최근 해킹 방법이 변하고 있다. 해킹 대상 기업을 바로 해킹하지 않고, 협력사를 해킹한 뒤 우회해서 대상 기업 정보를 캐내는 방법이 주를 이루고 있다.

그런데 이를 막을 수 있는 획기적인 서비스가 있다. 비트사이트(BitSight) 서비스다. 비트사이트 한국독점총판을 체결한 시큐어레터가 12일 서울 중구 롯데호텔에서 ‘비트사이트 론칭 세미나’를 열며,  비트사이트 서비스를 소개하며 국내 출시를 알렸다.

글로벌 보안컨설팅 전문업체 포네몬 인스터튜트 2017년 조사 보고서에 따르면 ‘외부 업체 때문에 해킹 사고가 발생한 적이 있다’고 답한 기업 비율이 세계에서 56%에 달했다. 즉 기업이 인터넷 보안에 철저히 신경을 쓴다할지라도 협력사 보안까지 신경 쓰지 못한다면 결국 정보가 새나갈 수 있는 셈이다.

해킹을 제대로 막으려면 해당 기업뿐 아니라 협력사 보안까지 신경 써야 한다. 또 보안센서를 이용해 상시적으로 해킹을 감시해야 한다. 2011년 미국 MIT 출신 박사들이 설립한 비트사이트는 해당 기업의 IP주소에서 관찰되는 데이터를 이용해, 해당 기업과 협력 기업의 보안상황을 실시간으로 알려준다. 개선해야 할 점과 경쟁사 보안점수 비교 서비스도 제공한다.

칼라 모스 비트 사이트(BitSight) 매니징 디렉터는 12일 비트사이트 론칭 세미나에서 “기술 진보가 이뤄짐에 따라 대상을 위협하는 기술도 향상되며 증가했다”고 말했다. 이어 그는 지난 5년 동안 기업과 국가를 대상으로 한 해킹이 급격하게 는 것을 예로 들었다. 또 칼라 모스는 “많은 회사가 데이터 침해를 당하면서 정보 보안에 대한 신뢰도도 하락하고 있다”며 “2023년에는 인터넷 의존 대비 정보 보안 신뢰도가 30% 이하가 될 것”이라고 주장했다.

비트사이트에 따르면 세계 기업들이 인터넷 보안 문제에 신경쓰고 있지만, 실제 정보가 많이 새는 곳은 해당 기업보다 협력사였다. 비트사이트 보고서에 따르면 직접 해킹보다 협력사를 거쳐 들어온 침해 사고가 전체 보안사고에서 60%를 차지했다.

칼라 모스는 “기업이 자기 조직 환경만 보호하는 건 충분하지 않다”며 “기업과 관련된 모든 기업, 예를 들어 주거래 은행이나 아웃소싱 회사 같은 해당 기업에 관한 중요한 정보를 가지고 있는 회사 보안도 신경써야 한다”고 말했다. 이어 그는 한 기업이 그들과 관련된 모든 기업의 데이터를 관리한다는 건 물리적으로 불가능하다고 강조했다.

그는 직접적인 해킹과 침투를 막으려면 감시를 상시적으로 이뤄져야 한다고 말했다. 또 기업은 보안상황을 매일 점검받고, 이를 직관적으로 수치화한 자료로 문제 해결에 나서야 한다고 주장했다.

이를 실행하기 위해 비트사이트는 서비스 해당 기업 IP주소에서 관찰되는 수만 건의 데이터를 비트사이트 보유 센서를 통해 상시적으로 수집한다. 또 침해된 모든 정보를 취합해 비트사이트 알고리즘에 적용시켜 보안수준을 평가한다. 이어 그들은 23가지의 보안 점검 대상항목을 기준으로 작성한 상세 보고서를 기업에 제공한다.

칼라 모스는 “서비스를 통해 조직 보안 수준이 어느 정도인지 쉽게 수치로 판단할 수 있고, 무엇을 더 보완해야 하는지 바로 알 수 있다”고 덧붙였다. 또 그는 “기업이 직접 보완 우선순위를 빠르게 확인하기 어렵기 때문에 우리가 보안 우선순위를 알려준다”고 말했다. 끝으로 그는 “비트사이트가 해킹 문제를 해결하는 것은 아니다”며 “우리는 최고의 가이드라인을 제공하는 회사”라고 강조했다.

김지현 테크엠 인턴기자 jihyunsports@techm.kr