“기업 정보 보호의 최우선 사항은 교육과 훈련” 

“침투 테스트 툴 통한 전방위적인 보안감사 프로세스 가동시켜야”

최근 7.7 DDoS 대란 이후 기업들의 정보보호에 대한 높은 관심을 반영하듯, 취약점을 찾아 내·외부자 관점에서 침투테스트(Penetration Test)를 시도해 이로 인해 발생할 수 있는 해킹 위협 및 내부 보안 사고를 예방하고 차단하기 위한 대응책을 제시하는 서비스가 새롭게 주목 받고 있다. 취약점 평가와 모의 침투테스팅 시장에서 글로벌 선도 기업으로 발전해 온 이뮤니티의 스티브 라스코우스키(Steve Laskowski) 부사장을 ISEC 2009에서 만나 최근 해킹 동향이 IT 산업과 사회에 주는 시사점을 진단해 보고 향후 전망 및 대책을 짚어 봤다.

최근 전 세계적인 해킹 동향은 어떠한가?

해킹은 지난 수 년 동안 확연히 변했다. 세가지 커다란 변화에 대해 말하자면 첫째, 해킹은 주로 미국과 동유럽에서 일어나곤 했지만 요즘은 세계적인 현상이 되고 있다. 러시아뿐만 아니라 남미(특히 아르헨티나)와 아시아(특히 동남 아시아, 중국, 한국)에서 악의적인 해커들이 활발히 활동하고 있는 점을 예로 들 수 있다.

둘째, 새로운 시스템 취약점들은 과거보다 더 정교해져서 보안 방어에 기초한 기존의 네트워크로 막는 것은 더 힘들어졌다. 이에 따라 보안 업계 전문가와 최종 사용자 모두가 기업/개인 데이터를 보호하기 위한 방법을 고안하는 데 노력하고 있다. 

셋째, 유출된 데이터의 가치 증가와 함께 이 데이터에 대한 지불이 용이해지고 있다는 점이다. 즉 ‘데이터 절도의 산업화’다. 이에 따라 기업 데이터(거래 기밀, 고객 데이터, 직원 데이터)뿐만 아니라 개인 ID 탈취도 빈번히 일어나고 있다

이뮤니티가 보유하고 있는 솔루션에 대해 설명해 달라.

이뮤니티는 유선과 무선 네트워크들에 대한 상업용 침투테스트 도구들을 제공한다. 유선 침투테스트 솔루션인 CANVAS는 세계적으로 선두 기업들 및 정부 기관들이 그들의 시스템/애플리케이션이 침입 받을 수 있는지를 결정하는데 사용하고 있으며 무선(WiFi) 침투테스트 솔루션인 SILICA는 특수 목적으로 만들어진 세계 최초로 자동화된 WiFi 침투테스트 도구다. 이 외에도 우리는 침투테스트 방법론들에 대한 고급 보안 훈련을 제공한다.

최근 빠른 성장세를 보이고 있는 이뮤니티만의 차별화된 전략이 궁금하다.

이뮤니티의 경쟁력은 단순히 공격용 도구를 만드는데 있는 것이 아니며, 좋은 공격으로 피해를 주지 않고 관리되는 상태에서의 평가가 가능함과 동시에, 그러한 좋은 익스플로잇을 개발할 수 있도록 하는 훌륭한 인적 자원과 이를 지원하는 후방 기술지원 및 공격 코드를 개발하기 위해 필요한 뛰어난 디버깅 툴을 직접 개발하고 있다.

이뮤니티의 서비스 영역은 단순히 모의해킹을 가지고 평가하는 것이 아니다. 이를 통해 도출할 수 있는 다양한 형태의 서비스를 제공하고 있고 이는 전방위적인 보안감사 프로세스를 유지할 수 있도록 하는 것이다. 이와 함께 전체 보안 시스템 및 감시 체계가 온전히 운영되고 있는지, 그리고 문제 발생에 대한 대처가 가능한 것인지 등을 확인할 수 있다.

보안은 관리와 감시의 창을 최소한으로 만들어서 해당 부분에 대한 집중된 평가와 테스팅을 통해 문제가 발생할 수 있는 여지를 최소화 하는 것을 목표로 하고 있는 것이기에 이러한 이뮤니티의 접근법은 실효를 거두고 있다.

사이버 테러 기술이 나날이 정교해 지고 있는 만큼 솔루션도 많은 변화를 거쳤을 것 같다.

