각국 정부와 정보기관이 이탈리아 회사 ‘해킹팀’과 거래한 것이 드러나며 ‘오펜시브 시큐리티 (Offensive Security)’가 화두로 떠올랐다. 해팅팀도 일종의 오펜시브 시큐리티 회사다.
‘공격이 최선의 방어’라는 말이 있다. 오펜시브 시큐리티는 한마디로 공격기법을 연구한다. 해커 입장에서 시스템이나 서비스에서 취약한 부분을 찾아낸다. 국내에선 다소 생소하지만 그레이해쉬, 블랙펄, NHSC 등이 관련 분야에 진출했다. 국내 기업은 해킹팀처럼 광범위하게 사이버 무기로 이용될 수 있는 취약점을 팔지 않는다. 이들은 고객이 의뢰한 특정 제품이나 서비스 취약점을 찾아 신속히 패치할 수 있게 돕는다. 한국에서 해킹팀과 같은 오펜시브 시큐리티 사업을 하기에는 많은 제약이 따른다.
국제적으로 오펜시브 시큐리티로 유명한 회사는 프랑스 부펜시큐리티다. 부펜시큐리티는 소프트웨어 취약점을 찾아낸 후 적합한 대응 방법을 제시한다. 이번에 해킹팀에서 유출된 이메일에 따르면 해킹팀 역시 부펜시큐리티에서 제로데이 취약점을 구입했다. 넷트라가드(Netragard)와 이뮤니티(immunity)도 공격기법을 연구하고 판매하는 회사다. 업계는 공격기법을 연구하는 특성상 드러내지 않고 관련 사업을 하는 기업이 더 많을 것으로 예상된다.
허영일 NSHC 대표는 “국내엔 오펜시브 시큐리티가 다소 생소하지만 해킹 도구가 될 만한 주요 소프트웨어나 서비스 취약점을 찾아내는 연구를 한다”며 “이미 세계적으로 각국 정보기관에 관련 지식을 판매하는 시장이 형성됐다”고 설명했다. 허 대표는 “취약점은 공격도구며 동시에 방어책”이라며 “사이버 정보전이 확대되면서 취약점 정보를 가지려는 정부와 기업의 관심이 높은 분야”라고 덧붙였다.
이승진 그레이해쉬 대표는 “국내 오펜시브 시큐리티 기업은 고객이 의뢰한 자사 제품 취약점을 찾고 해결책을 모색한다”며 “이번에 유출사고를 겪은 이탈리아 해킹팀과는 성격이 조금 다르다”고 말했다.
김인순기자 insoon@etnews.com