모의해킹, 금융·공공분야 도입 활발

해커 인력 부족 심각, 업체 간 ‘인력 품앗이’ 성횡

최근 국내 모의해킹 시장은 매년 15%가량 성장세를 보이고 있다.
모의해킹은 금융권과 공공분야에서 도입이 가장 활발하며 온라인 게임사나 쇼핑몰 등 주로 웹 서비스를 많이 하는 기업들도 개인정보 유출에 관한 모의해킹을 요구하고 있다. 특히 금융권의 경우 금융감독원 규정에 따라 연 2회 취약점 진단 및 모의해킹을 수행하도록 하고 있다. 공공기관들도 정보통신기반보호법에 의해 주요정보통신기반시설에 대해 2년마다 모의해킹 등 정보보호 컨설팅을 실시하도록 의무화돼 있어 적극적인 움직임을 보이고 있다.
최근에는 모바일 분야 모의해킹이 증가하고 있으며 가상화, 클라우드, 스마트TV, 스카다(SCADA) 등 새로운 플랫폼이나 디바이스는 물론, 냉장고, 세탁기, 자동차를 스마트폰으로 제어할 수 있는 신기술 등 새로운 영역에 대한 모의해킹 요구가 증가하고 있다.

연보라 기자 bora@ciociso.com

기술개요
1. 시장동향
2. 기술동향
3. 각 사별 솔루션 특징 (NSHC, 안랩, A3시큐리티)

1. 시장동향  

200억 원 규모 시장, 매년 15% 이상 성장세

모의해킹은 인가받은 해킹 전담 컨설턴트에 의해 실제 해커가 사용하는 해킹 도구와 기법 등을 이용해 대상 정보 시스템으로의 침투 가능성을 진단하는 선의의 해킹(ethical hacking)이다. 또한 취약점 분석을 넘어 내부 시스템에 어느 정도까지 침투할 수 있고 어떤 정보나 시스템의 관리 권한을 불법적으로 획득할 수 있는지, 그리고 각 진단 모듈에서 발견된 취약점들이 어떻게 해킹에 이용되는지 등을 점검한다. 모의해킹은 일반적인 취약점 분석과는 차이가 있는데, 취약점 분석이 체크리스트를 기반으로 시스템 전체에 대한 모든 취약점을 찾아낸다면 모의해킹은 특정 대상에서 발견된 취약점을 이용해 실제 침투가 가능한지를 시도해보는 것이다.
취약점 분석은 자동화 툴을 이용해 취약점을 도출해내는 방식이지만 모의해킹은 해커가 직접 수동으로 작업을 해야 한다. 때에 따라 자동화 툴을 사용하기도 하지만 제한적인 활용이다.
취약점 분석과 모의해킹은 목적이 다른 만큼 결과도 다소 차이가 있다.
예를 들면 두 개의 서버에 대한 취약점 분석을 통해 A서버에는 취약점이 있고 B서버에는 취약점이 없는 것으로 판명 났다면, 모의해킹 관점에서는 A서버를 통해 B서버로 접근할 수 있으므로 B서버에도 취약점이 있다는 결론이 나온다.
따라서 취약점 분석을 선행한 후에는 보완적인 측면에서 모의해킹을 실시하는 것이 바람직하다.
최근 국내 모의해킹 시장은 꾸준하게 늘어나고 있어 중요한 시스템에 대해서는 모의해킹이 필수적으로 포함되는 추세며 매년 15%가량 성장세를 보이고 있다.
모의해킹은 다른 컨설팅 프로젝트에 포함돼 있는 경우가 많기 때문에 정확히 시장규모를 산정하기는 힘들지만 약 180~200억 원 수준이라고 업계는 추산한다.
다른 보안 분야와 마찬가지로 모의해킹도 금융권과 공공분야에서 도입이 가장 활발하다. 더불어 개인정보보호법과 관련해서 온라인 게임사나 쇼핑몰 등 주로 웹 서비스를 많이 하는 기업들이 개인정보 유출에 관한 모의해킹을 요구하고 있다.

