓰고 싶지 않으면 리눅스를 사용하면 된다. 비용을 지불하고 그에 따른 서비스를 이용하고 싶으면 윈도서버를 써라”는 것이 홍 대표의 조언입니다.

또 하나, 마이크로소프트는 윈도 방화벽 등 보안설정이 까다롭다는 사용자 요구를 받아들여 윈도서버 2008 R2에서 방화벽 이용편의성을 높였습니다.

예전에는 모든 포트를 디폴트로 막아놓아 사용자들이 직접 사용하는 포트를 설정해야 했다네요.

이제는 웹서버를 설치하는 순간에 웹서비스 포트인 80, 443은 자동으로 방화벽에서 열린다고 합니다. 사용자가 설정하지 못해도 쉽게 서비스를 이용할 수 있도록 말입니다.

# 빠른 설치, 구성 완료…“클릭 세 번이면 끝나던데요”

홍 대표는 사실 보안성 보다는 윈도서버의 편리성에 더 매료된 듯합니다.

시스템을 바꾼 뒤 모든 설정이 ‘클릭 세 번’으로 구성이 완료됐다고 합니다.

“리눅스에서 네임서버를 등록하려면 바인드, 네임드, DNS 관련 컨피규 파일이 있어야 한다. 돌아가는지 일일이 다 해봐야 했다. 윈도 서버는 클릭 세 번으로 모든 설정이 끝나더라.”

DB 설정이나 DB 백업도, 호환성 작업도, 한글과 맞추는 작업도 모두 클릭 세 번에 끝냈다고 합니다.

“리눅스나 솔라리스든 다른 서버 운영체제를 이용할 땐 뭔가 서비스를 이용하려면 새까만 화면에서 많은 작업을 했어야 했는데, 이제 그 시간이 필요없게 됐다”는 것이 윈도서버의 큰 장점이랍니다.

# 최고의 이슈, DDoS 공격 방어 방안…“DDoS는 막는 게 아니라 피해야 합니다.”

홍 대표에게 DDoS 공격을 막을 수 있는 방안에 대한 의견을 물어봤습니다.

당연하게 “못막는다”고 잘라 말했습니다. “몰려오는 트래픽을 어떻게 막을 수 있냐”는 겁니다.

“라우터부터 죽는데, 무슨 보안 장비로 막을 수 있겠냐”면서, “우회시키는 수밖에 없다. 다른쪽으로 트래픽을 돌리던지, 포트를 바꾸거나 우회해야 한다”고 설명했습니다.

다만, 근원적인 방안으로 “PC단에서 에이전트로 감지할 수 있는 기술이 있으면 좋을 것”이라고만 하더군요.

 

2009/11/16 17:17 2009/11/16 17:17