ISEC 2022 토크콘서트...‘화이트해커 3人에게 듣는 2022년 주요 보안위협과 기업 보안 노하우’
박찬암 스틸리언 대표, 유동훈 시큐리온 대표, 이종호 비바리퍼블리카(토스) 리더 참여

[보안뉴스 김영명 기자] 아시아 최대 규모 시큐리티 콘퍼런스 ISEC 2022 둘째 날인 19일 오전에 열린 토크콘서트는 ‘화이트해커 3人에게 듣는 주요 보안위협과 기업 보안 노하우’를 주제로 박찬암 스틸리언 대표, 유동훈 시큐리온 대표, 이종호 비바리퍼블리카(토스) 리더가 한자리에 마주 앉았다.


이번 토크콘서트에서 이종호 리더는 ‘1-day Attack Management’를 주제로, 유동훈 대표는 ‘범용 OS 기반 IoT 기기 보안 위협 및 대응’을 주제로, 그리고 박찬암 대표는 ‘코드로 보는 국내 보안 실태’에 대해 각각 발표하며, ISEC 2022 둘째 날의 화려한 오프닝을 장식했다.

첫 번째로 이종호 토스 리더는 ‘1-day Attack Management’를 주제로 선정하며, 보안 취약점 측면에서 보안담당자들에게 부족한 점과 잘하는 점 등을 분석해 보는 시간을 마련했다.

이종호 리더는 최근 서비스 개발환경의 변화로 과거에 인기 있는 언어를 통해 서비스를 자체적으로 개발했다면, 요즘에는 프레임워크 또는 오픈소스를 사용하면서 클라우드 서비스가 주로 사용되고 있다고 말했다.

기술의 진화와 개발환경의 개선으로 프레임워크 자체의 취약점과 오픈소스 관리가 이슈로 떠오르고 있다고 지적했다. 새로운 원데이 취약점도 많이 발견되는데, 이에 따라 △취약점 라이브러리 사용 △사용 중인 라이브러리 버전의 안전성 △해당 프레임워크의 업데이트 등의 체크가 중요하고 강조했다.

취약점 대응방안으로 이 리더는 △취약점 발견 시 신속한 대응 △업데이트에 따른 장애 이슈 △서비스 간의 호환성 이슈 △한정된 인력과 시간에 따른 커뮤니케이션 등이 중요하며, 올바른 취약점 조치를 위해서는 파급력과 발현 조건을 신속하게 파악해야 한다는 점을 강조했다.


두 번째 발표자로 나선 유동훈 시큐리온 대표는 ‘범용 OS 기반 IoT 기기 보안 위협 및 대응’을 주제로 이야기했다. 유동훈 대표는 국내의 OS 점유율에 대해 올해 9월 기준 전 세계 43% 이상이 구글 안드로이드 OS를 사용하고 있으며, 보안 취약점 발견 순위는 ‘구글 안드로이드-리눅스 커널-애플 iOS’ 순이라고 말했다.

구글 안드로이드의 보안 업데이트(패치)는 OS 판올림을 통해 일괄 제거했던 취약점을 OTA(Over The Air) 업데이트로 월 단위로 주기적으로 제거하고 있다. 국내 주요 보안 위협으로는 지난해 10월 중순 국내 아파트 약 17만 가구의 월패드에서 찍힌 영상이 유출된 보안 사고와 함께 안드로이드 TV와 인터넷 프로토콜 TV 셋톱박스(IPTV STB) 제품에서의 보안 위협, 안드로이드 오토 기반 차량용 내비게이션에서도 취약점이 잇달아 발견됐다는 사실을 지적했다.

보안 취약점 문제를 해결하기 위해서는 사용 중인 낮은 버전의 안드로이드 운영체제(AOSP)의 펌웨어 업데이트가 중요하다. 다양한 IT, IoT 기기가 보급되면서 사용자들은 자신이 사용하고 있는 기기에서 펌웨어 업데이트 여부 등을 철저하게 관리해야 한다는 말도 잊지 않았다.


세 번째로 박찬암 스틸리언 대표는 ‘코드로 보는 국내 보안 실태’에 대해 발표했다. 국내 여러 기업의 홈페이지를 봤을 때 파일 다운로드 취약점은 20년 전과 비교해서 현재까지 크게 차이점 없이 자주 발견되는 취약점이 되고 있다. 또한, 1998년에 공식 발표된 SQL Injection은 무려 24년이 지난 아직도 최다/심각한 취약점이라고 박 대표는 설명했다.

이러한 심각한 취약점들로 봤을 때 과거에 대세였던 보안 취약점은 현재도 그대로 이어지고 있으며, 현재는 방화벽 등 보안 솔루션으로 인해 우회 기술이 추가됐을 뿐이라고 말했다. 현실적인 대응책 마련을 위해 지속적인 점검과 개선으로 위험요소를 줄일 것을 당부했다.

