[인터뷰] 국내 독점 영업권 확보한 SCK "예방·사후대응 지원"
 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
이러한 분위기 속 글로벌 버그바운티 플랫폼 기업 해커원(HackerOne)이 국내 시장에 도전장을 내밀었다. 버그바운티는 화이트해커가 보안 취약점을 발견해 제보하면 해당 시스템을 운영하는 기업이 보상을 지급하는 제도다. 취약점이 악용되기 전에 선제 대응할 수 있어, 위협표면관리(ASM) 분야에 필요한 대안으로 꼽힌다.
그러나 국내 일부 기업은 버그바운티는 물론, 보안 사고를 예방할 사전 대응 체계에 미흡한 상태에 놓여 있다. 지난 9월 해커원의 국내 독점 영업권을 획득한 SCK 이승근 대표는 "결국 보안은 창과 방패처럼 한 번의 솔루션으로 완결되는 문제가 아니다"라며 "지속적으로 관심을 갖고 경계하고, 점검하고, 방지하고, 다시 살펴보는 자세가 필요하다"고 밝혔다.
대규모 보안 사고가 '브랜드 신뢰'와 직결된다는 점도 강조했다. 이 대표는 "그동안 보안 투자는 기업 내부에서 우선순위가 밀려 있었지만, 최근 징벌적 손해배상을 논의하는 흐름을 보면 보안 사고가 발생했을 때 기업이 감당해야 할 비용은 과거와 비교할 수 없을 정도로 커지고 있다"며 "사고 사실이 드러난 뒤 대규모 이탈이 가속화될 가능성도 충분하다"고 지적했다. 실제 쿠팡의 경우 일간활성이용자수(DAU)가 1500만명 선 아래로 떨어지며 '탈팡' 흐름이 두드러지고 있다.
해법은 무엇일까. 이 대표는 "국내의 경우 ASM을 주목하고 있는데, 지속적으로 스케일(Scale)을 갖고 업그레이드를 하는 구조를 갖추고 있느냐가 문제"라며 "해커원이 특별한 이유"라고 말했다.
해커원은 글로벌 버그바운티 업계 대표주자로, 전 세계에 포진돼 있는 숙련된 해커로부터 취약점 정보를 얻고 대응하도록 돕는 플랫폼을 운영하고 있다. 2023년 기준 누적 보상액은 3억5000만달러(현 기준 약 5200억원)를 돌파했고, 61개국 1200개 이상 고객사가 이용 중이다.
신원 확인과 조사를 거친 화이트해커를 선정한다는 점이 강점이다. 이 대표는 "해커원에는 전 세계 170여개국에서 활동하는 240만명 이상의 화이트해커가 참여하고 있다"며 "보상 지급 여부와 대응 태도 등에 대한 평판이 누적되기 때문에 신뢰할 수 없는 화이트해커는 참여할 수 없는 구조가 형상돼 있다"고 소개했다. 이어 "기업이 자산과 위험요인(리스크)를 올리면 24시간 내 취약점을 탐지하고 리포팅할 수 있는 확장성을 갖추고 있다"고 설명했다.
해커원은 'AI 레드티밍' 서비스도 제공하고 있다. AI레드티밍은 공격자 관점에서 의도적으로 공격을 가해보며 보안 위협과 취약점을 찾는 안전 테스트다. AI 애플리케이션 취약점부터 설계 오류, 탈옥과 같은 정책 위반도 테스트할 수 있다. AI 기술을 악용했을 때 생기는 문제도 확인이 가능하다.
해커원은 에이전틱 AI '하이(Hai)'도 제공하고 있다. 하이는 취약점 관련 정보를 검증하고 우선순위를 지정해 보안팀이 위험을 대규모로 줄이도록 돕는다. 이외 응급 진료 서비스와 보안 자문도 지원하고 있다. 사전 예방부터 사후 대응까지 전 과정을 지원하고 있는 셈이다.
이 대표는 "클라우드 환경에서 소프트웨어는 빠르게 업데이트되지만, 기업 내부 시스템 교체 주기는 여전히 3~5년에 한 번 수준"이라며 "패치를 진행하더라도 충분하지 않은 경우가 많다"고 말했다. 이어 "결국 공격자 관점에서 실시간으로 반복 검증하지 않으면 예방은 불가능하다"며 "아무리 잘 만든 보안 체계도 시간이 지나면 노후화될 수밖에 없다"고 꼬집었다.
기업이 자산 파악을 하는 것이 시작점이 될 수 있다고도 제언했다. 이 대표는 "현재 기업들은 웹서버, 데이터베이스(DB), 네트워크 포인트, 서드파티 애플리케이션프로그래밍인터페이스(API) 등 수많은 자산을 파악하지 못하는 경우가 많다"며 "자산을 플랫폼에 등록한 뒤 우선순위를 정하고 그에 맞는 보안 수준을 갖추는 것이 중요하다"고 부연했다.
SCK는 한화손해보험 CPI(Cyber Protection Insurance)와 연계해 침해사고가 발생하면 사후 대응과 보상이 가능하도록 서비스를 제공하고 있다. 이 대표는 "보안 사고는 단순 복구로 끝나지 않고 영업손실부터 랜섬웨어 협박, 개인정보 배상 등 비용을 수반한다"며 "자동차 보험처럼 보안 리스크를 보장하는 개념이 필요하다는 판단에서 협력이 시작됐다"고 전했다.
이 대표는 내년에도 대규모 보안 사고가 이어질 것으로 전망하며, 지금부터 대응 체계를 강화해야 한다고 강조했다. 그는 "결국 사고방식(마인드)을 바꾸는 것이 가장 중요하다"며 "사고가 나기 전에는 체감하기 어렵지만 실제 피해가 발생하면 즉각적인 현실이 된다는 점을 잊지 말아야 한다"고 말했다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
