지니언스, '보안 취약점 현상금' 준다

선한결 기자

입력2022.10.11 09:51 수정2022.10.11 09:52

건당 최대 포상금 2500달러
국내 보안 업계 최초 시행
"범위 지속 확장"

지니언스가 보안 취약점을 제보한 우수 신고자 6명에게 포상금을 지급했다고 11일 밝혔다. 지니언스는 국내 보안 업계 최초로 자체 ‘버그 바운티’ 프로그램을 시행하고 있다. 소프트웨어·웹서비스의 오류나 오작동을 비롯해 보안 취약점을 찾아내 신고하는 이에게 보상을 주는 현상금 제도다. 건당 최대 포상금이 2500달러(약 360만원)다.

지니언스는 지난 3월부터 최근까지 버그 바운티 프로그램을 운영해 보안 취약점 총 26건을 발견했다. 작년 개최한 차세대 보안리더 양성 프로그램(BOB) 10기 교육생들과 함께다. 이후 공격 영향도, 공격 난이도 등 보안 취약점 평가 국제 표준(CVSS 3.1)에 근거해 우수 신고자를 선정했다.

새로 신고된 보안 취약점에 대해선 내부 분석을 거쳐 고객사 패치를 벌이고, 공격 위험도 등에 따라 홈페이지에 보안 위협을 공지했다.

지니언스의 버그 바운티 프로그램은 네트워크 접근 제어 솔루션인 ‘지니안 NAC’와 ‘클라우드 NAC CSM 서비스’가 대상이다. 지니언스 홈페이지 등 기존 운영 중인 서비스에 대한 취약점은 평가·보상에서 제외된다. 불법적인 해킹 우려가 있고, 관련 법에 따른 검증 권한도 없어서다.

이동범 지니언스 대표는 "보안 취약점은 신속하게 발견해 조치하는 것이 중요하다"며 "지니언스는 역량 있는 보안 전문가들과 함께 제품·서비스의 보안과 안정성을 강화하고 있다"고 말했다. 그는 "보안 취약점에 대한 선제적인 대응 강화를 목표로 버그 바운티 프로그램 범위를 지속 확대할 것”이라고 덧붙였다.

선한결 기자 always@hankyung.com

관련 뉴스

1

지니언스 EDR 솔루션, 국정원 보안기능확인서 획득…"국내 최초"

사이버 보안 기업 지니언스의 EDR(종단간 감지·대응) 솔루션이 국가정보원 보안적합성 검증제도를 통과했다. 국내외 EDR 제품 중 국정원 보안기능 확인을 받은 최초 사례다. 지니언스는 자사 EDR 솔루션이 국정원 보안기능확인서를 획득했다고 4일 밝혔다. 국정원 보안기능확인서 취득은 솔루션이 국가·공공기관 보안 요구사항을 충족했다는 것을 의미한다. 이번 확인서 취득에 따라 지니언스는 EDR 솔루션 B2G 사업에 날개를 달 전망이다. 국가·공공기관은 보안 기능을 포함한 IT제품을 도입할 경우 보안적합성을 검증해야 하지만, 보안기능확인서를 획득한 제품에 대해선 검증 과정을 면제받기 때문이다. 지니언스는 "국내 기업은 물론 글로벌 기업보다도 한발 앞서 국가·공공기관 시장을 빠르고 넓게 확대할 수 있게 됐다"고 했다. EDR은 통신 데이터를 주고받는 양 끝단 단말에 대해 보안 위협을 탐지·분석하고 대응하는 기술이다. 지니언스의 EDR 솔루션은 단말에 대해 정보를 수집해 지속 모니터링한다. 단말의 가시성을 확보해 보안 위협이 언제, 어디서, 어떻게 유입이 되었는지 등을 한눈에 볼 수 있어 신속하고 적극적으로 대응할 수 있는 설명이다. 지니언스는 자사 EDR 솔루션에 침해사고지표(IOC), 머신러닝(ML), 행위기반 위협탐지(XBA), 야라(YARA) 등 다양한 기술을 적용했다. 지니언스는 "알려지지 않은(Un-Known) 위협까지 탐지할 수 있다"며 "다양한 위젯을 제공해 사용자 편리성을 높였고, 위협 탐지 알람 서비스로 이용 기업·기관의 내부 보안을 강화할 수도 있다"고 했다. 지니언스의 EDR 솔루션은 구독형 구조다. 사용한 만큼 대가를 지불하는 서비스 모델이다. 이용에 따른 라이선스와 유지 보수를 통합해 이용자의 편의를 늘렸다. 제공 기업인 지니언스 입장에선 꾸준한 매출이 발생한다는 장점도 있다. 지니언스는 "국내 소프트웨어 비즈니스의 구조 상 B2B 시장에서 구독형 모델이 정착하긴 쉽지 않은데도 지니언스는 전체 매출의 60% 이상이 구독형 솔루션에 기반한다"며 "중장기적으로 안정적인 매출을 거둬들일 것으로 기대한다"고 했다. 지니언스의 EDR 제품은 작년 조달청 기준 공공 EDR 시장에서 1위다. 점유율이 79%에 달한다. 올 상반기 기준 누적 이용사·기관은 120곳을 넘겼다. 지자체, 공공기관, 기업, 병원, 금융권 등 평판(레퍼런스)를 꾸준히 쌓고 있다. 김준형 엔드포인트사업본부 상무는 “보안기능확인서 획득으로 경쟁사와 차별화된 높은 보안수준과 기술을 고객에게 제공할 수 있게 됐다”며 “공공기관 보안 담당자들이 악성코드의 침투 경로를 한눈에 파악할 수 있는 EDR 도입을 적극 검토하는 등 공공 EDR 시장의 성장세에 발맞춰 시장 리더십을 공고히 하는데 총력을 다하겠다”고 말했다. 선한결 기자 always@hankyung.com
2

