국가대표 화이트해커 "기업·기관 인프라 자산부터 눈에 보여야"

(서울=뉴스1) 윤주영 기자 = "한국 기업·기관의 고질적 문제를 뽑으라면 '자산 식별'에 서투르단 것이다. 클라우드 전환, 인공지능(AI) 서비스 도입 등 디지털 인프라는 복잡해지는데 정작 내부에 무엇이 있는지 파악이 안 되고 있다"

박세준 티오리 대표는 최근 인터뷰를 가지고 이같이 꼬집었다. 글로벌 최대 화이트해커 대회 '데프콘 국제해킹대회'(DEFCON CTF)서 최다 우승 기록을 차지한 그는 대한민국 대표 화이트해커다. 최근 데프콘서 3연속 우승을 기록한 한국·미국·캐나다 연합팀 'MMM'의 멘토로서 팀을 진두지휘하기도 했다.

이런 경력을 살려 그는 보안 컨설팅 스타트업 티오리를 설립했다. 숱한 고객사의 디지털 인프라를 진단해 본 뒤 위와 같은 결론에 도달했다.

박 대표는 자산간 복잡해지는 관계성을 파악하는 게 핵심이라고 봤다. 보안 측면에서 취약한 자산을 중심으로 주변 자산이 어떻게 영향을 받을지 따져봐야 한다는 설명이다.

그는 AI 챗봇 서비스가 예기치 못한 공격 표면을 만들 수 있다고 설명했다. 이는 많은 기업이 업무 자동화를 목표로 도입을 고려하는 서비스다.

박 대표는 "이런 서비스는 기업의 민감 정보가 담긴 데이터베이스(DB), 챗봇을 구현하는 코드, 기반 AI 모델 등 자산끼리 결합한 것"이라며 "이 중 AI 모델이 외부망과 연결됐다면 이를 통해 공격자가 침투 후 민감정보에까지 접근할 수 있다"고 설명했다.

이런 자산 관계성 파악은 서비스 장애를 대처하는 출발점이 된다. 자산이 외부와의 연결점이 없다면 단순히 코드 오류 등을 찾아 고치기만 하면 된다. 하지만 외부 접점이 있는 자산에서 이상이 탐지됐다면 침투가 발생한 것으로 간주하고 대응해야 한다.

또 취약점을 숨기지 말고 화이트해커에게 적극적으로 검증받는 풍토가 조성돼야 한다고 했다. 화이트해커에 모의 침투를 의뢰해 취약점을 제보받는 '버그 바운티'의 활성화도 방법이라고 주장했다.

박 대표는 "많은 기업·기관이 취약점이 나왔다는 사실 자체를 터부시하지만 빠르게 찾아 수정하는 게 낫다"며 "북한 해킹 조직은 현재도 확보된 취약점을 활용해 피싱, 원격 멀웨어 침투 등 공격을 시도하고 있다"고 지적했다.

실제로 티오리는 북한발로 의심되는 공격을 받고 의뢰를 요청해 온 고객사들이 더러 있다고 전했다. 티오를 역시 공격받아아 이를 방어해 낸 경험이 있다.

향후 공급이 부족할 보안 전문가를 확보하려면 정보보호 규제(컴플라이언스)가 강화돼야 한다고 강조했다. '국내 정보보호산업 실태조사' 보고서에 따르면 데이터 보안기업 4곳 중 3곳은 인력 확보 및 유지가 어려운 상황이다.

박 대표는 "결국 시장이 커져야 인재를 모셔 올 수 있지만 국내 시장으론 한계가 크다"며 "많은 기업이 보안 투자를 그저 발생 비용으로 취급하는 현실"이라고 지적했다.

이어 "공공이 선제적으로 미비한 보안 컴플라이언스를 법제화한다면 수요는 커질 것"이라고 부연했다.

legomaster@news1.kr