2024-03-29 18:05 (금)
일년에 한두번하는 아웃소싱 모의해킹, 효과있나?
상태바
일년에 한두번하는 아웃소싱 모의해킹, 효과있나?
  • 길민권
  • 승인 2011.11.18 07:39
이 기사를 공유합니다

사내 침투테스팅팀 상시적으로 운영…지속적 위험관리 필요
“소니는 대규모 해킹공격을 당해 7000만명의 고객정보가 유출됐다. 이로 인해 기업 이미지손상과 법적 소송, 손해배상, 영업손실 등의 유무형의 피해를 입었다. 중요한 것은 사고 전까지 소니라는 조직에는 CSO가 없었다. 물론 IT에 대한 위험관리도 되고 있지 않았다.”(우측 이미지. www.flickr.com / by altemark)
 
이동일 이뮤니티코리아 대표는 “소니 뿐만 아니라 한국 기업들도 제대로 위험관리를 하는 기업들이 몇이나 될까 생각해 봐야 한다”며 “이제 컴퓨터 네트워크를 넘어 산업 제어시스템까지 해커들은 공격하고 있다. 기존에 안전하다고 생각했던 것들이 이제는 위협에 직면한 상황”이라고 말한다.
 
해외 사례를 보면, 소니와 RSA 해킹 사례를 통해 보안에 대한 경영진들의 마인드가 변하고 있고 CSO, CISO 등 정보보호와 관련된 C레벨의 발언권이 확대되고 있다. 또 APT 공격이 본격화 되면서 이제는 보안담당자에게만 책임을 물을 수 있는 단계가 아니라는 인식도 자리를 잡아가고 있다.
 
소니는 사고이후 CSO를 두고 모의침투테스팅팀도 상시적으로 운영하고 있다. 위험관리가 얼만 중요한 것인가를 깨달은 것이다. 하지만 아직까지 국내는 모의침투테스팅팀을 상시적으로 운영하면서 위협에 지속적으로 대비하는 기업은 거의 없는 상황이다.
 
이동일 대표는 “대형 해킹사고가 많이 발생하면서 국내에서도 모의해킹에 관심이 증가하고 있다. 하지만 모의해킹의 효과를 극대화하기 위해서는 위협분석이 반드시 필요하다”며 “기업내 아주 사소한 부분까지 보안규정을 마련하고 실행하는 곳이 드물다. 모의해킹 등 취약점 진단을 통해 효과를 보기 위해서는 가장 기본적인 보안준수사항들이 기업 내에서 지켜져야 한다”고 강조했다.
 
또 “모의해킹이나 취약점 진단을 아웃소싱으로 하려는 경향이 크다. 과연 아웃소싱으로 1년에 몇번을 시행할 수 있을까. 일년에 한두번 그것도 특정 시스템을 대상으로만 이루어질 수밖에 없을 것”이라며 “상시적 취약점 진단팀이 위험관리를 하는 것이 중요하다”고 덧붙였다.
 
기업은 위험이나 위협이 조직에 얼마나 영향을 미치는지 판단해야 한다. 그리고 그것을 최소화할 수 있는 방향으로 관리해 나가야 한다는 것이다.
 
이 대표는 “기업 내부에서도 제로데이 정보를 확인하는 팀이 필요하다. 기관만 믿고 있다가는 제로데이 공격에 제대로 대응할 수 없다”며 “외부 공격동향을 주시하고 그에 즉각적인 반응을 할 수 있는 별도의 팀이 필요하다”고 밝혔다.
 
제로데이 정보를 원활하게 수집하고 위협 정보를 파악하기 위해서는 인력으로만 감당하기는 힘든일이다. 관련 툴과 사람이 공조해 정보를 수집하고 정책에 반영해야 한다는 것이다.
 
그는 “APT 공격의 타깃은 시스템이 아니라 사람이다. 사람은 보안장비 내부와 외부를 자유롭게 드나들고 연결고리 역할을 한다”며 “팬테스팅을 통해 실제 공격 위협을 찾아내고 이를 보완하는 작업과 함께 사람에 대한 철저한 보안체계가 마련돼야 한다”고 강조했다. [데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★