웹 해킹과 보안

panics.egloos.com

포토로그



Zoom Up 기업열전-패닉시큐리티

■ Zoom Up 기업열전-패닉시큐리티

웹사이트가 나날이 복잡해지고 다양한 서비스를 제공하면서 그에 비례해 보안 허점이 생길 가능성도 아울러 높아지고 있다. 그에 따라 웹 해킹에 대한 대비도 강화되느냐 하면, 그건 아니다. 심지어 성능과 고객편의를 이유로 기 구축된 보안장비도 제대로 가동하지 않는 경우까지 있다.

최근의 웹 해킹이 수문장(웹 방화벽, IDS, IPS 등 보안시스템)을 우회 또는 무력화하고 침입하는 형태를 띠다보니 보다 근본적인 보안책이 요구된다. 모의해킹을 통한 해킹징후파악과 웹 취약점 점검 솔루션은 이 같은 필요에서 갈수록 각광받고 있다.

패닉시큐리티(대표 신용재)는 웹 취약점 점검 솔루션을 2004년 국내에서 처음으로 개발한 업체다. 2007년에는 인터넷뱅킹 메모리 해킹기법을 국내 최초로 시연해 보임으로써 금융감독원이 관련 지침을 만들게끔 한 이력을 갖고 있다.

패닉시큐리티는 2004년 5월 국내 내노라하는 해커(화이트 해커)들이 모여 만든 회사다. 한마디로 `해커 집단'인 셈이다. 당시 금융사와 공공기관들의 해킹사고로 사회적 파장이 고조되고 있을 때다. 해커였던 신용재 대표는 사계의 `고수'들을 끌어 모으기로 결심한다. 그는 "해킹 기술을 사업화 해보자는 것이 주목적이었지만 실력을 자랑하고픈 우쭐함과 공익에 기여한다는 약간의 공명심도 발동했다"고 귀띔한다. 패닉시큐리티는 설립하자마자 공공기관 금융사 통신사 대기업 등으로부터 모의해킹 의뢰가 밀어닥쳤다.

패닉시큐리티는 설립직후 본격적으로 웹 보안을 위한 솔루션 개발에 뛰어든다. 결과는 금방 나왔다. 회사 설립 이전부터 이 분야에 밝았던 전문가들이었기 때문이다. 첫 작품이 웹 취약점 점검도구 `PS 스캔웹'(PS ScanW3B)이다. 국내 최초 웹 취약점 점검 솔루션이다. 당시는 와치파이어의 `앱스캔'과 카바도의 `스캔두'(ScanDo)라는 외산 솔루션이 시장을 선점하고 있을 때였다.

그러나 외산은 국내 웹 환경에 적합하지 못한 부분이 많았다. 취약점에 대한 설명과 조치 방법도 국내 개발자들이 활용하기엔 버거웠고 벽이 높았다. 스캔웹의 방식은 순수 국산 기술로 앱 소스코드를 분석해 취약점을 자동으로 분석하는 방식이다. PS스캔웹은 국내 환경에 적합하고 개발자들이 활용하기 쉬워 출시와 동시에 여러 대형기관들로부터 주문이 쏟아졌다. 현재까지 금융, 포털, 대기업과 서울시, 인터넷진흥원(KISA), 한국과학기술연구원 등 수십 곳에 공급됐다.

특히 서버 버전의 스캔웹은 웹 환경의 인터페이스를 추가해 한꺼번에 수백, 수천 개의 웹 사이트 점검이 가능하다. 자동화된 상시 진단 시스템을 갖춰야 하는 수백 개 이상의 웹사이트를 보유한 대형 기관들에 안성맞춤이다. 대법원, 국방부, 금융결제원, 한국과학기술정보연구원, KISA, 지경부, 서울대, 경기도, 산림청 등 공공 사이트, 금융, 통신, 제조 분야 대기업 수십 곳이 도입해 쓰고 있다.

웹 해킹 징후분석 시스템 `블랙박스'(BlackBox)는 `해커'들이 해커 징후를 찾아내는 솔루션을 만들었다는 점에서 일단 경쟁제품에 대해 한 뼘을 접고 들어간다. 신용재 대표는 "방대한 로그를 분석하는 데에 해커의 입장에서 접근하기 때문에 징후 포착률이 매우 높다"고 말한다. 해킹은 보통 단시간에 일어나는 게 아니라 장기간에 걸쳐 침입 사실이 발각되지 않게 수행된다. 또 IPS, IDS, 방화벽 같은 보안 장비를 우회하거나 무력화 한 후 웹서버까지 도달하므로 한시도 빈틈을 허용해서는 안 된다.

웹은 주기적으로 개편작업을 하고 크고 작은 수정이 필요하기 때문에 완벽한 웹 애플리케이션을 구축하는 것은 매우 어렵다. 그런 만큼 해킹 징후 분석이 필수적이다. 블랙박스는 방대한 로그 분석을 통해 해커가 남긴 흔적을 수집, 분석해 이상 징후를 파악한다. 신속한 피해 분석과 함께 대안을 제시한다. 블랙박스는 국내 대기업과 대형 공공기관을 중심으로 레퍼런스를 빠르게 늘리고 있다.

패닉시큐리티는 PS스캔웹과 블랙박스 두 솔루션을 통해 웹 보안의 가장 뒷자리, 즉 보안의 보루를 맡는다는 자부심을 갖고 있다. 중소사업자들을 위한 일회성 웹 취약점 분석서비스도 저렴한 가격으로 공급한다. 대형 사이트에 대해서는 모의해킹을 통한 보안 컨설팅도 별도로 제공한다. 특히, 국산 서비스 공급자가 매우 취약한 웹 취약점 분석과 해킹징후 분석을 담당한다는 점에서 소명의식도 갖고 있다. 올해 매출(10~20억 원) 달성과 함께 내년에는 해외로 진출하겠다는 각오를 다지고 있다.

이규화선임기자 david@

◇ 회사개요

대표 : 신 용 재

설립 : 2004년 5월

주요 사업분야 및 제품 : 웹 취약점 점검도구 `PS스캔웹`(PS ScanW3B) PC와 서버 버전, 웹 해킹 징후분석 시스템 `블랙박스`(BlackBox), 스마트폰 앱 해킹방지툴, 모의해킹 및 징후분석 서비스, 웹 취약점 점검 서비스.

◇ 사진설명 : 패닉시큐리티의 해킹징후분석 `시스템 블랙박스`(BlackBox)는 전문 해커의 입장에서 예상되는 거의 모든 형태의 해킹을 가정해 개발됐다. 대용량 웹로그의 효과적 정제기술과 뛰어난 연관성 분석으로 해킹징후를 신속하게 파악한다. 



덧글

댓글 입력 영역