보안에 대한 생각의 전환을 시도해 보면 어떨까. 특히 핵심기술 정보와 엄청난 양의 개인정보를 보관하고 있는 대형 기업들은 언제 옥션이나 네이트와 같은 사태가 발생할지 조마조마한 상황의 연속일 것이다. 또 금융권 또한 농협사태를 보면서 언제 허무하게 시스템이 다운될지 알 수 없는 일이다. 보안팀만이 얼굴없는 사이버범죄자들의 공격을 막을 수 있는 대안일까.
(사진출처. www.flickr.com / by Rocky X)
 
몇몇 국내 해커와 보안담당자들은 대기업과 금융권, 대형 포털 및 인터넷 사이트들이 보안팀 이외에 별도 독립적인 공격전담팀을 두면 어떨까 권고했다.
 
해커들도 공격 성향과 순수 보안을 추구하는 두 부류로 나눌 수 있다고 그들은 말한다. 현재 여러 기업들이 구축하고 있는 보안팀 인력들은 대부분 공격 성향보다는 보안업무에만 포커싱된 인력들이 주를 이루고 있다. 따라서 공격자 입장에서 기업의 보안을 바라보는데 익숙치 않을 수도 있다.  
 
◇공격자 입장에서 보안 바라보는 것 필요=수비 지향적인 보안팀도 반드시 필요하지만 기업 내부에 공격성이 강한 해커들을 정직원으로 채용해 이들이 2명~4명정도 팀을 구성해 상시적으로 기업 내부의 취약점을 찾아내고 이를 통해 얻어낸 정보들을 보안팀과 공유해 보안을 더욱 업그레이드 시킨다면 어떨까.
 
국내 모 해커는 “국내 기업들도 소위 말해 레드팀을 구축했으면 좋겠다. 레드팀이란 기업내부에서 순수하게 공격만 담당하는 부서를 말한다. 현재 구글과 MS, 인텔 같은 기업들은 레드팀을 운영하고 있고 최고 수준의 해커들을 고용해 계속해서 실전처럼 공격을 하게하고 취약점을 찾아 보고하도록 하고 있다”고 제안했다.
 
그는 “현재 국내 기업에는 보안팀만 있다. 이들의 업무는 참으로 수동적이다. 막는데 급급하다. 또 어디로 들어올지도 모르고 있는 상황이고 자신들의 기업 취약점이 어딘지도 모른채 교과서적으로 정형화된 보안만을 하고 있다”며 “정형화된 보안은 공격자 입장에서 보면 허점이 보이기 마련이다. 기업 내부에 공격팀을 두고 보안팀과 상호유기적으로 프로젝트를 수행해 나간다면 큰 사고들은 지금 보다 많이 막을 수 있지않을까”라고 말했다.  
 
이와 관련해 모 업체 보안담당자는 “해킹과 보안은 동전의 앞뒷면과 같으면서 또 다른 분야다. 해커들 중에서도 보안보다는 공격능력이 뛰어난 해커도 있고 공격보다는 이를 막는데 뛰어난 능력을 소유한 해커들이 있다”며 “많은 계열사를 가지고 있는 대기업과 금융사, 대형 인터넷 기업들은 보안팀과 함께 공격팀을 구축해 해외 해커들의 공격방법을 연구하고 이를 토대로 상시적으로 기존 방법과 새로운 공격방법 등 다양한 공격방법으로 기업 서비스에 차질이 빚어지지 않는 선에서 취약점을 찾아내 경영진에게 보고하고 보안팀과 협업한다면 긍정적 결과들이 나올 수 있을 것”이라고 말했다.
 
◇일시적 모의해킹보다는 상시적 체크가 중요=또 그는 “현재 실시하고 있는 모의해킹으로는 그러한 효과를 기대하기는 힘들다. 몇몇 모의해킹을 잘하는 업체가 있긴 하지만 결과물을 보여줘야 하기 때문에 실제 창의적인 해킹을 통해 취약점을 알아내는데 집중하기 보다는 결과물인 보고서 작성하는데 더 큰 공을 들이고 있는 실정”이라며 “또 상시적인 공격이 아니라 일정 기간을 두고 갑과 을의 협의하에 진행되는 모의해킹이라 상시적인 체크도 힘들고 진짜 취약한 부분이 무엇인지 밝혀내기가 힘든 실정”이라고 설명했다.
 
