지속되는 대규모 해킹사건으로 이제는 방어적 보안으로는 한계가 있다는 것이 검증됐다고 봐야 할까. 최근 부각되고 있는 것이 바로 Offensive security다. 이를 통해 보안성 강화 및 보안성 검증을 통한 기업 보안 생산성을 향상시켜야 한다는 목소리가 커지고 있다. 그 대표적인 기업이 바로 이뮤니티(Immunity)다.
(사진출처. www.flickr.com / by Bosdos) 
 
2002년 설립된 Immunity는 해커그룹이 결합해 만든 회사다. 본사는 미국 마이애미에 있고 워싱턴과 프랑스, 아르헨티나, 캐나다 등에 지사와 연구센터를 두고 있다. 대표는 아주 예전 일이지만 아파치 취약점을 공개해 유명해진 해커 데이브 아이텔(Dave Aitel)이다.
 
이뮤니티는 아시아시장 교두보로 한국을 생각하고 있고 지난 2010년부터 한국에 지사를 설립하고 비즈니스를 해오고 있다. 이뮤니티코리아 이동일 대표는 “2010년부터 이뮤니티 비즈니스를 한국에서 하고 있고 제품과 서비스, 교육 세분야로 나누어 진행중”이라며 “현재 보안에 민감한 공공기관과 금융기관에서 주로 이뮤니티 제품과 서비스를 이용하고 있다”고 설명했다.
 
이뮤니티의 주요 제품은 유선 네트워크 모의침투 솔루션 캔바스(Canvas)와 무선 네트워크 모의침투 솔루션 실리카(Silica) 두 제품이다.
 
◇보안제품 도입전 나를 먼저 알자=이동일 대표는 “기관이나 기업들은 자신들의 상황을 정확하게 인지할 필요가 있다. 기업이나 조직 상황에 따라 중요정보 혹은 개인정보가 웹에 있을 수도 있고 개인 PC 혹은 파일서버, 데이터베이스 등 위치하는 곳이 다를 것”이라며 “조직의 비즈니스 목적에 부합하는 정보가 어디 있는지 먼저 파악해야 하고 이를 관리하고 있는 시스템을 이해한 후 보안 프레임을 짜는 것이 가장 중요하다”고 강조했다.
 
그는 더불어 “보안 제품을 도입하기 이전에 내부적으로 IT 운영환경, 보안 운영환경이 기업 비즈니스 목적에 부합한지를 먼저 진단 한 후에 보안장비나 서비스를 받아야 한다”며 “중요 정보 자산들이 어디에 존재하고 있고 지금 어떻게 관리되고 있는지를 파악한 후 이를 지키기 위해 보안장비 도입이 결정돼야 한다”고 덧붙였다.
 
공격자들이 노릴만한 정보자산이 무엇이고 어디에 어떻게 관리되고 있는지 정확하게 알고있어야 정확하게 지킬 수 있다는 것이다. 실제로 국내 기업들은 아직 이 부분에서 미흡하다는 지적을 많이 받고 있다. 그래서 보안장비 구축을 하더라도 큰 효과를 보지 못하고 있다는 이야기가 나오는 것이다.
 
이 대표는 “정보자산의 정확한 평가가 있은 후, 이를 보호하기 위해서 여러 보안장비들이 필요할 것이다. 그 중 캔바스와 실리카는 실제로 100% 공격자에 의해 공격이 가능한 곳이 어딘지를 알려준다”며 “전세계 해커들로 구성된 이뮤니티 연구원들이 제로데이 취약점과 알려진 취약점을 제품에 지속적으로 업데이트하고 있고 또 직접 취약점을 만들어내서 툴에 업데이트함으로써 실제 해커들이 공격하는 방식과 똑같이 공격을 하도록 해 기업 시스템 취약점을 정확히 알려주는 툴”이라고 설명했다.
 
◇공격자 입장에서 취약점을 찾아내 알려준다=캔바스와 실리카는 침투테스팅 툴이다. 주요 침투테스팅 상용제품으로는 이뮤니티의 캔바스(Canvas)와 코어 시큐리티(Core Security)의 임팩트(Impact), 메타스플로이트(Metasploit) 3가지가 있다. 캔바스와 임팩트는 새로운 해킹 방식을 신속하게 소개하고 직관적인 그래픽 사용자 인터페이스를 제공하고 있는 것이 장점이고 메타스플로이트는 순수 연구 목적을 강조하고 있다는 것이 차별점이다. 모두 공격자의 공격 대상이 되기 쉬운 시스템 상의 취약점을 알려준다는 것은 공통점이며 실제 판매가능한 공격코드를 내놓는 곳은 이뮤니티와 코어 시큐리티 두 곳이다. 또 모두 공격자에 의해 악용되면 위험하기 때문에 철저한 인증을 거쳐 기업과 공공에서만 사용할 수 있도록 하고 있다.
 
