[아이뉴스24 김국배기자] "당해봐야 알죠. 미리 안전하게 당해보는 것도 나쁘지 않아요."
박찬암 스틸리언 대표는 25일 서울 강남구 삼성동 코엑스인터컨티넨탈호텔에서 열린 '시스코 시큐리티 서밋' 행사에서 "보다 실용적인 보안을 위한 시도가 필요하다"며 공격 기반 방어를 강조했다.
공격 기반 방어는 실제 해커의 해킹 공격을 통해 기업이 보안 맹점(취약점)을 찾는 일종의 보안 컨설팅이다.
실제로 크게 당하기 전에 공격자에 의한 점검, 공격자 관점에서 어떤 부분이 취약한 지 경험해보는 것이다.
박찬암 대표는 "기존 보안 점검은 기계적 체크가 많다"며 "해커들이 좋아하는 공격 포인트는 생각보다 한정돼 있고, 실제 위협 가능성이 있는 취약 지점을 집중 발굴한다"며 차이를 설명했다.
이어 "법적 규정에 의해 의무적으로 시행하거나 점검 수준보다 얼마나 문서를 잘 쓰느냐에 초점이 맞춰진 게 기존 보안 점검의 문제점"이라고 지적했다.
그는 ATM 기기를 대상으로 공격 기반 방어로 효과를 본 사례를 들었다.
박 대표는 "3년간 보안 컨설팅을 해오고 매년 한 권의 책으로 작성된 리포트를 받으며 각종 보안 솔루션을 적용했지만, 약 일주일 간의 공격 결과 심각한 5개의 취약점을 찾아냈고 보안 솔루션, 정책 등을 모두 우회했다"고 했다.
실제와 괴리가 큰 만큼 공격 기반 방어와 같은 다른 관점의 시각이 필요하다는 게 그의 결론이다.
실용적 보안을 위한 또 다른 방안으로 보안성 테스트도 강조했다.
그는 "일반적인 품질성능평가시험(BMT)는 해커에게 무의미하다"며 "보안 BMT 개념이 필요하다"고 주장했다.
규제, 요건을 맞추기 위한 보안이 아니라 실제 해킹을 잘 막는 보안이 가능한 지 판단하기 위해서는 도입 제품에 대한 보안성 테스트가 있어야 한다는 얘기다.
이어 "기능이 있느냐 없느냐만 보고 끝나는 경우가 많더라"며 "어떤 제품이 뚫기 어려운가를 보면 좋겠다"고 말했다.
마지막으로 그는 "감시와 알람이 잘 되는 시스템, 크로스 체크를 하는 고객, 보안에 힘을 실어주는 조직이 뚫기 힘들었다"며 "보안에 있어 가장 중요한 것은 지속적인 관심"이라고 덧붙였다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기