공격 형태들이 더 복잡해지고 정교해졌기 때문에 우리는 최근의 취약점들에 대응하기 위해 핵심 엔진을 수정해야 했다. 또한 WiFi의 사용 증가로 우리는 지금 WiFi 네트워크들은 물론 기존 유선 네트워크들 양쪽에 침투테스트를 할 수 있는 솔루션을 만들고 있다. 이에 따라 고급 훈련 수업의 기간도, 교육생들에 대한 지식 전달의 양도 지난 18개월 동안 3배로 늘어났다.

한국 시장에서의 마케팅 전략은 무엇이며 중점적으로 공략할 분야가 있다면?

이뮤니티의 서비스와 가치를 한국에 전달하기 위해 우리는 뜻을 함께할 수 있는 전략적 파트너로 소프트와이드 시큐리티와 함께 제품, 기술, 교육 및 서비스를 함께 소개하고 있으며 이를 통해 이뮤니티와 소프트와이드 시큐리티가 함께 전달하고자 하는 보안에 대한 가치가 널리 펼쳐지기를 바라고 있다.

따라서 한국 시장에 CANVAS와 SILICA 침투테스트 도구와 고급 보안 훈련 수업을 제공하고자 하며 침투테스트 문제들의 심도 있는 기술적 세부사항을 검토하기 위해 한국 고객들과 호스트 내부 회의를 갖는 것은 물론 취약성 선임 연구원들 일부를 파견할 예정이다.

정보 보안과 효과적인 보안 시스템 구축을 위해 조언해 준다면?

정보 보안에 관해 아는 것과 가정하는 것 사이에는 큰 차이가 있다. 취약성 평가 툴은 기업의 환경 보안에 관해 수 많은 가정을 만든다. 침투테스트는 사이버 공격에 취약한 점을 갖고 있는지 결정하는 가장 정확한 방법이며 사이버 테러를 방지하기 위함이다.

최근 DDoS 공격이 미국과 한국에서 심각한 문제가 된 것으로 알고 있다. 그러나 이번 사이버 테러는 빙산의 일각일 뿐이라고 생각한다.

일단 공격이 성공하게 되면 이를 따르는, 유사하지만 약간 변형된 취약점들을 사용한 수많은 ‘모방’ 공격이 일어날 수 있어 우려된다. 침투테스트는 이러한 모방 공격을 막기 위한 가장 비용 효율적인 선택이라 조언하고 싶다.

안전한 사이버 세계를 위한 최우선 사항은 무엇이라 생각하나?

보안 전문가들에게는 물론 최종 사용자들 모두에게 중요한 요소는 ‘교육과 훈련’이다. 공격과 취약점들의 형태가 빠른 속도로 변하고 있으며, 이전 보다 더 정교해지고 있기 때문에 이에 대처할 수 있는 훈련과 교육은 모든 기업 정보 보안 조직들의 최우선 사항이 돼야 한다.

좋은 보안은 50%의 인력과 50%의 기술이다. 개인적으로 평균 인력과 우수한 기술 보다는 우수한 인력과 평균 기술 쪽이라고 말하고 싶다.

기업들은 최고 기술 인력들이 누구인지 찾아 내 그들에게 기술을 제공하고 훈련시켜야 한다. 이 것이 기업을 보호하는 길이다.

ISEC 2009에 참가하게 된 배경은 무엇이며 가장 기억에 남았던 것은?

ISEC 2009의 참가업체이며 파트너사인 소프트와이드 시큐리티의 초청을 받아 참석하게 됐다. 모든 강의가 다 유익하고 좋았지만 특히 제이슨 리가 발표한 무선(WiFi) 보안 프레젠테이션과 두 기조 프레젠테이션에 매우 감명받았다. 이 외에도 각각의 프레젠테이션들이 비즈니스 문제들과 함께 기술적 세부사항들을 잘 융합시켰다.

ISEC 2009 CTF 역시 인상 깊었다. 보안을 잘 이해하지 못하는 사람들은 CTF(Capture the Flag)가 가상 전투 시합이라는 것을 잘 모른다. 그런데 많은 관중들이 오가는 코엑스(COEX) 메인 구역에서 시합을 열어 사람들의 시선을 끄는 것과 동시에 화이트 해커에 대한 인식을 새로이 한다는 취지가 좋았다.

<글 : 호애진 기자(is@boannews.com)>

[월간 정보보호21c 통권 제110호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>