[인터뷰] 권석철 큐브피아 대표
고전적인 방법으로 공격자들의 공격 방어 못해
보안은 전쟁, 모든 구성원이 보안에 참여해야...
“고전적인 방어 형태로는 지능화되고 있는 공격자들의 해킹공격을 막을 수 없습니다. 공격보다 방어가 앞설 수 없기 때문이죠. 공격을 알아야 방어도 가능해집니다. 방어를 위한 공격이 필요한 시점이라는 것이죠.” -권석철 큐브피아 대표-

[보안뉴스 오병민] 악성 공격자들의 해킹 공격이 거세지고 있다. 이들의 공격은 점차 지능적으로 변하고 있으며 모든 수단을 동원해 공격을 개시한다. 그러나 기업들의 방어 형태는 매우 수동적으로 공격을 당했을 때 방어체계를 구축하고 있다. 어떤 공격에 방어를 해야 할지 모르기 때문이다.

큐브피아는 방어를 위한 공격으로 보안을 강화해주는 회사다. 그리고 권석철이 세운 회사다. 권석철이 누구인가? 1998년 3월. 우리나라에서 보안이라는 개념이 생소했던 시절에 보안회사 ‘하우리’를 설립해 안철수 연구소와 더불어 국내 안티바이러스(AV) 기업 양대 산맥으로 이끌고 AV제품인 바이로봇을 불모지였던 외국에 들고나가 성공을 거뒀던 인물이다.
 


보안은 창과 방패가 필요하지만...우리나라는 방패로만
권석철 큐브피아 대표는 공격을 제대로 알아야 방어도 제대로 될 수 있다고 주장한다. “범죄가 일어나야 경찰이 수사에 착수 하듯이 우리나라 보안도 공격이 나타나야 방어를 준비하는 수동적인 자세를 가지고 있다”면서 “그러나 그렇게 늦은 방어로는 날고 뛰는 공격자들을 대응하기 어려우며 이제는 공격을 아는 보안이 필요하다”고 강조했다.

큐브피아는 공격을 바탕으로 보안의 체질을 강화시키는 서비스를 제공하고 있다. 기업의 최고경영자와 직접 계약을 맺고 해당기업을 직접 해킹해 취약점을 찾아내고 보완하는 것. 얼핏 보기에는 모의해킹을 통해 취약점을 진단하는 서비스와 비슷해 보이나 모의 해킹이 아니라 실전 해킹을 통해 취약점을 진단한다는 점에서 차이가 있다.

이에 대해 권 대표는 “지금까지 모의해킹은 보안담당자들과 보안관련부서에서 모두 알고 있는 상황에서 정해진 해킹 기법으로 취약점을 진단하지만 우리 서비스는 아무도 모른 상태에서 실제로 공격자들이 공격하듯이 해킹을 실행해 취약점을 진단한다”고 설명했다.

더불어 권 대표는 공격을 아는 것만이 창이라고 볼 수 없다고 주장한다. 그는 “방어자 입장에서 할 수 있는 공격은 공격자를 잡는 것이고 이것은 포렌식이라고 볼 수 있다”면서 “우리의 서비스는 고객에게 공격이 시작됐을 때 공격자의 정보를 수집하고 역공할 수 있는 부분까지 포함하고 있다”고 말했다.

기자는 “아무리 보안진단이라고 해도 보안담당자 입장에서 공격을 받는 것은 부담스러운 일 아닌가?”라는 질문을 던졌다. 그러자 그는 당당하게 “오히려 보안담당자들이 더 좋아한다”고 말했다.

보안담당자 입장에서 공격을 받고 내부 정보가 유출될 수 있다는 점은 매우 부담스러운 일이지만 막상 내부적인 보안문제를 경영진이 알게 되면 그동안 보안담당자들의 낮은 지위와 권한으로 해결할 수 없었던 보안 강화의 걸림돌을 해소할 수 있다는 이야기다.

보안은 전쟁. 전쟁에서 군인만 싸우는 국가는 진다.
권 대표는 기업들의 보안은 공격자들과 전쟁을 하는 것과 같다고 이야기한다. 전투는 군인만으로도 이길 수 있으나 전쟁은 군인만 싸운다고 이기는 것이 아니라 모든 국민들이 같이 싸워야 이길 수 있다는 주장이다. 따라서 기업의 보안은 보안관련 부서뿐만 아니라 모든 직원이 함께 참여해야 한다고 강조한다.

또한 그는 “게다가 내부보안문제를 가지고 고객사 내에서 교육을 한 적이 있는데  해킹을 통해 파악한 각 부서의 보안실태를 보여주자 경각심을 가지고 각 부서에서 스스로 보안을 강화하자는 의지를 보였다”면서 “보안을 허술하게 하면 어떤 각 부서든지 피해를 입을 수 있다는 것을 보여줬기 때문”이라고 밝혔다.
[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>