News & Conference

화이트햇투게더 1기 결과공유회 요약정리

estherseo 2022. 11. 17. 17:35

https://event-us.kr/whitehat/event/50367

 

화이트햇 투게더 1기 결과공유회 - 이벤터스

한국인터넷진흥원, CJ올리브네트웍스, 파인더갭이 함께 진행한 중소기업 정보보호 역량강화 프로그램 <화이트햇 투게더 1기>의 활동 결과를 소개하고, 정보보호 전문가들과 함께 중소기업을 위

event-us.kr

 

화이트햇투게더 1기 대학생 봉사단으로 선정되어 6개월간 활동을 했고, 이번에 수료식으로 활동이 끝이 났습니다 !!

대학생 봉사단 활동에 대한 내용은 따로 대외활동 글에 업로드하도록 하겠습니다 ㅎㅎ

 

오늘 글은 화이트햇투게더 1기 결과 공유회에서 필기했던 내용들을 글로 정리해보려고 합니다. 

 

 

0. 프로그램 설명

화이트햇투게더는 중소기업의 정보보호 역량 강화를 위한 프로그램인데요, 

KISA X CJ X FindTheGap 이 함께 주최하였습니다.

 

프로그램 신청을 한 중소기업에 대해서 버그바운티(웹,앱 취약점) + 후속지원(정보보호 컨설팅 등) 등을 제공합니다.

 

1. 인터뷰

- FindTheGap 대표님에게

Q. 버그바운티 플랫폼을 운영하시는데 기업 섭외가 어렵지 않았는가, 실효성이 있는가

A. 버그바운티 참여해본 기업들은 만족했다. 기업의 서비스를 안정화할 수 있고, 패치를 하면서 내부인력의 실력이 향상되었다. 해외는 버그바운티 시장이 활성화되어있는데 국내는 kisa 외 아직 활성화가 안되어있다. 파인더갭이 더 확대되길 바란다.

 

- 버그바운티 참여자에게

Q. 팁이 있다면?

A. 보안담당자를 위해서 리포트 준비하기? 

 

- 화이트해커에게

Q. 필요한 역량? 

A. 준법정신이 실력보다 더 중요하다고 생각한다.

 

- KISA 담당자 분께

Q. 많이 나온 취약점?

A. SQL injection, 코드 실행, XSS, 불필요한 서비스 오픈

 

2. 빗썸코리아 조웅현 CISO

< 중소기업에게 왜 정보보호가 중요한가? >

IBM X-Force 자료에 따르면,

아시아가 받는 위협이 많이 증가하였고

위협 받는 분야를 보면 이전에는 금융이 높았는데 이제는 제조 > 금융 > 서비스 > 에너지 > 유통 으로 제조업이 굉장히 많이 증가하였다. 랜섬웨어 공격도 굉장히 많이 증가하였다. 

 

✅중소기업 담당자가 느끼는 보안

=> 기업 보안에 적은 예산

=> 보안 담당이 아닌 사람이 보안 관리까지 맡음

=> 우리 회사 보안이 괜찮다고 생각

 

네트워크 > 클라우드 > 서버 (취약한 분야 순위)

 

랜섬웨어 문제가 심각하다. 이제는 기업의 존폐가 달라질 수 있다. 

 

✅중소기업에 제언

1. 경제적인 보안을 구축

KISA를 최대한 활용 ( 가이드라인, 유료/무료 서비스 )

보안 환경과 인식

경영자와의 활발한 적극적인 소통 ( 우리는 지금 어떤거 하고 있다, 소통, 피드백 )

 

"부족한 인력 속에서도 보안을 갖추기 위해 KISA를 최대한 잘 활용하자"

 

2. 지속 가능한 위협탐지, 대응환경 구축(버그바운티)

"지피지기 백전불태"

 

✅빗썸에서는 어떻게 하고 있는가

내부 모의해킹 인력이 있다.

