스포츠나 전쟁에서 통용되는 '공격이 최선의 방어'라는 격언은 사이버 보안에서도 마찬가지다. 모의 공격을 통해 취약점을 찾아내고 신속히 보완책을 마련하는 게 가장 훌륭한 방어일 수 있다.
디지털전환(DX) 전문기업 LG CNS가 레드(RED·모의 군사훈련 시 적군을 부르는 말에서 유래)팀을 꾸린 이유도 여기에 있다.
서혁준 레드팀장은 “가장 효과적인 방어법은 공격자(해커)들이 사용하는 툴과 기술을 이용해 모의 공격을 해보는 것”이라면서 “역량 있는 인원들로 팀을 꾸려 사전 예방 차원에서 고객 시스템 안전성을 점검한다”고 말했다.
LG CNS는 2021년 20여명 최정예 화이트해커로 레드팀을 구성했다. 한국인터넷진흥원(KISA)이 운영하는 K쉴드와 SW보안약점진단원, 한국정보기술연구원(KITRI) '차세대 보안리더 양성 프로그램(BOB)' 등 정부 기관 인증을 취득한 사이버보안 전문 인력이 대거 포진했다.
KISA 개발 보안 자문위원으로도 활동하는 인력이 있을 만큼 전문성을 갖췄다. 더 강한 방패를 만들기 위한 예리한 칼을 보유한 셈이다.
레드팀은 소프트웨어(SW) 설계·개발·운영 등 ㄱ부터 ㅎ까지 모든 과정에서 보안활동을 서비스한다. 설계 단계에선 위협모델링 수행 후 '개발 단계에서' 모의해킹, '소스취약성' 분석을 제공한다. 운영단계는 데브섹옵스(DevSecOps)를 적용, 자동화된 취약점 점검 및 이슈관리 등을 수행한다. 국제웹보안표준기구(OWASP), 국내보안 가이드 변경사항 등을 지속 반영하며 취약점 점검 노하우를 꾸준하게 갱신하고 있다.
서 팀장은 LG CNS가 DX를 선도하며 신기술 이해도가 높은 점도 경쟁력으로 꼽았다. 그는 “클라우드·블록체인 등 신기술을 잘 알고 공격법을 잘 찾아낸다”면서 “단순 시큐어 코딩 가이드에 그치는 게 아니라 유관 팀과 협업해 근본적인 해결책을 제공한다”고 강조했다.
레드팀은 그간 금융·유통·제조·공공 등 다양한 고객사 시스템에서 640건 이상 취약점 점검하며 레퍼런스를 축적했다. 신기술 기반 DX환경에 대한 높은 이해도 바탕으로 공격 시나리오를 반영해 클라우드와 애플리케이션 보안점검 등을 수행했으며, 대규모 시스템의 SW보안 점검도 벌였다. 또 250여건 모의해킹을 통해 고객 시스템 안전성 증명과 사고 예방에 기여했다.
서 팀장은 “팀원이 찾아낸 취약점을 보고 놀랄 때가 많다”면서 “실제 사고로 이어졌으면 크게 문제가 될 수 있는 정도의 취약점도 있었다”고 설명했다.
레드팀 성과는 젊은 조직이라는 점과도 무관치 않다. 레드팀 평균 연령이 30대 초반으로, MZ세대 특성인 독창성을 십분 발휘한다. 좋아하는 일에 빠지면 끝을 보는 몰입도 역시 강점이다.
서 팀장은 “화이트해커는 공격 시나리오를 잘 세워야 하는데, MZ세대는 유연한 사고를 기반으로 참신한 루트로 취약점을 파고든다”면서 “실제 10~20대가 대다수인 해커와 사고방식이 유사하다”고 말했다. 그러면서 “SW 취약점을 찾아내고 싶어 시간에 관계없이 자율적으로 모의해킹에 몰두할 정도”라고 덧붙였다.
레드팀원인 권성민 선임 역시 방어에 집중하는 보안업무보다 선제적 화이트해커 매력에 푹 빠졌다. 권 선임은 “주기적으로 새로운 대상을 새로운 시점으로 바라보는 일이라서 지루할 틈이 없다”면서 “동일 기술을 가지고 될 때와 안될 때가 있고, 조금만 생각을 바꾸면 취약점 발견에 성공하는 등 찾는 재미가 쏠쏠하다”고 말했다. 그러면서 “하고 싶었던 일이고 또 재미를 느끼고 있기에 업무하는 시간과 성장을 위해 공부하는 시간도 흥미롭다”고 덧붙였다.
레드팀은 대중이 영웅이 누군지 모르는 히어로물 영화와 유사하다. 엄청난 SW보안 취약점을 찾아도 어디에도 말하지 못하기 때문이다. 서 팀장은 “세상이 평화를 누릴 수 있도록 취약점 예방에 기여한다는 자부심과 사명감이 있다”면서 “DX환경에서 시스템이 안전하게 운영될 수 있도록 모든 취약점 제거하고 안전한 시스템이 고객사에 전달되도록 핵심 역할을 하겠다”고 말했다.
조재학기자 2jh@etnews.com