CIOCISO마켓리더
interview ∣ 래피드세븐코리아 박진성 지사장“방어만이 능사가 아니다, 뚫릴 수도 있다는 것을 전제로 보안위협에 대처해야"
방창완 편집국장  |  bang@ciociso.com
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
[0호] 승인 2017.05.31  
트위터 페이스북 미투데이 요즘 네이버 구글 msn
interview ∣ 래피드세븐 코리아 박진성 지사장 
 
"방어만이 능사가 아니다, 뚫릴 수도 있다는 것을 전제로 보안위협에 대처해야"
 
외국계 보안업체인 래피드세븐(Rapid7)은 지난 2015년 나스닥 상장 이후, 글로벌 보안 업계에서 입지를 굳히고 있다. 과거, 보안 업체들이 주로 포인트 위주의 솔루션 영업을 해왔다면, 최근에는 프레임워크 기반의 통합 솔루션으로 방향을 틀고 있다. 최근 새롭게 선임된 래피드세븐 코리아의 박진성 지사장을 만나 최근 보안업계 변화와 래피드세븐의 주요 전략에 대한 이야기를 나눴다. 
 
방창완 편집국장 bang@ciociso.com 
 
 
   
▲ 래피드세븐코리아 박진성 지사장
 
 
 
최근 느끼는 보안 업계의 변화라면.
 
보안 담당자들은 이미 개별 포인트 솔루션만으로는 한계를 느끼고 있다. 따라서 최근 보안업계의 주목할 만한 변화는 프레임워크 기반의 솔루션으로 가고 있다는 점이다. 기업에서 단계별로 보안 전략을 세울 때 유용한 방법이다.
 
최근의 보안 프레임워크는 크게 방화벽, 침입차단/탐지시스템(IPS, IDS) 등의 네트워크 보안, 안티바이러스/패치관리 등의 엔드포인트 보안, 서버/DB 보안 등으로 구분되다가 최일선의 경계구간을 방어하는 페리미터(Perimeter) 구간 방어, 시큐어코딩/소프트웨어개발수명주기(SDLC) 등의 애플리케이션 보안, 로그관리 및 통합보안관제를 중심으로 하는 시큐리티 오퍼레이션 등 3개 범주로 다시 나눠지는 분위기다.
 
보안의 영역이 프레임워크 개념으로 세분화하면서 나머지 부가 영역의 빈틈을 채우는 것으로 변화하고 있다. 이밖에 그간 경쟁만 했던 보안 업계간의 협업도 가시화되고 있다. 보안위협 정보는 항시 중요하며, 개별 기업이 감당하기에는 여의치 않기 때문에 이를 공유하는 분위기다. KISA의 주도로 벤더간 협업을 통해 서로간의 장점을 공유하는 틀을 만들어가는 모습도 고무적이다.
 
몇 년전 각자 다른 영역에서 활동하던 팔로알토네트웍스와 아리스타, 아루바 등이 공동 세미나를 개최했던 것도 이런 변화의 조짐이었으며, 서로 솔루션이 겹치지 않기 때문에 시너지 효과를 기대한 것으로 본다. 
 
이 같은 변화의 이유는. 
 
과거에는 보안 접근법이 ‘무조건 막는다’는 개념이었지만, 시스템 구조가 다변화되고 복잡해지면서 다 막을 수는 없다는 인식이 확산되고 있다. 결국 언젠가는 방어망이 뚫릴 수 있다는 가정하에 이를 효과적으로 막을 수 있는 ‘리스크 베이스 보안’에 대한 주목이 커지고 있는 것이다. 2016년의 가트너 연구결과에 따르면 2020년에는 기업 IT 예산 60%가 위험도 평가(Risk Assessment)를 위한 침해사고 탐지 및 대응 솔루션에 집중될 것이라고 보고된 바 있다.
 
