“IT 인프라 최고 한국, ‘뒷문’ 열린 해킹 맛집”... 울트라레드 대표 인터뷰

[3줄 요약]
1. 이스라엘 8200부대 출신 에란 슈타우버 울트라레드 대표 인터뷰
2. “대한민국 IT 인프라 세계 최고, 운영 모델은 10년 전 수준”
3. “공격자 관점’ 시급... 담당자 문책보다 재발 막을 리더십 필요”

[보안뉴스 조재호 기자] 이스라엘 정보국 산하 엘리트 사이버 부대 ‘유닛 8200’(Unit 8200) 출신인 에란 슈타우버(Eran Shtauber) 울트라 레드(ULTRA RED) 대표는 사이버전을 ‘기술전’이 아닌 ‘속도전’으로 정의한다. 5년간 사이버 전쟁의 최전선에서 활동하며, 공격과 방어의 경계가 무너지는 순간을 목격했던 슈타우버 대표는 한국이 세계 최고의 IT 인프라를 갖추고도 운영 모델의 정체로 인해 해커들의 표적이 되고 있다고 경고했다.

최근 SKT·KT 등 이동통신사를 비롯한 대기업들이 연이어 침해 사고를 겪은 상황에서 그가 제시한 ‘공격자 관점’(Outside-in)과 ‘지속적 위협 노출 관리’(CTEM·Continuous Threat Exposure Management)은 국내 보안 업계에서 시사하는 바가 크다. <보안뉴스>는 슈타우버 대표에게 한국이 놓치고 있는 ‘골든타임’에 대해 들어봤다.

▲에란 슈타우버 ULTRA RED 대표 (자료: 울트라레드)

Q. ‘유닛 8200’ 출신이란 점이 흥미롭다. 그 경험이 울트라 레드의 영향을 준 부분이 있는가?
‘유닛 8200’ 단순한 정보부대가 아니다. 18~19세의 젊은 천재들이 모여 국가의 안보를 건 ‘실전’을 치르는 곳이다. 5년간 복무하며 얻은 가장 중요한 교훈은 ‘사이버전은 기술의 싸움이 아니라 시간의 싸움’이라는 점이다.

작전 과정에서 몇 시간, 아니 몇 분 먼저 취약점을 찾아냈을 때 전세가 순식간에 뒤집히는 것을 수없이 봤다. ‘발견의 속도’가 곧 ‘안보의 속도’다. ‘울트라 레드’(ULTRA RED)는 이러한 깨달음을 기술로 구현한 결과물이다. 회사의 목표는 ‘모든 것을 찾는 것’이 아닌 공격자가 노릴 만한 틈새를, ‘지금 막을 수 있는 것’을 먼저 발견하는 것이다.

Q. 공격자가 노릴 만한 틈새를 강조했는데, 구체적으로 어떤 의미인가.
한국의 기업들은 성벽(방화벽)을 높게 쌓아 내부를 지키는 데 집중한다. 하지만 공격자들은 정문을 두드리지 않는다. 관리자가 잊고 지낸 뒷문을 노리죠. 방치된 외주사의 서버나 개발자가 테스트하고 지우지 않은 도메인 같은 부분이다. 올해 한국에서 발생한 대규모 침해 사고들은 제로데이(Zero-day) 같은 ‘첨단 기술’이 아니라, ‘평범한 구멍’에서 시작됐다.

이는 공격자의 관점에서, 내부에서 밖을 보는 것이 아닌 인터넷이라는 광범위한 공간에서 기업이 잃어버리거나 망각한 ‘디지털 발자국’을 해커의 시선으로 추적하는 것을 말한다. 울트라 레드는 고객사에 아무것도 설치하지 않고, 외부 인터넷망에서 해커와 똑같은 방식으로 취약점을 찾아낸다.

Q. 기존 점검 방식의 한계를 지적한 같은데, CTEM와 차이가 있다면?
쉽게 비유해 본다면, 기존 보안 점검이 ‘1년 주기 건강검진’이라면, CTEM은 ‘스마트워치 건강 체크’와 비슷하다. 침해 위협은 365일 24시간 지속되는데, 우리는 1년에 한두 차례 점검으로 ‘안전하다’고 생각한다. 이 차이에서 사고가 난다. 울트라 레드의 CTEM은 ‘탐지-검증-우선순위-조치’에 이르는 4단계를 순환하는 구조다. 네트워크에 퍼져있는 자산을 파악해 실제 공격 시나리오를 가동해 검증하고, 이 중에서 당장 막아야 할 진짜 위협만을 남겨 즉시 수정할 수 있는 가이드를 제공해 복구 시간을 단축한다. 이를 매일 진행해 보완성을 제고하는 방식이다.

