[여의도 프로페셔널] 공격자의 눈으로 보안을 주목하다!

2020. 10. 29

CLIPBOARD
image_pdf

 

코로나19 이후 글로벌 경제환경이 급변했다. 비대면 서비스와 재택근무가 늘고, 디지털 화폐 도입이 가속화할 전망이다. 세계 각국 주요 은행들은 물론이고, 한국은행 역시 디지털 화폐 연구를 시작했다. 언택트 환경은 디지털 전환에 속도를 더하고, 그만큼 보안의 위험성도 커지고 있다. 시스템을 공격하고 보안을 위협하는 존재라는 인식이 강한 ‘해커’들이 모여 정보보안 회사를 차렸다.

공격자의 입장에서 보는 ‘보안 위협’은 보안에 대한 새로운 대안을 제시해줄 수 있을까? 스틸리언의 신동휘 기술연구소장을 만나 물어본다.

Q1. 박찬암 대표와 함께 스틸리언을 설립한 다섯 명의 해커 중 한 분이십니다. 먼저, 해커에 대한 정확한 정의가 필요하다고요.

화이트해커는 착한 해커, 블랙해커는 나쁜 해커라고 오해하시는 분들이 종종 있습니다. 밝고 어두운 컬러 대비 때문에 그런 것 같은데, 둘 모두 방법은 동일하나 목적에 따라 구분된다고 보는 게 정확합니다. 화이트해커는 시스템의 취약점을 발굴하고 해당 기술들을 연구하여 악의적인 공격에 사전에 대응할 수 있도록 하는 사람을 칭하고, 블랙해커는 대상을 연구하는 방법론적인 측면은 화이트해커와 동일하지만, 이를 활용하는 방법이 다른 거죠. 즉, 연구 결과를 선의의 목적으로 활용하는가 악의적인 목적으로 활용하는가에 따라 나뉜다고 보면 됩니다.

Q2. 데이터 시대, 언택트 시대가 도래하며 보안영역이 넓어지고 있습니다. 그만큼 해커에 대한 관심도 높아지고 있는데요. 처음 스틸리언을 설립하게 된 계기는 무엇이었나요?

회사를 시작할 때 딱 두 가지를 생각했는데 첫 번째는 우리가 가진 것을 기반으로 산업에 기여하자는 것이었고, 두 번째는 같은 영역에 있는 후배들이 처음 느꼈던 ‘재미’라는 요소를 유지하며 생활할 수 있는 공간을 만드는 것이었습니다.
산업에 기여하자는 얘기는 해커의 관점에서 보다 안전한 사이버 영역을 조성하고 싶다는 뜻입니다. 서비스 제공자 및 제품 제조사가 해커의 생각과 의도를 이해하고 대응하는 것과 그렇지 않은 것은 차이가 있죠. 저희는 해커의 관점에서 생각하고 분석한 결과를 고객에게 전달하고 싶었습니다.
무엇보다 여기서 일하는 해커분들은 스틸리언에 올 때 재미를 기반으로 한 강한 이끌림이 있었을 겁니다. 하지만 이것들이 본인들의 인생을 책임져주지 않을 수 있으며, 평생 안정적인 생활을 보장해주지도 않습니다. 본인들이 원하는 것들을 안정적으로 지속할 수 있는 터를 마련하고 의미 있는 것들을 재미있게 함께하기 위해 스틸리언이 시작됐습니다.

Q3. 구성원의 80% 이상이 해커 출신이라는 점이 이슈가 될 때가 많은데요, 그 80%가 R&D 인력 비율과 동일하다고 하셨습니다. 어떤 점을 중점적으로 연구 개발하고, 추진하고 있는 주요 사업은 무엇인지 궁금합니다.

모바일 앱 보안 강화를 위해 필요한 제품 개발 및 유지보수를 위한 지속적인 연구 개발을 추진중이에요. 또한, 취약점 분석 및 모의해킹과 관련해 다양한 대상에 대한 공격방법과 이를 활용하는 방안에 대해서도 연구하고요. 그리고 정보보호 분야에 필요한 기술을 연구 개발하여, 도출해 낸 지식과 결과를 토대로 대외적인 교육도 진행하고 있습니다.

