플레인비트, 디지털 포렌식 침해사고 대응(DFIR) 전문가들이 모인 12년차 기업
[인터뷰] 김진국 대표, “침해사고 대응과 예방 ‘서비스 시장’ 만들겠다”
‘플레인비트(PLAINBIT)’라는 기업이 있다. 디지털 포렌식과 사이버 침해사고 조사·대응 분야에서 잘 알려진 전문기업이다. 대학원에서 디지털 포렌식을 전공한 김진국 대표가 지난 2013년 7월 설립해 벌써 창립 10주년을 넘기고 올해 12년차를 맞이한 회사다. 디지털 포렌식 전문성을 바탕으로 휴대폰 등 기기에 담긴 디지털 데이터를 확보해 증거 분석 서비스에 더해 사이버침해사고 대응 서비스를 제공하는데 주력하고 있다.
사이버뿐 아니라 각종 범죄와 관련된 사건·사고에 깊숙히 관여하게 되는 플레인비트의 사업 특성상 고객사는 물론, 회사가 다룬 케이스를 공개하기는 어렵지만, 국내 보안 기업 가운데 가장 많은 디지털 포렌식·침해사고 대응 전문인력과 경험을 보유하고 있는 기업이라고 스스로 자부한다.
플레인비트는 2022년과 2023년 침해사고가 발생한 중소기업을 대상으로 무료로 원인 분석과 재발 방지 조치를 지원하는 한국인터넷진흥원(KISA)의 ‘중소기업 침해사고 피해지원 서비스’ 사업을 진행해왔다. 이 사업이 본격화되기 이전에도 약 3년간 비슷한 사업을 맡아왔다. 이 사업과 자체 사업까지 더해 연간 매년 1000건 이상, 최근 5년 동안 3000건이 넘는 침해사고 조사를 경험했고, 350여건 이상의 디지털 증거 분석을 수행했다.
플레인비트는 정보통신망법에 따라 한국인터넷진흥원(KISA) 내에 구성·운영되고 있는 정보보호 전문가 그룹인 사이버보안전문단 소속 기업이기도 하다. 정보통신망법상 과학기술정보통신부장관은 중대한 침해사고가 발생한 경우 원인 분석과 대책 마련을 위해 정보보호 전문성을 갖춘 민·관합동조사단을 구성할 수 있는데, 이 때 사이버보안전문단 소속 전문가가 참여한다.
정교한 해킹에 의해 대규모 개인정보가 유출됐거나 랜섬웨어 공격 또는 분산서비스거부(DDoS) 공격으로 인한 심각한 시스템 장애 등 떠들썩한 보안 사고가 발생했을 때 민·관합동조사단이 구성되면 정부 관련기관과 함께 플레인비트같은 기업이 간다는 얘기다.
정보통신망법에 따르면, 과기정통부장관은 중대한 침해사고가 발생한 경우 원인 분석과 대책 마련을 위해 정보보호 전문성을 갖춘 민·관합동조사단을 구성할 수 있고, 소속 공무원 또는 민·관합동조사단이 사업장에 출입해 침해사고 원인을 조사할 수 있다. 민·관합동조사단이 구성돼 조사가 이뤄진 가장 최근에 발생한 침해사고는 지난해 초 알려진 LG유플러스 대규모 개인정보유출·DDoS 공격에 의한 장애 사고다.
수많은 디지털 증거분석과 사이버 침해사고 현장에서 10여년간 수많은 경험을 해오면서 전문성을 쌓은 플레인비트의 김진국 대표이사를 만나 사업 현황과 회사 비전, 디지털포렌식과 침해사고 위협 최근 트렌드까지 여러 이야기를 나눴다.
‘오펜시브 시큐리티’, ‘DFIR 서비스’ 가치 제대로 인정받고 싶다
“국내 디지털 포렌식과 침해사고 대응(Digital Forensics & Incident Response, DFIR) 시장을 만드는 것이 목표이다. 우리나라 민간 시장에서 포렌식이나 침해사고 서비스 시장을 제대로 만들어보고 싶다.”
김 대표는 11년 전 회사를 창업한 이유를 이렇게 말했다. 국내에는 플레인비트가 주력하는 두 분야 시장이 제대로 형성돼 있지 않다는 뜻이 행간에 담겨 있다. 그 이유로 김 대표는 “국내에는 (침해사고 방어) 솔루션 시장은 충분히 있다. 하지만 서비스 시장에서는 그 단가가 굉장히 낮을 뿐만 아니라 서비스 자체가 결국 솔루션이나 장비를 판매하거나 납품하기 위한 부가서비스 정도밖에는 안된다”고 지적했다.
