스틸리언, 레드팀 강점 바탕으로 ‘대응 중심 보안 컨설팅’ 강화
이상철 스틸리언 컨설팅사업본부장 “모의해킹·레드팀 강점으로 보안 컨설팅 역량 차별화 할 것”
오펜시브 보안 전문기업 스틸리언(대표 박찬암)이 모의해킹과 레드팀을 앞세운 공격자 관점 보안 전문성에 대응 능력을 결합해, 사이버보안 컨설팅 역량을 더욱 강화하고 있다고 밝혔다.
이상철 스틸리언 컨설팅사업본부장은 “기업들은 예전처럼 취약점을 찾아내는 데만 머물지 않고, 왜 문제가 생겼는지 해석하고 무엇부터 바꿔야 하는지까지 고민하고 있다”고 말했다.
이어 그는 “취약점이 있느냐보다 실제 공격자가 들어오면 어디까지 뚫을 수 있는지, 그럼 우리 조직이 무엇부터 손봐야 하는지를 묻는다”며 “이 변화에 맞춰 스틸리언도 종합 보안 컨설팅 역량을 강화하고 있다”고 설명했다.
공격자 관점 점검에서 나아가 ‘종합 보안 컨설팅’까지
이상철 본부장은 지난해 스틸리언이 본부 체계로 전환하는 시점에 합류했다. 엔지니어와 창업, 대기업 보안 컨설팅, 회계법인, 글로벌 기업을 두루 거친 전문가다.
이 본부장은 “기존의 스틸리언은 모바일 앱 보안 솔루션, 모의해킹, 연구개발 역량이 각각 강했지만, 시장에서는 이를 개별 사업처럼 보는 시선도 적지 않았다”며 “지금은 이를 ‘사이버보안 서비스’라는 하나의 축 아래 두고 다시 보고 있다”고 말했다. 컨설팅사업본부는 이 안에서 공격자 관점의 취약점 점검부터 정보보호 관리체계 수립, 중장기 보안 계획, 사후 개선 지원까지 이어주는 역할을 맡고 있다.
시장 수요도 달라졌다. 예전에는 인증이나 규제 대응을 위해 필요한 항목을 점검하는 수요가 많았다. 하지만 최근에는 실제 공격 시나리오를 기준으로 현재 방어 수준을 확인하고, 취약점 발견 뒤 조직과 예산, 일정까지 고려한 개선 계획을 함께 세우려는 기업이 늘고 있다. 이 본부장은 “지금은 모의해킹 결과를 알려주는 것만으로는 부족하고, 그 결과를 실제 대응과 개선까지 연결하는 게 중요해졌다”고 말했다.
이 같은 방향은 실제 사업 구조에서도 드러난다. 컨설팅사업본부는 현재 스틸리언 전체 매출의 1/3 정도를 차지하고 있다. 그 안에서도 모의 침투 테스트와 레드팀이 핵심 축이다. 스틸리언은 이 공격자 관점 점검 역량을 바탕으로, 단순 침투 재현을 넘어 결과 해석과 개선 계획 수립까지 아우르는 종합 보안 컨설팅으로 사업을 넓히고 있다.
이런 변화는 스틸리언의 주력 서비스를 바라보는 방식도 바꿨다. 이 본부장은 업계에서 흔히 쓰는 ‘모의해킹’이 실제로는 단순 취약점 진단에 머무르는 경우가 적지 않았다고 짚었다. 반면 모의 침투 테스트와 레드팀은 실제 공격 시나리오를 바탕으로 침투 가능성과 대응 수준을 더 현실적으로 점검하는 방식에 가깝다. 최근 기업들이 체크리스트 중심 점검보다 실제 사고 가능성을 보여주는 서비스를 더 찾는 것도 이런 이유에서다.
다만 그는 스틸리언의 역할이 침해 가능성을 재현하는 데서 끝나서는 안 된다고 봤다. 공격자 관점에서 취약점을 찾아내더라도, 이후 어떤 자산부터 점검하고 어떤 문제를 먼저 고칠지까지 정리하지 않으면 기업 입장에서는 실질적인 개선으로 이어지기 어렵기 때문이다. 이에 따라 스틸리언은 모의 침투 테스트나 레드팀이라는 단일 서비스를 제시하는 데 머무르지 않고, 고객이 가진 문제를 쪼개고 다시 묶어 제안하는 방향으로 컨설팅 사업을 넓히고 있다.
이 본부장은 “정보보호 관리체계(ISMS) 인증 대응, 개인정보보호 컨설팅, 보안 마스터플랜 수립, 기존 솔루션 효과성 점검, 노후 시스템 점검, 보안 감사 대응까지 함께 보는 식”이라며 “회사가 가진 모의해킹과 레드팀 역량을 바탕으로 고객의 실제 보안 운영 문제 해결까지 돕는 방향으로 가고 있다”고 말했다.
취약점 발견보다 어려운 건 ‘대응 우선순위’
이 본부장은 앞으로의 보안 컨설팅 경쟁력은 ‘얼마나 잘 찾느냐’보다 ‘찾은 뒤 무엇을 하게 만드느냐’에 달려 있다고 봤다. 화이트해커 조직은 취약점을 찾는 역량이 강하지만, 그 결과를 기업의 운영 현실과 예산 구조, 조직 체계에 맞게 풀어내는 일은 또 다른 영역이라는 것이다. 스틸리언이 최근 특히 힘을 싣는 부분도 이 지점이다.
