황석훈 대표는 “2018년 타이거팀은 위협모델링을 기반으로 한 어플리케이션 보안진단 서비스를 중심으로 고객들에게 새로운 보안컨설팅의 가치를 증명해 보이려고 한다. 최근 고객들의 니즈가 바뀌고 있다”며 “기존의 기계적인 체크리스트와 시나리오 기반 점검방식과는 차별화된 서비스를 원하고 있다. 고객사가 운영하는 서비스와 업무 흐름를 완벽히 이해하고 그 가운데서 발생할 수 있는 모든 보안위협들을 도출해 주길 바라고 있다. 즉 컨설팅을 위한 컨설팅이 아니라 실제로 서비스와 업무에 위협을 줄 수 있는 취약점들을 찾아내 개선할 수 있는 보안컨설팅을 원하고 있다”고 설명했다.
기존 보안컨설팅은 두 가지로 구분할 수 있다. 하나는 체크리스트 기반으로 취약점 점검항목을 정하고 항목에 맞는 취약점을 찾아내 리포트 해주는 방식이다. 많은 컨설팅 업체들이 이 방식을 사용하고 있다. 하지만 실제 위협은 체크리스트 항목이 아닌 부분에서 발생할 수도 있다.
또 하나는 주로 ‘모의해킹’이라고 말할 수 있는 시나리오 기반 진단방식이다. 해커가 해킹을 한다면 어떻게 할까라는 측면에서 접근한다. 해커의 입장에서 취약점을 찾는 것이지만 대부분 고객사에 특화된 시나리오라기 보다는 보편적인 해킹 시나리오대로 진행하는 경우가 많다.
황 대표는 “체크리스트나 시나리오 기반 방식도 고객사 상황에 따라 필요하다. 타이거팀도 기존에 그렇게 해 왔다. 하지만 고객 입장에서는 매년 진단할 때마다 취약점 수가 줄어들지 않는다는 점이 문제”라며 “취약해 보이는 서비스 페이지만 뚫어서 취약점을 지적하다 보니 매년 점검 받을 때마다 또 다른 문제점들이 나오게 된다. 이렇게 되다보니 보안컨설팅을 받아도 계속 취약한 부분은 취약한 대로 방치되는 위험성이 존재한다. 이를 개선하기 위해 타이거팀은 지난해부터 고객사 업무설명을 듣고 완벽히 이해한 후 이를 기반으로 고객사 서비스를 중심으로 최대한 많은 취약점을 도출하는 방식을 채택했다. 이 방식이 바로 ‘위협 모델링 기반 점검’ 방식이다”라고 설명했다.
즉 고객사 업무를 기반으로 위협을 분석하고 해당 위협을 검증하는 방식이다. 장점은 업무베이스로 취약점 점검이 가능하며 거의 모든 업무에 대해 누락없이 검증이 가능하다는 점이다. 황 대표는 지난해 몇 개 고객사를 대상으로 위협 모델링 기반 점검을 실시했고 만족도가 매우 높았다고 말한다. 점검 대상은 웹, 모바일, IoT 등 모든 어프리케이션이 해당된다.
점검자 입장이 아닌 고객사 서비스 입장에서 컨설팅을 한다는 것. 그는 컨설팅 관점의 전환을 강조했다. 모든 서비스 매뉴를 하나로 보고 모든 흐름을 이해하고 난 후 모든 위협을 도출해 낸다. 그리고 컨설턴트가 뽑아낸 위협이 실제 서비스에 위협을 가할 수 있는 것인지 검증하는데 포커스를 두겠다는 말이다.
