[DBR]“보안=비용이라는 인식이 투자 가로막는 최대 걸림돌”

‘화이트해커’ 박세준 대표 인터뷰
보안도 사고처럼 골든타임 있어… 약한 연결고리가 보안 수준 결정
사후 대응 플레이북 갖춰야

박세준 티오리 대표는 미국 카네기멜런대에서 컴퓨터사이언스 학·석사 학위를 받고 데프콘 등 각종 국제해킹대회에서 우승한 해킹동아리 ‘PPP’를 결성했다. 2016년 1월 동문들과 함께 미국 텍사스에 본사를 둔 보안 전문 스타트업 티오리를 창업하고, 2017년 2월 한국 지사를 설립했다. 티오리 제공

“보안은 기술의 문제가 아니라 조직의 문제다.”

지난해 하반기부터 연달아 터진 국내 기업들의 해킹 및 정보 유출 사고는 인공지능(AI) 첨단 기술에 무방비로 당한 결과가 아니다. 오히려 사소한 기본 철칙을 지키지 않은 대가였다는 게 전문가들의 공통된 진단이다. 패스워드 관리, 권한 통제, 망 분리, 로그 기록, 사고 대응 플레이북 등 기초 체계조차 갖추지 못한 국내 기업이 여전히 많기 때문이다.

‘국가대표 화이트해커’로 불리는 국내 보안 전문 스타트업 ‘티오리(Theori)’의 박세준 대표 역시 사이버 보안의 성패를 가르는 것은 기술이 아니라고 말한다. 보안을 강화하려면 특정 기술이나 솔루션 도입에 앞서 최고경영진(CEO)의 의지와 리더십, 이사회 차원의 거버넌스, 보안 중심의 조직문화 구축 등 근본적인 조직의 체질 개선과 인식의 전환을 먼저 바로 세우는 것이 중요하다는 의미다. DBR(동아비즈니스리뷰)이 박 대표로부터 한국 기업 보안의 현주소는 어디인지, 기본부터 바로 세우려면 무엇이 바뀌어야 하는지 들어봤다. DBR 3월 1호(436호)에 실린 인터뷰 기사를 요약해 소개한다.

―보안에 있어 국내 기업들에 가장 미비한 부분은?

“AI 시대에 해킹 공격이 훨씬 더 정교해지고 첨단 기술 때문에 위험성이 더 높아졌다고 하지만 최근에 있었던 크고 작은 사고를 살펴보면 막상 AI 자체 때문에 터진 사례는 드물다. 지금까지 기업들의 보안 취약점은 사실 기본적인 것들에 있었다. 간단한 보안 철칙마저 잘 지켜지지 않고 사후 대응 매뉴얼인 플레이북도 없었다. 편의성만 앞세우다 보니 망 분리가 돼 있지 않고, 알게 모르게 연결고리가 존재하는 경우도 많다. 이 경우 한쪽 구멍이 뚫리면 연쇄적으로 전체 보안이 뚫리는 일이 비일비재하다. 쿠팡 사태도 결국 사람이 회사를 떠났는데도 불구하고 권한이 계속 남아 있기 때문에 생기지 않았나.”

―사후 대응 전략을 담은 ‘플레이북’은 왜 필요한가?

“해킹 사고는 ‘나냐, 안 나냐’의 문제가 아니라 ‘언제 나냐’의 문제다. 우리 같은 보안 솔루션 업체는 그 시기를 계속 늦추고 공격의 비용을 높임으로써 담당하는 기업이 가장 늦게 표적이 되도록 한다. 이 게임의 관건은 결국 공격 시점이 도래했을 때 그걸 얼마나 빨리 인식해 조치하고, 분리하고, 회복하는지다. 그런데 아직도 기업들은 회복 탄력성을 높이려는 계획이 부족하고 보안 불감증도 심각하다. 보안도 응급 사고처럼 골든타임이 있다. 침해를 당한 뒤 조치를 할 수 있는 그 시간이 마냥 주어지지 않기 때문에 짧은 시간 내에 일사불란하게 움직여야 하는데 플레이북이 없으면 민첩하게 대응하기 어렵다.”