이것은 사이버 침해사고의 증대와 피해규모 확대라는 현실적인 상황을 반영한다는 점에서 긍정적이다. 멀웨어, 랜섬웨어와 같은 공격이 들어왔을 때 중요한 것은 확산을 차단하는 것이다. 따라서 이제는 회사 내부의 단계별 보안 방어 프로세스를 수립하는 프레임워크 설계가 중요하다. 알려진 취약점과 제로데이 리스크에 대한 정기적인 전수검사, 모의 침투 테스트를 통한 보안의 가장 약한 고리 분석, 내부 사용자와 엔드포인트에 대한 실시간 행위 분석 등 리스크 기반 보안정책이 정착되면 사고를 선제 방어하면서, 설령 침해사고가 발생하더라도 확산을 최소화할 수 있다.
 
래피드세븐의 전략을 소개한다면. 
 
이런 관점에서 자사의 솔루션은 단계별 접근법으로 가는 프레임워크 기반의 보안 해결책을 제시하고 있다. 취약점 진단, 침투 테스트, 사용자 행위 분석을 통한 침해 탐지 및 대응에 초점을 두고 있으며 지향점은 ‘리스크 베이스의 보안’이라고 할 수 있다. 
 
우리의 대표 브랜드는 ‘넥스포즈(Nexpose)’ 솔루션으로 설명할 수 있겠다. OS, DB, 애플리케이션, 서버, 네트워크 등 기업 전반의 IT 자산에 대한 취약점 진단도구이며, 에이전트가 필요 없는 자동화 시스템을 통해 상용제품 고유의 보안 취약점(CVE)을 찾아낸다. 신규로 취약점이 발표되거나 내부 자산의 변경이 있더라도 이를 자동으로 감지하여 즉시 진단을 수행한다. 
 
이는 알려지지 않은 제로데이 취약점을 파악하는데 매우 효과적이다. 래피드세븐의 솔루션은 공격이 발생하기 전에 선제 방어적으로 어느 자산에 어떤 취약점이 있는지 미리 알아낼 수 있다는 점에 강점이 있다. 기업 환경에서 패치가 이뤄지지 않은 것을 찾아내고 알려주며, 이에 대한 상세한 개선방안을 가이드 해준다. 중요한 것은 취약점 개선 조치에 소요되는 시간과 업무할당을 손쉽게 이해할 수 있는 리포트로 제공하며, 국제공통기준(CC) 인증 하에 한글을 전면 지원한다는 점이다.
 
그런 면에서 국내의 공공기관과 금융기업에 성공적인 도입 레퍼런스 고객이 많다. 이는 공적 기관들이 단순히 정부 규제 준수를 넘어 리스크 방어의 필요성을 절실히 느끼고 있기 때문이다. 사실, 아무리 막아도 상용제품의 취약점은 새로 발견되기 마련이다. 사이버공격의 루트인 이런 보안의 취약점을 사전에 확인하여 대응할 수 있게 해준다는 점에서 의무 도입의 수요가 늘고 있다. 
 
자사 솔루션에 대해 좀더 자세히 설명한다면. 
 
래피드세븐의 쌍두마차 역할을 하는 ‘메타스플로잇(Metasploit)’은 해킹과 방어를 연구하는 기관은 물론 개인 화이트해커들 사이에서도 전세계적으로 널리 알려진 브랜드이다. 실제 공격을 수행하여 시스템을 무력화할 수도 있는 오펜시브 시큐리티(Offensive Security) 공격 툴로서, 주 목적은 기업이나 기관의 가장 약한 고리를 찾아내서 사이버공격이 발생했을 때의 방어 준비태세를 점검하는 것이다.
 
아울러 내부 사용자들의 보안 의식을 점검하기 위해 피싱 이메일 노출과 로그인 인증 검사 등을 테스트하기도 한다. 
 
이런 접근법이 사용자 입장에서 효과가 있나.
 
