10년 이상 모의침투와 보안컨설팅 업무에 몸담아 온 보안연구가 윤영(전 에이쓰리시큐리티 근무)씨와 인터뷰를 진행했다. 그는 2000년부터 모의침투 업무를 시작으로 보안과 연을 맺었다. 다른 모의침투 회사들은 대부분 해커스랩 인력들이 뿌리를 이루고 있는 반면 당시 에이쓰리시큐리티는 김휘강 고려대 교수를 중심으로 자생적으로 만들어진 팀이라고 할 수 있다.
 
그도 에이쓰리 초기부터 합류해 당시 팀원들과 모의침투테스팅 업무를 담당했다. 당시 이 팀은 신비로운 존재로 여겨지기까지 했다. 김휘강 교수(고려대), 조도근 이사(아시아개발은행 이사), 윤영 등 5명이 팀을 이뤄 모의침투를 실행했고 꽤 잘한다는 입소문을 타고 수주도 늘어났다고 한다.
 
◇기업들에게 생소했던 모의침투테스팅=당시 기업들에게 모의침투는 생소함 그 자체였다. 윤영은 “원격에서 시스템을 장악하는 것을 실제 눈앞에서 보여주었다. 악의적인 해커들이 이런식으로 공격할 수 있다는 것을 보여주니 기업들에게 임팩트가 컸다”며 “당시에는 IT인프라나 웹이 지금처럼 복잡하지 않았다. 한편 당시 PC들은 공인IP를 사용했기 때문에 마음만 먹으면 원격해킹이 가능했다. 그래서 방화벽이 기업에서 필수 솔루션으로 각인되던 시절이었다”고 회상했다.
 
또 “초기에는 웹보다는 시스템 해킹이 주를 이루었다. 방화벽이 없어서 원격에서 쉽게 공격이 가능했다. 시스템이 단순하니 공격도 단순했다. 당시에는 해커들이 여러가지 시도를 해보던 시기였다”며 “주로 대학생들이 취약점을 찾아 알려주고 어떤 경우는 해킹을 하고 난 후 패치도 해주고 나가는 경우도 있었다. 낭만적인 해킹의 시대였다”고 말한다.  
 
하지만 해커들은 방화벽이 등장하면서 웹 해킹으로 눈을 돌렸다. 웹기반 공격이 2001년부터 시작됐다. 윤영은 “당시 기업들은 방화벽만 있으면 해킹을 막을 수 있다고 생각했다. 하지만 해킹의 트랜드가 웹으로 옮겨 지면서 왜 해킹을 당하는지 기업들은 알지 못했다. 그 원인은 바로 SQL인젝션 공격, 파일업로드 등이었다. SQL인젝션 공격은 지금도 위협적이다”라고 그는 말한다.
 
하지만 이제는 상황이 변했다. 너무도 복잡하게 시스템과 서비스가 구성돼 있다. 그는 “최근에는 인프라와 서비스가 너무 복잡하다. 모든 것을 일일히 막는데 한계가 온 것 같다. 새로운 취약점으로 당하는 것보다는 너무 막을 구멍이 많아 사고들이 발생하는 것이다. 막기 위한 시간이나 비용이 소규모 보안팀이 감당하기에는 너무 방대해져 버렸다”는 것이다.  
 
취약점이 나와도 손을 못대는 기업도 많다. 이유는 시스템에 취약점을 패치하려면 여러 부서와 합의를 봐야하는데 그 프로세스가 복잡하고 시간이 걸린다. 그래서 뻔히 알면서도 손을 못대는 경우도 있다. 손을 대려는 순간 책임을 져야하기 때문에 보안팀도 고민이고 협업부서도 고민이라고 그는 설명한다. 오랜시간 보안컨설팅을 해오며 그가 직접 느낀 바다.
 
그가 오랜기간 보안컨설팅 업무를 해 오면서 느낀 점들에 대해 이렇게 말했다.
 
◇기업들, 보안컨설팅을 받는 진짜 이유는?=우선 보안담당자들이 보안전략을 짜기 보다는 오퍼레이팅에 치중하고 있다는 점을 지적했다. 대부분 침해사고 나면 대응하고 악성코드 분석하고 모의해킹으로 문제가 있으면 관련 솔루션을 도입하는 정도의 업무를 하고 있다는 것이다.
 
