Home > 전체기사
동전의 양면인 보안과 해킹, 사업 아이템으로선 어떨까?
  |  입력 : 2015-12-15 17:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
해킹 및 디도스 공격을 대행해주는 어둠의 서비스 늘어
기술은 비슷할 수 있으나 사업 방향은 전혀 달라져

[보안뉴스 문가용] 지난 8월 여섯 명의 영국 10대가 리자드 스트레서(Lizard Stresser)라는 걸 사용하다가 체포됐다. 리자드 스트레서는 돈을 주고 구입이 가능한 해킹 툴로 리자드 스쿼드(Lizard Squad)라는 유명 그룹이 제작한 것이다. 뿐만 아니라 이들은 매우 저렴한 값에 디도스 공격도 대행해주는 것으로 밝혀졌다. 페이팔이나 비트코인으로 2.99달러만 내면 디도스 공격을 한 달에 100초나 할 수 있다. 69.99달러면 3만초(8시간이 넘는다) 동안 공격이 가능하다. 5년치 등, 대량으로 구매하면 통 큰 할인도 해준다. 리자드 스쿼드의 정확한 수익은 알려진 바가 없으나, 해커들에게 많은 자극을 주었음은 말할 것도 없다.


당신은 여러 사람에게 칭송받는 해킹 기술을 가지고 있는, 그러면서도 이상주의자에 가까운 사람으로서 새로운 사업을 시작하려고 한다. 그렇다면 보안 기술을 개발하는 회사를 세울 것인가, 아니면 공격자들에게 각광을 받을 만한 업적을 쌓을 것인가? 당신의 뛰어난 해킹 기술을 리자드 스쿼드처럼 공격용 솔루션 개발에 투자할 것인가 아니면 보안에 투자할 것인가? 공격용 소프트웨어를 만들고자 하면 ‘금기사항’을, 방어용 소프트웨어를 만들고자 하면 ‘필수사항’을 위주로 참고하면 될 것이다. 금기사항과 필수사항 모두 리자드 스쿼드의 최근 행보를 분석한 내용을 바탕으로 정리한 것이다.

세 가지 금기사항
1. 무기가 아니다. 방어용 툴이라고 선전해야 한다
당연하고 상식적인 점인데, ‘나는 누군가에게 피해를 끼칠 수 있는 무기요’라고 광고하는 무기상은 없다. 이는 실제 총을 파는 무기상들도 마찬가지다. 합법적인 기업들은 어느 정도 사회에 공헌하고 있음을 어필하는데, 총과 칼을 파는 사람들도 ‘방어기재’를 사회에 제공한다는 스탠스를 취하는 게 상식이다. 대놓고 ‘공격도 가능하다’고 말하는 순간 여러 사람의 질타를 받게 된다.

2. 불법 공격에 연루되었다는 사실을 알려서는 안 된다
‘방어’에 초점을 맞추는 것과 자연스럽게 연결되는 사항인데, 불법적인 공격에 어느 조직이나 단체 혹은 기업의 툴이 사용되었다고 알려지는 순간 그 툴의 생산자는 바로 공범으로 취급된다. 설사 정말로 억울한 입장에 있다고 해도, 매체에 해당 사건이 대대적으로 보도되고 거기에 기업의 이름이 함께 인쇄되는 순간 이미지를 벗기란 불가능에 가까워진다. 누구도 깊은 사정을 알려하지 않기 때문이다. 이렇게 되면 B2B 사업을 진행하기도 힘들어진다.

3. 암시장에서 눈에 띄어서는 안 된다
암시장에서 눈에 띄게 돌아다닌다는 것은, 악당들 사이에서야 나쁘지 않은 일일 수도 있겠지만 이왕에 ‘방어를 통해 사회에 이바지 한다’는 노선으로 광고를 시작했다면 크게 튀지 않는 편이 현명할 것이다. 사회에서 통용되는 법 안에서 서비스를 운영하고 있다는 이미지를 유지하는 편이 위의 전략과 궁합이 더 좋다.

세 가지 필수사항
1. 해결책이 되어야 한다
양지에서 활동하는 기업들은 고객들이나 사회의 문제를 해결하기 위해 애를 쓴다. 하지만 무기란 것은 기본적으로 해를 입히기 위한 도구다. 그래서 무기로 활용이 가능한 소프트웨어들은 ‘킬 스위치’라는 비상 종료 장치나 수사기관의 추적을 쉽게 만드는 툴을 장착한 채 시장에 나온다. 위험하게 악용될 수 있는 기능을 가지고 있음에도 이런 비상 장치가 없는 솔루션은 제조사가 자신의 정체성을 해커와 보안전문가 사이에서 애매하게 위치시키고 있다고 봐도 무방하다.

2. 고객과 표적을 투명하게 구분하라
투명성이야 말로 보안 기업이냐 해킹 단체냐를 구분해주는 핵심 개념이다. 고객이 표적이 되고, 표적이 고객이 되는 영화와 같은 상황이 비일비재하게 벌어져서가 아니다. 올바른 사업을 하는 보안 기업은 고객을 보호하는 데에 많은 노력을 기울인다. 보호해야 할 사람과 그렇지 않은 사람을 정확히 구분한다는 소리다. 리자드 스쿼드는 스스로가 해킹을 당해 약 1만 3천명의 고객 정보가 유출된 일을 겪었다. 그런데 재미있는 건, 당시 고객들을 위해 어떤 라우터 봇넷을 사용했는지, 어떤 인터넷 주소와 로그를 가져가고 분석했는지 등 민감한 정보들에 대한 그 어떤 보호의 의지를 발견할 수 없었다는 것이다. 물론 합법적으로 사업을 하는 기업들 중 고객 정보를 아무렇지도 않게 여기는 기업들도 있긴 하지만, 그들은 결국 언젠가 큰 코 다치기 마련이다.

3. 정보 공유를 통해 보안 커뮤니티를 강화하라
사이버 보안이 철저하다는 건 어떤 일이 일어났을 때 혹은 일어나기 직전에 재빠른 대처를 할 수 있다는 것이다. 이를 위해서 실제 여러 산업에서 기업들이 정보를 이미 여러 해 전부터 공유하기 시작했다. 정부가 적극 이를 권장하거나 심지어 강제하는 경우도 있을 정도로 정보 공유는 보안 커뮤니티의 필수 덕목이 되어가고 있다. 스스로를 해커가 아니라 보안 기업이라고 생각한다면, 여기에 참여하는 것도 ‘결백(?)’을 입증하는 데 중요하게 작용할 것이다.

보안과 해킹은 동전의 양면처럼 비슷하고, 어떻게 보면 같은 뿌리를 가지고 있다. 그러나 위 열거한 필수사항과 금기사항처럼 어느 한 쪽을 선택했을 때 취해야 하는 행동들은 철저하게 달라진다. 기술력과 노하우가 뛰어난 당신이라면, 어느 쪽 사업을 더 염두에 둘 것인가?
글 : 칼 허버거(Carl Herberger)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)