2024-03-29 07:30 (금)
“취약점 분석과 모의해킹만 잘하는 해커의 시대는 지났다”
상태바
“취약점 분석과 모의해킹만 잘하는 해커의 시대는 지났다”
  • 길민권 기자
  • 승인 2017.07.11 13:56
이 기사를 공유합니다

[시큐인사이드 2017] 김승주 교수 “모의해킹 잘하는 해커보다 시큐리티 엔지니어가 필요한 시대"

▲ 시큐인사이드 2017에서 "해외는 이미 ‘Security’라는 용어 보다는 ‘Trustworthiness’와 ‘Dependability’ 즉 시큐리티를 넘어 신뢰성과 안전성을 요구하고 있다"고 말하는 김승주 고려대 교수.
▲ 시큐인사이드 2017에서 "해외는 이미 ‘Security’라는 용어 보다는 ‘Trustworthiness’와 ‘Dependability’ 즉 시큐리티를 넘어 신뢰성과 안전성을 요구하고 있다"고 말하는 김승주 고려대 교수.
사단법인 해커연합 HARU가 운영하는 국제 해킹/보안 컨퍼런스 SECUINSIDE(시큐인사이드)가 7월 10일부터 11일 양일간 500여 명의 국내 외 해킹 보안 전문가들이 참석한 가운데 고려대학교 인촌기념관에서 개최됐다.

이 자리에서 김승주 고려대학교 교수는 "Hack-proof Drone, What is it?"란 주제로 키노트 발표를 진행했다.

김승주 교수는 “올해 초 대기업 임원들과 미팅자리가 있었다. 우수한 해커들을 영입해 제품 개발 과정에 투입했는데도 품질 퀄리티가 기대만큼 향상되지 않고 있다고 말한다. 그 이유는 바로 테스트 과정에만 해커들을 투입했기 때문이다. 제품 퀄리티가 보장되려면 제품 개발과정 모든 단계에 보안인력이 투입되고 각 단계별로 안정성과 보안성을 검증받는 프로세스 확립이 필요하다”고 강조했다. 즉 해커들을 영입해 취약점만 찾는 일을 시킨다고 해서 제품 퀄리티가 높아질 수 없다는 것이다.

해외는 이미 ‘Security’라는 용어 보다는 ‘Trustworthiness’와 ‘Dependability’ 즉 시큐리티를 넘어 신뢰성과 안전성을 요구하고 있고 이를 증명해야 제품으로서 인정을 받고 공공기관이나 군사 무기, 기반시설 등에 납품할 수 있다. Dependability를 확보하기 위해서는 △Availability(가용성) △Reliability(신뢰성) △Safety(안전성) △Security(보안성) 등 4가지 모두를 증명해야 한다. 24시간 365일 안전하게 사고없이 사용할 수 없다면 보안성이 아무리 높아도 사용할 수 없다는 것이다.

특히 김 교수는 “미국 국방부에서 군사용 무기 개발시, 개발 니즈를 파악하고 디자인하고 구현하는 모든 단계에서 신뢰성을 요구한다. 그렇게 만들어진 평가제도가 바로 CC인증이다. CC인증은 1등급부터 7등급이 있다. 군사 무기는 7등급을 넘어 더 높은 신뢰성 증명을 요구하고 있다. 반면 우리는 국정원 주도의 CC인증 평가를 받고 있고 대부분 업체들이 4등급 이상은 엄두도 못내고 있다. 특히 우리나라 국방부의 무기개발 및 도입 체계도 국정원의 CC인증에 의존할 것이 아니라 보다 강력한 사이버 무기체계 기준을 마련해야 한다”고 강조했다.

▲ "해외는 시큐리티 엔지니어 연봉이 CSO나 CISO 보다 높다" 고려대 김승주 교수. 시큐인사이드 2017 강연장에서.
▲ "해외는 시큐리티 엔지니어 연봉이 CSO나 CISO 보다 높다" 고려대 김승주 교수. 시큐인사이드 2017 강연장에서.
한편 시큐리티 엔지니어(보안공학자)가 바로 개발단계부터 구현단계까지 신뢰성을 검증하는 그 역할을 한다. 고객 니즈를 파악하고 분석하는 단계부터 알고리즘을 만들고 디자인상 오류를 검증하고 이를 제품으로 구현하는 모든 단계에 있어 시큐리티를 넘어 신뢰성을 증명하는 업무를 맡는다. 해외는 이런 인력들을 많이 배출하고 있고 궁극적으로 화이트해커들도 이런 업무를 하기 위해 취약점을 찾고 해킹 보안 공부를 하고 있다. 하지만 우리나라는 좋은 인재가 많음에도 불구하고 모의해킹과 취약점 분석에 너무 많은 인력들이 몰려 있다는 점도 김 교수는 지적했다.