―기업들이 보안을 지키기 위해 가장 먼저 해야 할 일은?

“최근 사고들을 보면 기업 내 자산의 가시성 확보가 잘돼 있지 않다. 가장 먼저 해야 할 일은 회사가 가진 핵심 자산이 무엇인지를 파악하는 일이다. 디지털 자산, 즉 서버가 어디에 있고, 데이터가 어디에 있고 이런 전체적인 그림을 모르면 해커가 어디서 어떻게 침투를 할 수 있는지 위험 시나리오를 세울 수 없다. 사실 서버는 내부 깊숙이 있기 때문에 해커들이 바로 중앙 서버부터 침투하기는 쉽지 않다. 주로 악성 피싱 이메일을 보내는 식으로 주변부에 있는 임직원들을 공격한다. 신뢰하지 않는 곳에서 온 이메일을 열어보거나 링크를 클릭해 파일을 다운로드하지 않도록 직원들을 교육시켜야 한다. 모든 사고가 작은 부주의에서 시작한다.”

―처음부터 해커가 대규모로 중앙 시스템을 공격하는 게 아닌가?

“악성코드가 한 번 개인의 컴퓨터에 깔리면 그 컴퓨터가 회사 인트라넷과 네트워크에 다 연결돼 있기 때문에 그때부터 소위 감염, 즉 수평 이동이 일어나 서버로 이전되기 시작한다. 예를 들어 개인이 컴퓨터 메모장에 서버 접속 정보인 아이디, 패스워드 등을 적어 놨다고 해 보자. 개인 컴퓨터에 저장했으니 안전한 줄 알겠지만 한 번 해커가 컴퓨터를 장악하면 그 정보를 이용해 2차, 3차로 회사 인트라넷을 공격할 수 있게 된다. 따라서 특정 서버가 민감한 정보를 가지고 있다면 그 서버의 정보에 접근할 수 있는 사람이 매우 한정적이어야 하고 누가 접속했는지 등 로그 기록이 투명하게 남도록 해야 한다. 사이버 보안을 ‘연쇄적인 연결고리’라고 했을 때, 가장 약한 연결고리가 전체 보안의 수준을 결정한다. 제아무리 다른 부분의 보안이 철옹성처럼 단단해도 약한 연결고리를 끊으면 모두가 함께 무너진다.”

―필요성이 큰데도 국내 기업들이 플레이북을 두지 않는 이유는?

“여전히 보안을 비용으로만 보고 최소한으로만 투자하려 하기 때문이다. 없어선 안 될 ‘보험’이라고 인식하지 않는다. 안타깝게도 보안팀은 ‘무소식이 희소식’인 조직이니, 사고 없이 잠잠하면 하는 일이 없어 보인다. 돈은 들어가는데 나오는 성과가 없어 보이니 돈을 들이는 대로 가시적인 결과물이 나타나는 개발팀에 비해 우선순위가 밀리기 쉽다. 그래서 기업이 예산을 삭감할 때 제일 먼저 정리하는 부서가 보안이다. 그런데 막상 사고가 터지면 책임을 묻고 질타의 대상이 된다. 이렇듯 기업들이 자원을 투입해 사전에 대비할 필요를 못 느끼다 보니 플레이북이 없다. 위험 시나리오를 세우고 화재 훈련 하듯이 모의 해킹을 하는 기본적인 훈련조차 기업 입장에선 비용으로 느껴질 수밖에 없다. 하지만 이러한 훈련을 해본 기업과 하지 않은 기업의 사고 대응 능력 차이는 현격히 다르다는 점을 명심해야 한다.”

김윤진 기자 truth311@donga.com