[데이터넷] ‘지피지기 백전불태(知彼知己 百戰不殆)’. 손자병법 모공편 마지막 부분에서 소개한 유명한 전략으로, ‘적을 알고 나를 알면 백번을 싸워도 위태롭지 않다’는 뜻이다. ‘백전백승(百戰百勝)’이 아니라 ‘백전불태’라는 점에 주의해야 한다. 손자는 ‘백번 싸워서 이기는 것이 아니라 싸우지 않고 굴복시키는 것이 최선’이라며 ‘적의 계략을 치는 것’이 최상의 전략이라고 소개했다.

사이버 보안 전략 중 이보다 더 좋은 것은 없다. 사이버 범죄자의 공격 방법을 미리 파악해 무력화하면 공격으로 인한 피해를 입지 않아도 돼 ‘백전불태’의 이상을 실현할 수 있다.

박세한 엔키 대표는 “가장 효과적인 보안 전략은 공격 기법을 미리 알고 대응하는 것”이라며 “공격자의 기술을 연구하고 해법을 제안하는 한편, 기업·기관 및 시스템·소프트웨어에 내재된 취약점을 파악해 공격이 발생하기 전에 제거해 공격 가능성을 낮춰가야 한다”고 말했다.

보안 취약점 미리 제거해 공격 가능성 낮춰

공격 기법을 미리 파악하는 것(知彼), 내재된 취약점을 파악해 제거하는 것(知己)을 통해 어떤 공격이 발생한다 해도 피해를 입지 않을 수 있다. 적을 알 수 있는 ‘오펜시브 시큐리티(Offensive Security)’가 백전불태를 위한 필수 전략이라 할 수 있다. 정해진 시나리오를 기반으로 하는 모의해킹과 달리, 오펜시브 시큐리티는 실제 공격자들이 사용하는 도구와 방법을 이용해 공격을 시도해본다. 정해진 시나리오가 없기 때문에 알려지지 않은 취약점이나 드러나지 않은 설정오류까지 찾아낼 수 있다.

박 대표는 “수많은 해킹사고를 분석해보면 공격 목표와 방법, 도구 등은 각각 다르다. 그러나 공격자들이 이용할 수 있는 보안 취약점이 있다는 공통점이 있다”며 “수많은 시스템과 소프트웨어에 존재하는 다양한 취약점과 이를 이용하는 공격을 막기 위해서는 공격자 입장에서 접근해야 한다”고 말했다.

해외에서는 이미 오펜시브 시큐리티 전문 기업들이 높은 성장률을 기록하고 있다. 시스템과 소프트웨어에 존재하는 알려진 취약점과 함께 알려지지 않은 취약점을 찾아 공격이 발생하기 전 미리 대응할 수 있도록 한다. 알려지지 않은 취약점을 발견해 해당 벤더나 관계기관에 알려주고 보상을 받는 버그바운티 프로그램에도 오펜시브 시큐리티 전문가들이 활발하게 활동하고 있다.

해외 기업들은 새로운 제품이나 서비스를 출시하기 전 오펜시브 시큐리티 전문 기업에 의뢰해 보안 약점이 있는지 확인하는 과정을 거친다. 우리나라 기업과 기관에서도 오펜시브 시큐리티 전문 조직을 통해 신제품과 서비스에 공격 가능한 보안 약점이 있는지 검토한다. 엔키가 국내 전문기업 중 하나로 이름을 알리고 있다.

버그바운티 플랫폼으로 취약점 대응 능력 제고

국내 오펜시브 시큐리티는 아직 생소한 분야다. 주요 기업과 기관은 규제준수를 위해 연 1~2회 보안 컨설팅과 취약점 분석, 모의해킹을 수행한다. 그러나 ‘규제준수’만을 위해 시행하는 취약점 분석과 모의해킹으로는 알려지지 않은 취약점을 찾을 수 없으며, 알려진 취약점도 제대로 대응하지 못한다.

박세한 대표 “국내 보안 서비스는 규제준수만을 위한 시장에서 벗어나지 못하는 것이 현실이지만, 최근 실제 보안 문제를 해결하기 위해 다양한 보안 서비스를 도입하는 사례도 조금씩 늘어나고 있다”고 설명했다.

박 대표가 그 예로 소개한 한 제조사의 경우, 랜섬웨어 피해를 입어 엔키에 도움을 요청했다. 그 후 정식 보안 매니지드 서비스 계약을 체결하고 서비스를 제공하고 있다. 규제준수가 아니라 실제 보안 피해 탐지와 대응, 예방을 위해 보안 서비스를 찾는 고객이 늘어나고 있다고 박 대표는 설명한다.

보안 서비스 시장을 한 층 더 업그레이드 하기 위해 엔키는 버그바운티를 위한 전문 플랫폼을 완성해나가고 있다. 고객이 원하는 서비스나 제품을 플랫폼에 얹으면 전 세계 화이트해커가 참여해 취약점을 찾아내고 그에 대한 보상을 제공하는 방식이다. 전 세계 화이트해커가 참여하는 인력풀을 이용하기 때문에 더 효과적으로 알려지지 않은 취약점을 찾아 제거할 수 있으며, 공격 가능성을 그만큼 낮출 수 있다.

“보안으로 세상 이롭게 하겠다”

엔키는 카카오뱅크, 페이코 등 금융·공공·일반 기업 등 다양한 산업군에 보안 컨설팅과 취약점 점검, 모의해킹, 악성코드 분석, 보안 담당자 교육 등의 서비스를 제공해 온 전문기업이다. 전 세계 유명 해킹대회에서 수상한 화이트해커들이 모인 엔키는 최신 공격기술 연구를 바탕으로 제로데이 취약점을 발견하고 제보해 안전한 사이버 세상을 만들고 있다. 또한 국내 대표적인 해킹대회 운영을 총괄하면서 최신 공격기술 동향을 소개하고 오펜시브 시큐리티 전문인력 양성에도 적극 노력하고 있다.

엔키는 지니언스 EDR 솔루션의 침해대응 서비스를 전담하는 기업으로도 유명하다. 지니언스 ‘지니안 인사이츠 E’가 탐지한 위협을 정밀하게 분석해 대응 방법을 제시하는 침해대응 서비스를 엔키가 제공하는 방식으로 EDR 도입 효과를 극대화 할 수 있도록 돕는다. 지니언스 외에도 여러 보안 기업들과 협력해 보안 매니지드 서비스와 침해대응 서비스를 제공하고 있다.

박세한 대표는 “엔키는 세계적으로 실력을 인정받은 화이트해커와 보안 전문가들이 모인 조직으로, 기업·기관의 수준에 맞는 보안 전략을 제안하고, 알려진/알려지지 않은 위협을 찾아 대응하며, 발생한 위협에 적극 대응해 추가 피해를 막을 수 있는 대안을 제안한다”며 “엔키의 활동을 통해 보안이 모든 비즈니스와 일상 생활을 보호하는 필수 요건으로 인정받게 하며, 보안으로 세상을 이롭게 하는데 도움을 주고 싶다”고 말했다.

김선애 기자 다른기사 보기