2019-12-11 10:10 (수)
에버스핀, 티오리와 법적 분쟁은 오히려 손해…기술검증과 상호 협력방안 모색이 현명
상태바
에버스핀, 티오리와 법적 분쟁은 오히려 손해…기술검증과 상호 협력방안 모색이 현명
  • 길민권 기자
  • 승인 2019.12.01 18:30
이 기사를 공유합니다

사실 여부 검증해 취약점 있다면 신속히 패치하는 것이 우선...국내 많은 금융권과 기업 사용중
화이트해커 기업 인수한 ‘에버스핀’…화이트해커 활동 더욱 이해하고 지원하는 기업으로 거듭나야
POC2019에서 앱보안 솔루션에 대해 발표하고 있는 티오리. (데일리시큐)
POC2019에서 앱보안 솔루션에 대해 발표하고 있는 티오리. (데일리시큐)

지난 11월 7일과 8일 국내 최대 규모의 국제해킹보안 컨퍼런스 POC 2019가 열렸다. 국내외 유명 해커와 보안연구가 500여 명이 참석한 가운데 화이트해커와 보안연구원들이 자유롭게 자신들이 연구한 내용을 발표하는 의미있는 시간이었다. 이를 통해 국내 보안전문가들도 해외 해커들의 연구과정과 결과물을 직접 보면서 자극 받고 기술적으로 성장하는 계기가 됐다.

이 자리에서 티오리(Theori) 박세준(Brian Pak) 대표는 "Breaking Android Obfuscation By Applying BAOBAB"를 주제로 강연을 진행했다. 강연 내용은 국내·외 주요 앱보안 솔루션들이 제대로 작동을 하고 있는지 검증과정과 검증결과를 발표하는 시간이었다.

현장에서 데일리시큐는 박세준 대표와 인터뷰를 진행해 <티오리 박세준 대표, 국내·외 주요 앱보안 솔루션 10개 검증 결과 공개…”설계 단계부터 보안이 핵심”>이라는 제하의 기사를 게재한 바 있다.

-관련 기사: 클릭

이날 박 대표의 인터뷰 요지는 “티오리는 앱보안 솔루션 사업을 하고 있지 않기 때문에 더 객관적으로 솔루션을 검증할 수 있었고 이번 검증으로 보안솔루션들의 문제점이 개선되길 바란다. 핵심은 앱보안 솔루션이 필요 없다는 것이 아니라 보안을 위한 보조솔루션으로 생각하고 맹신은 금물이며 더 중요한 것은 소스코드가 공개 되더라도 위변조나 이용자 피해로 이어지지 않도록 설계단계부터 시큐어코딩을 비롯한 철저한 취약점 점검 작업이 프로젝트 초기단계부터 이루어져야 한다”는 것을 강조했다.

이후 박세준 티오리 대표는 POC 2019 발표자료를 깃허브에 공개했고 이번 검증 과정에서 사용된 오픈소스와 개선된 안드로이드 분석 툴 등을 공개할 것이라고 밝혔다.

이 발표 이후 국내에서 사업을 하고 있는 글로벌 앱보안 기업도 관련 자료를 토대로 더욱 보강해 나가겠다고 밝혔고 국내 솔루션으로 검증 대상이 된 모 기업 측은 오히려 취약점에 대해 알려줘서 ‘고맙다’는 반응을 보였다. 그런 반면 ‘에버스핀’ 측은 티오리 측에 ‘허위사실 유포로 인한 명예훼손에 대한 경고’장을 보내 11월 29일까지 성의있는 사과문과 서약서를 작성해 에버스핀이 선임한 로펌에 제출하지 않으면 ‘수사기관에서 만나게 될 것’이라며 형사고발을 준비중이다.

이에 대해 티오리 측은 에버스핀의 법적 조치로 강경하게 맞서겠다는 경고장에 대한 공개 답변을 자사 블로그에 올렸다.

티오리 측 요지는 “POC는 국내외 해커와 보안전문가들이 주도하는 국제컨퍼런스로 최신 보안기술을 알리는 한편 더 나은 솔루션을 위하여 기존 솔루션의 취약점을 찾고 그 결과를 공유하는 장이다. 저와 티오리 팀원들이 보안성 검증 연구를 한 결과, 귀사(에버스핀)의 솔루션이 보안적으로 매우 취약하다는 평가를 한 것에 대해 불편한 감정을 느꼈다면 이는 심적으로 충분히 이해할 수 있다. 그러나 발표내용을 통해 취약점을 보완해 보다 나은 보안솔루션을 만들기 위한 계기로 삼는 것이 아니라, 대형 로펌을 선임해 사실을 왜곡하고 형사고소 운운하며 보안기술 연구자들을 겁주어 귀사(에버스핀)에 대한 부정적인 평가를 덮으려고만 하는 대응방식에 깊은 유감을 표한다”고 밝히고 “보안기술 연구자로서 이러한 연구와 발표들, 그리고 이 공개답변을 통해 이뤄질 공론장을 통해 더 많은 관련기술자들이 현존하는 기술을 발전시키고 그에 따라 사용자들이 보다 안전한 환경에서 모바일 앱을 사용할 수 있기를 기대한다”고 덧붙였다. 다음은 티오리 측의 답변 내용 전문이다. 내용에는 에버스핀 최신 버전 솔루션에 대한 데모영상 2건도 포함돼 있다.

