"北 김수키 맞설 '키'는 모의 해킹…대기업부터 도입해야"
by김가은 기자
2023.06.18 13:21:12
이용일 피플펀드 CISO 인터뷰
北 해킹 등 대응하려면'오펜시브 시큐리티' 확대 필요
대기업 중심 민간 주도 '보안 인식 변화' 강조
| 지난 14일 이용일 피플펀드 CISO가 이데일리와의 인터뷰에서 발언하는 모습(사진=피플펀드) |
|
[이데일리 김가은 기자] 해커의 공격을 받기 전, 먼저 시스템을 공격해보고 취약점을 찾아내는 방법. ‘오펜시브 시큐리티’로 부르는 이 기술은 그 어떤 보안 솔루션보다 뛰어나다는 평가를 받지만 ‘인식’에 발목이 잡혀 있다. 해킹이라는 불법을 저지르는 것이 아니냐는 인식 때문이다.
이용일 피플펀드 최고정보보호책임자(CISO)는 이데일리와 만나 “국내 오펜시브 시큐리티 기술은 세계적 수준이지만 날개를 달 수 있는 기반은 최저 수준”이라며 “대기업이 나서 인식 변화를 위해 움직여줘야 한다”고 제안했다.
‘김수키’와 같은 북한 해킹그룹에 노출되는 등 국가 간 사이버 위협이 지속되는 상황에서 공공·기업의 사이버 방어 능력을 높이기 위해선 오펜시브 시큐리티가 해답이라는 것이다.
오펜시브 시큐리티는 화이트해커가 공공기관이나 기업의 시스템·서비스에 모의침투해 취약점을 찾아 분석한 후 이에 대한 정보를 제공해 해킹에 선제적으로 대응할 수 있도록 하는 방식을 말한다.
보안 스타트업 창업·국가기관 사이버 해킹 기술 연구가 등을 거쳐온 이 CISO는 오펜시브 시큐리티 분야에 정통한 인물로 평가받는다. 지난 20년간 해킹 보안 기술을 연구해온 그는 과거 국제해킹대회 우승은 물론, 마이크로소프트(MS)·구글 등 글로벌 빅테크 기업으로부터 수만 달러에 달하는 연구 포상금을 받기도 했다.
이 CISO는 “2000년대 초반보다 해킹 기술은 비약적으로 발전했다”며 “정부와 기업이 활용하고 있는 디지털 인프라는 크게 증가하는데 보안 투자는 그만큼 이뤄지지 않는 경우가 많아 해커 입장에서는 뚫을 곳이 많아진 셈이 됐다”고 분석했다.
특히 북한이 보유한 사이버 공격 역량이 압도적이라고 평가했다. 그는 “지난해 미국 하버드 대학교 케네디스쿨 벨퍼센터에서 발간한 ‘국가별 사이버 역량 지표 2022’ 보고서에 따르면 북한은 금융 사이버 해킹 분야에서 압도적 1위를 기록했다”고 설명했다.
이 같은 상황에서 국내 공공기관과 기업이 기밀과 같은 데이터, 나아가 자본 등을 지키기 위해서는 결국 오펜시브 시큐리티를 확대하는 것이 효과적이라는 것이 이 CISO의 판단이다. 무엇보다 이미 오펜시브 시큐리티 기술력이 뒷받침되고 있다.
이 CISO는 “국내 기술적 수준은 해외 어디에 내놔도 경쟁할 수 있다”며 “그러나 국내 기업들은 아직 오펜시브 시큐리티를 통해 취약점을 찾는 일을 창피해하거나 부끄러워하는 경향이 있고, 취약점 점검 의뢰를 해도 굉장히 저렴한 비용에 받으려고 하는 등 전반적으로 문제가 있다”고 비판했다.
국내와 달리 글로벌 시장에서 오펜시브 시큐리티는 이미 ‘주류’로 자리를 잡았다. 구글이나 MS, 메타 등 글로벌 기업들은 사전 모의 공격을 통한 제품과 서비스 안정성 검증을 ‘축제’처럼 진행하는 분위기다. 발견된 취약점에 대한 보고와 조치도 모두 공개적으로 이뤄진다.
그러나 이 CISO의 비판처럼 국내에서는 오펜시브 시큐리티를 터부시하고 있는 경향이 나타나고 있다. 해킹에 대한 부정적 인식 때문이기도 하지만 취약점이 드러나는 것에 대한 우려 때문이라는 분석도 나온다.
이 같은 분위기를 전환하기 위한 방법으로 이 CISO는 국내 대기업들이 적극 움직여야 한다고 강조했다. 취약점을 숨기거나, 무마하는 문화를 바꾸려면 규모가 큰 기업들이 먼저 행동에 나설 필요가 있다는 뜻이다.
이 CISO는 “쿠팡, 네이버 라인 등 정보기술(IT) 분야를 선도하고 있는 기업들은 오펜시브 시큐리티 분야에서 유명한 인물들을 CISO로 영입했다”며 “이 같은 인물들이 리더로 자리를 잡고, 기업들이 움직여주면 변화를 이끌어낼 수 있을 것”이라고 했다.