[인터뷰] 보안분석 보고서로 이슈의 중심에 선 문일준 빛스캔 대표

“보안은 신뢰가 기본, 보안담당자의 역할은 원칙을 지켜나가는 것” 

[보안뉴스 권 준] 최근 매주 수요일 발표되는 보안분석 보고서 하나가 보안 분야에 적지 않은 파장과 관심을 불러일으키고 있다. KAIST 사이버보안연구센터의 SAR(Security Analysis Report)가 바로 그것.

이는 보안업체 빛스캔과 KAIST 정보보호대학원 간 산학협력의 결과물로, 한주간의 공격동향 및 감염취약점 등을 정리한 공격동향 보고서와 주요 악성코드에 대한 전문적인 기술분석 내용이 담겨 있는 기술분석 보고서 등 2종으로 구성된다.

특히, 지난 6월 중순부터 MS 정기 보안 업데이트가 이루어졌던 7월 둘째 주까지 국내에 큰 피해를 입힌 MS의 제로데이 취약점 CVE-2012-1889 관련 공격이 급증하던 시기에 이 보고서는 이 제로데이 공격의 심각성을 발 빠르게 지적하고, 세부분석 자료를 내놓으면서 큰 호응을 얻은 바 있다.

더욱이 빛스캔과 카이스트 사이버보안센터는 CVE-2012-1889 취약점과 관련해서는 국내에서 대규모로 이뤄졌던 초기 단계부터 악성코드 다운로드 및 악성코드의 분석까지 포함된 전문분석 보고서를 국·영문 별도로 발간했다. 이 영문보고서는 보안전문가들 사이에서는 많이 알려진 취약점 분석 DB 사이트인 www.exploit-db.com에 게재될 만큼 해외에서도 전문성을 인정받은 상황이다.

지난해 5월 창립한 신생 벤처업체인 빛스캔이 1년 만에 보안 분야에서 이렇듯 뚜렷하게 각인되고 있는 이유는 무엇일까? 이는 카이스트 정보보호대학원과의 긴밀한 협업을 바탕으로 보안담당자들에게 절실히 필요한 양질의 보안 컨텐츠를 생산해내고 있기 때문이다.

빛스캔과 KAIST 사이버보안연구센터에서 매주 수요일 공동으로 발간하는 보안분석 보고서 2종

보안분석 보고서는 카이스트 정보보호대학원생들이 초안을 만들면 빛스캔 연구원들의 1차 수정과 기술 분야를 총괄하고 있는 전상훈 이사의 최종 리뷰를 거쳐 매주 수요일 발간된다. 문일준 대표의 경우 이 과정에서 영업지원과 경영관리 전반을 책임지고 있다.

  

“우리는 공격 자체보다 공격유형과 형태를 분석해 이를 차단하고 예방하는 부분에 초점을 맞추고 있다”며, “회사를 설립하고 1년 간 우리 회사와 우리의 서비스에 대해 신뢰를 주는 것을 1차 목표로 했고, 그 목표를 어느 정도 달성한 단계인 것 같다”고 문 대표는 자평했다.

“초창기에는 우리가 제공한 보고서의 DB를 믿을 수 있느냐는 문의를 많이 받았어요. 이에 우리는 보고서의 원형이자 악성코드를 분석해서 취약점의 원인을 밝혀낸 과정을 담아낸 프로토 타입을 근거로 제시했고, 이를 통해 우리에 대한 신뢰를 쌓을 수 있었죠.” 이는 결국 4월 보고서 서비스를 시작한 이후, 5,6월의 테스트 기간을 거쳐 7월부터 본격적인 유료 서비스로 전환할 수 있는 토대가 됐다. 

빛스캔의 사업영역은 보고서 구독 서비스에 그치지 않는다. 웹 취약점 점검 서비스인 ‘비트스캐너’와 악성코드 유포경유지 진단 서비스를 상용화한 ‘비트파인더’를 비롯해 빛스캔의 웹취약점 점검역량을 극대화해 장비 안에 내장시킨 ‘큐브디펜스’를 보안 솔루션 전문업체 트라이큐브랩과의 MOU를 통해 시장에 출시한 상황이다. 이와 함께 현재까지의 서비스와는 완전히 차별화된 새로운 보안 서비스도 준비 중에 있다.

이와 관련 문 대표는 “중소기업이 오랫동안 영속하기 위해서는 한 제품이나 서비스로만 승부해선 안 된다”며, “달걀을 한 바구니에 담으면 안 된다는 말이 있듯이 보안 분야에서도 연관되는 다양한 제품과 서비스를 빠른 속도로 출시하는 게 필요하다. 우리도 이러한 전략을 통해 보안 분야에서 성공시대를 열어나가고 싶다”고 강조했다.              

최근 보안위협과 관련해서 문 대표는 CVE-2012-1889 취약점의 경우 보안패치가 된 이후에도 여전히 문제가 되고 있다고 안타까워했다. 보안 패치가 정식 발표됐음에도 일반인들의 경우 대부분은 자신의 PC에 설치해야 하는지에 대해 잘 모르고 필요성을 느끼지 못한다는 것. 자동 업데이트 기능이 설정돼 있다면 자동으로 업데이트가 가능하지만, 자동설정 여부를 사전에 파악하는 등 보안 업데이트에 대한 중요성을 인식하는 일이 선행되어야 한다는 얘기다.

이에 대해 문 대표는 보안취약점이 자주 발견되는 PDF와 어도비 플레이어, 자바 등 주요 프로그램 제작업체에 대한 1차적인 책임론을 제기했다. “이러한 PC 프로그램들은 악성코드 유포에 있어 책임이 매우 큰 만큼 이에 상응하는 조치를 취해야 한다”며, “보안 업데이트는 업체들이 이를 널리 알려 사용자들의 피해를 최소화시킬 의무가 있음에도 불구하고, 자사 홈페이지에만 조용히 공지하는 정도”라고 아쉬워했다.

이와 함께 그는 기업보안담당자들의 경우 직원들의 보안 업데이트 실태에 대한 보다 철저한 점검과 상벌, 그리고 교육이 필요하다는 점을 강조했다. “다양한 PC 프로그램의 보안 업데이트가 공지되면 보안담당자들이 이를 신속히 파악해 전 직원들에게 알리고, 다른 업무보다도 우선적으로 업데이트를 받도록 하는 게 기본”이라는 그는 “일부 PC라도 보안 업데이트 여부를 체크해 지켜지지 않았을 경우 패널티를 부여해야 한다”고 덧붙였다. 이렇듯 보안은 원칙을 지키는 게 중요하고, 이러한 기본적인 원칙만 지켜줘도 개인정보유출 및 해킹 피해를 상당수 줄일 수 있을 것이라는 설명이다.           

KAIST 정보보호대학원과 함께 진행하는 보안분석 보고서 서비스를 산학협력의 성공적인 비즈니스 모델로 정착시켜 나가고 싶다는 문일준 대표. 그가 강조하는 신뢰와 원칙의 경영이 빛스캔의 사명처럼 보안 분야에서도 빠르게 빛을 발할 수 있을지 기대가 모아진다. 

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>