그는 “기업들이 보안팀을 보다 전략적인데 활용해야 한다. 대부분 IT부서에 소속되거나 독립된 부서라 할지라도 실제로 힘을 발휘할 수 없는 상황이다. 그렇다보니 보안업무를 추진하려 해도 부서간 갈등이 생기고 장기적 안목으로 보안전략을 짜고 싶어도 못짜는 현실”이라며 “보안팀이 전략을 짜는 것을 경영진에서는 비용으로 생각한다. 경엉진 입장에서는 보안 전략을 구성하려는 순간 마이너스가 된다고 본다. 잘되면 제로고 못되면 마이너스라는 것. 이런 환경에서 보안팀이 움직이기 때문에 힘이 빠지는 것”이라고 설명했다.
 
또 보안컨설팅의 진정한 의미가 퇴색되고 있다고 한다. 보안컨설팅이라고 하면 기업이 보안수준을 판단해서 취약점을 찾아주고 개선책을 제시해주는 것이다. 하지만 현실은 그게 아니다. “많은 경우에 보안컨설팅은 보안팀이 하고 싶은 일을 대신 말해주는 것으로 활용하고 있다. 즉 자신들의 말을 경영진이 들어주지 않으니 제3자인 컨설턴트의 입을 빌려 어필하는 용도로 보안컨설팅을 받고 있다”고 한다.  
 
그는 “기업 보안팀에서 진짜 몰라 보안컨설팅을 받는 경우는 드물다. 상당수 자신들이 컨설팅 방향을 정해놓고 이 솔루션이 왜 필요한지 컨설턴트 입을 통해 증명해서 경영진을 설득해야겠다는 포석이 깔려 있다”고 덧붙였다.
 
◇장기플랜 없는 보안은 모래 위의 성=이런 문제가 왜 발생할까. 바로 보안에 대한 장기적 플랜이 없기 때문이라고 그는 지적한다. “우리 기업들은 큰 사고터지면 관련 솔루션을 이벤트 위주로 도입하는 경향이 크다. 장기적으로 우리에게 필요한 솔루션이 뭔지 계획을 세우지 않는 것이 문제”라며 “계획의 연속성이 없다. 대기업들은 지속가능보고서를 쓰게 돼 있는데 3개년, 5개년 지속가능보고서 어디에도 보안관련 내용은 없다. 보안도 지속가능 보고서를 만들어야 한다. 그래야만 보안컨설턴트의 도움없이도 경영진 설득도 가능한 것이다. 이슈에 따라 부랴부랴 솔루션을 도입하다 보니 충분한 검토도 없이 도입해 돈만 쓰고 제대로 운영도 못하는 기업들이 많다”고 꼬집었다.
 
보안팀 인력은 늘지 않으면서 이벤트 성으로 들여놓은 보안솔루션은 늘고 있다. 즉 관리가 제대로 안되는 것이다. 이런 문제점으로 인해 취약성이 더 늘어나고 있다고 한다.
 
특히 공공에서 이런 현상이 심하다. “기업은 좀 덜하지만 공공의 경우 보안솔루션 도입후 담당자가 바로 바뀌기도 한다. 순환보직이라 인수인계가 제대로 안되면 솔루션은 방치된다. 실제로 이런 경우가 많다”고 한다.
 
그는 기업 경영진들이 보안팀으로 하여금 보안의 장기플랜을 짜도록 힘을 실어주고 보안팀은 이벤트성 보다는 우리 회사에 필요한 보안체계를 장기적 안목을 가지고 계획적으로 짜야 한다고 강조했다. 즉 반복적인 작업은 SLA를 명확히 해서 아웃소싱을 적극 활용하고 보안팀에게는 장기 플랜과 전략을 짜는 하이클래스 업무를 시켜야 한다는 것이다.
 
그래서 그는 “기업 보안담당자들은 비즈니스의 다양한 분야를 알아야 한다. 악성코드 분석만 잘한다고 해서 되는 것이 아니라 법도 알아야 하고 비즈니스에 리스크로 작용할 수 있는 여러 부분에 대한 공부와 연구를 해야 한다”며 “모든 보안 업무를 보안팀에서 하려는 것보다 보안팀이 해야 할 일에 역량을 집중하고 외부의 도움을 받을 수 있는 부분은 아웃소싱을 통해 확실하게 하는 것이 더 효과적”이라고 조언했다. 그래야 기업도 보안업체도 함께 상생할 수 있다는 것이다.
 
◇보안컨설팅에서 가장 중요한 것은?=보안컨설팅 서비스에 대해서도 이야기를 나눴다. “보안컨설팅 업체들이 인력난에 시달린다. 왜냐하면 컨설팅을 좀 할때쯤 되면 고객사로 가버리기 때문이다. 고객사로 간 컨설턴트는 국내 보안컨설팅사에서 나오는 보고서에 불만이 많다. 하지만 경영진 설득용으로 컨설팅을 받고 있는 것”이라고 말한다.
 
