엔키화이트햇 “뚫리는지 선제 검증, 오펜시브 보안이 표준 된다 ”
[인터뷰] 이성권 엔키화이트햇 대표
지난해부터 이어진 다수의 침해 사고는 단일 취약점 문제로 끝나지 않았다. 외부에 노출된 자산을 정확히 파악하지 못한 상태에서 설정 오류나 취약점이 방치되고, 그 틈으로 계정·권한이 탈취되면서 침해가 조직 전체로 번졌다.
사고 이후의 대응책 이상으로 사고 이전 검증 중요성이 더 부각되는 이유다. 공격표면관리(ASM·Attack Surface Management, 공격자에게 보이는 외부 노출 지점을 찾아 목록화하는 관리)와 모의해킹·레드팀 같은 오펜시브 보안(공격자 관점에서 선제적으로 보안 수준을 검증하는 방식)이 주목받는 것도 같은 맥락이다.
국내 오펜시브 보안 전문기업 엔키화이트햇의 이성권 대표는 바이라인네트워크와 인터뷰에서 “이제는 공격자 관점에서 미리 뚫어보고, 실제로 막히는지까지 확인하는 선제 검증 체계가 사이버 보안의 표준으로 자리 잡고 있다”고 강조했다.
정보보호 1세대의 3번째 창업, “엔지니어를 화이트해커부터 뽑았다”
이성권 대표는 국내 정보보호 업계에서 ‘1세대’로 불린다. 1990년대 후반 영국 런던대학교에서 정보보호학 석사를 마친 뒤 한국인터넷진흥원(KISA)에서 근무했고, 국제 보안자격증인 국제공인정보시스템보안전문가(CISSP)를 1999년 아시아에서 최초로 취득했다고 설명했다. 그는 “초창기에는 보안 자체가 생소했고 인력도 부족했다”며 “보안을 업으로 삼는 사람이 지금보다 훨씬 적었다”고 회고했다.
그의 경력은 현장과 창업을 오갔다. 2000년대 초반 보안 분야 창업에 뛰어들어 네트워크 보안 사업을 키웠고, 해외 영업도 경험했다. 이후 인수합병(M&A) 과정을 거쳐 회사를 떠난 뒤에는 고려대학교에서 창업 교육을 하며 보안이 아닌 다른 사업도 시도했다.
엔키화이트햇은 세 번째 창업이다. 그는 보안사고가 늘던 시기에 악성코드 분석 사업으로 출발하면서 “엔지니어를 화이트해커부터 뽑았다”고 말했다. 이 대표는 “방어를 설계하려면 공격을 이해하는 사람이 필요하다고 봤다”고 설명했다. 이후 회사의 무게중심은 오펜시브 보안으로 옮겨갔다. 그는 2021년 1월 대표이사로 합류해 회사를 이끌고 있다고 했다.
“보안, 솔루션 설치 넘어 실제 막히는지 증명해야”
이 대표는 오펜시브 보안이 주목받은 배경으로 ‘사고’와 ‘제도’를 함께 들었다. 그는 전통적 보안 솔루션 시장을 “사고가 터진 뒤 그 사고를 막기 위한 보강 중심”이라고 설명했다. 반면 오펜시브 보안은 공격자 관점에서 사전에 점검해 위협을 사고 전에 줄이는 활동이라고 구분했다.
그는 “작년에 다양한 보안사고가 발생하면서 기업들이 보안을 바라보는 시선이 달라졌다”며 “이제 기업 입장에서는 ‘막을 수 있느냐’보다 ‘막히는지 증명할 수 있느냐’가 더 중요해졌다”고 말했다. 이어 “그 증명 수단으로 침투 테스트(모의해킹)와 레드팀(실전 침투를 가정한 공격 시뮬레이션)이 다시 부각됐다”고 강조했다.
이 대표는 정부가 추진하는 제도 변화도 시장에 영향을 줬다고 설명했다. 그는 “최근 거론되는 정보보호 공시 제도에서 자산 목록과 취약점 관리의 중요성이 더 커졌다”며 “기업은 ‘무엇이 밖에 드러나 있는지’부터 확인해야 한다”고 말했다.
공격표면관리(ASM)는 그 출발점이다. 조직 밖에서 보이는 서버, 도메인, 클라우드 자산 같은 외부 노출 지점을 찾아 목록화하고, 위험도를 정리해 개선 순서를 세우는 과정이 필요하다는 뜻이다. 그는 “자산을 모르면 점검도 개선도 시작하기 어렵다”고 했다.
핵심 제품 ‘오펜’, 실제 뚫리는지 점검한다
엔키화이트햇의 제품 전략은 오펜(OFFen)을 중심으로 펼쳐진다. 주요 제품 라인업은 ▲오펜(OFFen), 오펜 ASM(OFFen ASM) ▲오펜 피타스(PTaaS)(OFFen PTaaS) ▲오펜 캠프(OFFen CAMP)로 구성된다.
오펜 ASM은 외부 노출 지점을 찾고 관리하는 공격표면관리 영역에 초점을 둔다. 오펜 피타스는 서비스형 침투 테스트(PTaaS·Penetration Testing as a Service)다. 모의해킹을 일회성 진단으로 끝내지 않고, 반복 점검과 재검증 흐름으로 운영하도록 설계했다. 오펜 캠프는 화이트해커 교육·훈련 플랫폼이다.
