“최근 모의해킹은 웹스캐너를 돌리는 수준에 그치고 있다. 웹 해킹이 많아 그런 현상이 발생하고 있지만 다른 분야에 대한 해킹위협 점검도 이루어져야 한다. 모의침투테스팅에서 모의해커들은 기업 내부로 더 깊숙이 침투하고 싶어한다. 하지만 담당자들이 브레이크를 건다. 웹을 통해 내부망까지 들어가면 거기서 끝내라고 한다. 거기서부터가 정말 중요한 모의해킹인데 현재 많은 보안담당자들이 허용하지 않는다. 좀더 현실적인 모의해킹 컨설팅이 필요한 시점이다.”
 
젊은 보안컨설팅 전문기업 핵티즌(Hacktizen) 구대훈 대표는 “모의해킹 컨설턴트로 일한지가 벌써 7년이 됐다. 예전에는 IP기반으로 다양한 침투테스팅을 해 왔는데 최근에는 웹해킹에만 너무 치중돼 제대로 된 침투테스팅이 이루어지지 않고 있어 안타깝다”며 “현재는 정형화된 OWASP에 기반해 웹진단 정도에 그치고 있다. 웹이 아니라 다른 부분에 대한 취약성도 많은데 웹취약성 점검 이외에는 미비한 상황이라 개선되어야 할 부분”이라고 지적했다.
 
지난 2006년부터 A3시큐리티 컨설턴트부터 시작해 HUST 활동, 엔씨소프트 해외운영보안팀 근무 등 7년간 보안업체, 일반기업, 프리랜서 등 산전수전 다 겪으며 모의해커로 활동해온 구대훈 대표는 지난 2012년 5월 모의해킹 전문 컨설팅기업 핵티즌을 설립하고 현재 정직원 5명, 몇몇 프리랜서 컨설턴트 등과 함께 기업을 운영해 오고 있다.
 
◇웹해킹에만 치중된 모의해킹…탈피해야=그는 “예전 모의해킹에 비해 최근에는 너무 웹에만 치중하고 있어 좀더 다각적이고 심화된 모의해킹 컨설팅이 필요하다”고 지적하고 “보안시장에 초급 인력들이 많아진 것도 문제지만 점검방식도 이제 바뀌어야 한다. 의뢰 기업들도 웹에 대한 취약점 진단만 해달라고 하는 경향이 많아 학원에서도 웹 해킹만 가르치고 있다. 이래서는 진정한 모의해킹의 의미가 없다”고 개선이 필요하다는 목소리를 높였다.
 
특히 의뢰기업들의 인식이 바뀌어야 한다는 것을 강조했다. 형식적인 침투테스팅으로는 정말 어떤 위협들이 존재하는지 파악하기 힘들다. 그럼에도 불구하고 기업 담당자들은 모의해킹의 범위를 너무 한정지운다는 것이다. 그 이유는 어디에 있을까.
 
◇정말 필요한 결과물을 얻으려면 끝까지 침투하게 둬라=구 대표는 “모의해커들은 기업의 내부로 더 깊숙히 들어가 보길 바란다. 내부로 어디까지 침투가 가능하고 어떤 정보들을 빼내 올 수 있는지 디테일한 접근을 원하지만 보안담당자들은 대부분 웹을 통해 내부망까지 들어가면 거기서 스톱을 원한다. 더 이상 허락하지 않는다”며 “이래서는 전체적인 위협의 흐름을 파악할 수 없다. 담당자 입장도 이해가 된다. 취약점이 발견되면 임원에게 보고해야 하는데 너무 심각할 경우 실무자에게 패널티가 적용되고 있다. 모의해킹 당했다고 해서 담당자를 문책하기 때문에 제대로 된 모의해킹이 이루어질 수 없는 것이다. 모의해킹 결과로 실무자에게 패널티를 주는 관행이 사라져야 한다”고 말했다.
 
그는 “그래서 너무 깊숙한 침투에 대해 담당자들이 꺼리는 것”이라며 “해커들이 어디까지 들어갈 수 있는지 놔둬야 한다. 보안서약서까지 쓰고 컨설팅을 진행하는데 정보가 외부로 유출될 일은 없다. 안심하고 컨설턴트들에게 맡겨준다면 정말 도움이 되는 결과물이 나올 수 있을 것”이라고 변화를 요구했다.
 
한편 ‘핵티즌’이란 이름을 회사명을 정한 이유에 대해 그는 “핵티즌 도메인을 산 이유가 처음에는 해킹 커뮤니티를 만들 참이었다. 그런데 회사이미지와 맞는 것 같았다. 강한 이미지, 정말 해킹을 잘하는구나라는 인식을 심어주고 싶어 기업명도 핵티즌으로 정했다”고 한다.
 
그는 직원들에게 지속적인 교육을 강조하고 있다. 그래서 두달에 한번은 꼭 내부 스터디 결과물에 대한 세미나를 열고 연구개발 분위기를 조성하고 있다.
 
구 대표는 “계속 사이트에 나가 일만 하다보면 실력이 늘지 않는다. 자기개발할 수 있는 충분한 시간을 줘야 개인도 발전하고 회사도 발전할 수 있다”며 “실전에서는 다양한 환경을 접할 수는 있지만 실력이 늘지는 않는다. 계속 자신의 한정된 실력으로만 모의해킹을 하기 때문에 지식의 한계를 느끼게 된다. 꾸준한 연구개발을 통해 새로운 것을 공부해야만 새로운 방식의 침투테스팅을 할 수 있다”고 강조했다.
 
핵티즌은 올해부터 모의해킹 컨설팅 비중 보다는 연구과제 수행 비율을 높일 계획이라고 한다. 특히 스카다망, 자동차 보안 등 다른 보안회사들이 하지 못하는 부분에 특화된 기술력을 향상시켜 나가겠다는 포부를 밝혔다.
 
구 대표는 “회사마다 특별히 잘하는 부분이 있어야 한다. 보다 특화된 부분에 기술력을 쌓아갈 것이며 장기적으로 보고 컨설팅과 프로젝트 수행을 병행하며 수익구조를 다변화 시켜나갈 것”이라며 “무리하게 확장해 나가고 싶지 않다. 단기간 확장 보다는 안정적으로 회사를 꾸준히 성장시켜 나갈 것이다. 직원들을 믿는다. 롤모델로 삼는 기업은 없다. 내가 선택한 길이 롤모델이 될 수 있었으면 좋겠다. 내가 선택한 길에 대해 책임도 지고 싶다. 핵티즌의 성장, 지켜봐 달라”고 미소짖는다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com