양종헌 S2W 오펜시브연구팀장 (출처 : 바이라인네트워크)
|

S2W, CTI 기반 모의해킹 확대…‘인증’ 넘어 ‘실전 점검’으로

[인터뷰] 양종헌 S2W 오펜시브연구팀장 

빅데이터 분석 인공지능(AI) 기업 에스투더블유(대표 서상덕, 이하 S2W)는 사이버 위협 인텔리전스(CTI) 역량을 접목한 ‘모의해킹’ 사업을 확대하고 있다.

모의해킹은 말 그대로 ‘공격자가 들어오는 길’을 직접 따라가 보는 점검이다. 다양한 보안 규정과 절차가 현장에서 제대로 작동하는지, 시스템의 빈틈이 실제 공격으로 이어지는지까지 확인한다.

양종헌 S2W 오펜시브연구팀장은 보안 인증과 모의해킹의 차이를 “미슐랭 3스타를 받은 식당이 훌륭한 식당인 건 맞지만 그 사실만으로 주방의 위생 상태까지 보장되지는 않는다”는 비유로 설명했다. 그는 인증이 보안을 운영하는 ‘기준과 절차’를 갖췄는지 확인하는 과정이라면, 모의해킹은 실제 영업 중인 주방에 들어가 오염이 생길 수 있는 동선과 취약한 지점을 찾아내는 위생 점검에 가깝다고 말했다. 서류로는 정돈돼 보여도, 현장에서는 늘 빈틈이 생긴다. 결국 직접 들여다보고 시험해 볼 때 문제가 드러난다는 의미다.

최근 공격자들의 변화도 이런 ‘실전 점검’ 수요를 키운다. 양 팀장은 “예전에는 취약점 하나가 공개되면 대량으로 악성코드를 배포해 걸리면 침투하는 방식이었다”며 “지금은 기업의 규모, 협상 여력, 외부 노출 정보까지 살펴 ‘돈이 될 만한 곳’을 고른다. 특히 랜섬웨어 그룹은 내부 자료 유출을 전제로 협박 강도를 높이는 ‘이중 협박’ 전략도 병행한다. 기업은 이제 막았는지보다 어디서, 어떤 방식으로 뚫리는지를 시나리오로 계속해서 확인해야 한다“고 설명했다.

공격자는 그물 대신 ‘표적’을 고른다

최근 위협 환경에서 두드러지는 변화는 공격의 속도가 아니라 ‘선별’이다. 예전에는 취약점이 공개되면 대규모로 살포해 걸리는 곳을 낚는 방식이 흔했다. 지금은 공격자들이 경험치를 쌓으면서 “실제로 공격할 만한 기업을 타깃팅”하는 흐름이 강해졌다. 랜섬웨어 그룹은 침투 전에 기업 정보를 조사하고, 대기업과의 연관성 같은 효과적인 공격 방향을 정해 협박 강도를 조절한다. 하청·협력사처럼 방어가 상대적으로 얇은 지점을 노리는 이유도 여기에 있다.

결국 기업이 마주한 질문도 바뀐다. “우리는 인증을 받았다”가 아니라 “공격자가 우리를 노릴 때 어디로 공격할 것인가”가 된다. 이 질문에 답하려면, 서류로 기준을 확인하는 방식만으로는 부족하다.

인증으로 세운 틀, 모의해킹으로 점검

양 팀장은 정보보호 관리체계(ISMS) 같은 서류 기반의 보안 인증을 “운영 프로세스를 갖췄는지 확인하는 틀”로 봤다. 조직이 보안을 어떻게 관리하고 점검하는지, 역할과 절차가 제대로 돌아가는지를 확인하는 성격이 강하다는 의미다.

반면 그는 모의해킹은 실제 공격 상황을 가정해 시스템에 부하를 걸고, 어디서부터 무너지는지 확인하는 실전 검사에 가깝다고 설명했다. 문서와 절차가 정교해도 운영 환경은 설정 변경, 기능 추가, 외부 노출 지점 확대로 계속 바뀐다. 양 팀장은 이런 변화 속에서 생기는 틈은 서류 점검만으로는 찾기 어렵고, 공격자의 시선으로 직접 시험해 봐야 드러난다고 강조했다.

양 팀장은 “정부의 기술 심사 강화나 모의해킹 의무화 논의도 결국 ‘서류 중심 점검’의 한계를 반영하고 있다”고 말했다. 특히 그는 “인증에서 요구하는 암호화가 돼 있으니 안전하다”는 문장이 실전에서 얼마나 쉽게 무너지는지를 예로 들었다. 암호화 솔루션을 우회해 데이터를 들고 나갈 수 있으면, 그 순간 언제든 큰 문제가 터질 수 있는 상태가 되기 때문이다. S2W는 이 실전의 틈을 줄이기 위해 위협 정보와 모의침투를 한 흐름으로 묶는 전략을 택했다.