실제로 국내 모 대기업에서 제품 전반에 신뢰성을 확보하기 위해 보안공학자를 모집했지만 지원자가 없었다고 한다. 그런 지식을 갖추고 그런 업무 경험이 있는 사람이 거의 없기 때문이다. 국내 해커들과 보안을 공부하는 학생들이 취약점 분석과 모의해킹에만 몰리고 있어 실제 기업에서 필요로 하는 보안인력은 찾기 힘들다는 것이다. 해외에서는 시큐리티 엔지니어의 연봉이 CSO나 CISO 연봉보다 높다.

김 교수는 “국내 해킹 보안 인력들이 우수한 재능을 갖고 있음에도 불구하고 모의해킹과 취약점 분석에만 너무 매몰돼 있다. 국내 보안산업이 발전하기 위해서는 보안공학자가 배출되어야 한다. 제품의 취약점을 찾는데만 머물 것이 아니라 실제로 보안제품을 만들어낼 수 있어야 한다. 어떤 제품이 시장에 필요한지 니즈를 파악하고 이를 디자인하고 제품을 실제로 구현해 낼 수 있어야 한다. 그 모든 과정에 신뢰성과 안전성을 증명할 수 있는 능력이 있어야 한다. 말로만 주장할 것이 아니라 수학적으로 완벽하게 증명할 수 있어야 한다. 대학 교육과 정부주도의 교육기관, 민간 교육 기관 등에서도 이제 취약점 분석과 모의해커만 양성할 것이 아니라 진정한 보안공학도를 배출하는데 커리큘럼과 예산을 집중해야 한다”고 강조했다.

실제로 많은 국민예산이 투입되고 있는 BoB(차세대 보안리더 양성 프로그램)에서도 취약점 분석과 모의해커 양성에 집중돼 있는 측면이 있다. 취약점 분석과 모의해킹 잘하는 해커를 양성하기 보다는 실제 기업에서 필요로 하고 있는 제품 개발 과정에서 신뢰성을 확보하고 시장에서 필요한 보안제품을 만들 수 있는 인력을 배출해야 한다. BoB 수료생 중 제품을 개발했거나 스타트업한 교육생이 몇 명이나 있었는지는 한번 생각해 봐야 할 문제다.

또 김 교수는 4차산업혁명 시대에 단품 보안 제품보다는 임베디드 보안 제품 개발에 주력해야 한다고 강조했다.

그는 “모든 IoT 장비나 자동차, 항공, 군사무기 등에 들어갈 임베디드 보안제품 개발이 필요하다. 그러기 위해서는 해당 제품에 대한 완벽한 지식이 필요하고 어느 부분에 임베디드 보안 장비가 들어가면 안전하게 사용할 수 있는지 이를 증명할 수 있어야 한다”며 “일부 보안업체가 자동차용 보안장비를 만들었다고 하지만 그 장비가 자동차의 어디에 붙어야 하고 붙었을 때 신뢰성을 보장할 수 있는지 입증해야 하는데 그 부분을 못하고 있다. 안전성에 대한 보장이 없다면 제조사들은 임베디드 보안장비를 절대 사용하지 않는다. 이 부분에 대한 보안기업들의 학습이 필요하고 보안을 공부하는 학생들도 관심을 가지고 공부해야 한다”고 말했다.

현재 KISA나 KISIA는 국내 보안시장 조사에서 임베디드 보안제품을 매출로 잡고 있지 않다. 하지만 이런 부분에 대한 매출을 조사해 개발을 권장하고 산업을 촉진시킨 다면 향후 국내 보안시장 매출은 더욱 확대될 것으로 보인다. 단품 보안솔루션보다는 해외 시장 진출에도 더 효과적일 수 있는 분야가 바로 임베디드 보안 제품이다. 그러기 위해서는 제조사와 긴밀한 협력 및 융합기술 교류가 필요한 상황이다.

국내 유명 해커들이 창업을 했지만 대부분 모바일 안드로이드 난독화 솔루션에 치중돼 있다. 서로 경쟁도 치열하다. 이제 시장에 보다 새로운 보안제품을 만들어 기존 보안시장에 활력을 불어 넣어 주길 바란다. 한편 제품을 만들지 못하는 해커는 나와서 모의해킹 컨설팅 업체를 주로 창업한다. 이 또한 과열경쟁에 시달리고 있다. 우리나라 해커들의 갈 길이 난독화 솔루션 개발과 취약점 분석 혹은 모의해킹 뿐이라면 우리나라 보안의 미래는 없다. 힘들어도 시간이 걸려도, 멋있어 보이는 취약점 분석이나 모의해킹 보다는 시장을 변화시킬 수 있는 보안제품을 만들 수 있는 인력을 배출시키는데 집중해야 할 때다. 시장은 이런 보안전문가를 요구하고 있다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★