안랩 "엄마, 올 추석엔 00누르지 마세요!" 3대 보안수칙은?

안랩[053800]은 추석 명절을 앞둔 지금 장년·노년층을 대상으로 한 사이버 공격이 이어지고 있다며 '부모님께 알려드려야 할 추석 3대 보안수칙'을 2일 발표했다.'3대 보안수칙'은 ▲ 문자메시지·메신저로 전달받은 앱 설치파일(.apk)을 통한 설치 금지 ▲ 메시지로 자녀 등 가족의 긴급요청을 받아도 꼭 전화로 직접 확인하기 ▲ 인터넷 콘텐츠는 정식경로로 다운로드 등이다.안랩에 따르면 공격자는 미수령 택배, 정부 지원금 등 생활과 관련이 깊은 주제의 문자메시지에 전화번호나 메신저 아이디를 추가해 연락을 유도한다. 피해자가 연락하면 공격자는 다양한 이유를 대며 금융 앱 등으로 위장한 설치파일을 보낸다.피해자가 만약 이 파일을 눌러 설치하면 휴대전화 속 정보가 유출될 뿐만 아니라 경찰·금융기관과의 통화도 차단되면서 전기통신금융사기(보이스피싱)에 당할 수 있다고 안랩은 경고했다.또 자녀를 사칭해 '휴대전화를 분실했다', '액정이 파손됐다'며 문화상품권을 구입해 일련번호를 보내달라거나 신분증 사진을 보여 달라는 요구에 바로 응해서는 안 된다는 점을 강조했다. 반드시 자녀 본인과 전화를 통해 사실관계를 확인해야 한다는 것이다.안랩은 이밖에도 장년·노년층이 즐겨 듣는 유명 트로트 가수, 노래명 등을 사용해 가짜 사이트를 만들어 랜섭웨어를 유포하는 사례와 유튜브 설명란에 첨부된 URL링크를 통한 공격도 발견됐다며 주의를 당부했다.박태환 안랩 사이버시큐리티센터(ACSC) 대응팀장은 "명절에는 가족의 연락을 기다리는 부모님들의 마음을 이용하거나 인터넷 콘텐츠를 내려받으려는 경우를 노린 사이버 공격이 성행할 수 있어 자녀들의 각별한 관심이 필수"라고 말했다.김주미 키즈맘 기자 mikim@kizmom.com
3