이어 황 대표는 “타이거팀은 이제 ‘모의해킹’이란 단어에서 탈피하고 싶다. 정확히 말하면 어플리케이션, 서비스 보안검증 전문 기업이 타이거팀 시즌2의 방향성이다. 고객의 서비스 흐름을 중심으로 어떤 취약점이 있고 이를 통해 발생할 수 있는 보안 위협들을 검증해 보여주는 것”이라며 “컨설팅에 소요되는 시간과 비용은 상승하겠지만 정말 중요한 서비스에 대해서는 반드시 필요한 컨설팅 방식이 될 것이다. 매우 디테일하게 빠짐없이 모든 내역을 점검할 수 있고 업무 플로어 기반으로 대안들이 적시될 수 있다. 단순히 취약점 나열식 결과물이 아닌 것이다. 최근 위협모델링 기반 점검 의뢰가 많이 들어오고 있다. 제대로 보안컨설팅을 받아 보겠다는 고객들의 의지가 반영된 결과라고 생각한다”고 전했다.
타이거팀도 기존 체크리스트나 시나리오 기반 점검도 고객사 요청이면 지속할 방침이다. 하지만 시즌2에서 주력할 방식은 위협 모델링 기반 점검 방식이라고 한다.
덧붙여 그는 “타이거팀만 이런 방식의 컨설팅을 할 수 있다는 것은 아니다. 경험치의 차이는 있겠지만 위협 모델링 기반 점검 방식으로 많은 컨설팅 기업들이 바뀌길 바란다. 시장 자체가 올바른 방향으로 변화되길 희망하고 있다”며 “기존 보안컨설팅의 문제점들을 모든 기업들이 알고 있을 것이다. 그렇다면 고객도 바뀌고 컨설팅 기업도 바뀌어야 한다. 타이거팀은 이 분야에서 항상 한 발 앞서 갈 수 있도록 꾸준히 공부하고 레벨업 해 나갈 작정이다”라고 말했다.
이런 변화를 이끌어 내기 위해 올해부터 타이거팀은 모든 업무설명회와 최종보고서는 황대표가 직접 챙기고 대표가 생각하는 수준의 보고서가 나올 때까지 컨설턴트들을 독려한다는 방침이다. 이 과정에서 직원들의 컨설팅 뎁스가 더욱 깊어질 것을 기대하고 있다. 또 기술편중을 없애겠다고 말한다. 예전처럼 모바일 앱진단과 웹 진단에 특화된 기업이 아니라 고객의 서비스 전체를 통찰할 수 있는 기업이 되겠다고 말한다. 점검해야 할 서비스 안에 웹이 있든 모바일이 있든, IoT가 있든 전체적 이슈를 볼 수 있는 눈을 가질 수 있도록 노력해 나가겠다는 것이다. 그리고 회사 내부에 기술백서를 만들어 직원들의 역량을 상향 평준화시켜 나가겠다고 전하고, 컨설팅 현장에서 습득한 모든 기술적 이슈를 체계적인 문서로 만들어 직원들이 공유하고 함께 발전해 갈 것이라고 말한다.
황 대표는 마지막으로 “모의해킹과 보안컨설팅은 다른 개념이다. 시장에서 이 둘을 혼용하고 있어 구분이 필요하다고 생각한다. 모의해킹은 해커의 입장에서 해킹을 위주로 하는 오펜시브리서처 혹은 모의해커들이 하는 업무다. 반면 기존 어플리케이션 취약점 점검자, 즉 보안컨설턴트들이 하는 것이 보안컨설팅이다. 둘이 추구하는 목적은 같지만 일하는 방식이 틀리고 마인드도 다르다. 타이거팀은 둘 다 가능하지만 보안컨설팅을 지향하고 있다”고 밝혔다.
또 “올해는 타이거팀이 추구하는 위협 모델링 기반 점검방식의 보안컨설팅 서비스를 안정화시키는 것이 목표다. 1월부터 꾸준이 컨설팅 요청이 들어오고 있다. 고객들에게 기존과 차별화된 컨설팅 서비스를 많이 선보이고 싶다. 그리고 직원들이 타이거팀의 방향성을 이해하고 잘 따라와주길 바라고 이를 통해 더욱 성장하는 한 해가 되길 바란다”고 덧붙였다.
★정보보안 대표 미디어 데일리시큐!★