-에버스핀의 경고장에 대한 티오리 의견-클릭

에버스핀의 이와 같은 법적 대응 조치에 대해 보안연구가들과 화이트해커들은 우려스럽다는 반응을 보이고 있다.

티오리에서 발표한 앱보안 솔루션 검증 결과 도표. 업체명은 삭제.
티오리에서 발표한 앱보안 솔루션 검증 결과 도표. 업체명은 삭제.

POC 2019에 참가한 한 보안연구가는 티오리의 발표와 에버스핀의 법적 대응에 대해 “보안기업들이 새로운 연구 목표를 설정하고 이를 개선하고 고도화 시킬 수 있도록 방향을 제시해 준 발표였다. 이런 부분은 법적으로 대응할 것이 아니라 고맙다는 인사와 함께 협업을 모색하고 적극적인 도움을 요청해 제품을 개선시켜 나가려고 하는 것이 맞다”며 “취약점 공개했다고 법적으로 대응하는 것은 국내외 보안연구자들의 연구 활동을 위축시키고 심적으로 큰 상처를 주는 조치이며 국내 보안산업 발전에도 전혀 도움이 안되는 것이라고 생각한다”고 밝혔다.

한편 에버스핀은 2018년 11월에 국내 대표 화이트해커 기업 ‘블랙펄시큐리티’를 인수합병한 기업이다. 공격과 방어 기업이 손잡고 시너지를 내며 발전해 나가겠다는 취지였다.

에버스핀이 화이트해커 기업을 인수해 사업 영역을 확대해 나가려는 기업이라면 더욱 화이트해커들의 연구활동과 그들의 오펜시브적인 연구활동을 이해하고 더 적극적으로 지원하려는 마인드가 필요해 보인다. 이번 티오리 발표도 그런 측면에서 이해하고 차라리 협력을 통한 발전 방안을 마련하는 것이 적절한 조치가 아닐까라는 것이 대부분 보안연구가들의 의견이다. 법적 분쟁으로 몰아간다면 에버스핀도 ‘득’보다는 ‘실’이 많아 보인다. 보안연구원들이 등을 돌려버린 기업들이 시장에서 크게 성장하지 못하고 도태된 사례도 있기 때문이다.

그리고 법적 분쟁으로 가기 보다는 KISA ICT분쟁조정지원센터의 ‘정보보호산업 분쟁조정위원회’ 조정절차를 활용하는 것도 방법이다. 소송에 의한 분쟁해결은 상당한 시간과 비용이 소요되기 때문에 민사소송 외에 ‘화해, 조정, 중재’ 등 대안적 분쟁해결 방법이 있다. 대안적 분쟁해결방법의 하나인 ‘분쟁조정제도’는 당사자의 상호양보를 통한 해결방안을 제시함으로써 소송보다 더 유연하게 분쟁을 처리하고 분야별 전문가가 직접 참여함으로써 전문성을 확보할 수 있다.

특히 이번 논란의 중요한 핵심은 에버스핀 앱보안 솔루션에 대해 티오리에서 발표한 연구결과가 사실인지 여부다. 이 기술적 사실 여부를 조정절차 기간에 검증해 볼 수 있다.

앱보안 솔루션은 국내 대부분 금융기관과 많은 기업에서 현재 사용하고 있는 보안솔루션이다. 문제가 있다면 법적 조치가 중요한 것이 아니라 신속한 패치가 중요하다.

100% 완전한 보안솔루션은 없다. 공격자들도 보안솔루션의 허점을 이용해 신뢰를 기반으로 한 공격을 감행하고 있는 시대다. 글로벌 보안기업들도 화이트해커들이 찾아 준 취약점을 겸허히 받아들이고 패치해 나가면서 솔루션의 보안성을 강화해 나가고 있다. 한국에서도 이런 문화가 정착돼야 한다. 그래야만 보다 건강한 해커 커뮤니티가 형성될 수 있고 국내 보안솔루션도 발전할 수 있다.

★정보보안 대표 미디어 데일리시큐!★