Q4. 사이버 보안에 대한 위협은 이미 현실화되어, 토스의 부정결제 사건이나 2014년 주요 카드사 고객정보 유출, 2016년 인터파크의 고객정보 유출 등 끊임없이 이어지고 있는데요. 계속해서 유사한 사건이 발생하는 이유는 어디에 있다고 보시나요?

대부분의 보안 사고 중심에는 사람이 있습니다. 완벽한 시스템도 없지만 완벽한 사람도 없거든요. 어떤 작용도 없이 저절로 일어나는 사고라는 건 없죠. 어떠한 사고가 발생하기 위해서는 기술적인 취약점이 어느 정도 작용해야 하는데, 최근 보고되는 대부분의 취약점은 사람의 개입(ex. 클릭, 파일 열기 등)이 있습니다.
하지만 여기서 사람 자체를 문제라고 규명해서는 안 됩니다. 사람이 시스템을 사용해 서비스와 제품을 만들기 때문에 시스템을 가장 완벽한 상태에 가깝게 만드는 것이 중요하죠. 원하는 상태를 만들기 위해선 끊임없는 연구와 노력이 이어져야 하는데 그것을 지속하는 것이 가장 힘들기 때문에 사고는 계속 발생한다고 볼 수 있습니다.

Q5. 2017년 ‘스마트 금융&정보보호 페어’에서 직접 ‘모바일 서비스 해킹 위협과 대응방안’에 대해 발표하신 적이 있습니다. 그때와 지금 서비스 해킹 위협이나 대응방안의 달라진 점이 있나요? 있다면 어떤 전략을 구상하거나 추진 중이신지 궁금합니다.

당시 앱 서비스 위협으로 앱에 대한 분석 가능성과 이를 통해 어디까지 공격할 수 있는지 언급했던 것 같습니다. 현 시점에 생각해보면 그 내용은 크게 달라지지 않았습니다. 서비스 해킹 위협의 발생원인이나 대응방안이 사람과, 사람이 만드는 기술에서 기인하니까요. 다만 현재 자신이 투자한 시간과 비용의 노력에 따라 고려해야할 내용이 달라질 것이라고 생각합니다.

Q6. 추석 연휴기간 동안 국내서 디도스 공격이 발생해, 금융당국이 긴급 점검회의를 개최한 적이 있습니다. 인력이나 예산 면에서 중소형 핀테크 업체들의 경우 특히 디지털 보안에 취약할 수밖에 없는데요. 이를 개선하기 위해 해결되어야 할 점은 뭐라고 생각하시나요?

답변하기 어려운 질문이네요. 결국 누군가가 노력을 해야 하는데 그 노력은 비용을 요구하고 결국 그 비용을 누가 부담할 것인지 정해야 하기 때문입니다. 특히 중소형 핀테크 기업이라면 가용 예산이 충분하지 않을 것이라는 가정을 고려해야 하니 더더욱 어렵죠. 기업과 국가의 각 구성요소에 답변을 드리자면 이론적인 답변과 제언 정도일 것 같습니다.

기업에게는 서비스를 만드는 동안 가용성과 편의성 그리고 일정에 초점을 맞춘 서비스 개발보다는 보안성도 고려한 설계와 개발이 필요하다는 이론적인 말씀을 드리고 싶습니다. 우리는 서비스를 만든 후 추가 제품을 통해 서비스의 보안성을 높이는 방식에 익숙합니다. 하지만 최종 단계에서 돌아보면 이는 더 많은 비용이 드는 방식이라고 생각합니다. 따라서, 가능한 한 안전한 서비스 프로토콜을 설계한다면 시간과 비용이 들겠지만, 초기 개발 단계에서 보안성을 높이는 방법을 택해야 이후에 더 적은 비용 투자로 보안성 향상이 가능할 것입니다.