Q. 최근 국내 기업들의 보안 사고를 어떻게 보는지?
단순 사고가 아니라, 한국이 새로운 사이버전의 표적이 됐다는 신호다. 5년 전 도쿄올림픽 직전의 일본과 비슷하다. 일본은 4억5000만건 이상의 공격 시도를 확인하고 법을 만들었다. 안타까운 부분은 세계적 최고 수준의 한국의 IT 인프라 수준과 달리 보안 운영 모델은 ‘사후 탐지’ 중심이라는 것이다. 공격자 침투 이후 이를 인지하는데, 평균 2~300시간의 격차가 발생하는데, 이를 줄이지 못하면 사고는 반복될 수밖에 없다.

Q. 또 다른 부분이 있을지, 데이터적 특성이 있다면 소개를 부탁한다.
한국 기업들은 글로벌 기업 대비 ‘악용 가능한 노출’(Verified Vulnerability)이 평균 20% 더 많다. 기술력이 부족하기 때문이 아니다. ‘완벽주의’라는 문화 때문, 한국의 보안 문화는 모든 것을 다 막으려다 정작 중요한 알림을 놓친다. 또 다른 하나는 ‘단절된 공급망’이다. 본사는 철저하지만, 이와 연결된 협력사나 해외 지사는 무방비 상태인 경우가 많다. 종합해보면 한국은 IT 인프라는 최고인데, 뒷문이 열려있는 맛집이다.

▲에란 슈타우버 ULTRA RED 대표 (자료: 울트라레드)

Q. 이스라엘은 국가 차원의 사이버 방어 체계가 튼튼하기로 유명한데, 벤치마킹할 부분이 있을지?
이스라엘은 ‘사이버 돔’(Cyber Dome)이라는 디지털 방어 체계가 있다. 이는 단일 기관이 아닌 복수의 기관들이 데이터를 공유하며 국가 인프라를 실시간 방어하는 연합체다. 여기서 중요한 점은 ‘협력의 속도’다. 이스라엘은 민간 기업이 위협을 감지하면, 공문이나 승인 절차 없이 즉시 정부와 정보를 공유하고 대응한다.

한국은 부처 간 칸막이가 쳐진 것으로 안다. 법을 만드는 것보다 시급한 부분은 위협 정보를 접했을 때 ‘몇 분 안에 검증하고 대응할 것인가’ 같은 실질적인 협업 체계다. 이를 극복하기 위해서는 상호 신뢰가 필요하다. 정부는 기업의 데이터를 의심하고, 기업은 정부의 불투명성을 우려하는데, 이를 극복할 방법은 ‘완전한 투명성’(Transparency)뿐이다.

우리는 위협 정보를 공유할 때, 취약점의 상세 정보와 함께 검증 데이터와 권고까지 패키지로 제공한다. 이는 수신자의 검증 시간을 아끼기 위함이다. 정보 공유가 단순 데이터 이동이 아닌 상대방의 ‘시간도 보호’ 해줄 수 있어야 한다.

Q. 마지막으로 국내 독자를 위해 전하고 싶은 메시지가 있다면 부탁한다.
해커는 혼자 움직이지만, 방어는 함께할 때 강해진다. 한국은 이미 훌륭한 기술력을 갖췄다. 이제 필요한 것은 ‘대응 속도’와 ‘지속적 관리’다. 공격자가 움직이기 전에, 먼저 움직여야 한다. 이 시스템을 갖춘다면 한국은 1년 안에 사이버 위협을 절반 이하로 줄일 수 있다고 본다. 지금이 한국 보안 체계를 바꿀 ‘골든타임’으로 본다.

또, 보안은 특정 부서의 업무가 아닌 기업의 생존을 결정하는 의사 결정 수단이다. 사고가 터졌을때 담당자를 찾고 문책하기보다는 재발을 막을 시스템 구축을 묻는 리더십이 필요하다고 본다.

[조재호 기자(sw@boannews.com)]

우리나라 정보보호 수준 향상을 위해 이재명 정부에게 가장 바라는 점은 무엇인가요?
	ISMS 등 보안 인증 제도 실효성 개선
	AI 보안, 양자보안 등 보안 기술 연구개발 지원 확대
	중소 기업 보안 지원 확대
	기업 보안 예산 비율 의무화
	국가 정보보호 거버넌스 체계 정비
	기타(댓글로)