[디지털데일리 이민형기자] “최근 발생한 보안사고 등으로 기관·기업들이 취약점 점검에 많은 관심을 갖고 있습니다. 한가지 명심해야 할 것은 취약점 점검은 전수진단을 해야 의미가 있다는 점입니다.”

황 CTO는 “현재 현업에서 이뤄지는 취약점 점검은 표본(샘플)을 설정하고, 해당 표본에 대한 조사를 통해 취약점의 유무와 보안수준을 점검하는 형태다. 이는 사람이 모든 장비에 대한 점검을 일일이 할 수 없기 때문”이라고 설명했다.

이어 “하지만 이러한 방식은 완벽하다고 볼 수 없다. 점검을 하지 않은 인프라에 대한 취약점은 찾아낼 수 없기 때문이다. 표본 설정 취약점 점검의 한계인 셈”이라고 강조했다.

인력 기반의 취약점 점검은 비용적인(Man/Month) 문제로 인해 시간의 제약이 필연적으로 발생할 수 밖에 없고, 이는 시스템 전반적인 정확도의 문제가 발생할 수 있다.

실제 기관·기업들은 정보보호관리체계(ISMS) 인증 등을 위해 취약점 점검을 실시할 때, 특정 PC나 시스템에 대해서만 이를 진행한다. 또 비업무시스템에 대해서는 취약점 점검을 하지 않는 경우가 많다. 모든 시스템을 점검하기에는 시간과 비용이 만만치 않기 때문이다.

그러나 공격자는 현행 취약점 점검의 한계점을 노린다. 핵심DB에 접근하기 위해 비업무시스템을 먼저 공격하고, 이를 통해 서서히 전체 시스템을 장악해 나간다.

이에 대해 황 CTO는 “공격자는 시스템의 가장 약한 부분을 찾고, 그곳을 통해 기업의 중요자산에 접근한다. 전수점검이 필요한 이유가 바로 여기에 있다”고 설명했다.

황 CTO는 전수점검에 대한 중요성을 주장하면서 이를 보다 효율적으로 하는 방법을 제안했다. 사람이 직접 해온 체크리스트 방식의 취약점 점검을 자동화시킨다면 인건비의 절감과 더불어 빠른 시간내에 전수점검이 가능하다는 것이 그의 주장이다.

이 회사의 취약점 진단 자동화 솔루션 ‘솔리드스텝(SolidStep)’은 이러한 황 CTO의 아이디어에서 개발됐다.

그는 “보안컨설팅을 하던 중 ‘운영체제(OS) 비밀번호 자릿수, 비밀번호 교체주기, 방화벽 설정유무 등과 같이 간단하게 확인할 수 있는 부분을 굳이 사람이 해야할까?’라는 의문이 들었다. 이를 자동화한다면 시간과 비용을 줄일 수 있기 때문”이라며 “기준이 명확한 법규와 컴플라이언스는 기계도 충분히 판단할 수 있을 것이라고 생각해 자동화 점검도구를 개발하게 됐다”고 말했다.

보안 컨설팅을 수행함에 있어 자동화로 가능한 부분은 자동화로 하고, 모의해킹이나 심화 컨설팅과 같이 기계가 할 수 없는 부분은 사람이 해야 한다는 것이 황 CTO의 제언이다.

황 CTO는 “자동화 솔루션을 사용할 경우 연 1~2회에 그쳤던 취약점 점검을 수시로 할 수 있다는 장점도 갖는다. 기업들의 인프라 보안성 확보에도 많은 도움을 줄 수 있다”며 “기업 보안은 전체 시스템에서 보안 구멍을 막는 것이 급선무다. 전수점검은 구멍을 막는데 도움을 줄 것”이라고 재차 강조했다.

한편 솔리드스텝은 국제공통평가기준(CC) 인증(국내용)을 획득했으며, KT, LG유플러스, LIG손해보험, 현대자동차, KB생명 등에서 도입해 운영하고 있다.

<이민형 기자>kiku@ddaily.co.kr