또 “지금 5~7년차 정도의 튼튼한 허리 역할을 할 수 있는 컨설턴트들이 부족한 상황이다. 고객들은 뻔한 체크리스트 보면서 체크해 팩트만 알려주는 보안컨설팅을 원하는 것 아니라 팩트를 가지고 전망과 아이디어를 제시해주길 바란다”며 “이런 전망과 아이디어는 5년차 이상의 경험이 있어야 나올 수 있다. 이런 사람들이 부족하니 컨설팅 단가는 떨어지고 자꾸만 해외 컨설팅 기관을 선호하게 되는 것”이라고 지적했다.
 
그래서 그는 “컨설팅 회사에서 가장 중요한 것은 사람이다. 컨설팅 산출물이 아니라 바로 경험이다. 최근 보안컨설팅 업체들은 대부분 산출물은 쌓여가는데 사람의 경험은 쌓이지 않고 있다”고 말한다.
 
또 “고객사는 A라는 상황에서 다른 기업들은 어떻게 하고 있느냐, 혹은 특별한 아이디어가 없는지를 알고 싶어한다. 기존 산출물을 가지고 결과물을 만들어내는데 급급한 주니어급으로는 힘들다”며 “내공과 경험이 없으면 안된다. 이런 경험있는 컨설턴트가 컨설팅 업체를 떠나고 있기 때문에 고객사가 시키는대로 초보 컨설턴트가 끌려가는 것이다. 진정한 컨설턴트는 고객사의 요구에 반박하고 논쟁을 할 정도가 돼야 한다”고 강조했다.
 
◇보안, IT환경개선 작업부터 선행돼야=보안현안에 대해서도 이야기를 나눴다. 그는 유행을 따라 보안을 하면 반드시 생각지도 못했던 곳에서 문제가 발생한다고 지적한다. “APT도 유행이다. 내년에 다른 문제가 나오면 어쩔건가. 장기적 계획을 가지고 보안을 해야 한다. 이슈에 맞춰 보안솔루션만 도입하는 행태가 반복된다면 항상 뒷북만 치는 것”이라고 안타까워했다.
 
“최근 사고들은 내부 교육과 프로세스만 개선해도 충분히 방어할 수 있는 것들이 많다. 주로 이메일을 통해 공격이 이루어지는데 이를 막을 방법은 현재로서는 백신으로 탐지하는 방법뿐이다. 하지만 패턴매칭 백신이 대부분이기 때문에 탐지가 힘들어 당하는 것”이라며 “그렇다면 데스크탑을 리눅스로 전환하는 것을 생각해야한다. 서버를 리눅스로 교체하는 것도 좋다. 라이선스 비용과 유지보수 비용도 줄일 수 있고 보안도 강화할 수 있다. 이렇게 굳이 보안솔루션만으로 해결하기 보다는 큰틀에서 전략을 짜고 대응하는 자세가 필요하다”고 강조했다.
 
또 “환경 개선작업도 이루어져야 한다. 이를 위해서는 윈도 의존율을 낮추는 것부터 시작해야 한다. 이것만 낮춰도 해킹이나 악성코드 감염을 크게 줄일 수 있다. 윈도용 악성코드가 활동할 수 없는 환경을 만드는 것이 우선돼야 한다”며 “침해대응만 해서는 이길 수 없다. 큰 틀을 바꾸기 위해서는 정부와 모든 기관 그리고 기업들이 협력해야 한다”고 덧붙였다.
 
◇후배들아, 꿈을 크게 가지고 마음껏 펼쳐라=그는 현재 10여년 간 다니던 직장을 그만두고 잠시 프리랜서를 선언했다. 개인적 관심으로는 한국형 익스플로잇 팩을 만들어 보고 싶다고 한다. 사업차원은 아니고 한국에 꼭 필요한 보안과제가 아닐까란 생각에서다.  
 
보안연구가 윤영은 마지막으로 후배들에게 이렇게 말한다. “10년 전에는 해외 해커들과 마주 앉아 술을 마신다는 것은 상상도 할 수 없었다. 하지만 지금 후배들은 그렇게 하고 있다. 부럽다. 더 많은 사람들과 공유하고 서로 부족한 부분을 채워나가길 바란다. 꿈을 크게 가지고 하고 싶은 것을 마음껏 펼쳤으면 좋겠다. 그리고 단순히 모임을 넘어 더 큰 일을 할 수 있는 후배들이 됐으면 하는 바람이다. 또 자신에게 항상 새로운 자극을 주고 발전해서 우리나라에서도 국제적인 보안회사가 나왔으면 한다”고 전했다.  
[데일리시큐=길민권 기자]