여기서 제언 드리자면, 개발 단계에서 만들어진 프로토콜의 검토를 만든 사람이 아닌 다른 부서의 설계자와 개발자 또는 외부에 요청하시면 오류 검출에 효과적이라 생각합니다.
국가적으로는 기업에게 보안성 향상을 위해 지원하는 것이 효과적이라 생각합니다. 그러나 제품 도입 등의 답이 정해져 있는 지원보다는 서비스의 특성에 따라 다양한 고려가 가능한 지원이 있었으면 합니다.

Q7. 국가기관과 함께 수행하는 보안 관련 R&D는 주로 어떤 것들인가요?

회사에는 두 가지 종류의 R&D가 있습니다. 첫번째는 공공기관과 함께 수행하는 R&D이고 주요 내용은 보안에 대한 연구 중, 해결하기 어려운 미션을 함께 연구하고 해결하는 것입니다. 다른 한가지는 회사에서 자체적으로 수행하는 R&D입니다. 회사에서 수행하는 R&D는 회사의 향후 사업과 고객이 원할 것으로 판단되는 영역을 사전에 판단하고 수행하는 것들입니다. 현재 보안과 관련된 다양한 주제에 대한 R&D를 추진하고 기획하고 있습니다.

Q8. 코로나19 이후 글로벌 경제환경이 급변하면서 디지털 화폐 도입이 가속화할 전망입니다. 유럽, 중국, 스웨덴 등 세계 주요 은행은 물론이고, 한국은행 역시 디지털 화폐 연구를 시작했는데요. 디지털 화폐가 실현된다면 금융기관은 물론 개인정보보호에 대한 목소리는 한층 더 높아질 것입니다. ‘공격자’의 입장에서 보안 위협, 어떻게 대비해야 한다고 보시나요?

디지털 화폐라는 것은 결국 금융 시장과 IT 시장의 융합이라 생각합니다. 보수적인 시장과 시간의 흐름에 따라 아주 빠르게 변하는 시장의 융합이라는 것입니다. 이는 화폐에 대한 정의와 제어권에 대한 논의까지 포함하는 내용이고 이와 같은 내용 정리에 있어 보안이라는 요소가 모든 영역에 등장할 것입니다. 결국 공격자가 공격가능한 접점이 많이 생길 수밖에 없으며 이는 위협으로 다가올 것입니다.

공격자 입장에서 생각해본다면, 시스템의 높은 보안성이 공격 대상 선정에 유일한 고려 요소가 아닙니다. 즉, 보안성이 낮은 것만을 공격 대상으로 선정하지 않는다는 거예요. 대상이 가지고 있는 자산의 가치 정도가 공격 대상 선정에 중요한 요소이기도 합니다. 아무리 잘 만들어진 시스템이라도 완벽할 수 없다는 점을 생각해본다면 공격자는 가치가 있는 곳에 문제가 없는지 반드시 확인해 봅니다. 특히 악의적인 공격자라면 더더욱 그럴 것입니다. 이와 같은 상황에 인정할 부분은 시스템과 사람이 완벽하지 않을 것이라는 점입니다. 결국 앞선 질문의 답변과 연결되는데 설계·개발 및 운영·유지·보수까지 전 영역에 걸친 보안성 검토를 생각해봐야합니다. 정해진 시간에 촉박하게 만들어지는 서비스가 아닌 완벽하진 않더라도 충분한 고려를 거친 서비스와 시스템을 만들어야 한다는 얘기입니다.

개인정보보호 관점에서 보자면 우리는 한두개의 요청을 통한 개인정보 유출 상황을 겪었고 이를 위한 대응을 생각해왔던 것 같습니다. 이제는 서비스 전반에 걸쳐 정말 필요한 정보가 오가고 있는지 확인할 때라고 생각합니다. 모든 서비스 영역에서 사용하는 정보 하나하나에 대해 면밀한 검토를 통해, 꼭 필요하지 않은 정보라면 서비스 프로토콜에 등장하지 않도록 하거나 최소화하는 방법을 고민해야 한다고 생각합니다. 하나의 프로토콜을 만들더라도 꼭 개인정보가 필요한가? 이 정도의 정보가 필요한가? 다른 방법은 없는가? 등의 고민을 통해 개인정보를 활용한 프로토콜의 최소화를 위해 노력해야 한다고 생각합니다.