모의해킹 체크리스트 모의해킹 업체를 선정할 때 가장 중요한 것은 업체 신뢰성이다. 기업의 주요 정보를 다루므로 유출의 위험성이 있기 때문이다. 또한 실제 해킹을 시도하는 모의해커들의 신뢰도도 중요하므로, 해당 업체의 모의해커들의 이직률도 고려해야 한다. 이직 후 문제가 발생할 수 있기 때문이다. 지식정보보안 컨설팅전문업체의 경우 모든 인력을 지경부에 등재하도록 돼 있어 명확한 신원을 파악할 수 있다. 또한 모의해킹 전문 업체가 변화하는 해킹 수법이나 트렌드를 충분히 연구하고 지원해줄 수 있는 연구기반이 갖추어져 있는가도 살펴야 한다. 더불어 사전에 업체가 보유한 취약점 진단 체크리스트 샘플을 받아보고 수행능력을 가늠하고 확인하는 작업이 필요하다. 수행 경험이 많은 업체일수록 체크리스트가 보다 섬세하고 전문성이 높을 것이다. 모의해킹 업체들에 따르면 고객사 중 간혹 있는 그대로를 오픈하지 않고 자신이 없는 부분은 시스템을 폐쇄해 놓는 등의 경우가 있다. 혹은 치명적인 결과에 대해서는 상위에 순화시켜 보고해달라는 담당자들의 요청이 더러 있다. 모의해킹 전문 업체 담당자는 “모의해킹을 시도하러 찾아가면 ‘지적하러 왔다’, ‘업무에 방해가 된다’는 식으로 귀찮아하는 담당자들도 있다”면서 “모의해킹의 목적을 바로 아는 마인드세팅이 필요하다”고 지적했다. 또 테스트에 필요한 계정 정보 제공이나 모의해킹 대상 선정 등 고객사에서 협조해줘야 할 부분들이 제때 신속히 피드백이 되어야 더 좋은 퍼포먼스를 낼 수 있다고 조언했다.

특히 금융권의 경우 금융감독원 규정에 따라 연 2회 취약점 진단 및 모의해킹을 수행하도록 하고 있어 더 적극적으로 움직이고 있다.
또 공공기관들도 정보통신기반보호법에 의해 주요정보통신기반시설에 대해 2년마다 모의해킹 등 정보보호 컨설팅을 실시하도록 의무화돼 있다. 이때 사업을 수행할 수 있는 업체로는 정부가 지정한 7개 지식정보보안 컨설팅 전문업체로 한정돼 있다. 안랩, A3시큐리티, 인포섹, 롯데정보통신, 시큐아이닷컴, 사이버원, STG시큐리티 등이다.
모의해킹 시장은 안랩, A3시큐리티, 인포섹의 주도로 약 20여 개 업체가 움직이고 있다. 이들 업체들 외에도 보안 벤더들이나 회계법인 등에서도 관련 인력을 소수 영입해 간단한 모의해킹을 수행하고 있지만 제한적인 것이 사실이다.
모의해킹 분야는 소위 스타급 모의해커들이 이 시장을 주도하고 있어, 현재 누가 어느 회사에 몸담고 있느냐에 따라 경쟁구도가 달라진다. 심지어 고객사가 특정 해커를 지명을 하는 경우도 있다. 따라서 업체 간 유명 해커 영입을 위한 경쟁도 치열하며, 인력 이동이 상당히 많은 편이다.
또한 특정 업체에 소속돼 있지 않고 프리랜서로 모의해킹을 수행하는 전문 인력들의 비중이 상당히 높다. 인력 수급난이 심각한 모의해킹 시장에는 인력 품앗이를 하는 경우가 많은데, 사업을 수주한 업체가 타 중소업체나 프리랜서에게 다시 소싱 하는 것이다.
모의해킹 업체들에게 있어 가장 큰 애로사항은 인력이다. 매년 인력을 충원해도 늘어나는 수요를 감당하기가 버겁다고 한다.  특히 연말이나 보안사고 발생 직후에는 사업이 집중적으로 몰려 이를 충당하지 못하고 사업을 포기하는 경우가 많다. 또한 최근 들어서는 금융권으로 인력이 유입되는 현상이 심해져 절대적인 인력 부족에 시달리고 있다.
이에 업체들은 전문 해커를 단기간 내에 양성해낼 수 있는 정부 주도의 교육 지원책이 나와야 한다고 주장한다. 하지만 모의해커는 교육을 통해 배출되는 데 한계가 있고 특유의 자질이나 성향이 요구되기 때문에 양성에 상당히 오랜 시간이 걸려 문제 해결은 쉽지 않아보인다.