CTI 센터는 지휘부, 모의해킹팀은 실전 부대

양종헌 팀장이 이끄는 오펜시브 연구팀은 ‘공격자 관점’에서 기업 보안을 다시 그리는 곳이다. 그는 먼저 위협 인텔리전스 센터 역할을 언급하며 “공격자 동향을 파악하고, 기업이 무엇을 막아야 하는지 인사이트를 제시하는 지휘부”라고 설명했다. 공격자가 무엇에 관심을 두는지, 어떤 정보가 다크웹에서 사고 팔리는지, 공격자들이 실제로 어떻게 움직이는지까지 종합해 방어의 방향을 잡는 곳이 CTI 센터라는 것이다.

이 과정에서 S2W는 위협 정보를 한 곳에 모아 분석·정리하는 CTI 플랫폼인 ‘퀘이사(QUAXAR)’를 활용한다. 퀘이사는 딥웹·다크웹에 올라온 단서, 취약점 이슈의 관심도, 공격 그룹의 전술·기술·절차(TTP) 같은 신호를 모아 “지금 무엇을 먼저 점검해야 하는지” 우선순위를 도출하는 역할을 한다. 양 팀장은 “고객 입장에서는 결국 ‘당장 내가 뭘 해야 하냐’가 중요하다”고 강조했다.

오펜시브 연구팀은 이렇게 정리된 우선순위를 ‘실전 점검’으로 확인한다. 취약점 하나가 공개됐을 때 국내외에서 어떤 제품이 얼마나 쓰이는지, 어떤 자산이 영향을 받는지 분석하고, 기업이 관리해야 할 자산의 순서를 정한다. 단순히 취약점 목록을 전달하는 데서 끝내지 않고, 실제로 뚫리는지 여부와 대응의 현실적인 선택지를 함께 제시하는 방식이다.

(출처 : AI 생성 이미지)

CTI 기반 모의해킹, ‘취약점 목록 넘어 공격 시나리오

결국 오펜시브 연구팀의 방향은 ‘CTI와 공격 TTP를 모의해킹 설계에 녹이는 것’이다. 단순 스캐닝(자동 점검)으로 취약점을 나열하는 데서 멈추지 않고, 공격자가 실제로 악용할 가능성이 큰 지점을 CTI 기반으로 심층 분석하고 좁힌다.

이때 중요한 재료가 다크웹 정보다. 공격자는 다크웹에 유출된 계정 정보를 로그인 시도, 권한 상승, 내부 이동 같은 시나리오로 엮는다. 다만 양 팀장은 “다크웹 데이터가 항상 최신은 아니지만, 과거 데이터가 다시 올라오기도 한다”며 “그래서 더 중요한 건 기본기다. 가장 기초적으로는 암호화가 제일 잘 돼 있어야 한다”고 설명했다.

현장에서 ‘의외의 지점’이 뚫리는 이유는 단순하다. 자산을 다 안다고 생각하지만 바깥에서 보면 구멍이 보인다. 열린 포트 하나, 정리되지 않은 서비스 하나가 공격 표면이 된다. 최근 많이 언급되는 ‘공격 표면 관리(ASM)’는 외부에 노출된 자산과 진입점을 찾아 “어떤 포트가 어떤 서비스를 하는지” 추정하고, 취약점 가능성을 분석해 우선순위를 만드는 작업이다. ASM을 통해 단순한 취약점 목록이 아니라 더 정교한 공격 시나리오를 그릴 수 있다.

양 팀장은 모의해킹 분야에서 S2W의 경쟁력을 ‘다양한 대안과 끝없는 관심’이라고 말했다. 오펜시브 연구팀은 모의해킹을 의뢰한 고객에게 최신 버전으로의 패치를 권고하되, 그게 어렵다고 한다면 또 다른 방법을 제시한다. 그것도 어렵다면 공격이 많이 들어오는 데이터를 모니터링하고 사후 대응이라도 할 수 있게 방향을 준다. 고객이 현실적으로 움직일 수 있는 단계로 방식을 다양화한다.

카트와 AI, 점검의 빈틈을 메우는 장치

최근 현장에서는 점검 범위가 넓어지고 요청도 늘면서, 모든 구간을 동일한 방식으로 정검하는 방식에 한계가 있다는 고민이 생겼다. 양종헌 S2W 오펜시브연구팀장은 “요청하는 고객이 많아, 내부적으로 AI를 탑재한 자동화 도구를 개발해 테스트하고 있다”고 말했다. AI 활용의 핵심은 사람을 대체하는 것이 아니라, 사람이 놓치기 쉬운 틈을 줄여 점검의 간극을 좁히는 데 있다.

