실시간
뉴스

서비스

인포섹이 ‘화이트해커’ 집중 육성하는 이유

디지털데일리 발행일 2015-06-29 09:47:40
이유지

- 컨설팅본부 내 전략해킹팀 신설, 서비스 전문성·안전성·신뢰성 강화

[디지털데일리 이유지기자] 정보보호서비스 시장 선두업체인 인포섹이 ‘모의해킹’ 컨설팅 서비스를 집중 강화하고 있다.

올 초 컨설팅본부에 전략해킹팀을 신설해 30여명의 ‘화이트해커’로 구성된 전문가팀을 꾸렸다. 최근 늘어나는 기업의 상시 모의해킹 서비스 수요에 적극 대응하면서 보다 전문화된 서비스를 제공하기 위해서다.

‘모의해킹’ 기법은 기업이나 기관에서 IT 인프라와 시스템의 보안성과 사이버침해 대응능력을 점검하기 위해 오랫동안 활용돼 왔다.

사이버공격 수법이 발전하고 보다 정교해지면서 마치 공격자처럼 조직 내 IT시스템에 침투, 존재하는 취약점을 찾아내 보안강화 대책을 마련하는데 활용할 수 있어 최근 들어 모의해킹 서비스가 더욱 주목받고 있다.

‘모의해킹’은 웹사이트나 웹 서버, 모바일 애플리케이션, 내부 업무시스템 등을 조직 내 모든 정보자산을 대상으로 수행할 수 있다. 그 안에 존재하지만 쉽게 드러나지 않는 취약점을 분석·평가해 공격자들이 악용할만한 위험성을 미리 제거할 수 있다. 때문에 주로 시스템을 새롭게 개발하거나 변경할 때 적용한다.

모의해킹 필요성과 중요성을 인식하면서 정부 주요기관과 기업에서는 자체적인 모의해킹팀을 보유하고 있기도 하다. 이와 함께 전문업체에 상시 모의해킹 서비스를 요구하는 조직도 많아지고 있다.

인포섹은 늘어나는 모의해킹 수요에 적극 대응하면서 보다 전문화된 서비스를 제공하기 위해 컨설팅본부에 전략해킹팀을 신설, 화이트해커로 구성된 전문가팀을 운영하고 있다. 사진은 전략해킹팀 일원들.
인포섹은 늘어나는 모의해킹 수요에 적극 대응하면서 보다 전문화된 서비스를 제공하기 위해 컨설팅본부에 전략해킹팀을 신설, 화이트해커로 구성된 전문가팀을 운영하고 있다. 사진은 전략해킹팀 일원들.

인포섹은 정보보호컨설팅서비스나 보안관제서비스에서 시스템 취약점 평가·분석을 위해 일부 제공하던 차원을 넘어 보다 전문화된 모의해킹 서비스 체계를 구축했다. 자체 모의해킹 도구를 최근 개발했고 상용 모의해킹 도구도 여러 개 구매해 활용하고 있다. 모의해커의 역량과 경험에 따라 산출물 수준이 달라질 수 있는 만큼 서비스 품질에 미치는 영향을 최소화하기 위해서다. 자동화된 툴을 이용하면 사람이 수동으로 진행하는 것보다 생산성을 높일 수 있고 누락되는 부분도 보완할 수 있는 장점이 있다. 상용 도구 활용을 통해 모의해킹 서비스의 안전성과 신뢰성도 높였다.

인포섹이 자체 제작한 도구인 ‘AMAP’는 안드로이드 기반 모바일 애플리케이션을 분석용으로, 보안 솔루션을 우회하고 데이터 변조도 가능한 것이 특징이다. ‘AMAP’ 외에도 신규 취약점을 분석하는데 초점 맞춘 도구도 개발하고 있다.

상용 모의해킹 도구는 ▲스마트폰 앱과 PC 솔루션을 분석할 수 있는 ‘IDA 프로(Pro)’ ▲PC와 서버, 스마트폰 등의 취약점을 공격하는 도구로 관리자 권한을 획득해 악성코드를 제작·유포할 수 있는 ‘메타스플로이트(Metasploit)’ ▲주로 웹 해킹에 사용하며 서버와 주고 받는 데이터를 변조할 수 있는 것이 특징인 ‘버프스위트(Burp Suite)’를 사용한다.

인포섹의 자체 개발 도구인 ‘AMAP’는 상용 모의해킹 제품들이 제공하는 기능에서 부족한 부분을 보완하기 위해 개발했다.

또한 지난 2009년부터 진행해온 정보보호 컨설턴트 교육 프로그램인 ‘인포섹 아카데미’를 통해 등급별 모의해킹 교육과 테스트를 실시하는 화이트해커 학습시스템을 운영해 전문인력 양성에 주력하고 있다.

김태형 인포섹 전략해킹팀 팀장은 “모의해킹은 사람(해커)의 역량과 경험에 따라 산출물이 달라질 수 있다”며 “모의해커는 웹사이트나 애플리케이션 등 단순한 취약점 진단 방법뿐만 아니라 리버스 엔지니어링 역량이 필요하고 어셈블러를 알아야 하며 자동화 도구도 사용할 수 있어야 하기 때문에 풍부한 경험을 갖추고 있어야 한다”고 설명했다.

이어 김 팀장은 “인포섹은 사람이 100% 수동으로 진행하는 모의해킹에 의존하는 것이 아니라 상용 자동화 툴을 이용한다. 정품 상용화 툴을 구매해 사용하기 때문에 자칫 크랙버전을 활용함으로써 고객사 망에 악성코드를 전파시키는 등의 안전성 문제를 일으킬 위험성을 방지했다”고 말했다.

인포섹은 지능형지속위협(APT) 모의해킹, 트레이딩시스템(HTS, MTS)·뱅킹시스템 모의해킹, 소스코드 진단, 악성메일 배포 대응 훈련, 시나리오 기반 모의해킹 등을 제공하며, 각각 고유의 모의해킹 방법론을 운영하고 있다.

앞으로도 화이트해커 채용과 양성을 비롯해 전문 모의해킹 서비스 제공을 위해 지속적으로 투자할 계획이다. 현재 인포섹은 전략해킹팀 직원 외에도 컨설팅본부 내 모의해킹 서비스가 가능한 컨설턴트를 10여명 보유하고 있다.

이수영 인포섹 컨설팅본부장은 “화이트해커가 지속적으로 자기 역량을 발전시키며 전문성을 발휘할 수 있는 환경을 만드는데 기여하는 한편, 전문성과 신뢰성 높은 모의해킹 서비스를 제공하기 위해 인력과 교육, 도구 등에 다방면으로 지속 투자할 것”이라고 밝혔다.

이 본부장은 “모의해킹은 현재의 정보보호체계를 점검하고 침해사고 발생시 대응 프로세스가 제대로 가동되는지 검증해볼 수 있으며, 새로운 공격기술에도 대비할 수 있다”며 “기업이 직접 해커를 채용해 상시 수행하고 있기도 많지만 다양한 사례를 경험한 외부의 전문가로부터 서비스를 받는 것이 더 효과적”이라고 강조했다.

<이유지 기자>yjlee@ddaily.co.kr

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지

이 기사와 관련된 기사

디지털데일리 네이버 메인추가

당신이 좋아할 만한 뉴스

DD 마이크로 사이트

오피니언

x