에스에이에스(SAS)는 기업 기술 취약점을 진단하고 정보보호관리체계 구축을 컨설팅하는 전문 기업이다. 웹은 물론 모바일, 시스템, 리버싱 등 다양한 분야에서 해킹 능력과 경험을 보유한 인력으로 구성됐다. 특히 국내·외 업무 경험이 풍부하고 영어·일본어 등 외국어 능력을 겸비한 인력을 중심으로 활동하면서 세계 보안 트렌드에 맞춰 업무를 진행하는 게 강점이다.
사명은 창과 방패(Spear and Shield)의 약자로 '공격과 방어'라는 모토가 정보기술(IT) 보안 업무와 일맥상통하다는 점에서 고안했다. SAS 주요 업무는 해커의 창과 같이 지속적으로 취약점을 찾아내고, 이를 보완해 튼튼한 방패를 기업에 제공하는 것이다.
SAS는 일상생활에서 보안 중요성을 인지하는 데 주력하고 있다. 국내 반도체 1위 제조기업을 대상으로 한 컨설팅이 대표적이다. SAS는 대기업 계열사 내·외부망 시스템 정보가 없는 상황에서 실제 해킹 사례와 유사한 시나리오를 기반으로 블랙리스트 모의해킹을 진행했다. 기업이 사용하는 가상 머신과 이메일 보안 시스템에 적발되지 않는 악성코드를 배포해 실제 직원들의 컴퓨터에 감염시켰다. 이를 거점으로 데이터베이스(DB) 및 서버에서 개인 정보를 탈취했으며 최종적으로 회사 기밀문서를 탈취하는 데 성공했다.
김성현 SAS 대표는 “적절한 보안 가이드를 제시해 회사 내 보안 인식을 재고하는 데 기여했다”고 설명했다.
해외에서도 활약한다. SAS 해커들이 사이버 침해 사고가 발생한 중국과 일본에 직접 투입돼 실제 발생한 해킹 사고 전수 조사를 벌였다. 또 해당 해킹 사건을 재연해 적절한 조치가 이뤄졌는지 확인하는 침투 테스트를 진행했다. 이를 토대로 보안 교육과 적절한 가이드를 제시했고 향후 발생 가능한 위협에 대응할 수 있는 가이드도 제공했다.
SAS는 모의해킹 인력 양성에도 힘쓰고 있다. 개발 프로젝트 확대로 인해 시큐어 코딩을 검수하는 보안 인력 중요성도 더 커질 것으로 내다봐서다. SAS는 '책임감'과 '기술력'에 방점을 찍고 클라우드·인공지능(AI) 등 차세대 시스템 보안 위협에 대응할 인력을 길러내고 있다.
그동안 10여명의 보안 인력을 양성했다. 대다수가 사설 교육기관에서 개발 교육을 수료한 지원자들로 SAS가 보안업계로 이끌었다. SAS가 길러낸 인력은 보안 업무에 자부심을 가지고 정부 공공기관, 금융권, 일반 사기업 등과 협업하며 활발히 활동하고 있다.
김 대표는 “보안인 역할은 취약점을 뚫고 과시하는 게 아니라 취약한 부분에 대한 올바른 보안 가이드를 제시해 실제 위협으로부터 안전하게 운영할 수 있도록 도와주는 것”이라면서 “기술적인 교육과 더불어 보안에 대한 책임감과 사명감도 고취시키며 올바른 보안 인식을 가질 수 있도록 인재를 육성하겠다”고 말했다.
조재학기자 2jh@etnews.com