하지만 내부인력은 항상 동일한 툴로 점검해서 한계가 있다. 

외부의 시선이 필요하여 버그바운티를 도입했다. 

집단지성을 이용 !

이번에 버그바운티를 처음 해봤는데 내년에 예산을 더 늘릴 계획이다. 

 

3. 네이버 클라우드 정도원, rubiya

< 안전한 사이버세상을 위한 보안 전략과 화이트해커 역할 >

해커의 입장에서 발표를 준비했다.

 

ctftime에 해커의 숫자가 많이 증가했다.

해커가 돈 버는 방법 : 버그바운티, 모의해킹, (데이터판매, DDOS, 협박, 랜섬웨어, 암호화폐 채굴)

 

"백신 차원에서 모의해킹을 주기적으로 하자."

서비스의 가용성이 조금 침해받을 수 있지만, 이것을 걱정하기에는 외부해커의 공격은 항상 언제든지 들어올 수 있고 공격이 들어온다면 서비스는 마비될 것. 

 

해커들이 많이 사용하는 익숙한 서비스에서 취약점이 많이 발견된다.

 

분석 소요시간 x 분석 소요 비용 x 취약점 찾는 소요 시간 x 보상 받을 확률, 유형적 보상 + 무형적 보상

해커들은 버그바운티 하기전에 이것을 따진다.

무형적 보상으로 해커의 명예를 챙길 수 있는 굿즈를 주는 것도 돈을 적게 쓸 수 있는 방법 !

 

침해사고 발생시 대기업은 21억, 중기업은 17억, 소기업은 4억 정도 피해를 본다고 한다. 

이를 버그바운티로 줄이자 !

 

4. 충북대 경영정보학과 교수 김태성

< 건강한 정보보호 생태계 조성을 위해 무엇이 필요한가?>

중소기업은 어떻게 정보보호를 해야할지 잘 모른다.

정보보호 업무를 설명할 수 있는 공통언어가 없다.

어떤 정보보호 인력이 필요한지 구체적으로 제시하기 어렵다. 

 

미국과 영국은 체계를 만들었다.

미국 : Nice framework

영국 : CyBok (우리나라와 비슷)

 

이런 패러다임을 따라가자. 

 

기업들은 개발역량보다 관리역량이 필요하다.

 

CISO가 기술 전문성이 높은데 요즘은 BISO로 업무 프로세스를 이해하는 것이 트렌드다.

비즈니스 프로세스 관점으로 설명할 수 있는 사람이 필요하다.

 

5. 패널토의

중소기업들은 정보보호에 대해 의사가 크게 없다.

스스로 역량을 강화하는 것이 중요하다.

 

Q. 빗썸도 중소기업에서 올라왔는데 CISO로서 어느 부분에 초점을 맞추셨나요?

A. 과거에는 비즈니스를 영위하기 위해서 보안은 부수적인 개념이었다. 보안은 서비를 지원하기 위한 단순한 보조 수단이었다. 이를 극복하는 것이 가장 어려웠다. 이를 극복하기 위해서 과거 아픈 사례들이 많았다. 그런 사고들로 인해 조직에 어떤 영향이 있는지 몸소 느꼈다. 이후 보안 조직에 힘을 실어줄 수 있었다. 경영진이 적극 지원해주는 것이 가장 중요하다. 경영진의 의지를 한 단계 올리는 것이 가장 어려웠다. 조직이 리빌딩 되고나서 현재 잘하고 있는것, 개선해야하는 것 등을 경영진에게 계속 말씀드리고 있다. 

버그바운티를 운영하면서 실제 몸으로 느끼는 효과는 보는 관점의 스펙트럼을 넓힐 수 있다는 것이다. 외부에서 서비를 바라볼 수 있는 관점, 내부에서 서비스를 바라보는 관점, 이렇게 두 개의 스펙트럼을 가지고 체계를 구축할 수 있었다. 버그바운티가 지속 가능한 환경을 구축해준다. 버그바운티를 도입하면 상시적, 지속 가능성, 서비스를 조금 더 안전하게 운영할 수 있는 환경을 구축할 수 있다.