이어 “그래도 최근에는 모의해킹 등 오펜시브(Offensive Security)는 서비스 가치를 인정받고 있다. 오펜시브뿐 아니라 디펜시브(Defensive Security) 시장에서도 솔루션이 아닌 침해사고 대응과 예방을 위한 평가(Assessment) 서비스로 가치 있게 해보고자 하는 게 플레인비트의 목표”라고 설명했다.
‘솔루션의 실패’로 귀결되온 침해사고, 보안의 관점과 접근법 달라져야
김 대표는 침해사고 관련 서비스 시장이 부재하고 그 가치가 인정받지 못하게 된 주요 요인으로 침해사고가 발생하는 원인이나 보안(방어)에 대한 관점이 잘못돼 있기 때문이라는 이유를 꼽기도 했다.
“지금까지 (사이버)보안 사고가 나면 그 원인을 솔루션이 못막았기 때문이라고 봤다. 침해사고의 원인이 ‘솔루션의 실패’로 귀결됐다. 그러나 침해사고는 사람의 실수에 의해, 새로운 취약점이 있어서 발생하기도 한다. 솔루션이 아무리 잘 갖춰져 있어도 막을 수 없는 경우가 많다. 그런데 뭔가 뚫렸다고 하면 백신이 진단을 못했다, 보안관제에서 못잡아냈다고 한다. 그러다보니 사고가 발생해 조사하려면 솔루션 업체에게 들어와서 공짜로 해달라고 한다. 서비스 비용을 지불하지 않게 되는 이유다.”
“정보보호는 결국 침해사고나 사이버위협을 막기 위한 것이다. 우리나라에서 정보보호, 디펜시브 기업 대부분은 솔루션을 개발하는 기업이다. 정보보호를 솔루션 위주로만 생각하기 때문에 한계가 있다. 또한 대부분 외부에서 내부로 들어오는 위협을 막는데 치중해, 네트워크에 방화벽, 침입탐지시스템(IPS), 백신 솔루션을 넣었다. 솔루션의 역할을 벗어나 내부에 들어온 위협은 결국 내부망에서 막아야 하기 때문에 그나마 최근에는 ‘제로트러스트’ 관점으로 접근하고 있는 것이다.”
그렇다면 침해사고를 막을 수 있는 방어자는 어떠한 관점으로 접근해야 할까?
김 대표는 “침해사고는 결국 기술의 문제가 아니라 사람의 문제라고 할 수 있다. 사람이 클릭하지 말라는 것을 클릭하거나 사람의 실수에 의해 (소프트웨어) 취약점이 생긴다”며 “보안은 침입하는 1단계에서 막는 것만이 아니다. 공격자가 내부망으로 들어온 이후 9단계나 10단계에서 목적을 달성한다고 가정하면 5단계에서 막거나 9단계에서 막더라도 위협을 막을 수 있다고 봐야 한다”고 강조했다.
침해사고 ‘조사’가 아닌 ‘대응’ 서비스를 포괄적으로 제공하는 이유
플레인비트는 침해사고 조사뿐 아니라 침해사고 대응 서비스 전반을 모두 제공한다. 표적공격 기법 분석과 관련한 전략과 방법, 절차(TTPs) 등을 다루는 DFIR 침해사고 조사 교육도 실시하고 있다. 교육 브랜드가 바로 플레인비트 플러스이다.
침해사고 대응 서비스가 무엇인지 묻는 질문에 대한 김 대표의 설명이다. “침해사고가 발생하면 사고 원인 조사와 분석뿐 아니라 법적 의무사항이 있기 때문에 다양한 일을 해야한다. 중소기업은 KISA에 맡기면 무료로 해주긴 하지만 대기업을 비롯해 규모가 좀 있는 기업은 노출을 원하지 않기 때문에 직접한다. 법 때문에 방송통신위원회, KISA, 금융사들은 금융감독원, 그리고 수사기관에도 신고하고 대응을 해야한다. 이같은 대응을 해본 경험이 없는 경우가 많다. 경찰은 공격자를 추적하지 사고 기업의 보안 상태를 평가하거나 대응 방법을 알려주지 않는다. 기업 입장에서는 민사소송도 진행될 수 있다. 침해사고 조사부터 대응까지 플레인비트에 요청하면 증거물 보전부터 수사기관 대응, 침해 원인 조사와 보안 강화를 위한 컨설팅까지 모든 것을 다 해줄 수 있다. 이게 바로 침해 대응 서비스이다.”
과거에는 침해사고 대응을 할 때 현상을 조치에만 중점을 두는 양상을 보였다. 그러나 최근 들어 포렌식 기술을 활용해 사고의 원인을 규명하고 대응하는 것에 활동의 초점이 맞춰지는 추세라는 게 회사측 설명이다. 이로 인해 글로벌 비롯한 국내 보안 분야에서도 침해사고 대응을 IR(Incident Response)에서 더욱 강화된 DFIR(Digital Forensics & Incident Response)로 인식한다는 것. 플레인비트가 DFIR 서비스를 제공하는 이유다.
