방어는 패턴화되어 규칙적이지만, 공격은 불규칙적이라 어려워
국내 대표 화이트해커 박찬암 스틸리언 대표, 공격자를 귀찮게 하라고 조언

[보안뉴스 원병철 기자] 보안위협이 다양화되면서 기관과 기업들은 보안 투자와 준비를 나름 강화하고 있지만, 언제나 언론에서는 어디가 해킹 당했다거나 피해를 입었다는 소식뿐이다. 왜 그럴까? 한국을 대표하는 화이트해커로 손꼽히는 스틸리언 박찬암 대표는 “공격하는 입장과 방어하는 입장이 다르기 때문”이라고 이야기한다.


25일 열린 시스코 시큐리티 서밋 2017에서 박찬암 대표는 ‘주요 시스템 공격 경험에 의한 해커 관점의 실용적 보안 방안’이라는 주제로 다음과 같이 설명했다. “해킹은 겉은 단단하지만 속은 부드러운 코코넛과 비슷하다”는 박 대표는 “단순히 방어 시스템만 갖추기 보다는 공격자의 마음을 헤아리는 것이 더 중요하다”고 강조했다.

“보안의 맹점은 방어 시스템은 정형화됐지만, 해커의 공격은 정형화되지 않았다는 겁니다. 보통 방어는 패턴에 의한 방어가 많지만 해커는 단순히 쉽게 공격할 수 있는 방법을 찾을 뿐이죠. 또 제품 자체의 취약점도 있고요.”

그렇다면 방어를 어떻게 해야 할까? 최근 한 금융기관에 보안점검을 나갔더니, 지금껏 구축한 보안에 대한 리포트를 건네주는 데 책으로 만들 만큼의 두께였다고 박 대표는 말했다. “보안을 위해 어떤 보안 솔루션을 구축했는지, 시스템은 어떻게 갖췄는지, 내부규정은 어떤지 정말 많은 내용이 담겨 있었습니다. 그런데 실제로 접근을 해보니, 1주일 만에 보안을 뚫을 수 있었습니다.”

이에 대해 박 대표는 ‘관점을 다르게 할 것’을 요구했다. 단순히 방어만 할 게 아니라, 공격도 해봐야 한다는 것. 특히, 외부는 물론 내부에서의 공격도 경험해봐야 한다고 그는 강조했다. “해커는 정면에서 공격하기 보다는 우회해서 공격하는 것을 택합니다. 옆으로 돌아가면 쉽게 갈 수 있는데, 굳이 정면돌파할 필요가 없죠.”

두 번째로 그는 BMT를 꼽았다. “보안 시스템을 구입할 때, 얼마나 안전한가에 초점을 맞춰야지, 기능은 있는지, 규제 요건에 맞는지를 우선하면 안 됩니다. 보안 시스템의 궁극적인 목적이 무엇인지를 꼭 생각해봐야 합니다.”

세 번째로 박 대표는 ‘신뢰하지 말고 점검할 것’을 들었다. 조직의 보안 시스템을 신뢰하지 말고, 내부망도 맹신하지 않아야 한다는 것. 끊임없는 점검과 크로스체크만이 외부의 공격으로부터 보호해줄 것이라고 박 대표는 언급했다.

그렇다면 반대로 해커 입장에서 어떤 시스템이 뚫기 어려웠을까? 첫 번째는 바로 ‘감시’와 ‘알람’이 잘 되는 시스템이다. 일종의 관제라고 보면 되는 데, 공격자가 ‘귀찮아’지면 된다는 것. 한 단계, 한 단계가 계속 뚫기 어려우면 공격자 입장에서는 차라리 다른 대상자를 찾기 마련이다. 이를 위해서는 크로스체크를 하는 것이 좋다. 예를 들어, 보안 컨설팅을 받았다면 한 곳만 받고 끝날게 아니라 다른 곳에도 보안 컨설팅을 받아서 크로스체크를 해야 한다는 얘기다.

또한, 인력 운영 등 제반문제 때문에 외부에 보안을 맡길지라도 반드시 사내에 보안전문가 한 명쯤은 있어야 한다고 설명한다. 실제로 보안을 잘 아는 직원이 있으면, 같은 시스템을 구축했더라도 차이가 있다는 것. 이와 함께 회사 혹은 경영진에서 보안에 힘을 실어주어야 한다는 견해도 피력했다.

보안은 공격자를 얼마나 귀찮게 하느냐가 중요하다는 박 대표는 끊임없는 점검만이 기업의 보안을 담보할 수 있을 것이라고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>