2. 기술동향 

모바일, 클라우드, 스마트TV, SCADA 등 새로운 영역으로 확대

모의해킹은 크게 외부 관점의 해킹과 내부 관점의 해킹으로 구분된다. 외부 관점의 해킹은 말 그대로 외부에서 공격하는 형태의 해킹이며, 내부 관점의 해킹은 내부 직원이 정보를 유출하기 위해 시도하는 해킹이다.
사용하는 기술은 다르지 않지만 외부 관점의 해킹은 기반 정보를 전혀 모르는 상태에서 시도하는 것이고, 내부 관점 해킹은 ID/PW나 어떤 서비스가 있는지 등 어느 정도 정보를 갖고 있기 때문에 외부 관점에서 보기 힘든 부분들을 더 많이 볼 수 있다. 최근에는 APT와 같이 내부에 악성코드가 잠복해 있다가 공격하는 사고들이 발생해 금융권을 중심으로 이러한 외부 관점과 내부 관점이 혼합된 형태의 해킹에 대한 요구가 늘어나고 있다.
또한 모의해킹은 타겟에 따라 분류할 수 있다. 특정 회사의 네트워크에 침입하는 ‘네트워크 해킹’, 서비스하고 있는 웹 사이트에 대한 ‘웹 해킹’, 모바일 앱에 대해 진행하는 ‘모바일 해킹’ 등이다.  최근 모의해킹의 가장 큰 이슈는 모바일 분야의 모의해킹이 많아지고 있다는 것이다. 더불어 가상화, 클라우드, 스마트TV, 스카다(SCADA) 등 새로운 플랫폼이나 디바이스는 물론, 더 나아가 냉장고, 세탁기, 자동차를 스마트폰으로 제어할 수 있는 신기술 등 새로운 영역에 대한 모의해킹 요구가 추가되고 있는 추세다.
모의해킹은 특정 기술로 한정돼 있지는 않다. 웹 서버에 파일을 올려 시스템을 장악하거나 인증을 우회하는 등 해커들마다 천차만별의 기술들이 사용되고 있다.
해커들은 때로 진단 툴을 일부 활용해 전체적인 사이트 구조를 파악하고 어떤 취약점이 있는지 도출해내는 데 사용하기도 한다. 또 특정 취약점에 대해서만 공격해주는 무료 툴도 있다.

3. 각 사별 솔루션 특징

NSHC - “언더그라운드 해커로 출발해 모바일 앱 분야 선두주자로”

2003년 설립된 NSHC는 언더그라운드 해커 모임으로 시작해 정보보호 전문회사로 발전한 기업이다.
2010년 정보보호 솔루션 개발, 보안 취약점 정보 제공 등으로 사업 분야를 확대해 컨설팅/솔루션/정보제공 3박자를 고루 갖춘 보안 전문 기업으로 자리매김했다. 특히 모바일 웹 진단에 대해서는 선도적으로 사업을 시작해 모바일 진단을 체계화시켜왔다.
우상태 NSHC 보안이사는 “세탁기, 냉장고, 스마트TV 등 모바일로 제어하는 전자제품과 같이 새롭고 생소한 분야에 대해 연구하고 서비스할 수 있다는 것이 강점”이라며 “젊은 인력들이 많아 새로운 플랫폼이나 디바이스 등에 빠르게 접근하고 진단할 수 있는 환경을 구축하고 있다”고 밝혔다.

안랩 - “별도 연구조직 ASEC 통해 전문성 제고”

정보보호 종합컨설팅기업인 안랩은 모의해커 컨설턴트 조직 외에도 해킹을 조사하는 별도의 연구조직인 ASEC(AhnLab Security Emergency response Center)가 있어 현장에서 움직이는 모의해커들은 이에 대한 서포트를 받을 수 있다. 모의해커들이 모든 IT 분야를 다 알 수는 없기 때문에 내부 연구조직의 도움을 받을 수 있는 것이다.
김형준 안랩 컨설팅사업본부 이사는 CISO들이 모의해킹을 도입할 때 고려해야 하는 것으로 △기업의 신뢰도 △모의해커의 이직률 △별도 연구조직 운영을 들면서 “이 세 가지 고려요소를 모두 충족하고 있는 곳은 아마 안랩 밖에 없을 것”이라고 자부했다.
그는 “안랩의 모의해커들의 이직률은 업계에서도 확연하게 낮은 수준이다. 지난해 겨우 1명이 퇴사했으니 상당히 관리를 잘 한 경우”라고 덧붙였다.

A3시큐리티 - “1천 건 이상 프로젝트 수주의 노하우 집약”

국내 최초로 모의해킹을 시작한 A3시큐리티는 1천 건 이상의 컨설팅 프로젝트를 진행해온 만큼 많은 노하우를 보유하고 있다. 또한 ISO9001(Quality Management System: 품질경영체계) 인증을 획득해 품질 관리에 노력을 기울이고 있다. 정대근 A3시큐리티 기술보안팀장은 “A3시큐리티는 실제 공격자 관점으로 서비스의 주요 취약점을 도출하고 해결방안을 제시하고 다양한 IT환경을 고려해 각 정보시스템 유형 시나리오를 세분화하여 모의해킹을 진행한다”고 설명했다.
또한 웹 방화벽, 메일 보안 솔루션, 암호화 솔루션, PC방화벽 등 각종 보안솔루션의 우회 가능성을 점검에서 다양한 최근 IT인프라에 맞추어 모바일, 웹2.0, VoIP, IPTV, RFID 등의 신기술에 이르기까지 서비스에 위해가 가지 않는 범위 내에서 다양한 해킹 기법을 통해 크리티컬한 보안 이슈를 도출하고 대책을 제시하고 있다.