# A금융사는 금융당국이 제시하는 각종 보안 규정과 규제를 철저히 준수했다. 고가 보안 장비를 도입하고 관련 조직을 정비하면서 자체 보안 수준에 자부심도 가졌다. 하지만 실제 침투 상황을 가정한 모의해킹 서비스를 받은 뒤 상황은 달라졌다. 오래 전부터 널리 알려진 취약점부터 최신 취약점까지 수백여건에 달하는 보안 취약점이 내부에서 발견됐기 때문이다.
# 대기업 계열 B사는 최근 전문 해커 인력을 보유한 보안업체에 자사 전체 시스템과 서비스에 대한 모의해킹을 의뢰했다. 계속되는 투자에도 주변에서 연일 발생하는 사고에 실질적 점검 필요성을 느꼈다. 프로젝트식 사업발주를 넘어 지속적 진단이 이뤄지도록 해커 인력을 파견 받아 상주시키는 방안도 고려한다.
20일 업계에 따르면 최근 금융권을 중심으로 자사 서비스와 시스템에 대한 해킹을 의뢰하는 모의해킹 서비스 수요가 급증했다. 과거 보안 관련 컨설팅 일부로 여겨지던 것을 넘어 모의해킹을 단독으로 발주하는 사업이다. 연 단위 계약을 맺고 상주인력 파견을 요청하는 고객도 늘었다.
모의해킹은 요청 대상 시스템과 네트워크, 서비스 등을 합법적으로 해킹하는 서비스다. 실제 해커와 같은 도구, 기법, 접근 방식을 활용한다. 공격자 관점에서 보안 수준을 진단하고 취약점과 침투 가능한 시나리오를 도출해 개선방안을 제시한다.
일반 컨설팅보다 전문적 기술과 노하우, 높은 윤리의식이 필요하다. 해커 출신이 모여 설립한 소규모 전문기업이나 안랩, SK인포섹, 에스에스알, 에이쓰리 등 모의해킹 전담팀을 보유한 보안업체에서 서비스를 제공한다.
기존에는 정부 의무규정(컴플라이언스)에 맞춰 해킹 목표를 지정해 한정적으로 의뢰가 나왔다. 연 2회 의무로 받아야 하는 기술적 취약점 진단 중 웹취약점 진단 항목 28개에 대한 점검이 주를 이뤘다.
최근에는 전체 시스템을 대상으로 해킹해 달라는 요청이 많다. 기업 등이 보유한 전체 IP 클래스와 네트워크 구성도까지 모두 제공한다. 특정 대상을 정하는 것이 아니라 실제 해커가 공격하듯 제한 없이 해킹해달라는 요구다.
보안업체 소속 해커는 외부 서비스하는 홈페이지뿐만 아니라 내부 침투 가능한 서비스 연결 상태나 취약한 소프트웨어 버전을 사용 중인지 여부 등을 확인해 해킹한다. 가상화, 망분리 환경 등 별개 항목으로 문제없던 요소도 다양한 서비스, 기능과 연결돼 유기적으로 동작하는 과정에서 보안 허점을 노출한다.
허트블리드와 푸들 등 언론에 대거 노출된 취약점부터 10여년 전에 발견돼 패치 배포가 이뤄진 오라클 리스너 취약점까지 다양한 취약점이 발견된다. 보안 담당자가 인식하지 못했거나 원활한 서비스 운영을 위해 사실상 방치되어 온 취약점이다. 사소해 보이는 취약점도 실제 해킹으로 연결되는 시나리오가 눈앞에 제시되다 보니 적극 개선에 나서는 계기가 된다.
일부 대형 금융사는 화이트해커 인력을 상주시키고 지속적인 취약점 진단과 보안 검증을 요구한다. 모의해킹 수요 증가에 상주 인력 파견 요청까지 늘면서 업계도 모의해킹 역량을 보유한 인력 확보에 공을 들인다.
김태형 SK인포섹 화이트해커팀장은 “잦은 보안사고 발생으로 보안에 대한 고객 인식이 높아진데다 자율규제 확대 기조로 더 큰 책임감을 느끼는 모습”며 “지난해 보다 인력을 두 배 가까이 충원했지만 모의해킹 단독 사업 발주와 상주 인력 파견을 모두 충족하기 어려울 정도”라고 말했다.
박정은기자 jepark@etnews.com