S2W가 AI를 모의해킹 업무에 적용하는 방식은 크게 세 갈래다. 첫째는 ‘대상 자산’과 ‘노출 지점’을 더 넓게 점검하는 일이다. 외부에 열린 포트와 서비스 정보를 정리하고, 공개된 취약점이 실제로 어떤 자산에 닿는지 빠르게 매칭해 ‘먼저 점검해야 할 지점’을 좁혀준다.

둘째는 전문가가 놓칠 수 있는 요소를 재확인하는 일이다. 사람은 경험이 쌓일수록 판단이 빨라지지만, 반복 업무에서는 작은 누락이 생길 수 있다. 양 팀장은 “AI와 사람의 차이는 실수 빈도다. AI가 사람이 실수로 놓친 빈틈을 찾아낼 수 있다”고 말했다.

셋째는 보고서 다음 단계의 ‘대응’까지 연결하는 보조 역할이다. 취약점이 있다는 사실만 나열하기보다, 지금 바로 가능한 조치와 우선순위를 제시하는 쪽으로 리포트를 다듬는 데 AI를 활용한다. “AI가 데이터를 더 폭넓게 보고, 구체적인 계획까지 세워줄 수 있다”는 것이 양 팀장의 설명이다.

이 자동화 흐름에서 등장하는 용어가 ‘카트(CART)’다. 카트는 ‘상시 자동화 레드팀(Continuous Automated Red Teaming)’을 뜻한다. 한 번의 점검으로 끝내지 않고 반복 가능한 공격 검증을 짧은 주기로 계속 돌려 ‘지금도 뚫리는가’를 지속해서 확인하는 방식이다.

(출처 : 양종헌 S2W 오펜시브 연구팀장)

양 팀장은 카트를 “지속적으로 공격이 가능한지를 테스트하는 도구”라고 설명했다. 고객이 원할 때마다 “이 서버가 지금 이 취약점으로 실제 침해될 수 있나”를 확인할 수 있게 돕는 장치다.

S2W가 말하는 CTI 기반 모의해킹은 카트의 방향성과 맞닿아 있다. 차이는 ‘무엇을 어떻게 자동화하느냐’다. 카트가 반복 점검의 빈도를 높여 간극을 줄이는 역할이라면, CTI는 ‘어디를 먼저 때릴지’를 정하는 눈이다. 딥웹·다크웹 유출 정보, 취약점 관심도, 공격 그룹의 TTP 같은 신호를 모아 우선순위를 만든 뒤, 그 우선순위에 맞춰 자동 검증과 심층 모의해킹를 연결하는 구조다. 단순히 도구를 돌려 취약점 목록을 만드는 것이 아니라, 공격자가 실제로 선택할 경로를 시나리오로 재현하는 데 초점을 맞춘 것이다.

다만, 모의해킹에 AI를 활용하는 방식에도 선은 있다. 양 팀장은 딥웹·다크웹 같은 곳에서 발견된 민감한 데이터는 내부에서 개발한 자체 모델로 처리한다고 말했다. 외부로 나가면 문제가 되는 정보가 많기 때문이다. 데이터 처리 방식부터 통제하려는 접근이다.

자동화가 늘어도 마지막 결정은 사람의 몫으로 남는다. 양 팀장은 “AI에게 책임을 지게 할 수는 없다”며 “모의해킹은 통제된 범위 안에서만 움직여야 하고, 어떤 시나리오를 어디까지 실행할지 기준이 필요하다. AI의 눈으로 넓게 본 후 후보를 만들고, 사람이 범위를 정하고 위험을 가늠해 결정을 내리는 구조가 현실적”이라고 강조했다. 자동화로 모의해킹이 고도화되어도 결국 점검에서 가장 중요한 것은 ‘어디까지 점검할 것인가’ 기준을 정하는 사람이라는 메시지다.

양 팀장은 앞으로 CTI 기반 모의해킹을 요청 고객부터 순차 확대하고, 카트처럼 반복 검증이 가능한 자동화 체계를 고도화하겠다고 말했다. 내부에서는 AI 자동화 도구를 완성해 테스트를 진행 중이며, 딥웹·다크웹처럼 민감한 데이터는 내부 AI 모델로 처리해 분석 과정의 노출 위험을 낮춘다는 방침이다. 그는 ‘AI가 넓게 분석한 후 사람이 기준을 세워 결정하는 구조’를 전제로, 고객별 환경에 맞춘 시나리오 점검과 실행 가능한 대응 방안을 함께 제시해 고도화된 모의해킹 서비스를 계속 지원하겠다고 강조했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

일간 바이라인 구독하기

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.