 

=> 경영진의 의지를 높이는 것

=> 버그바운티로 내부 시각, 외부 시각 스펙트럼을 넓히는 것

 

Q. 대기업의 경우 버그바운티를 열 수 있지만 중소기업은 열기가 힘들다. 좀 더 확대할 수 있는 방안이 있나요?

A. 버그바운티만 하지는 말아라. 내부 인원에게 추가 인센티브를 주는 방식도 내부 인원을 위한 방식이다. 

 

Q. 정보보호 생태계 조성을 위해서 중소기업이 참여할 수 있는 방안은?

A. 사업할 때 가장 중요한 것은 수요를 생각하는 것이다. 어떤 인센티브를 제공할 것인지, 홍보도 중요할 것 같다. 주저하지 않고 참여하게끔 인센티브를 주는것 ! 업무에 장애가 생기지 않을 것이라는 것을 설명할 필요가 있다.

=> 우리 기업의 취약점을 외부에서 알 수 없게 익명 보장해주는 장치 마련

=> 홍보,  골고루 지역별로 수요기관을 모집하기

 

Q. 대기업들이 많이 참여할 수 있도록 하려면? 중소기업을 도울 수 있는 방법은? 

A. 시작은 인식인 것 같다. 왜 해야하는가를 인식하자. 기업이 비즈니스를 하려고 하면 비즈니스 환경 자체가 안전해야한다. 중소기업이 사이버보안의 대상이 되기도 하지만, 대기업을 공격하는 숙주가 되기도 한다. 대기업이 중소기업에 관심을 가지는 것은 사회적인 책임, 당장 우리의 비즈니스를 보호하는 부분이기도 하다. 이런것을 자각하면 훨씬 적극적으로 참여할 수 있지 않을까 하는 생각이다.

보안은 비즈니스를 무시할 수 없다. 보다 효과적으로 어떻게 할 것인지를 고민해야한다.

 

Q. 업무 특성상 관련 협회나 단체 선두 기업들이 좀 이끌어주는 것에 대해서 (빗썸코리아)

A. 현실적으로 선두 기업이 개별적으로 이끌어주기는 사실상 어렵다. 제조업권, 특정 업권 등 단체들을 조성해서 해당 단체, KISA에서 제공하는 업체들을 연동해서 가상 자산 협회에 맞는 서비스 툴을 만드는 것은 가능할 것 같다. 특정 업권에 맞는 최소한의 기반을 다질 수 있게 하는 것을 기준으로 해서 자율적으로 할 수 있는 체계를 만들고 제 3자가 이에 대해 평가를 하고 잘 수행할 수 있는 업체에 인센티브를 주는 방식이 좋을 것 같다.  그러면 업권에 속한 세부 업체들도 기본적인 항목들을 만족하려고 노력할 것이다.

=> 특정 업권 등 좀 세부적으로 단체를 조성해서 그에 대한 툴을 제공하는 것은 가능

=> 특정 업권에 맞는 최소한의 기반 다지기 > 자율적으로 할 수 있는 체계 만들기 > 제 3자가 평가할 수 있는 환경 > 인센티브 지급

 

 

6. 후기

평소에 컨퍼런스를 자주 참여하다보니까 이전에 다른 곳에서 들었던 내용들과 겹쳐지면서 이해되는 부분들이 재미있었습니다 !

앞으로도 컨퍼런스,세미나 자주 가보려고 합니다 :)

오늘 결과공유회 내용이 모두 흥미로웠는데,

특히 빗썸코리아 CISO 분께서 하시는 말씀들이 좀 와닿았던 것 같습니다.

제가 관심있는 업무여서 그런 것 같습니다 !

+ rubiya 님을 실제로 뵈서 굉장히 신기했습니다.