이 대표는 “캔바스와 실리카의 장점은 모두 QA를 거친 공격코드들이란 점이다. 특히 국내 사용중인 OS와 관련된 QA 과정을 거쳐 공격코드가 업데이트 되기 때문에 한국 실정에 적합한 침투테스팅 툴”이라며 “정보수집, 실제 공격, 마무리 작업까지 완벽하게 가능하고 새로운 공격코드 개발까지 가능한 침투테스팅 플랫폼이라고 할 수 있다”고 말했다.
 
그렇다면 침투테스팅 툴은 누가 사용하고 실제 어떻게 활용되고 있을까. 국내에서는 주요 보안관련 공공기관과 몇몇 금융기관과 대기업에서 사용하고 있다. 테스트 유형은 두가지다.
 
레드팀 테스트는 CTO나 CSO레벨에서 총괄하면서 보안팀이나 IT팀도 모르게 비밀리에 테스트를 하는 경우가 있다. 이때는 자사의 보안프로세스가 잘 이루어지고 있는지 아무도 모르게 감사하는 식으로 사용된다. 대기업 몇군데서 이 방식을 취하고 있다.
 
블루팀 테스트는 보안팀이나 IT팀에서 인지하고 있는 상태에서 공격이 어디까지 가능한지 테스트하고 결과를 토대로 보안프로세스와 정책을 수정하는 식으로 진행된다.  
 
침투테스팅을 담당하는 테스터는 블루팀 테스터의 경우 내부 보안담당자가 하는 경우가 대부분이고, 레드팀 테스터와 같은 경우는 내부직원이나 외부 업체보다는 언더그라운드 해커를 비정기적으로 고용해 테스터로 활용하고 있다.
 
이 대표는 “특히 이뮤니티 제품을 활용해 레드팀 테스트와 같은 유형이 앞으로 계속 늘어날 것”이라며 “캔바스와 실리카가 알려주는 공격침투 경로는 100% 공격자가 공격을 했을 때 뚫릴 수 있고 상당히 위험한 취약점을 위주로 알려주고 있기 때문에 최근 대형 보안사고와 같은 해킹사건들을 최소화하는데 큰 도움이 될 것”이라고 밝혔다.
 
그는 또 “주요 침투가능한 취약점을 안다는 것은 보안에서 너무도 중요하다”며 “실제 공격자들이 공격하는 방식 그대로 툴을 사용해 취약점을 알려주는 것이기 때문에 공격자의 공격 루트를 모르고 전반적인 보안을 할 때와 어디가 취약한지를 정확하게 알고 타깃 보안을 할 때와는 큰 차이가 있다”고 강조했다.
 
◇보안은 트랜드가 아니라 상시적=또 하나 이뮤니티 제품의 장점은 상시적으로 취약점을 체크할 수 있다는 점이다. 예전에 위협 정도가 낮았지만 최근들어 위협 정도가 높아지는 취약점이 있다. 위협 정도가 낮아서 소홀했던 취약점이 기업의 발목을 잡는 경우가 종종있다. 따라서 상시적으로 취약점을 체크하고 상시적 보안체계를 유지하는 것은 무엇보다도 중요한 사항이다.
 
국내에는 아직까지 상시적으로 침투테스팅 팀을 보유해서 운영하는 기업은 없다. 이 대표는 “언더그라운드 해커를 고용해 상시적으로 침투테스팅 팀을 운영하면 좋겠지만 그렇지 못하다면 침투 테스팅 툴을 활용해 상시적으로 취약점을 체크하는 것이 중요하고 특히 이뮤니티에서 제공하는 툴은 많은 해커들이 계속해서 새로운 취약점을 업데이트해주기 때문에 쉽고 빠르게 조직의 취약점을 찾아내 줄 것”이라고 설명했다.
 
DDoS 사건이 터지면 모두들 우하고 DDoS 장비를 도입한다. 웹 해킹 사건이 발생하면 모두들 웹 해킹 보안 솔루션을 도입한다. 개인정보 유출 사고가 발생하면 암호화 솔루션이 대세를 이룬다. 보안은 트랜드가 아니라 상시적 보안이 돼야 한다. 또 적을 알고 또 나를 알고 싸워야 승산이 있지않을까. [데일리시큐=길민권 기자]