[시큐리티 Q&A] 취약점 점검 툴 vs 전문가에 의한 취약점 점검

Q. 현재 출시되는 취약점 점검 소프트웨어와 전문가에 의한 점검 중 어떤 방법이 취약점 탐지와 해결책에 있어 더 신뢰할 수 있을까요?

A-1. 기업에서 모의해킹과 보안취약점 점검은 다소 차이가 있다고 판단됩니다. 모의해킹은 실제 해커가 기업의 보안문제를 발굴하고 사전 취약점 제거의 효과가 있다고 보면 됩니다.

하지만 소프트웨어를 통한 보안취약점 점검은 기존에 알려진 OWASP 10대 취약점이나 국정원 8대 취약점을 중심으로 보안장비를 대상으로 점검한다고 보면 됩니다. 제로데이(Zeroday) 공격이나 APT 공격에 대한 대응은 기존의 소프트웨어를 통한 점검으로 해결하기 어렵습니다. 실력 있는 해커의 모의해킹을 통해 취약점을 발굴하고 대응방안을 마련하는 것이 더 신뢰할 수 있습니다.

(박원형 극동대학교 사이버보안학과 교수/whpark@kdu.ac.kr)

A-2. 웹페이지 취약점, 네트워크 취약점, 무료 웹 어플리케이션 취약점 등 다양한 취약점 점검 소프트웨어가 존재합니다. 이 중에서는 파로스 등 무료 소프트웨어이지만 널리 사용되는 것도 있으며, 유료 취약점 점검 소프트웨어도 있습니다.

다양한 종류 및 기능의 취약점 점검 소프트웨어가 존재하는 만큼 각 기업이 원하는 소프트웨어를 선정하기가 어려운 점이 있습니다. 원하는 기능 및 성능이 제공되지 않을 수도 있으며, 어떠한 취약점이 있는지 잘 파악을 하지 못할 수도 있습니다.

그렇기 때문에 비용이 조금 더 들더라도 전문가에 의한 취약점 점검을 선택하는 경우가 많이 있습니다. 왜냐하면 기업 실정에 맞는 맞춤형 취약점 점검을 통해서 취약점을 발견함과 동시에 향후 대책 및 보완도 가능하기 때문입니다. 하지만 취약점 전문가를 통한 점검은 비용 부담이 더 크기 때문에 각 기업의 실정에 맞는 선택을 해야 할 것입니다.

(왕재윤 한국산업기술보호협회 관제운영팀 연구원/jywang@kaits.or.kr)

[김지언 기자(boan4@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다