해커 잡는 해커, ‘화이트해커’가 몸값을 높이고 있다. 허를 찌르는 타깃 공격이 연이어 발생하면서, 관리되지 않은 취약점과 공격 가능성을 낮춰야 한다는 수요가 높아지고 있다. 더불어 규제준수만을 위한 모의해킹이 아니라, 실제 공격을 막을 수 있는 상시적인 취약점 점검이 전사 범위에서 진행돼야 한다는 주장도 제기된다. 공격자 관점에서 취약점을 제거하고 공격 표면을 줄여나갈 수 있는 방법이 마련돼야 한다.<편집자>
몸값 높아지는 화이트해커
‘지피지기면 백전불태’는 사이버 전쟁에서도 마찬가지다. 공격자를 잘 알면 제대로 방어할 수 있다. 공격자를 아는 방법 중 하나가 화이트해킹이다. 화이트해커는 모의해킹, 소스코드 분석 기술을 갖고 보안 취약점을 찾고 외부 해킹을 차단한다.
화이트해커는 자체적으로 개발한 분석·테스트 툴을 갖고 있지만, 상용 툴을 사용하는 것이 더 일반적이다. 라온시큐어 화이트햇센터가 래피드7 메타스플로잇을 이용해 침투테스트 서비스를 하는 것이 그 대표적인 예이다.
현재 화이트해커는 컴플라이언스만을 위한 수요가 있을 뿐이다. 정보통신 기반시설 취약점 가이드, 전자금융법, ISMS 등에서 정기적인 취약점 점검과 침투테스를 요구하고 있으며, 이 규제준수를 위해 화이트해커를 고용해 점검을 진행한다.
이전에는 컴플라이언스만을 위해 진행했기 때문에 ‘눈 가리고 아웅’ 하듯 최소한의 범위에서 부분적으로 진행하는 것이 일반적이었다. 그러나 공격이 지능화되면서 근본적인 공격 가능성 차단을 위해 전사 범위에서 화이트해커를 고용하거나 서비스를 받는 기업이 늘어나고 있다.
김성준 포지티브코리아 이사는 “최근 금융기관을 중심으로 모의해킹 수요가 크게 늘어나고 있으며, 고급 화이트해커를 찾는 기관이 많아지고 있다. 국내 유수의 컨설팅 기업들도 수준 높은 화이트해커를 고용해 고급 서비스를 제공하고자 한다”며 “랜섬웨어 등의 공격으로 기업 존폐에 심각한 영향을 미칠 수 있다는 사실이 입증된 만큼 화이트해커 수요는 앞으로 크게 더 늘어날 것”이라고 말했다.
이어 라온시큐어 화이트햇센터장인 기태현 이사는 “침해사고를 당한 기업의 대부분이 화이트해커를 고용해 상시적으로 공격 가능성을 줄여나가고 있다. 규제준수를 위한 모의해킹 수준을 넘어 전체 시스템에서 가능한 공격 시나리오를 만들고 이를 제거해나가고 있다”며 “일부 화이트해킹 서비스 기업들은 자체 연구소를 통해 다크웹 등 해커 커뮤니티의 동향을 조사해 분석 보고서를 발표한다. 이러한 노력을 통해 지능화되는 공격을 방어할 수 있는 방법을 마련한다”고 설명했다.
공격자 입장에서 공격 가능 지점 찾아
국내 모의해킹 서비스 전문기업들은 이름난 화이트해커를 고용하거나 화이트해커가 직접 사업을 전개하고 있다. 라온시큐어 화이트햇센터는 화이트해커 양성과 모의해킹 서비스를 제공하기 위해 설립된 조직으로, 데프콘(DEFCON) 등 글로벌 해킹대회 우승자 등 세계적인 화이트해커를 다수 보유하고 있는 대표적인 화이트해킹 조직이다.
라온시큐어는 화이트해커 양성을 위해 교육, 세계대회 참가 등을 적극적으로 지원하고 있으며, 글로벌 무대에서 쌓은 실력으로 국내 엔터프라이즈, 금융, 공공기관 등의 보안약점을 찾아내고 대응 방안을 제안한다. 전 세계로부터 수시로 공격을 받는 국내 기업/기관들은 고급 화이트해커의 컨설팅을 통해 공격을 미리 예측하고 방어할 수 있다.
라온 화이트햇센터의 ‘R-SHIELD’는 정보보호 컨설팅, 침투테스트, 교육, 감사 서비스가 포함되며, 공격자 입장에서 보안 취약점을 분석한다. 국내 화이트해커 커뮤니티, 정보보호 관련 교육기관, 래피드7 등과 협력해 진단 서비스 수준을 지속적으로 높여가고 있다. 보안에 최적화된 인공지능(AI) 솔루션을 통합한 보안 인텔리전스 플랫폼을 구축하고 있으며, 보안 전문가 양성 서비스 ‘SHI’를 제공한다.
기태현 이사는 “라온시큐어는 보안 솔루션을 연구하면서 화이트햇센터를 운영하고 화이트해커를 양성해 전문적인 침해 탐지·대응 기술 기업으로 인정받고 있다”며 “공격자 입장에서 공격을 분석·예측하며 지능적인 방어 능력을 갖추도록 하는 것이 지능형 공격 방어 방법이다. 라온 화이트햇센터는 이러한 이상에 가장 가까운 서비스 전문가들로 이뤄진 조직이다”고 말했다.
스틸리언은 국내외 유수의 해킹대회에서 우승한 박찬암 대표, 신동휘 이사 등이 주축이 돼 취약점 진단, 모의해킹 서비스를 제공한다. 이들은 모바일 앱 취약점 점검과 보안 솔루션 ‘앱수트(AppSuit)’를 제공하는 한편, 공격 기반 보안 컨설팅과 모의해킹을 제공한다.
