올해 들어 크고 작은 사이버 보안 사고가 잇따르면서 모의해킹 등 해커 관점에서 취약점을 찾고 해결책을 제시하는 오펜시브 시큐리티(Offensive Security) 중요성이 커지고 있다.
정보보안업계는 우리나라의 현행 정보보호 정책이 기업의 보안 투자를 점검 체크리스트 수준에 머물도록 만들고 특히 중소기업의 경우 예산·인력 부족으로 자체 대응이 어렵다고 지적한다. 이에 화이트햇 해커 기반의 실전형 모의해킹 진단과 같은 전문적인 보안 서비스 활용이 필요하다고 입을 모은다. 실제 SK텔레콤 유심 해킹사고로 홍역을 치르고 있는 SK그룹이 가장 먼저 꺼내 든 카드도 '모의 침투 테스트'(모의해킹)일 정도로 실전형 보안 강화책으로 각광받는 모습이다.
국내에서 화이트햇 해커를 중심으로 한 오펜시브 시큐리티 전문 기업은 티오리, 스틸리언, 라온시큐어, 엔키화이트햇이 대표적이다. 화이트햇 해커는 해킹을 통해 금전적 이득 등을 취하는 블랙햇 해커와 달리, 기업(기관)의 정보시스템 취약점을 찾아 방어하도록 돕는 사이버 보안 전문가다.
티오리는 난제급 사이버보안 문제를 해결하는 세계 최고 수준의 보안 기술 기업을 표방한다. 세계 최대 해킹방어대회 '데프콘'(DEFCON)에서 역대 최다 8회 우승, 3년 연속 우승이라는 금자탑을 쌓는 등 화려한 수상 이력을 자랑한다. 또 구글, 마이크로소프트, 미국방위고등연구계획국(DARPA)를 비롯한 글로벌 기업·기관과 협업하고 있으며 최근 옥타(Okta)와의 전략적 보안 파트너십도 체결하며 국제적인 기술 신뢰도를 공고히 하고 있다. 특히 티오리는 인공지능(AI) 기반 애플리케이션 보안 솔루션 'Xint'(진트)를 통해 인터넷주소(URL) 하나만으로도 보안 점검이 가능한 모의해킹 자동화 기술을 선보여 주목받았다.
스틸리언은 국내외 주요 해킹대회에서 입상한 화이트햇 해커가 공격자 관점에서 모의해킹과 보안컨설팅 서비스를 수행한다. 삼성전자·LG전자·네이버·카카오 등 대기업부터 국민은행·신한은행·우리은행·하나금융그룹·농협중앙회 등 금융권, 외교부·대검찰청·한국전력·한국수력원자력 등 공공기관까지 200개 이상의 모의해킹 고객사를 확보했다. 특히 정부기관·군·국가연구소 등 국가 차원의 보안 영역 난제를 해결하는 프로젝트를 경험한 바 있다.
라온시큐어는 공공·금융기관, 민간기업을 대상으로 프리미엄 모의해킹 등을 제공하고 있다. 일반적인 보안 솔루션으론 탐지하기 어려운 비인가 접근, 우회 경로, 내부 취약 지점을 면밀히 분석해 지능형지속위협(APT) 등 사이버 위협에 대한 사전 대비를 지원한다. 최근엔 구독형 모의해킹 서비스(PTaaS)를 출시해 보안 투자에 부담을 느끼는 중견·중소 기업들이 예산 규모에 맞는 서비스를 선택할 수 있도록 했다.
엔키화이트햇은 고객의 프로젝트 목표와 상황에 맞춰 체크리스트 기반 점검(취약점 진단), 모의해킹(침투테스트), 레드팀테스트 등 세 가지 유형의 오펜시브 보안 컨설팅 서비스를 선보인다. 레드팀 테스트는 핵심 비즈니스 정보 탈취, 특정 서비스 마비 등 실제 공격자와 동일한 수준의 목표를 설정하고 기업의 모든 보안 체계가 얼마나 효과적으로 작동해 방어할 수 있는지를 종합적으로 평가한다. 나아가 지난해 출시한 '구독형침투테스트'(PTaaS)를 통해 보고서 기반 소통을 넘어 실시간 소통이 이뤄지며, 고객 내부 방어팀과 협업해 탐지룰과 대응체계까지 연계해 지원한다.
이성권 엔키화이트햇 대표는 “공격자(해커) 관점에서 기업의 사이버 보안 체계를 점검하지 않으면 백약이 무효”라며 “유사 시 한반도 방어를 위한 연합 군사훈련인 을지프리덤실드 연습을 하듯이 제3자에 의한 침투 테스트 등 실전형 사이버 훈련이 필요하다”고 말했다.
조재학 기자 2jh@etnews.com
![네이버 vs KT … '소버린 AI' 신경전[디지털포스트 모닝픽]](https://www.ilovepc.co.kr/news/photo/202505/54552_148592_1447.jpeg)