이 대표가 강조한 차별점은 ‘판정’이다. 공격표면관리 시장에는 위협 인텔리전스(TI·Threat Intelligence, 공격 동향과 공격자 정보를 모아 분석하는 위협정보) 기반 제품이 많다. 그는 “하지만 위협이 있다는 사실만 보여주면, 현장은 무엇부터 고칠지 결정하기 어렵다”며 “우리는 그 공격 표면이 실제 공격에 쓰일 수 있는지까지 화이트해커들이 점검해 우선순위를 좁히고 그 실전 데이터를 쌓는다”고 말했다. 취약점이 익스플로잇(Exploit·공격코드로 실제 침투가 가능한 상태) 가능한지 검증하는 과정을 자동화에 담았다는 설명이다.
최근 취약점 점검에 도입되는 AI에 대해서는, 그는 과열을 경계했다. 소스 코드 기반 점검과 운영 환경 기반 점검은 다르다는 게 그의 설명이다. 그는 소스 코드 안에서 취약점을 찾는 방식은 화이트박스 테스트(내부 구조를 알고 점검), 운영 환경에서의 점검은 블랙박스 테스트(내부를 모른 채 공격자처럼 점검)에 가깝다고 설명했다. 이 대표는 “새 애플리케이션을 출시했을 때 담당자가 언제든 ‘뚫리는지’를 시험해볼 수 있어야 한다”며 “(엔키화이트햇)은 블랙박스 테스트에서 최근에는 화이트박스 테스트까지 두 부분에서 모두 차별점을 가져가려고 역량을 강화하고 있다”고 덧붙였다.
이어 그는 “이제 사이버 전쟁은 AI와 해커의 싸움이 아니라 AI 도구를 잘 쓰는 공격자와 AI 도구를 잘 쓰는 방어자의 싸움”이라며 “컨트롤러는 결국 사람”이라고 말했다. 새 공격 기법이 나왔을 때 AI가 낸 판단이 맞는지 검증하고, 다음 시도를 설계하는 역할이 남는다. 이런 추세에 맞춰 엔키화이트햇은 AI 전담 조직도 운영하고 있다. 그는 AI 전문 인력으로 팀을 꾸려 자동화 침투 테스트 고도화를 추진하고 있다고 설명했다.
2026년 ‘제품 고도화·채널 확장’에 집중…매출 약 250억원 목표
엔키화이트햇의 2026년 전략의 축은 ‘제품 고도화’와 ‘채널 확장’이다. 이 대표는 “2025년 잠정 실적(결산 전 추정)이 매출은 약 140억원, 영업이익은 30억원을 달성할 것으로 예상된다”며, 2026년 매출 목표로는 250억원을 내걸었다.
시장 측면에서는 금융과 기업 중심의 수요 흐름을 이어가면서 공공 확대에도 속도를 내겠다고 했다. 특히 조달청 제품 등록을 포함한 유통 채널을 구축해 공공으로 확장하겠다는 계획을 밝혔다. 그는 지금까지 공공을 보안 전문기관이나 예산이 큰 공기업 중심으로 접근해 왔다고 설명했다.
산업군도 넓힌다. 그는 커머스, 온라인동영상서비스(OTT), 스타트업 같은 인터넷 서비스 기업부터 법률사무소까지 “랜섬웨어는 업종을 가리지 않는다”는 인식이 커졌다고 말했다. 사물인터넷(IoT) 기기 점검 요청도 늘고 있다고 했다. 특히 “로봇이 클라우드와 AI에 붙는 순간, 해킹은 안전 문제로 직결될 수 밖에 없어 실전 점검이 필수가 될 것”이라고 덧붙였다.
인재·채용 전략은 신년 전략에서 중요한 부분이다. 이 대표는 “120여명 직원 가운데 70명 이상이 화이트해커”라고 말했다. 그는 보상 구조도 실력 중심으로 설계했다고 강조했다. “초임은 비슷하지만 실력이 있으면 확실히 보상을 제공한다”며 “경력이 적어도 실력만 있으면 충분한 보상을 받을 수 있다”고 말했다. 이 외에도 출퇴근을 유연하게 운영하고, 자격증 비용을 지원하며, 해외 해킹대회 출전 때 항공료와 숙박비도 지원하는 등 직원의 능률을 높이는 복지와 유연한 근무 환경을 갖추고 있다고 덧붙였다.
해킹 대회를 통한 채용 계획도 계획 중이다. 이 대표는 엔키화이트햇이 국내 주요 해킹대회에서 문제 출제와 운영을 맡아온 경험을 언급하며, 오는 3월초 ‘엔키화이트햇 레드팀 CTF’를 열어 채용과 연결할 예정이라고 밝혔다. CTF(Capture The Flag)는 참가자가 취약점을 찾아 ‘깃발’로 비유한 정답을 획득하는 방식의 해킹 방어대회다. 그는 상금 지급과 별도로, 채용으로 이어질 경우 입사 때 추가 보상도 제공하는 모델을 소개했다. 이 방식은 일본 등 해외 사업으로도 확장할 구상이다.
이 대표는 “오펜시브 보안은 단순히 공격을 잘하는 것이 아니라, 공격을 이해해 방어를 현실로 끌어오겠다는 선택이 되어야 한다”며 “아시아 최고의 오펜시브 보안 기업이 되도록 노력하겠다”고 강조했다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network
