구글·애플·MS가 해커에게 취약점 찾게하는 이유는

글로벌 보안 대회 중에는 폰투온이라는 독특한 콘셉트의 대회가 있다.

스마트폰이나 전기차, 노트북 등 실제 일상에서 사용하는 제품을 해킹하고 시연에 성공할 경우 해당 제품을 가져가는 것이다.

사이버 위협의 급증으로 보안 취약점을 숨겨도 모자랄 것 같은 시기에 기업들이 스스로 제품의 취약점을 노출하는 대회가 의문일 수 있다. 하지만 마이크로소프트, 애플, 테슬라 등 글로벌 IT기업들은 수억 원의 상금까지 걸고 자신들의 제품을 제공하고 있다. 국내에서도 삼성이 갤럭시 S23으로 참여하기도 했다.

참가 기업이 늘어나면서 차량기업만 대상으로 한 폰투온 오토모티브가 일본에서 지난 1월에 개최했다.

최근 폰투온에 참가해 상금을 획득한 티오리의 정광운 취약성 리서처는 “어디 있을지 모르는 취약점은 반드시 해커가 악용하게 된다”며 “그전에 먼저 발견해서 조치를 취하는 것이 보안이나 비용면에서 유리하다”고 폰투온의 의의를 설명했다.

이어서 “최근 국내에서도 보안에 대한 생각이 바뀌고 있지만 아직 많은 기업들이 정보 공개를 하지 않는 것만이 최선이라고 생각하는 경우가 많다”며 “오히려 이런 경우 보안환경이 개선되지 않아 급격하게 발전되는 사이버 위협에 더 취약할 우려가 크다”고 강조했다.

■ 보안 취약점 무조건 숨겨야 한다는 인식 바뀌어야

정광운 리서처는 지난 20일 개최한 폰투온 벤쿠버 2024에 티오리 팀으로 참가해 VM웨어 가상화 서비스를 해킹에 성공했다.

특히 윈도11과 우분투 리눅스 환경을 연계한 환경까지 추가적으로 성공하며 총 13만5천 달러(약 1억8천만 원)상당의 상금 획득하는 쾌거를 달성했다.

정 리서처는 “폰투온은 리얼월드 버그바운티라고 해서 실제 제품을 대상으로 할 뿐 아니라 현장에서 해당 취약점이 실제로 작동한다는 것을 시연할 수 있어야 한다”며 “그만큼 현재 IT업계 트렌드에 굉장히 민감한 것이 특징으로 최근 AI 열풍이 불면서 클라우드와 함께 이를 관리하기 위한 가상화 서비스에 대한 기업의 관심이 높아졌다”고 설명했다.

VM웨어 가상화 서비스와 윈도11, 우분투 리눅스를 연계하며 해킹에 성공해 13만5천 달러의 상금을 획득한 티오리팀(이미지=티오리)

마이크로소프트나 구글의 경우 폰투온 참여 외에도 제품의 취약점을 보고할 경우 위험도에 따라 최대 수억 원 상당의 보상금을 제공하는 현상금 제도를 운영 중이다.

정 리서처는 해외 빅테크가 적극적으로 취약점을 찾고 알리는 이유에 대해 이를 통해 보안을 더욱 강화하고 피해를 최소화할 수 있기 때문이라고 설명했다.

그는 “전 세계 수많은 해킹 조직이 돈을 탈취하기 위해 기업의 취약점을 노리고 있는 만큼 언젠가는 뚫릴 수 있다는 것을 전제로 보안환경을 구축할 필요가 있다”며 “이미 알게 모르게 국내 기업 상당수가 피해를 본 것으로 알고 있다”고 말했다.

이어서 “이전에 비해 많이 개선되긴 했지만 아직 많은 국내 기업은 취약점이 있다는 것 자체가 기업의 단점인 것처럼 생각되는 인식이 아직 남아 있는 것 같다”며 “해외 대기업도 얼마든지 취약점이 있고 이를 개선하며 기업의 피해를 최소화하는 만큼 점차 생각을 바꿀 필요가 있을 것 같다”고 조언했다.

■ 최신 보안 시스템과 인증만으론 안전하지 않아

또한 티오리는 지난달 열린 해킹 대회 라인 CTF 2024에서도 우승을 차지했다. 2021년과 2023년 이어 3번째 우승이다.

이태양 시니어 리서처가 참여했던 더덕(The Duck)팀은 24시간 동안 진행된 대회에서 865개 팀의 경쟁을 뚫고 1위에 올랐다.

이태양 리서처는 “라인 CTF 2024는 폰투온과 달리 주어진 문제를 푸는 방식으로 최근 가장 민감한 웹, 앱 보안을 주로 다루며, 24시간 진행되는 만큼 체력적인 면도 상당히 요구되는 편”이라고 설명했다.

이어서 “올해 가장 중요하게 다뤄진 부분은 최근 산업에서 많이 도입 중인 공개인증(OAuth)이었다”며 “이 중 한 문제가 점수도 높았고 탈락자 수도 가장 많았다"고 설명했다.

850팀의 경쟁자를 제치고 라인 CTF 우승을 차지한 티오리의 더덕팀(이미지=티오리)

실제로 공개인증 관련 문제 중 하나는 티오리와 일본의 한팀만이 정답을 맞추는데 성공하기도 했다.

이 리서처는 최근 주목해야 할 사이버 공격 트렌드로 대규모 커뮤니티 등을 악용한 공급망 공격을 지목했다. 많은 사용자와 개발자가 자주 방문하는 사이트에 악성코드를 숨긴 파일을 배포해 이를 다운받은 사용자 전체를 공격하는 방식이다.

대표적으로 리눅스 사용자들이 많이 사용하는 압축 유틸리티인 XZ유틸즈에서 최근 악성 백도어가 발견돼 업계에 충격은 준 사례가 있다. 이러한 공격방식은 북한 해커 등도 사용하고 있는 사례가 확인됐다. 국내 기업도 피해자가 될 수 있는 만큼 보안에 대한 인식을 더욱 높일 필요가 있다.

이태양 리서처는 “기업은 최신 보안인증도 취약점이 언제든 발생할 수 있다는 점을 항상 인지하고 있어야 한다”며 “항상 보안을 점검하고 최신화할 수 있는 시스템이 마련돼야한다"고 조언했다.

■ “보안이란 모래사장 속 바늘을 치우는 행위”

글로벌 수준의 보안 기술력을 갖춘 티오리는 ‘더욱 안전한 세상을 위해 난제급 사이버 보안 문제들을 해결한다’는 목적으로 2017년 설립했다.

현재 삼성, 구글, 네이버 등 국내외 100여 개가 넘는 주요 IT 기업에 웹2·웹3를 아우르는 보안 컨설팅을 제공하고 있다.

이 외에도 4만명 이상의 회원 수를 보유한 사이버 보안교육 플랫폼 ‘드림핵’, 버그바운티 플랫폼 ‘패치데이’, 디지털 자산 위험 관리 플랫폼 ‘다트’ 등의 서비스를 운영하고 있다.

또한 지난 2월 아이덴티티(CI)를 변경하며 올해 국내를 넘어 글로벌 진출을 본격적으로 시작할 것임을 알리기도 했다.