플레인비트_포렌식 분석업체 2014.7월 기사 > 포렌식/데이터복구 가이드

본문 바로가기

사이트 내 전체검색


포렌식/데이터복구 가이드

플레인비트_포렌식 분석업체 2014.7월 기사

페이지 정보

작성자 게시판관리자 작성일17-08-25 16:40 조회10,599회 댓글0건

본문

정보유출 사고들이 빈번하게 발생하면서 디지털 포렌식에 대한 관심도 높아지고 있다. 현실 사고에서도 사건이 발생하면 현장에 과학수사 포렌식팀이 가장 먼저 투입돼 지문이나 혈흔 등을 채취해 사건의 실마리를 푸는 단서들을 찾는 역할을 하게 된다. 사이버 사고도 마찬가지다. 디지털 포렌식 분야에 특화된 사업 아이템을 가지고 10개월 전 스타트업 한 젊은 CEO가 있다. 바로 김진국(사진) 플레인비트(PLAINBIT) 대표다.
 
강남역과 교대역 사이에 자리 잡은 플레인비트 사무실을 찾아 갔다. 3~4명 정도 근무할 수 있는 아담한 공간과 사무실 한 켠에는 디지털 포렌식 장비들로 보이는 기기들이 눈에 들어왔다.
 
그에게 사업 준비과정에서 특별히 어려웠던 점에 대해 물어봤다. 김 대표는 “준비과정에서 특별히 어려운 점은 없었다. 뭘 해야 하는지 명확한 아이템이 있었기 때문이라고 생각한다. 디지털 포렌식에 특화된 기업으로 성장시켜 나가자는 생각 하나로 무작정 시작했던 것 같다”며 “시작하면서 중소기업 진흥공단 자금도 받을 수 있었다. 저금리로 사용할 수 있어 스타트업 기업들에게는 유용한 제도로 생각된다”고 말했다.
 
플레인비트의 사업 모델은 정확히 무엇일까. 김 대표는 “현재 의뢰가 들어오는 업무는 2가지다. 우선 침해사고 분석, 정보유출 사고 분석 업무 비중이 크다. 또 로펌에서 의뢰하는 디지털 포렌식 증거분석 업무가 주를 이루고 있다”며 “향후 컨설팅과 교육 업무도 차별화해서 진행할 예정이다”라고 소개했다.
 
컨설팅은 여기저기서 너무 많이 하고 있지 않는가라고 물었다. 그는 “기존 보안컨설팅은 대부분 사고를 막기 위한 컨설팅이었다면 우리가 생각하는 컨설팅은 보안사고를 막을 수 없다는 것을 가정하고 해킹을 당했을 때 어떻게 하면 빨리 식별하고 어느 정도 피해 규모인지 신속하게 파악할 수 있도록 하는 컨설팅”이라며 “대부분 사고를 당한 기업들도 어떤 식으로 사고를 당했는지 모르고 넘어간다. 이를 알아 내려면 기존에 준비가 필요하다. 그 방안을 가이드 해 주는 컨설팅으로 차별화할 생각이다”라고 설명했다.
 
최근 공격자들은 방어가 비교적 잘 돼 있는 서버를 공격하지 않는다. 취약한 클라이언트를 통해 공격한다. 하지만 지금 방어 대책들은 대부분 서버에 집중돼 있는 반면 클라이언트는 쉽게 뚫리는 실정이다. 이를 어떻게 방어하는지 그리고 사고시 분석하는 방법도 가이드 해 준다는 것이다.
 
어려운 점도 있을 것이다. 김 대표는 “이 컨설팅을 받으려면 뚫릴 수 있다는 전제를 인정해야 한다. 하지만 기업들은 이를 인정하기 싫어한다. 담당자가 경영진에 이 부분을 설득하기 쉽지 않기때문”이라며 “이제는 뚫릴 수 있다는 것을 인정해야 한다. 그래야 준비를 할 수 있다. 공격이 어떻게 들어왔는지 알아야 재발을 방지할 수 있다. 지금 기업들은 이 부분이 상당히 취약하다”고 우려했다.
 
예를 들어, 지금 윈도 환경에서 추적을 해도 2~3일 정도 로그밖에 볼 수 없다. 설정만 바꾸어도 공격자를 추적할 수 있는 데이터를 쌓을 수 있다. 이런 부분에 대한 컨설팅을 해 나가겠다는 것이다.
 
또 하나 어려운 점은 레퍼런스 공개를 할 수 없다는 점이라고 한다. 대부분 정보유출 사고를 당한 기업들이기 때문에 열심히 포렌식 분석 업무를 했지만 외부에 레퍼런스로 알릴 수 없는 문제도 있다는 것이다. 회사 이력관리에 어려움을 토로했다.
 