또한, 모바일 보안위협과 관련해서는 위변조, 난독화, 보안 키패드, 백신, 원격제어 탐지 등 앱 보안 측면과 함께 내부코드 강제 호출 등을 꼽았다. 그밖에 본인인증 우회, OTP/비밀번호 우회 등 각종 우회 및 프로토콜 취약점, SQL Injection 등도 해결해야 할 숙제라고 설명했다.


“기업에서 많이 발견되는 취약점 유형이나 보안위협 유형은?”
강연에 이어 최근 사이버보안 이슈에 대한 3인 3색 토크로 진행된 토크콘서트에서는 권준 보안뉴스 편집국장이 사회를 맡아 공통질문과 개별질문의 순으로 진행됐다.

권준 편집국장은 먼저 공통질문으로 ‘기업에서 많이 발견되는 취약점 유형이나 보안위협 유형은 무엇인가’라는 질문을 던졌다. 먼저 이종호 리더는 “예전에 발생했던 취약점이 아직도 꾸준히 발견되고 있고, 새롭게 나오는 취약점은 점점 더 시스템이 복잡해지는데 기인하고 있다”며 “과거 취약점이 현재는 프레임워크의 편리성을 위해 적용한 기능들로 인해 외려 해커에게 친숙해져 파급력이 더욱 커지고 있다”고 말했다.

유동훈 시큐리온 대표는 “기관들의 보안 취약점을 분석한 결과 단순한 웹 취약점이더라도 끊임없이 제거해도 안 되고 있는데, 이는 웹(서비스) 개발 방식이 개발기관마다 다르기 때문”이라며 “이를 해결하기 위해서는 외주사가 어떤 방식으로 개발을 했는지 파악해야 하고, 블록체인 서비스도 보호기술을 우회하는 취약점 등에 대한 신속한 조치가 필요하다”고 강조했다.

박찬암 스틸리언 대표는 “공급망 취약점이 최근 많이 발견되고 있고, 아파트에도 월패드 해킹 사례와 같이 IT 기기, IoT 기기에서도 많은 취약점이 나오고 있어 이에 대비해야 한다”고 말했다.

두 번째 질문으로 ‘본인에게 가장 큰 영향을 줬던 보안사고가 있다면 무엇이고, 그 이후에 어떤 변화가 있었느냐’는 질문이 있었다. 먼저 박찬암 대표는 “오래 전 7·7 디도스 대란 때 전화기에 불이 날 정도로 전화가 왔었다”며 “이러한 상황에 대응하기 위해 우리가 진짜로 보안을 제대로 준비하는 것이 필요하고, 담당자들에게 보안의 중요성을 설득해야 한다면 이러한 중대 사태를 잘 분석해서 쉽게 설명하는 것이 필요하다고 생각했다”고 답했다.

유동훈 대표는 “2003년에 발생한 1·25 사이버테러 때 가장 충격이 컸다”며 “저희가 보안을 위해 도입했던 ‘악성코드 자동분석 시스템’이 해킹당했을 때의 충격은 이루 말할 수 없었고, 생각보다 당황했던 기억이 있다”고 말했다.

이종호 리더는 “최근 보안 취약점 사례로 로우코드에 대한 취약점이 발견됐다”며 “취약점 자체는 상당히 쉬웠고 많이 사용하는 오픈소스에서 나온 취약점이라 인상이 남았다”고 말했다. 이 리더는 “왜 내가 먼저 이 취약점을 발견하지 못했나 하는 아쉬움도 들었다”고 덧붙였다.

세 번째 질문은 ‘본인에게 가장 위협적인 적은 누구인지’에 대해 각각의 의견을 물었다. 이종호 리더는 “정체를 알 수 없는 봇들이나 해커들이 많이 등장하고 있는 게 가장 위협적”이라며 “또한, 랜섬웨어가 상업화되면서 해킹 도구가 판매되고, 취약점이 나오면 곧바로 익스플로잇이 되는 등 특별한 기술 없이도 사이버공격을 자행하는 사람들이 많아졌다는 것도 큰 위협”이라고 이야기했다.

유동훈 대표는 “제일 무서운 사람은 한국어를 잘 하고 사회공학적인 공격을 하는 사람으로, 이에 철저히 대비해야 한다”고 말했다. 박찬암 대표는 “국가마다 해킹 조직이 있으며, 그 조직들이 정교하게 공격하면서 상시적인 위협이 되고 있다”며 “또한, 돈이 모이는 곳 또는 돈을 많이 인출할 수 있는 곳 등이 위협 대상이 되고 있고, 병원 등 사람의 생명을 다루는 곳의 주요 시스템이 랜섬웨어에 감염되는 것이 가장 위협적”이라고 덧붙였다.


