금융보안원 화이트해커 ‘레드아이리스’
출범 2주년 유정각 팀장 인터뷰
망분리를 절대적 안전장치로 보면 위험
보안극장 논쟁처럼 보여주기식 통제 우려
EU 모의해킹 의무화 국내서도 검토 전망
내년 레드아이리스팀 인력 2배 확충 계획
출범 2주년 유정각 팀장 인터뷰
망분리를 절대적 안전장치로 보면 위험
보안극장 논쟁처럼 보여주기식 통제 우려
EU 모의해킹 의무화 국내서도 검토 전망
내년 레드아이리스팀 인력 2배 확충 계획
 |
| 지난달 29일 서울 여의도에 위치한 금융보안원 여의도사무소에서 유정각 레드아이리스 팀장이 기념사진을 촬영하고 있다. [정호원 기자] |
[헤럴드경제=정호원 기자] 사이버보안 분야에는 ‘블루팀’과 ‘레드팀’이 있다. 블루팀은 사이버 공격을 탐지하고 대응해 피해를 최소화하는 ‘방어자’의 역할을 맡는다. 반면 레드팀은 실제 해커처럼 시스템을 침투해 취약점을 찾아내고 방어체계의 허점을 드러내는 ‘공격자’의 임무를 수행한다.
올해는 금융권과 통신사 등에서 굵직한 정보유출 사고가 잇따랐다. 이러한 공격으로부터 조직을 지키기 위해 현장에서는 공격자(레드팀)와 방어자(블루팀)가 함께 움직인다. 공격자의 시각에서 악성 해커의 침투 수법을 분석하고, 방어자는 이를 토대로 실시간 대응체계를 강화한다.
국내 금융사는 높은 규제 환경 속에서 운영되기 때문에 보안 역시 일반 산업군과는 다른 특성을 갖는다. 이에 금융보안원은 금융권 특성에 맞춘 전문 침투테스트 조직 ‘레드아이리스(Red IRIS)팀’을 2023년 11월 신설했다. ‘레드’는 공격자를 ‘아이리스’는 순우리말로 ‘이리떼(늑대)’를 뜻한다. 늑대처럼 전략적으로 사냥감(취약점)을 추적한다는 의미다. 오는 6일로 출범 2년 차를 맞는 이 팀은 금융권 보안을 ‘공격자 관점’에서 점검하는 역할을 맡고 있다. 헤럴드경제는 지난달 29일 금융보안원 여의도사무실에서 ‘레드 아이리스팀’ 유정각 팀장을 만나 국내 사이버보안의 현실과 레드 아이리스팀의 역할에 대해 인터뷰했다.
“금융 보안에 최적화된 ‘레드아이리스팀’…국내 규제 이해도가 강점”
레드아이리스팀은 2023년 화이트해킹 전문팀으로 출범했지만, 금융보안원의 모의해킹 역사는 그보다 훨씬 길다. 유정각 팀장은 “금융보안원 내 흩어져 있던 화이트해커들을 한데 모아 조직력을 강화하기 위한 취지로 ‘레드아이리스팀’을 구성했다”고 설명했다.
유 팀장은 20년 이상 금융보안 분야를 두루 거친 전문가다. 그는 2002년 말 금융결제원과 코스콤이 당시 재정경제부로부터 ‘금융 ISAC(정보공유분석센터·Information Sharing and Analysis Center)’으로 지정된 것을 계기로 2003년 금융결제원에 합류했다. 이후 금융 ISAC이 2015년 금융보안원으로 통합된 뒤 현재까지 금융보안 업무를 담당하며, 금융보안원의 핵심 기능인 사이버대응본부 내 평가·관제·대응 부서를 모두 거쳤다.
그는 레드아이리스팀의 강점으로 “국내 금융 규제 환경에 대한 높은 이해도”를 꼽았다. 유 팀장은 “글로벌 보안업체보다 국내 규제의 맹점과 실제 운영 현실을 더 정교하게 짚을 수 있다”며 “같은 고객사가 상반기에는 글로벌업체, 하반기에는 레드아이리스를 이용했는데, 결과적으로 우리 팀의 만족도가 더 높았다고 평가했다”고 말했다.