Q9. 지금 스틸리언이 주목하는 국내외 금융IT 이슈는 무엇인가요?

저는 국내외 금융IT 이슈는 정보의 디지털화와 더불어 디지털화된 정보의 활용이라고 생각합니다. 매우 민감한 개인정보 또는 기타 개인을 나타내는 정보들이 모두 디지털화되어 어딘가 저장되고 누군가는 사용하고 있습니다. 우리는 디지털화된 정보에 대한 위험성과 활용에 대해 아직 많이 고민해보지 않았다고 생각합니다. 이제는 거의 모든 정보가 디지털화된 상태로 활용되고 있으며 새롭게 생성되는 더 많은 정보들이 디지털화 될 것입니다. 기존 정보의 디지털화와 디지털화된 환경에서 생성된 정보를 기업들은 어떻게 사용하고 어떻게 효과적으로 서비스할지 고민해야 할 시기라고 생각합니다. 그리고 이렇게 저장된 정보들을 어떻게 안전하게 사용·관리·통제할지 진지하게 고민해야할 것입니다.

이러한 고민 중 가장 중요한 것 하나가 ‘보안’일 것입니다. 누군가의 편의를 위해 잘 정리하고 저장한 데이터가 유용한 형태로 활용되지 않을 가능성에 대해서도 생각해봐야 합니다. 그리고 하나의 서비스 또는 하나의 그룹에 저장된 데이터만을 바라보지 않아야 합니다. 공격자는 하나의 서비스만을 통해 정보를 수집하지 않기 때문입니다. 현재 이와 같은 고민에 가장 부합하는 것으로 많이 거론되는 것이 ‘마이데이터’가 아닐까 싶습니다.

Q10. 비대면, 디지털 가속화로 AI, 챗봇의 역할이 점점 커지고 있습니다. 디지털 보안, AI가 사람을 대신할 수 있다고 생각하시나요? 그렇지 않다면 정보보안 전문기업, 스틸리언의 지속가능성은 어디에 있는지, 끝으로 한말씀 부탁드립니다.

AI라는 것이 인류에 많은 변화를 가져올 것이라는 것을 부정하지 않습니다. 그리고 많은 일자리를 대체할 것으로 예상되고 현실에서도 곧 일어날 것이지만, 만능이라기보다는 보조수단이라고 생각합니다. 다만 아주 우수한 보조수단이 될 것입니다. 정도의 차이도 있을 겁니다. AI라는 기술로 인해 완벽에 가깝게 대체되는 영역이 있고, 그렇지 않은 영역도 있으니 새롭게 대두되는 영역이 나타날 것입니다. 그렇기 때문에 아주 우수한 보조수단이라고 생각하는 것입니다.

이와 같은 시대를 살아가고 살아가야 한다면, AI라는 기술을 적극적으로 활용하고 이를 통해 새로운 가치를 만들어 내는 기업으로 성장하고자 합니다. 저를 비롯하여 많은 분들이 항상 새로운 것을 추구하고 연구하며 이를 위해 우리가 무엇을 재미있게 할 수 있을지 논의합니다. 이와 같은 흐름이 회사에게는 지속성을 가져다줄 것이며 개인에게는 재미와 안정성을 가져다줄 것이라 생각합니다. 아무리 터무니없는 것이라 하더라도 듣고 실행해보고 이를 가치로 만드는 작업을 지속하는 것 그리고 그 안에서 재미를 찾는 것 또는 재미있는 것을 가치로 만드는 것 이것이 바로 우리의 지속가능성이라 생각합니다.

 

 

* 저작권법에 의하여 해당 콘텐츠는 코스콤에 저작권이 있습니다.
* 따라서, 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금합니다.