이어 개별 질문은 이종호 리더, 유동훈 대표, 박찬암 대표의 순으로 진행됐다. 권 국장은 먼저 이종호 리더에게 “요즘 실력 있는 젊은 층은 사이버범죄로 빠지기도 하는데, 긍정적인 활동을 하는 친구들이 기업에서 역할을 하려면 무엇이 필요할까”라는 질문을 했다.

이종호 리더는 “KISA가 버그바운티가 시작한 지도 10년 정도 됐는데, 아직 참여율이 적어 좀더 활성화하면 좋겠다”며 “버그바운티는 보안성 향상에 입증된 프로그램이라서 본인의 실력도 쌓고, 버그바운티 참여 기업에 인센티브를 제공하는 것이 효과적일 것”이라고 말했다. 이에 권 국장은 “토스에서도 버그바운티를 진행하는 것으로 알고 있는데, 이는 상당히 바람직한 방향”이라고 말했다.

이어 유동훈 대표에게는 삼성 녹스(Knox) 보안 업데이트에도 기여를 한 것으로 알고 있는데, 가정에서의 네트워크 보안에서 가장 신경 써야 할 부분이 있다면 무엇일까”라고 질문했다.

유동훈 대표는 “처음에 하나하나 코딩에서부터 개발까지, 그리고 더 나아가 체계를 만들고 업데이트를 하는 것까지 모든 과정이 다 중요하다”며 “이와 함께 제품을 처음 설치할 때는 기본 설정된 비밀번호를 바꾸고, 카메라를 가리는 등의 기본 조치가 선행되어야 한다”고 말했다.

권 국장은 박찬암 대표에게 “유퀴즈 등 TV에도 자주 출연하는 등 보안의 대중화를 위해 많은 기여를 하고 있는데, 보안이 더욱 대중에게 알려지고 확대되어야 할 부분에 대해 말해 달라”고 질문했다.

박찬암 대표는 “저는 자동차를 탈 때나 비행기를 탈 때나 항상 ‘안전’에 대해 생각하고 있는데, 사람들은 안전에 대해 너무 무관심한 것 같다”며 “디지털 쪽에서도 안전, 그리고 보안에 대해 조금 더 관심을 가져야 하고, 이를 부각시키는 방향으로 대국민 인식 제고를 해야 하지 않을까 생각한다”고 말했다.

이어 세 명의 화이트해커에게 “정부에서 보안인력 10만명 육성 계획을 발표했는데 이에 대한 생각은 어떠한가”라고 질문했다. 이종호 리더는 “10만명 육성에 초점을 맞추는 것보다는 보안의 중요성을 지속해서 알리고 일반인들도 보안에 관심을 두도록 하는 것이 우선돼야 한다고 생각한다”며 “이런 조치가 이뤄진다면 보안에서 일하는 분들의 처우 개선과 함께 보안인력도 자연히 많아질 것”이라고 말했다.

유동훈 대표는 “보안 인력을 위해서는 일자리가 필요하고, 일자리가 제대로 만들어지려면 과감한 투자가 필요하다”며 “이와 관련해서 정책 결정권자들이 심도 싶은 논의를 해야 한다”고 덧붙였다.

박찬암 대표는 “양성하는 인원 수보다는 양성했을 때 그 인력을 포용하는 산업과 처우의 변화가 더 중요하다고 생각한다”며 “화이트해커도 양성했을 때 이를 받아들일 산업이 얼마나 갖춰져 있는지를 먼저 생각하는 것이 중요하다”고 강조했다.

마지막 질문은 “기업의 보안담당자가 보안업무를 수행할 때 꼭 챙겨야 할 한 가지가 있다면”이라는 질문이었다. 이에 대해 이종호 리더는 “보안담당자가 가장 신경 써야 할 것은 보안에 대한 기조와 온도감 체크”라며 “보안은 ‘적당히’가 아닌 모두 함께 해야 한다”고 말했다.

이어 유동훈 대표는 “큰 사고를 겪다 보면 내공이 커지면서도 게을러지게 되는데, 트렌드를 따라가는 것들은 생활과 밀접해야 한다”며 “악성코드, 악성앱 분석 등에 직접적으로 관심을 두고 꾸준히 체크하는 것이 중요하다”고 강조했다.

박찬암 대표는 “보안을 바라보는 관점을 바꾸는 것이 중요하다”며 “주위의 이야기를 들어보면, ‘우리는 이렇게 했으니까 안전하다’고 하는데, 이건 관점의 차이일 뿐, 제3자의 관점에서 보면 허점이 보이고 또 뚫릴 수 있기 때문에 다양한 관점에서 보안을 체크해야 한다”고 말했다.

이번 토크콘서트를 진행한 권준 국장은 마지막으로 “제로 트러스트 관점에서 보안을 바라보는 것이 가장 중요하다고 생각한다”며 “매우 바쁘고 유명하신 분들인데, 한 자리에 모여서 좋은 이야기를 해주셔서 감사하다”는 말로 토크콘서트를 마무리했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>