현재 레드아이리스팀은 총 6명으로 구성돼 있다. 팀원 전원이 국내외 해킹대회 수상 경력과 버그바운티 실적을 갖춘 화이트해커 출신이다. ‘버그바운티(Bug Bounty)’는 기업이 자사 제품이나 서비스의 보안 취약점을 제보한 윤리적 해커에게 포상금을 지급하는 제도다.
“EU 도라법, 국내 금융보안 체계의 다음 단계 시사”
유 팀장은 최근 잇따른 해킹 사고와 관련해 “망분리가 사고 발생 시 피해 확산을 막는 데 분명 도움이 되지만, 이를 절대적 안전장치로 보는 것은 위험하다”고 지적했다. 이어 “‘보안극장(Security Theater)’ 논쟁처럼 보여주기식 통제에 그칠 우려도 있다”고 덧붙였다. ‘보안극장’은 보안 전문가 브루스 슈나이어가 제시한 개념으로, 실제 위협을 막지는 못하면서 겉으로만 보안이 강화된 것처럼 보이게 하는 조치를 뜻한다.
그는 실질적인 위협 대응을 위해 유럽연합(EU)에서 올해 1월부터 시행된 ‘도라법(DORA·Digital Operational Resilience Act)’을 국내 보안체계가 주목해야 할 사례로 들었다. 도라법은 금융기관의 ICT 복원력을 강화하기 위해 ‘위협 인텔리전스 기반 침투테스트(TLPT·Threat-Led Penetration Testing)’를 정기적으로 시행하도록 의무화했다.
유 팀장은 “도라법 시행으로 유럽에서는 자율 수준이던 레드팀 모의해킹이 법적 의무로 전환됐다”며 “국내도 향후 이와 같은 방향으로 발전할 가능성이 있다”고 전망했다.
“사고는 날 수 있다…복원력 중심으로 접근해야”
유 팀장은 사이버 보안 대응력을 높이기 위해서는 금융사고를 바라보는 ‘관점’의 전환이 필요하다고 꼬집었다. 유 팀장은 “해킹 피해를 본 금융사 역시 피해자”라며 “사고는 언제든 발생할 수 있으며, 모든 사고를 완벽히 막는 것은 불가능하다”고 강조했다. 그는 “‘이렇게 돈을 들였는데 왜 사고가 발생하냐’는 비판이 제기되지만, 사실 금융사들도 예방에 심혈을 기울여도 단 한 사람의 실수만으로도 사고는 발생할 수 있다”며 “중요한 것은 얼마나 빨리 탐지하고 복원하느냐”라고 강조했다. 그는 “사고 발생 자체보다 조기 탐지와 신속 복구를 중심으로 한 대응체계 구축이 중요하다”고 덧붙였다.
국내 보안 현실의 구조적 한계도 언급했다. 유 팀장은 “보안업계는 IT 개발자 대비 낮은 보수로 인해 우수 인력이 이탈하는 상황”이라며 “기술력이 있는 인재일수록 더 높은 보수를 찾아 이동하기 때문에 인력 확보가 쉽지 않다”고 말했다.
화이트해커 양성에 치우친 교육 구조도 개선이 필요하다고 했다. 그는 “화이트해커뿐 아니라 실제 방어와 관제를 담당하는 블루팀 인력 양성과 지원을 강화해야 한다”며 “실제 현장 보안 담당자들의 처우 개선이 더딘 점도 문제”라고 강조했다.
모의해킹 수요는 증가했지만 이를 따라가지 못하는 현실적인 한계에도 아쉬움을 표했다. 레드아이리스팀은 통상 5주 단위로 금융사별 모의해킹 프로젝트를 운영하며 연간 전체 요청의 약 70% 정도를 수행하고 있다. 올해는 10곳 안팎의 금융사를 점검했으며, 내년에는 약 30곳으로부터 요청이 들어온 상태다. 유 팀장은 “이 중 60~70% 수행을 목표로 하고 있다”며 “주어진 업무는 ‘공격자 시각’에서 바라보는 것이지만 실제 주어진 시간은 ‘공격자 시간’이 아니다”라면서 “시간적 제약이 크다는 점이 아쉬운 점”이라고 짚었다. 현재 금융보안원은 국내 금융사의 보안 대응 필요성이 커짐에 따라 내년도 레드아이리스팀 인력을 현재의 2배로 확충할 계획이다.
