하영빈 에버스핀 대표, 페이스북 통해 티오리 측에 공개 해킹 테스트 제안
[보안뉴스 원병철 기자] 모바일 앱 보안 솔루션 업체 에버스핀(대표 하영빈)과 보안 취약점 분석 및 컨설팅 전문업체 티오리(대표 박세준) 간의 분쟁이 새 국면을 맞이했다. 본지에서 보도한 것처럼 에버스핀이 티오리에게 최근 컨퍼런스에서의 발표내용 때문에 경고장(내용증명)을 보내며 문제 삼은 것을 티오리가 공개하면서 이슈가 됐다. 여기에 에버스핀 하영빈 대표가 페이스북에 ‘공개 검증’을 통해 잘잘못을 가리자고 밝히면서 또 다른 국면에 접어들게 됐다.
▲티오리와 에버스핀의 온라인상 충돌이 새 국면을 맞게 됐다[자료=티오리 블로그 및 에버스핀 하영빈 대표 페이스북 캡처]
하 대표는 페이스북에서 “에버스핀은 윈백을 할 때 단 한 번도 가격을 낮춰서 한 적이 없다”면서, “그만큼 기술력과 제품으로 한국을 넘어 해외에서도 기술력을 인정받아 왔다”고 밝혔다. 특히, 하 대표는 티오리 박세준 대표가 에버스핀을 ‘Easy’라고 평가한 것에 대해 “2년 전 해킹이슈 때는 고객사가 시스템 점검으로 서버를 꺼놓고 있었다”며, “당시 문제를 계속 거론하며 지금까지 바뀐 게 없다고 말하는 것은 수긍할 수 없다”고 강조했다.
특히, 하 대표는 “티오리가 POC에서 공유한 자료에 기술된 대부분의 회사들도 우연찮게도 3년전 티오리의 고객사에서 개최한 해킹대회(참여사끼리 해킹해서 살아남는 방식의 특수한 BMT)에 참여한 회사들이 대부분이었고, 그러한 조건에서 최종적으로 당시 어떠한 레퍼런스도 없던 에버스핀이 실력으로 유일하게 방어에 성공했다”는 점을 강조하며, 티오리의 이번 발표를 우회적으로 비판했다.
이와 함께 하 대표는 “티오리가 분석한 보안 솔루션과 동일한 보안 솔루션이 탑재된 샘플 앱을 제공할 테니 로그인 우회를 직접 해보자”라고 제안했다. “에버스핀 제품은 여러 기능이 있지만 서버 방식이라 고객사의 니즈에 따라 특정 기능을 온·오프해 제공합니다. 이번 테스트에 일부 기능을 켜놓고 제공할 테니, 정상적인 OS 환경의 폰에 앱을 설치하고 실제 앱을 운영하는 서버에 로그가 남아있는지를 확인하면 됩니다. 이는 많은 금융사에서 실제로 테스트에 사용하는 조건입니다.”
에버스핀은 조작 논란이 발생할 수 있는 동영상이 아닌 해킹이 완료된 앱을 양사가 확인할 수 있는 방식을 제시했다. 즉, 티오리가 해킹이 완료된 앱을 에버스핀으로 보내고, 에버스핀은 정상적인 사용자 폰에서 실제 해킹된 앱이 최종 로그인 되는지를 확인하겠다는 것. 하 대표는 “앱 위변조 방지의 목적은 변조된 앱이 정상적인 사용자들의 폰에 배포 및 설치되어 해커가 삽입한 시나리오대로 피해를 입는지 여부를 확인하는 것이니 이번 조건이 공정할 것”이라고 밝혔다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 모바일 앱 보안 솔루션 업체 에버스핀(대표 하영빈)과 보안 취약점 분석 및 컨설팅 전문업체 티오리(대표 박세준) 간의 분쟁이 새 국면을 맞이했다. 본지에서 보도한 것처럼 에버스핀이 티오리에게 최근 컨퍼런스에서의 발표내용 때문에 경고장(내용증명)을 보내며 문제 삼은 것을 티오리가 공개하면서 이슈가 됐다. 여기에 에버스핀 하영빈 대표가 페이스북에 ‘공개 검증’을 통해 잘잘못을 가리자고 밝히면서 또 다른 국면에 접어들게 됐다.
▲티오리와 에버스핀의 온라인상 충돌이 새 국면을 맞게 됐다[자료=티오리 블로그 및 에버스핀 하영빈 대표 페이스북 캡처]
하 대표는 페이스북에서 “에버스핀은 윈백을 할 때 단 한 번도 가격을 낮춰서 한 적이 없다”면서, “그만큼 기술력과 제품으로 한국을 넘어 해외에서도 기술력을 인정받아 왔다”고 밝혔다. 특히, 하 대표는 티오리 박세준 대표가 에버스핀을 ‘Easy’라고 평가한 것에 대해 “2년 전 해킹이슈 때는 고객사가 시스템 점검으로 서버를 꺼놓고 있었다”며, “당시 문제를 계속 거론하며 지금까지 바뀐 게 없다고 말하는 것은 수긍할 수 없다”고 강조했다.
특히, 하 대표는 “티오리가 POC에서 공유한 자료에 기술된 대부분의 회사들도 우연찮게도 3년전 티오리의 고객사에서 개최한 해킹대회(참여사끼리 해킹해서 살아남는 방식의 특수한 BMT)에 참여한 회사들이 대부분이었고, 그러한 조건에서 최종적으로 당시 어떠한 레퍼런스도 없던 에버스핀이 실력으로 유일하게 방어에 성공했다”는 점을 강조하며, 티오리의 이번 발표를 우회적으로 비판했다.
이와 함께 하 대표는 “티오리가 분석한 보안 솔루션과 동일한 보안 솔루션이 탑재된 샘플 앱을 제공할 테니 로그인 우회를 직접 해보자”라고 제안했다. “에버스핀 제품은 여러 기능이 있지만 서버 방식이라 고객사의 니즈에 따라 특정 기능을 온·오프해 제공합니다. 이번 테스트에 일부 기능을 켜놓고 제공할 테니, 정상적인 OS 환경의 폰에 앱을 설치하고 실제 앱을 운영하는 서버에 로그가 남아있는지를 확인하면 됩니다. 이는 많은 금융사에서 실제로 테스트에 사용하는 조건입니다.”
에버스핀은 조작 논란이 발생할 수 있는 동영상이 아닌 해킹이 완료된 앱을 양사가 확인할 수 있는 방식을 제시했다. 즉, 티오리가 해킹이 완료된 앱을 에버스핀으로 보내고, 에버스핀은 정상적인 사용자 폰에서 실제 해킹된 앱이 최종 로그인 되는지를 확인하겠다는 것. 하 대표는 “앱 위변조 방지의 목적은 변조된 앱이 정상적인 사용자들의 폰에 배포 및 설치되어 해커가 삽입한 시나리오대로 피해를 입는지 여부를 확인하는 것이니 이번 조건이 공정할 것”이라고 밝혔다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
_m.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