그는 또 “모의해킹은 갑과 을의 입장에서 진행되기 때문에 모의해킹 인력들이 창의적인 공격력을 발휘하기가 힘들다. 또 대부분 홈페이지 해킹만으로 끝나고 내부망이나 내부 시스템을 공격하는 것은 드문 일”이라며 “괜히 모의해킹한다고 잘 못건드렸다가 실제로 시스템이 다운돼 버리면 곤란하기 때문에 비교적 안전하고 외부에 노출이 된 웹쪽만 건드려 보는 정도기 때문에 모의해킹만으로 기업 시스템의 취약점을 알아내기란 어렵다”고 밝혔다.
 
그래서 그는 “외부업체에서 모의해킹하는 업무는 그 테스트기간에만 유효하지만 내부에 공격팀이 있으면 외부에 운영중인 홈페이지 말고도 내부망이나 내부시스템의 취약점도 공격자 입장에서 상시로 살펴볼 수 있기 때문에 좋을 것 같다”고 덧붙였다.
 
또 다른 보안담당자는 “내부 공격팀 구축은 장기적 관점에 필요할 것 같다. 그 업무가 성과 측정이 약간 모호할 수 있기 때문에 장기적 관점에서 운영되어야지 단기적 관점으로는 아무래도 단점이 많이 보일 수 있을 것”이라며 “실운영 환경보다는 실제를 모사한 가상 환경을 꾸며 상시적으로 체크를 하면 좋은데 돈이 너무들고 유지관리도 필요할 것 같다”고 말했다. 즉 내부 공격팀이 있으면 좋은데 운영상 비용과 공격의 범위를 어디까지 둬야할지 잘 생각해서 운영해야 한다는 내용이었다. 
 
한 해커는 “국내 그러한 업무를 수행할 수 있는 해커들이 대략 100여 명 정도 있다”고 밝히고 “기업에서 이들에게 상시적으로 순수 공격자 입장에서 기업의 취약점을 찾아내도록 하고 새로운 해킹 방법에 우리 기업이 어떻게 대처해 나갈 것인지 그 해답을 보안팀과 같이 찾아나간다면 좋은 롤 모델이 될 것”이라고 말했다.
 
◇기업보안도 향상되고 화이트해커 양성에도 도움=이제 해킹범죄의 공격은 예상했던 형태와 예상하지 못했던 허를 찌르는 공격방식으로 계속 진화해가고 있고 복합적으로 진행되고 있다. 공격팀을 구축해 운영할 수 있는 정도의 여력이 되는 대기업과 금융기관에서는 전문 해커들로 구성된 레드팀(공격팀)을 구성해 상시적으로 공격을 하도록 허가하고 그 과정을 통해 보안팀이 체크하지 못했던 취약점들을 찾아내 보안체계에 적용하는 방식을 적극 검토하는 것도 지금 상황에서는 좋은 방안으로 보인다.
 
현재 국내 해커들의 실력은 세계 어디에 내놔도 전혀 뒤지지 않는다. 여기에 공격성향의 해커들에게 기업의 든든한 지원과 실전능력을 기업내부에서 키워주고 서로 다른 기업의 공격팀간 상호 정보교류가 활발히 이루어진다면 기업보안에 획기적인 전환기가 도래할 수도 있지않을까. 또 이렇게 되면 화이트해커 양성해야 한다고 목놓아 부르짖지 않아도 저절로 이루어질 것으로 보인다. 한편 기업에서도 공격팀을 구축하기 위해서는 오픈마인드가 필요하다. 4년제 대학 졸업자 혹은 토익 점수 등 기존 인사체계에서 요구하는 채용기준으로 공격팀 해커를 채용하려는 우를 범하지 않길 바란다.  [데일리시큐=길민권 기자]