"사이버 보안은 단순한 비용이 아니라 비즈니스의 안정성과 지속 가능성을 확보하기 위한 핵심 투자라고 생각합니다. 실제로 사이버 보안 사고가 발생하면 금전적 손실을 넘어 브랜드 신뢰도 하락, 고객 이탈, 복구 비용 증가 등 기업 전반에 큰 영향을 미치게 됩니다."
실리콘 밸리에서 모의 침투 테스트와 공격 시뮬레이션 업무를 담당하고 있는 금광윤(Kwangyun Keum) 엔지니어가 머니투데이와의 인터뷰에서 이같이 말했다. 금 엔지니어는 현재 실리콘 밸리의 한 글로벌 테크 기업에서 실제 해커의 공격 기법을 재현해 자사 시스템의 약점을 찾아내는 이른바 '레드팀' 직무를 담당하고 있다.
모의 침투 테스트란 기업의 네트워크, 웹, 애플리케이션 등의 취약점을 선제적으로 찾아 해킹 피해를 방지하는 작업을 말한다. 공격 시뮬레이션은 모의 침투 테스트보다 한발 나아간 개념으로 시스템의 취약점을 찾는 것에 대해 기업의 보안체계와 인력, 운영 프로세스 등을 망라해 해킹 대응 역량을 실전 투입의 관점에서 시뮬레이션하는 것을 말한다. 레드팀은 공격 시뮬레이션을 담당하는 팀이다.
금 엔지니어는 "레드팀이 하는 공격 시뮬레이션은 실제 공격이 발생했을 때 기업이 얼마나 버틸 수 있는가를 정밀하게 검증하는 과정이라고 볼 수 있다"며 "모의 침투 테스트는 성벽의 구조적 결함을 파악하기 위한 정밀 진단, 공격 시뮬레이션은 방어자와 조율하지 않은 상태에서 실제 적군과 유사한 전술을 구사하는 실제 공성전이라 볼 수 있다"고 했다.
금 엔지니어는 한국 기업이 사이버 보안에 대한 관점을 근본적으로 바꿀 필요가 있다고 조언했다. 금 엔지니어는 "사이버 보안에 대한 선제적 투자와 조직 전반의 보안 인식 제고는 앞으로 더욱 중요한 과제가 될 것이라고 생각한다"며 "개인 정보 유출과 같은 사고는 사후 대응만으로 회복이 어렵기 때문에 사전 예방 중심의 접근이 더욱 중요하다"고 강조했다.
금 엔지니어는 "한국은 세계 최고 수준의 IT(정보통신) 인프라를 갖춘 국가이며 화이트 해커(보안 취약점을 찾아내 해킹 피해를 예방하는 해커)들 또한 국제 해킹 대회에서 두각을 나타낼 만큼 뛰어난 역량을 보유하고 있다"며 "개별 인재들의 역량이 조직과 국가 전체의 보안 수준으로 이어지기 위해서는 사이버 보안을 바라보는 관점에서의 지속적 발전이 중요하다고 생각한다"고 밝혔다.
또 금 엔지니어는 "가장 중요한 것은 기업이 자신의 주요 자산을 식별하는 것"이라며 "다음은 해당 자산이 외부에 어떻게 노출돼 있는지 파악해야 한다. 인터넷에 노출된 자산의 위치와 존재하는 취약점을 선제적으로 파악하는 것이 급선무"라고 했다.
독자들의 PICK!
금 엔지니어는 "통계적으로 침해 사고의 상당 부분이 피싱 및 계정 탈취에서 시작된다"며 "다요소 인증 도입만으로도 대부분의 자동화된 공격을 막을 수 있다. 데이터 3개 중 2개를 다른 매체에 보관하고 1개는 반드시 오프라인에 둬 랜섬웨어 상황에 대비하기를 추천한다"고 밝혔다.
금 엔지니어는 인공지능(AI) 발달에 따른 새로운 보안 위협도 대비해야 한다고 조언했다. 금 엔지니어는 "인간의 개입 없이 자동으로 계획하고 실행하는 AI 에이전트를 통해 공격자들이 보안 시스템의 취약점을 찾는 속도가 빨라졌을 뿐 아니라 백신 탐지를 우회하는 악성코드도 손쉽게 만들어주고 있는 실정"이라며 "AI를 활용한 방어의 자동화를 실현하고 사이버보안 교육을 강화해야 한다"고 밝혔다.
