[김국배기자] '모의해킹' 서비스가 차츰 활기를 띠기 시작했다.
모의해킹이란 해킹과 달리 보안담당자의 사전승인을 받은 후 취약점을 찾아 내·외부자 관점에서 침투테스트(Penetration Test)를 시도, 이로 인해 발생할 수 있는 해킹 위협과 내부 보안사고를 예방하고 차단하기 위한 서비스.
3일 보안업계에 따르면 최근 모의해킹 서비스에 대한 수요가 늘어나고 있다. 더군다나 과거와 달리 '일회성' 서비스가 아니라 지속적·장기적인 수요도 점차 생겨나는 분위기다. 대개 모의해킹 서비스는 1~3개월 동안 프로젝트로 진행하는 경우가 흔했다.
서비스 범위 역시 그 동안 주로 웹 모의해킹과 인프라 분야에만 초점이 맞춰져 있었다면 점차 다양해지고 있다.
이는 그만큼 보안점검을 위해 모의해킹이 필요하다는 인식이 보편화되고 있기 때문으로 풀이된다.
이승진 그레이해쉬 대표는 "스마트TV, 에어컨 같은 제품부터 스카다, 임베디드시스템, 모바일, 통신망까지 범위가 넓어지고 있다"며 "모의해킹 시장 규모는 갈수록 커지고 있다"고 말했다.
SK인포섹 컨설팅본부 김태형 전략해킹팀장도 "서비스 성격상 고객명을 밝히기 어렵지만 예전에는 이슈가 발생할 때마다 1~2개월 정도의 프로젝트 기간을 두고 진행했다면 최근엔 연 단위로 계약하는 경우가 많아졌다"며 "예컨대 금융권 고객의 경우 새로운 서비스를 출시할 적마다 받기보다는 차라리 업체를 지정해서 상시적으로 보안위협에 대비하는 게 낫다고 여기기 때문"이라고 말했다.
실제로 SK인포섹의 경우 금융권을 중심으로 올해에만 6~7곳과 연 단위 모의해킹 계약을 맺었다.
여기에다 여전히 블랙박스 방식의 모의해킹을 선호하는 편이지만 최근 들어 조금씩 달라지고 있다는 목소리도 나온다.
모의해킹은 방법에 따라 블랙박스, 그레이박스, 화이트박스로 나뉘는데 블랙박스는 서비스 업체에 정보가 전혀 주어지지 않는다. 소스코드 등 정보 제공을 꺼리는 국내 기업들이 선호하는 이유이기도 하다.
김태형 전략해킹팀장은 "모의해킹을 필수 과정의 하나로 인식하는 것이 일반화되고 있다"며 "최근에는 모의해킹 대상에 대한 정보 제공을 최대한 협조하는 방향으로 인식이 바뀌고 있다"고 말했다.
업계 관계자는 "모의해킹은 해킹과 같은 기법을 사용하니 정보가 주어지지 않는 상태에서 진행하는 것으로 생각하는데 수행상황에 따라 다르다"며 "짧은 기간에 효율적인 모의해킹 결과를 확인하기 위해선 일부 정보에 대한 공유와 제한 조건 해제가 필요하기도 하다"고 설명했다.
이어 "모의해킹은 수행기간과 인력에 따라 결과에 큰 차이가 날 수 있어 적절한 범위와 방법, 기간에 대한 협의가 이뤄져야 효과적인 모의해킹 서비스가 가능하다"고 덧붙였다.
황석훈 타이거팀 대표는 "모의해킹에 대한 이해도가 많이 좋아졌다"면서 "다만 '맨먼스(man month)'보다는 목적 지향적인 사업으로 가야 할 것"이라고 강조했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기