"사업 제안서 몽땅 날렸다"…'알약 먹통' 보상받을 수 있을까

1. 한 마케팅 대행사의 박 모 팀장은 30일 총 8억여원 규모 사업 제안 PPT를 작성하다가 알약 프로그램 오류를 겪었다. 컴퓨터가 먹통이 돼 AS 출장 기사를 부르고, 시스템을 복구한 뒤 미처 반영되지 않은 수정 사항을 다시 작성하는 과정에서 제안서 마감시한을 넘겼다. 2. 해운 관련 중소기업에 다니는 이 모씨는 파트너사에 보낼 비용 관련 문서를 작성하던 중 알약의 랜섬웨어 공격 차단 메시지를 봤다. 이 메시지가 오류인지 미처 몰랐던 그는 실제 랜섬웨어 감염을 우려해 컴퓨터를 포맷했다. 그는 퇴근 시간을 넘긴 채 문서를 아예 처음부터 다시 작성하고 있다. 이 서류가 제때 가지 않아 약속한 시일 내에 처리가 되지 않으면 회사에 최소 수백만원대 이자 비용이 발생한다. 30일 유명 백신 프로그램 '알약'이 오류를 일으켜 PC가 먹통이 돼 불편을 겪은 사례 중 일부다. 이날 오전 알약 프로그램의 공개용 버전이 업데이트 된 후 정상 프로그램을 랜섬웨어로 잘못 인식하는 오류가 속출했다. 실제로는 멀쩡한 시스템에 대해 알약이 보안 공격을 받았다고 자체 분석한 뒤 ‘랜섬웨어 의심 행위를 차단했다’는 알림 메시지를 내보냈다. 이 메시지가 뜬 이후엔 이용자가 쓰던 프로그램이 멈춰 해당 프로그램의 어떤 기능도 쓰지 못하게 되는 경우가 여럿인 것으로 알려졌다.일각에선 업데이트 된 알약 프로그램이 윈도우즈 운영체제(OS)의 기본 파일을 랜섬웨어로 착각했다는 추측도 나온다. 알림 메시지가 뜬 이후 윈도우를 재부팅 조차 할 수 없게 됐다는 사례가 나와서다. 멈춰버린 컴퓨터를 앞에 두고 이도저도 못한 직장인들이 많았던 것으로 알려졌다. 이를 두고 피해를 입은 이용자들이 보상을 받을 수 있을지는 미지수다. 일단 비슷한 전례를 찾기 어렵다. 백신 프로그램이 일부 진단 오류를 내는 사례는 있었으나 수많은 개인 이용자들이 컴퓨터를 아예 쓰지 못하게 될 정도로 치명적인 오류를 낸 것은 매우 이례적이다. 이날 문제를 일으킨 프로그램이 원칙적으로는 비영리목적의 개인에게만 무료로 공개된 프로그램인 점도 관건이다. 이스트시큐리티에 따르면 이날 기업용 알약은 개인용과 같은 오류를 내지 않았다. 이스트시큐리티는 기업 내 이용자들에게는 "공개용을 사용할 수 밖에 없는 부득이한 상황이 아니라면 기업용 정품을 사용하시기를 권장한다"는 공지를 하고 있다. 구독형 소프트웨어를 주요 상품으로 두고 있는 한 IT 기업의 관계자는 "엄밀히 말하면 기업에서 알약 프로그램을 이용한 이들은 모두 기업용 라이선스를 쓰는 것이 원칙"이라며 "법적 공방으로 돌입할 경우 기업은 영리 목적의 환경에서 개인용 프로그램을 쓰다가 난 손해에 대해서는 기업이 책임을 질 이유가 없다고 주장할 가능성이 높다"고 말했다. 피해 금액을 입증하는 것도 주요 변수다. 이용자 입장에선 꼬박 하루 업무를 날렸더라도 정확한 피해 규모를 입증하기가 까다롭다. 수주 여부가 확실치 않은 사업에 대해 제안서를 제 때 보내지 못해 정확히 얼마의 손해를 봤는지 주장하기가 모호하다는 얘기다. 법무법인 미션의 장건 변호사는 "통상 소프트웨어의 무료 버전에는 이용약관상 기업의 면책 규정을 넣었을 가능성이 있다"며 "이같은 규정이 있을 경우 일반 소비자들이 손해를 배상받기는 쉽지 않다"고 말했다.장 변호사는 "이번 사안은 발생을 당연하게 예상할 수 있는 통상손해가 아니라 특별손해의 경우에 해당할 것"이라며 "비영리용도 공개 버전 소프트웨어를 개인이 기업 업무를 볼 때 사용해 손해가 날 수 있다고 예상하긴 쉽지 않기 때문"이라고 했다. 그는 "특별손해의 경우에는 재산상 손해를 배상받기가 쉽지 않다"고 덧붙였다. 이날 저녁 이스트시큐리티는 알약 오류에 대해 '긴급 수동 조치'를 공지했다. △PC 강제 재부팅 3번 시도 시 안전모드 진입 (Power Off 버튼 5초 이상 누르는 행위를 3회 반복할 것) △ 윈도우 시스템 파일 중 해당 데이터(ESTRtwIFDrv) 파일 삭제 △ 재부팅의 순서로 조치를 취할 것을 당부했다.선한결 기자 always@hankyung.com