“모의 해킹은 고객이 제시하는 시스템이나 기기, 서비스 위협 평가입니다. 취약점을 찾는 진단이 아닙니다.”
이승진 그레이해쉬 대표는 모의해킹을 이렇게 정의했다. 이 대표는 ‘잘 나가는 해커’다. 그는 2006년 아시아 최초로 해커 올림픽이라 불리는 ‘데프콘’ 본선 진출권을 따냈다. 이후 10년 만에 후배들이 데프콘에서 우승했다. 그가 길을 닦은 덕이다. 그는 한국정보기술연구원(KITRI) 차세대보안양성프로그램(BOB) 멘토로 활동하며 후배 양성에도 적극적이다. 이 대표는 해킹콘퍼런스 ‘블랫햇’에서 삼성전자 스마트TV 해킹을 시연하며 널리 알려졌다. 프리랜서로 보안 취약점을 점검하던 그는 지난해 모의해킹 전문기업 그레이해쉬를 설립했다.
“IT제품과 서비스는 복잡해졌습니다. 모의 해킹 사업 발주자도 대상 제품에 어떤 보안 위협이 있는지 알지 못합니다. 기존 체크리스트 방식 모의해킹은 한계가 있습니다.”
이 대표는 “과거에는 고객이 원하는 내용을 듣고 모의해킹을 진단하고 수행했다”며 “현재는 진짜 해커처럼 취약한 곳을 찾고 어떤 위협이 발생하는 지 설명한다”고 말했다. 고객과 의사소통하며 모의해킹 프로젝트가 나아갈 방향을 수립한다. 고객 요구사항을 수동적으로 듣던 과거와 다르다.
“제품과 서비스에서 찾은 보안 취약점이 비즈니스 전반에 어떤 영향을 주는지 파악해야 합니다.” 1세대 모의해킹 기술은 주로 웹 해킹에 의존했다. 웹 사이트 해킹과 취약한 웹 소프트웨어를 공략했다. 2세대는 웹과 액티브X, 문서 프로그램으로 발전했다. 리버스 엔지니어링 기술이 요구된다. 3세대는 모바일과 임베디드 해킹이다. 전통적 PC 플랫폼에서 벗어나 제품 보안이라는 모의 해킹이 시작됐다.
이 대표는 “현재는 4세대 모의해킹 시대”라며 “PC와 모바일 정확한 구분이 없고 기술과 아키텍처 경계가 없는 모의해킹이 이뤄진다”고 설명했다. 모의 해킹 대상은 임베디드 장비다. 웹 해킹과 리버스 엔지니어링, 암호학 기술까지 필요하다.
그는 “자동차와 사물인터넷(IoT) 기기, 원격감지제어(SCADA)까지 보안 컨설팅 사업이 활성화된다”고 설명했다.
이 대표는 “과거 모의해킹이 정적이며 형식적 절차에 머물렀다”며 “현재 IT제품은 복잡한데 이 속에 잠재한 보안 위협을 정확히 파악해 시간과 인력, 비용을 얼마나 투자하는지 알려줘야 한다”고 말했다.
그는 “제대로 된 보안 컨설팅을 받으려면 체크리스트 진단보다 기술검토가 가능한 기업을 찾아야 한다”며 “모의해킹 기업과 기업 보안팀 간 긴밀한 협조와 이해가 필수”라고 강조했다.
김인순기자 insoon@etnews.com