현실적인 대응 방법이라고 본다. 본격적으로 솔루션을 도입하기에 앞서 정보보호 전문 컨설팅 기업들이 자사가 무료로 제공하는 데모 버전으로 고객사에게 시연을 수행하는 경우가 많아 폭넓은 전문가 유저그룹이 형성되어 있다. 이렇듯 사이버공격의 실전이 발생했을 때 결과적으로 위협을 막을 수 있냐 못 막느냐 하는 막연한 기대치보다는 사고 이전에 취약점과 시큐리티 홀을 찾아내고, 이를 선제 조치하게 함으로써 위험도 평가(Risk Assessment)를 위한 최적의 솔루션이라고 할 수 있겠다.
 
툴을 통해 취약점을 찾아 이를 막고, 모의 공격에 대응하다보면 사용자 입장에서는 이 과정에서 학습효과가 생긴다. 이는 중요한 기업 자산이 될 수 있다. 이는 ‘행위에 대한 분석’을 통해 제대로 된 보안정책을 꾀할 수 있다는 이점으로 남는다. 
 
앞으로의 채널 및 마케팅 전략은. 
 
지난 5월에 싱가포르에서 아시아태평양지역 파트너 서밋 행사를 개최한 바 있다. 현장에서 특이했던 점은 이기종 보안 솔루션 벤더인 F5, 팔로알토, 체크막스, 사이버아크 등의 솔루션과 자사의 제품 연동을 주요 파트너사들과 공동으로 시연하여 그 결과치를 직접 체험할 수 있었던 것이다. 리세일 파트너사들과의 단단한 협업관계는 물론 방어자 에코시스템을 위한 벤더간의 협력도 아끼지 않을 계획이다. 
 
또한 지금까지는 주로 공공 및 금융기업의 컴플라이언스 대응 사업을 해왔다면 앞으로는 기업 고객의 보안 취약점 전수조사 시장으로 영업망을 확대할 계획이다. 규제준수 감사 통과를 위한 형식적인 도입이 아닌, 날로 치밀해지는 사이버공격을 실제로 방어하고자 하는 고객사에게 하나의 대안으로 다가가고자 한다. 
 
목표는 취약점 사전 진단, 침투 테스트를 통한 개선활동 점검, 취약점 방어태세 재검증으로 이어지는 래피드세븐의 솔루션 순환 프레임워크가 전사의 표준 프로세스로 채택될 수 있는 사업을 추진하는 것이다. 그 성패 여부는 파트너사와의 동반자 관계에 달려있다고 믿는다. 단발적인 이익에 연연하지 않고 우리가 먼저 고객과 협력사가 필요로 하는 솔루션이 되겠다.  
 
< 저작권자 © CIOCISO 무단전재 및 재배포금지 >
방창완 편집국장의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 미투데이 요즘 네이버 구글 msn 뒤로가기 위로가기
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
최근인기기사
1
CIOCISO매거진 주최 제2회 IT 로드쇼 / 나주
2
interview ∣ 김상철 텔스트라코리아 지사장
3
Cover story ∣ AIA생명 김대일 부사장(운영본부장)
4
interview ∣ 송상엽 한컴시큐어 이사, 사이버시큐리티 사업1팀
5
interview ∣ 임종혁 에이치투오시스템테크놀로지(H2O) 대표이사
6
interview ∣ 구자동 케이사인 부사장
7
interview ∣ 박대성 라임라이트네트웍스코리아 지사장
8
interview ∣ 김계관 그리드원 대표이사
9
Cover story ∣ 강민석 흥국생명 IT실 상무
10
제15차 CISO컨퍼런스
신문사소개기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부
121-220 서울시 마포구 합정동 354-18 삼성전기 빌딩 별관3층  |  대표전화 : 02-2632-7561  |  상호명 : (주)씨미디어그룹
사업자등록번호 : 107-81-57633  |  대표자명 : 김영춘  |  통신판매업신고번호 : 제2008-서울마포-01059호  |  인터넷신문 등록번호 : 서울, 아03158
등록연월일: 2014년 5월 16일  |  제호: CIOCISO  |   발행·편집인: 김영춘  |   청소년보호책임자: 김영춘
Copyright © 2012 CIOCISO. All rights reserved. mail to webmaster@ciociso.com