"글로벌 기업들은 '오펜시브 시큐리티'에 대해 굉장히 오픈마인드를 갖고 있다. 그들은 이제 스스로 리서처를 채용해 테스트하는 추세로 접어들었다. 한국도 글로벌 선두기업들을 따라가야한다"

지난달 서울 남대문 코드야드 메리어트 호텔에서 만난 SSD시큐어 디스클로저의 창업자 노암 라트하우스(Noam Rathaus) 최고기술경영자(CTO)는 이같이 말하며 국내 기업들이 오펜시브 시큐리티를 적극적으로 채택해야 한다고 강조했다. 기존의 방어와 예방 수준에서 벗어나 오펜시브 시큐리티를 통해 선제적으로 취약점을 찾아내야 하며, 이런 과정에 발견된 취약점을 '치부'로 인식해 숨겨서는 안된다는 것이다.

오펜시브 시큐리티는 해커 관점에서 해결책을 모색하는 연구 방법이다. 화이트해커가 기업 및 기관의 시스템·서비스를 모의침투해 취약점을 찾아 분석하고, 정보를 제공해 선제적 대응이 가능하도록 하는 방식이다. 

독학으로 시작해 글로벌 보안기업 창업

노암 CTO는 아비람 제닉(Aviram Jenik) SSD랩스 대표와 함께 비욘드시큐리티, SSD시큐어 디스클로저 등 굴지의 글로벌 보안기업을 공동 창업한 인물이다. 그는 13세때부터 부모님의 컴퓨터를 통해 '바이패스' 등 동작 원리를 독학하기 시작했으며, 대학에서 네트워크를 전공했다. 유명세를 떨치기 시작한 18세 무렵, 그는 이스라엘 정보부대 '유닛(Unit) 8200'에 징집돼 본격적으로 정보보안 임무를 수행했다. 

아비람 대표와의 인연도 이 곳에서 시작됐다. 두 사람은 전역 후 1999년 IT보안 업체 비욘드시큐리티를 창업했다. 시장조사 업체 가트너에 따르면 비욘드시큐리티는 연간 1000만~1500만달러 매출을 올리는 글로벌 보안기업이다.

노암 CTO는 "18세에 징집돼 이스라엘 정보보안 부대에서 보안 임무를 수행하다가 아비람을 만났다"며 "3년이 지나 전역한 후 그와 창업을 시작했다"고 회상했다.

현재 그가 몸담고 있는 SSD시큐어 디스클로저가 탄생한 건 지난 2007년이다. 이 회사는 이스라엘 보안기업으로 오펜시브 시큐리티 분야에서 글로벌 5위권에 드는 선두기업이다. 

이 회사는 프라이빗 버그 바운티를 운영하며, 기업과 전 세계 화이트해커·보안 전문가를 연결하는 플랫폼 역할을 수행한다. 이를 통해 기업 제품과 서비스에 존재하는 '제로데이 취약점(알려지지 않은 보안취약점)'을 탐지·분석해 정보를 제공한다. 공격자 입장에서 취약점을 찾아 대처하는 능동형 보안을 추구하는 것. 

지난 4월에는 글로벌 진출 교두보로 한국지사 'SSD랩스'를 설립한 바 있다. 노암 CTO는 "SSD랩스 설립은 2년 전부터 계획해왔던 일이지만 신종 코로나바이러스 감염증(코로나19)로 인해 올해 시작했다"며 "한국에서 훌륭한 리서처를 찾아 팀을 구축하고, 고객이 만족할 만한 취약점을 찾는 것이 목표"라고 설명했다.

문제점을 드러내야 더 큰 사고를 막을 수 있다

노암 CTO는 "오펜시브 시큐리티는 전 산업 분야에 필요하다"며 "일반적으로 제품이나 서비스가 얼마나 안전한지 확인하려면 외부 공격을 통해 테스트하고 검증하는 것이 가장 효과적"이라고 설명했다. 이어 "글로벌 선두기업들은 오펜시브 시큐리티를 적극 도입하고 있다"며 "시장 경쟁력을 위해서는 결국 한국 기업들도 오펜시브 시큐리티를 거치지 않을 수 없다"고 말했다.

그는 "마이크로소프트(MS), 구글, 메타(구 페이스북) 같은 기업들은 이 같은 일을 축제처럼 진행한다"며 "보안 전문가들을 초청해 찾은 문제점을 보고하고, 어떻게 대처할지 발표하며, 그 사람들에게 적절한 보상을 하는 분위기"라고 덧붙였다.

노암 CTO는 국내 기업들이 숨기지 말고 문제점을 드러내야 한다고 힘줘 말했다. 그는 "한국 기업은 오펜시브 시큐리티를 자신들의 문제점을 드러내는 일이라고 생각해 창피해하거나 부끄러워하는 경향이 있다"며 "오히려 문제를 발견하면 어떻게 대처할 수 있는지 알게될 뿐만 아니라, 고객 신뢰도 측면에서도 더할 나위 없는 일"이라고 설명했다. 

또 그는 "글로벌 기업들의 경우 고객들이 어떤 식으로 보안을 하고 있는지 물어보고 요청하기 때문에 실질적으로 보여줘야 하는 경우가 많다"며 "한국도 글로벌 선두기업들을 따라가야 하지 않겠나"라고 부연했다.

아울러 노암 CTO는 글로벌 진출을 원하는 보안기업들에게는 과감성이 중요하다고 강조했다. 그는 "각 국가별로 판매구조와 문화, 영업 프로세스 등 많은 점이 다르기 때문에 로컬 파트너와 협력해야 한다"며 "이 과정에서 브랜드명이나 제품 설명 등을 현지에 맞게 과감히 바꿀 수 있어야 한다"고 말했다. 이어 "해외시장으로 나가기를 원한다면 일단 무조건 나가봐야지 해보지 않으면 모른다"며 "실패를 하더라도 해보는 게 중요하다"고 덧붙였다.

'타이푼콘'으로 오펜시브 시큐리티 알린다

SSD시큐어 디스클로저는 지난 2018년 홍콩을 시작으로 오펜시브 시큐리티 콘퍼런스 '타이푼콘(TyphoonCon)'을 개최해오고 있다. 당시 홍콩을 덮친 태풍으로 인해 행사 개최장소였던 호텔의 전기와 가스가 끊겼던 경험을 토대로 '타이푼(태풍)'이라는 이름을 붙였다. 이후 2019년부터 SSD시큐어 디스클로저는 서울에서 콘퍼런스를 개최해오고 있다. 이 컨퍼런스에서는 취약점 발견, 고난도 익스플로잇 기술, 리버스 엔지니어링과 같은 오펜시브 보안 기술을 소개하고 보안 위협과 해결방안을 논의한다.

올해 타이푼콘은 오는 20일부터 4일간 코트야드 메리어트 서울 남대문에서 개최된다. '2일간의 컨퍼런스(2 Day Conference)' 세션과 함께 '3일간의 실제 보안 트레이닝(3 Day Training)' 세션으로 구성됐으며, SSD의 소프트웨어(SW) 및 디바이스 대상 라이브 해킹 대회 '타이푼Pwn'도 함께 진행된다. 

연사로는 ▲김용대 카이스트 정보보호대학원 교수 ▲이희조 고려대학교 컴퓨터학과, SW보안 연구소장 ▲맥스 VA 센티넬원 취약점 연구원 ▲페드로 리베로 에자일 인포메이션 시큐리티 설립자 등이 참여한다.

김가은 기자 7rsilver@techm.kr