하지만 김 대표는 전문적으로 정보유출 사고 기관에 나가 디지털 포렌식을 사업영역으로 하는 기업은 국내에 없다는 점에 자부심을 느끼고 있다.
 
그는 적극적으로 홍보도 하지 않는다고 한다. “홍보로 인해 일이 너무 많이 들어오면 적은 인원으로 플레인비트만의 분석 역량을 보여주기 힘들다고 판단해서다”라며 “잘못 홍보하면 흥신소 개념으로 잘못 이해 해 개인 의뢰인이 들어오면 힘들어진다. 기관과 기업, 로펌만 대상으로 업무를 해 나갈 것”이라고 밝혔다.
 
또 그가 강조하는 부분이 있다. 디지털 포렌식 의뢰를 하기 전에 의뢰기관에서 준비할 부분에 있다는 것이다. “의뢰의 대부분은 정보유출 사고다. 의뢰를 받고 가보면 가관이다. 이미 포맷이 두번 정도된 디스크를 보관하고 있다. 이런 경우 제대로 된 분석이 힘들다. 디지털 포렌식에서 복구는 불법행위를 식별할 수 있는 흔적을 찾아내는 일이다. 단순 파일 복구 개념이 아니다. 디스크 관리만 잘 돼 있어도 분석을 원활하게 진행할 수 있다. 또 기업에서 위험군들 즉 퇴사자, 영업직, 연구직, 고급정보에 접근할 수 있는 임원 등은 별도 프로세스로 관리해야 한다. 대부분 기업들이 퇴사자 PC 디스크를 포맷 시켜서 다시 사용한다. 이럴 경우 퇴사 이후 문제가 발생하면 단서를 찾는데 어려움이 있다. 그리고 입사자 PC도 중요하다. 전 직장에서 가져온 정보를 사용해 문제가 발생할 수도 있다. 사내 고위험군을 분류해 다른 직원들보다 강력한 보안 적용을 해야 한다”고 조언했다.
 
그의 경험상 최근 정보유출 사고 조사를 나가보면 70%가 내부자에 의한 유출 사고라고 한다. 따라서 내부 직원 특히 고위험군에 속하는 임직원 관리에 보다 더 신경을 써야 한다고 강조한다.
 
그렇다면 디지털 포렌식 시장은 어느 정도일까. 포렌식 장비는 공공분야와 수사기관에서 수요가 많다. 특히 공정위, 감사원, 국세청, 수사기관 등은 명확한 포렌식 장비들을 사용하고 있다. 정부기관에서 포렌식 장비 활용도는 계속 높아질 것이다.
 
한편 디지털 포렌식 서비스 시장은 민간 시장이 크다. 플레인비트 매출도 대부분 민간에서 발생하고 있다.
 
김진국 대표는 “출발한지 10개월이 지났다. 아직 준비 기간이라고 생각한다. 사고 발생하면 투입되고 강연 스케줄도 많이 잡혀 있어 정신없이 돌아간다. 대부분 사고가 법률과 연관돼 있어 로펌과도 사업을 계속 진행하고 있다”며 “하지만 정보유출 사고가 계속 발생하는 것도 아니라서 매출이 들쭉날쭉하고 있다. 좀더 고정적인 매출 구조를 만들어가는 것이 관건이다. 그래서 컨설팅과 교육사업에 신경을 많이 쓰고 있다”고 말했다.
 
그는 마지막으로 “국내 많은 사이버 보안사고가 발생했지만 대부분 원인을 못 찾고 있다. 원인을 찾는 노력이 반드시 필요하다. 그러기 위해서는 디지털 포렌식이 필요하다”며 “처음 회사를 설립할 때 국내 민간 디지털 포렌식 시장을 창출하는 역할을 해 보고 싶었다. 기존에 없었던 시장을 만들어가 보고 싶었다. 현재는 국내 시장에 집중하고 있지만 보다 노하우가 쌓이면 아시아 시장으로 진출해 서구와 경쟁할 수 있는 디지털 포렌식 시장을 만들어 보고 싶다”고 포부를 밝혔다.

 

댓글목록

등록된 댓글이 없습니다.

전화: 02-705-5822 | 팩스: 02-6442-0746 | 주소: (14319) 경기도 광명시 소하로 190, A동 14층 1414호 (소하동, 광명G타워)
대표 : 조대희 | 사업자등록번호 : 214-88-00572 | 개인정보관리책임자 : 조대희

상단으로
PC 버전으로 보기