그는 단순 점검 보고서 전달로는 고객의 문제가 끝나지 않는다고 말했다. 어떤 취약점을 먼저 조치해야 하는지, 누가 책임지고 고쳐야 하는지, 어느 수준까지 예산을 반영해야 하는지, 기존 솔루션을 유지할지 교체할지까지 함께 판단해야 실제 개선이 이뤄진다는 뜻이다. 이 본부장은 “스틸리언은 취약점 결과를 정리하는 데서 끝내지 않고, 해당 기업 환경에 맞춘 조치 방안과 개선 순서까지 구체화하는 컨설팅을 강화하고 있다”며 “필요한 경우 개발자와 운영자가 바로 이해할 수 있는 수준의 예시까지 제시하고 있다”고 말했다.
그는 기업들이 이미 보안의 필요성을 모르는 것은 아니라고 했다. 문제는 현실이다. 전수 자산 식별과 점검, 노후 장비 교체, 기존 솔루션 최적화, 정보보호 조직 운영을 동시에 추진할 여력이 없는 기업이 많다. 특히 오래된 기업일수록 남아 있는 시스템의 현황과 담당 조직이 명확하지 않은 경우도 적지 않다. 그는 이런 상황일수록 종합 보안 컨설팅의 필요성이 커진다고 봤다. 당장 막아야 할 위험과 시간이 걸리는 과제를 나눠 우선순위를 정해 주는 역할이 더 중요해진다는 설명이다.
이 본부장은 보안 컨설팅의 범위도 넓게 봤다. 모의 침투 테스트와 레드팀뿐 아니라 정보보호 중장기 계획, 개인정보보호 체계, 보안 솔루션 운영 점검, 노후 장비 대응까지 모두 연결돼야 실효성이 생긴다는 것이다. 그는 기업이 보안 제품을 이미 많이 도입했더라도 실제로는 최적화가 안 돼 있거나 꺼져 있는 경우가 적지 않다고 지적했다. 오래된 시스템은 담당자 부재와 운영 중단 부담까지 겹쳐 더 손대기 어려운 영역이 되기 쉽다는 설명이다.
금융 넘어 제조·산업까지…보안컨설팅 수요 확대
시장 분위기도 바뀌고 있다. 이 본부장은 “지난해부터 많은 기업이 관련 예산을 편성했고, 올해 들어 제안요청서(RFP)와 수요가 이어지고 있다”며 “시장은 이미 만들어졌고, 회사마다 확보한 예산을 언제 쓰느냐의 문제로 넘어간 상황”이라고 말했다.
수요는 특정 분야에만 국한되지 않는다. 이 본부장은 “최근 기업들이 그동안 보지 않았던 관점에서 보안 점검을 발주하고 있다”고 설명했다. 특히 그는 “올해부터는 기업의 감사실까지 움직이기 시작했다”고 강조했다. 보안 컨설팅이 그만큼 중요해진 것이다. 오랫동안 보안 예산을 써왔는데도 왜 사고가 났는지, 기존 점검과 투자가 실제 방어력으로 이어졌는지를 경영진 차원에서 더 따져 묻기 시작했다는 설명이다.
다만 그는 “보안을 징계 중심 감사로만 접근하면 실효성이 떨어질 수 있다”고 봤다. 보안 수준을 높이려면 일정 수준의 협의와 협업이 전제돼야 하기 때문이다. 점검 범위와 목적을 분명히 하고, 개선 가능성을 열어둔 상태에서 접근해야 조직도 움직일 수 있다는 설명이다.
제조와 산업 영역도 보안 컨설팅 영역에서 중요한 시장으로 보고 있다. 이 본부장은 정보기술(IT)과 운영기술(OT) 보안을 완전히 다른 문제로 보지 않는다고 말했다. OT 보안은 공장과 생산 설비처럼 멈추기 어려운 환경을 다루는 만큼 부담이 더 크지만, 결국 정책과 조직, 역할 정리, 절차 수립 같은 기본 체계가 함께 가야 한다는 것이다. 특히 반도체와 에너지처럼 국가 핵심기술과 맞닿은 산업 영역에서도 이런 컨설팅 수요가 커질 가능성이 높다.
최근 정부의 보안 규제 강화 흐름도 시장 확대의 계기가 될 수 있다는 점도 짚었다. 다만 그는 수요가 급증하면 자격이 충분하지 않은 업체가 최저가 경쟁에 뛰어들 가능성도 있다고 경계했다. 실제로 고객이 실력보다 가격에 맞춰 업체를 고르는 구조가 반복되면, 점검을 했는데도 실패를 겪는 사례가 다시 나올 수 있다는 우려다.
이 본부장은 “(보안 컨설팅 측면에서) 실제 실력 있는 기업을 고르기보다 현재 예산에 맞는 회사를 택하는 경우가 많다. 좋은 시장이 열리더라도 결국 중요한 건 누가 얼마나 제대로 컨설팅을 해주느냐”라며 “스틸리언은 보안 컨설팅 역량에서 변별력을 가지고 있다“고 말했다.
이어 “오펜시브 보안 역량을 기반으로 왜 뚫렸는지 설명하고, 무엇부터 바꿔야 하는지를 제시하는 대응까지 이어지도록 보언 컨설팅 역량을 강화하고 있다”며 “모의해킹과 레드팀은 여전히 스틸리언의 핵심이지만, 그 무기의 쓰임새를 침투에만 두지 않고 개선 계획과 관리 체계, 감사 대응까지 넓혀갈 것”이라고 강조했다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
