A전자가 신상품 TV를 출시했다. 최근 나온 스마트TV는 인터넷과 연결돼 각종 부가서비스를 제공한다. 최근 스마트TV는 PC처럼 운용체계(OS)로 작동한다. 과거 TV는 인터넷 연결대상이 아니었다. TV를 비롯해 냉장고, 에어콘 등 각종 전자기기가 인터넷과 연결되면서 출시 전에 반드시 거쳐야할 과정이 생겼다. 바로 보안 취약점 점검이다. 인터넷과 연결된 기기는 해킹 위험이 증가한다.
제조사가 출시 전에 기기에 어떤 보안 취약점이 있는지 알아보는 사례가 증가했다. 이때 `화이트햇 해커 서비스`가 필요하다. 해커를 고용해 실제 사이버 공격 상황을 가정하고 제품 내 취약점을 찾는다. 해커는 화이트햇과 블랙햇으로 나뉜다. 화이트햇은 윤리성을 갖춘 해커를 말하는데 보안전문가로 통한다. 블랙햇은 사이버 범죄자다.
화이트햇 해커 서비스는 TV 등 사물인터넷(IoT) 기기와 임베디드 장비 취약점 점검은 물론이고 각종 소프트웨어도 진단한다. IoT와 임베디드 장비 보안진단 수행에는 하드웨어 해킹 전문가가 필요하다. 하드웨어를 분석해 대상 플랫폼을 이해한 후 마치 실제 해커처럼 장비에 침투한다. 공격에 악용될 수 있는 각종 취약점을 찾아 보고한다.
소프트웨어(SW)도 마찬가지다. 각종 인터넷 서비스 출시 전에 화이트햇 해커 서비스를 거친다. 소프트웨어를 리버스 엔지니어링하며 내부 프로그램에 들어있는 오류를 찾아낸다. SW에 남겨진 오류와 버그가 향후 사이버 공격에 단초가 되기 때문이다. 화이트햇 해커는 수년간 경험으로 프로그램 안에 보안 문제점을 발견한다.
기업 자체 인프라 진단도 화이트햇 해커 서비스에 포함된다. 화이트햇 해커는 공격자 입장에서 고객사 인프라 보안 수준을 평가한다. 화이트햇 해커는 기업 내 인프라에서 알려지지 않은 취약점(제로데이)을 발견하기도 한다. 체크리스트 기반이 아닌 실제 공격자 입장에서 진단하는 게 특징이다.
화이트햇 해커 서비스에는 보안 기술 트레이닝도 들어간다. 보안 교육을 받지 않는 프로그래머나 IT인들에게 취약점 발생원리를 교육한다. 기업은 화이트햇 해커 서비스를 받으며 제품이나 서비스내 보안 취약점이 발생하는 원리 습득을 원한다. 보안컨설팅 기업 그레이해쉬는 고객사 직원이 사내에서 쉽게 접근하는 보안 교육시스템을 개발했다. 그레이해쉬는 최신 해킹 기술과 트렌드를 반영해 실제 해킹 사고 발생 때마다 해당 취약점을 문제로 제작해 실습하게 돕는다.
김인순 보안 전문기자 insoon@etnews.com