10여년 간 다양한 침해사고 분석 경험이 플레인비트의 강점
플레인비트는 중소기업을 제외하고 연간 10~20여건의 침해사고 대응 서비스를 의뢰받아 수행하고 있다. 대기업, 금융사 등 언론에 회자된 유명 사고나 보안업계 전문가들 사이에서만 알려진 주요 보안사고들을 담당했다.
이같은 침해사고 대응 서비스는 사이버위협대응센터(CTRC, 센터장 이준형 책임)이 담당하고 있다. 디지털 증거 분석 및 컨설팅, 포렌식 도구나 장비 공급 등 디지털포렌식 토털 서비스는 디지털포렌식센터(DFC, 센터장 김영철 이사)가 담당한다.
침해사고 대응 분야에서 플레인비트의 강점으로 김 대표는 “플레인비트 설립 이전, 예전에 안랩에서 처음 만든 사고 대응 전문가 조직인 ‘에이퍼스트(A-FIRST)’ 멤버로 활동한 것을 시작으로 초창기 침해사고 서비스가 국내에서 시작될 때부터 10년 이상의 사고 분석 경험을 갖고 있고, 민관 합동조사단 경력도 있다. 특히 호스트 기반 침해사고 조사와 분석, 대응 분야에서는 독보적인 경쟁력을 가지고 있다고 자부한다”고 했다.
그간의 노하우 담은 위협 플랫폼, 예방 서비스 출시 준비 중
플레인비트는 침해사고 대응 서비스 경험과 노하우를 담아 새로운 솔루션과 서비스를 준비하고 있다. 솔루션은 사이버위협 플랫폼을 개발 중이다.
신규 서비스는 침해사고 예방 서비스이다. 요즘 침해사고가 많이 발생하고 있는 액티브디렉토리 시큐리티 어세스먼트(Active Directory Security Assessment, ADSA) 서비스와 엔드포인트 침해위협 원격 모니터링(CertEDR), 여기에 과거의 침해 흔적과 잔존하거나 잠재된 위협을 찾아내는 컴프로마이즈 어세스먼트(Compromise Assessment)로 침해사고 예방과 대응을 아우르는 서비스를 제공할 방침이다.
플레인비트 시장 저변 확장, 국내 넘어 아시아 포렌식 시장 진출 추진
올해에는 이같은 신규 위협 플랫폼과 신규 서비스 개발과 출시를 준비하면서 투자하는 동시에 사업 확장을 꾀하는 시기로 삼겠다는 계획이다.
김 대표는 “플레인비트의 기업 가치가 4가지가 있다. 그 중 한가지가 ‘지속학습’이다. 올해 1년간은 지속 학습을 수행하는 것과 더불어 목표로 삼은대로 시장을 창출하기 위해 사고 조사 경험을 알려 대내외적으로 영향력을 갖춰나가는 시기로 가져갈 것”이라고 설명했다.
플레인비트의 4가지 핵심 기업 가치는 ▲고객의 가장 중요한 문제를 찾아 해결하는데 집중한다는 ‘고객 중심’ ▲균형있는 사고를 통해 디지털 데이터를 객관적으로 해석한다는 의미를 담은 ‘균형 사고’ ▲누구나 성장할 수 있다고 믿고 동료의 성장과 성공을 돕는다는 ‘협업 중시’ ▲디지털 세상의 신기술에 대해 끊임없이 학습해 올바른 문제 해결을 돕는다는 의지를 담은 ‘지속 학습’이다.
회사 미션으로는 디지털 데이터를 그대로 올바르게 해석(PLAIN+BIT)해 사회문제 해결을 돕는다는 것이다. 중장기 비전으로는 ‘아시아 포렌식 서비스 시장의 톱 티어(Top Tier)’를 설정했다. 이를 위해 싱가포르에 지사를 설립해 아시아 시장 문을 두드려볼 계획이다. 아시아지역 위협 대응 전문가들로 구성된 오펜시브 커뮤니티를 만들고 싶다는 것도 김 대표의 희망사항이다.
그는 회사를 설립하기 이전부터 가진 희망사항들과 소망을 플레인비트를 창립해 현실로 만들어가는 과정을 차근히 밟아나가고 있다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
[무료 웨비나] API연결만으로 가능한 빠르고 쉬운 웹3 서비스 구축
- 내용 : API 연결을 통해 웹2와 웹3를 끊김 없이 연결하는 최신 융합 기술과 이를 통한 적용 사례를 다룹니다.
- 일시 : 2024년 10월 10일 (목) 14:00 ~ 15:10