남의 집에 무단침입해 돈 법니다

조회수 2020. 12. 10. 08:00 수정
번역beta Translated by kaka i
닫기
번역중 Now in translation
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 다양한 분야의 재밌고 유익한 콘텐츠를 카카오 플랫폼 곳곳에서 발견하고, 공감하고, 공유해보세요.

닫기

스타트업 다니며 보안 문제 체감

월구독형 보안 문제 해결 서비스

글로벌 서비스 도전


작은 기업일수록 보안에 취약하다. 한정된 재원으로 마케팅 같은 당장 필요한 일을 하느라, 보안은 채 신경쓰지 못하기 때문이다. 이런 허점을 노리고 스타트업을 표적 삼는 해커가 늘고 있다. 한국인터넷진흥원(KISA)에 따르면 2017년 기준 전체 사이버공격의 98%가 보안이 취약한 중소기업이 표적이었다. 스타트업 정보 보안의 해결사를 자처하는 ‘월간해킹’의 김기명 대표를 만났다.

출처: 월간해킹

출처: 월간해킹
김기명 대표


◇스타트업 직원으로 있으면서 보안 문제 절감


월간해킹은 스타트업을 대상으로 하는 정보보안 컨설팅 서비스 업체다. 스타트업도 쉽게 서비스받을 수 있도록 저렴한 이용료에 서비스를 제공한다. “동종 업계 비슷한 서비스와 비교해 75~80% 가량 저렴합니다.” 그러면서 자바(JAVA) 외에도 노드제이에스(Node.js), 리액트 네이티브(React Native) 등 스타트업들이 많이 쓰는 프로그래밍 언어에 맞는 보안 기술을 갖췄다. 월 구독 방식이라 서비스 신청과 해지가 간편하다.


김기명 대표는 대학에서 경영학을 전공했다. 졸업 후 다닌 첫 직장이 스타트업이다. 마케터이자 그로세커(서비스 성장 방법을 고민하는 직무)로 일했다. 업무를 보면서 스타트업 보안의 취약점을 직접 경험했다. “스타트업들은 언제 그만둘지 모를 신입사원도 얼마든지 회사 기밀 정보에 접근할 수 있어요. 또 어떤 서비스를 내놓으면, 전문가한테 맡겨 해킹 가능성 등을 확인해야 하는데, 비용을 이유로 넘어가는 곳이 대부분이죠.”

출처: 월간해킹

출처: 월간해킹
김기명 대표


보안에 신경을 쓰고 싶어도 스타트업 입장에서 맞는 업체를 찾기 어려운 문제도 있었다. “많은 비용을 낼 수 있는 대기업 상대의 서비스에 치중하는 업체가 대부분이기 때문입니다.”


스타트업 보안을 책임지는 회사를 만들어 보기로 했다. “친한 대학 선배가 있는데요. 뜻이 맞았어요. 마침 그 선배의 사촌동생이 화이트해커더라고요. 해킹 경력이 있고, 실력도 최상위급이었죠. 그렇게 선배에 선배의 사촌동생까지 모여서 세 명이 공동 창업을 했습니다.”

출처: 월간해킹

출처: 월간해킹
월간해킹은 디캠프(D.CAMP·은행권청년창업재단)가 개최한 11월 디데이(D.DAY)에서 우승했다.


◇월 구독형으로 보안 문제 분석과 해결책 제공


공동창업자가 다니던 회사(와파스시스템즈)의 이름을 빌려 파일럿 서비스로 시작했다. 해당 회사의 대표에게 양해를 구하고, 기업을 상대로 영업활동을 해보는 등 시장 테스트를 마친 후에 독립 법인을 차렸다.


월 구독형으로 서비스를 결정했다. “매월 스타트업들에게 보안 취약점과 그 대책을 담은 개별 리포트를 보내드립니다. 스타트업의 서비스는 평균적으로 한 달마다 업데이트가 진행되는데요. 매달 업데이트가 된다는 건 특정 기능이 추가되거나 원래 있던 기능에 변화가 생겨서 내부 소스코드가 변경된다는 것을 의미합니다. 코딩하는 과정에서 보안을 신경 쓰지 않으면 새로운 취약점이 생기고 공격 포인트가 될 수 있죠. 월 구독형 서비스는 이런 부분을 매월 짚어줘 지속적인 보안 대책을 짤 수 있게 해줍니다.”

출처: 월간해킹

출처: 월간해킹
월간해킹의 서비스 소개 화면


취약점을 짚어주는 것을 넘어 모의해킹을 통해 훈련을 제공하는 서비스도 있다. “예를 들어 이메일 모의훈련 서비스가 있습니다. 고객사의 보안 담당자를 제외한 임직원들에게 알리지 않고 피싱 메일을 발송하는 거죠. ‘계정 비밀번호가 변경되었으니 확인하라’는 등 피싱 메일의 정체를 파악하지 않고 누르면 피싱 사이트로 넘어가도록 설정해 놓습니다. 이후 실제 피싱 사이트로 넘어가는 비율을 파악해 보안 담당자에게 넘겨주는 식의 훈련을 합니다.”


◇무료체험 기업 90% 유료 고객 전환


기술 확보를 마친 뒤, 보도 자료로 회사를 알렸다. 뜻밖에 큰 규모의 회사 두 곳에서 연락이 왔다. 여성 쇼핑 앱(어플리키에선) ‘지그재그’의 운영사 ‘크로키닷컴’과 채용 플랫폼 ‘원티드’였다. “두 회사를 첫 고객으로 확보한 뒤, 이를 기반으로 많은 스타트업들에게 콜드 메일(cold mail‧일방적 연락)을 보냈습니다. 4% 이상 응답률이 나더군요. 이중 70% 이상이 월간해킹의 무료체험 고객이 됐습니다.”

출처: 월간해킹

출처: 월간해킹
김기명 대표


한 번 써본 기업들은 계속 고객이 되길 원했다. 무료체험 한 기업의 90%가 유료구독으로 전환했다. 디캠프(D.CAMP·은행권청년창업재단)가 개최한 11월 디데이(D.DAY)에서 우승하면서 아이디어와 기술력을 인정받았다.


◇글로벌 서비스 도전


좋은 보안 업체가 되려면 유능한 해커를 많이 보유하고 있어야 한다. 고객 기업들의 취약점을 분석해서 모의 공격 등을 해줄 직원들이다. “앞으로 고객사가 늘어날 것에 대비해서 두 가지 대책을 준비했습니다. 한국정보기술연구원 BoB센터, 한세사이버보안고등학교 등 두 곳과 업무협약(MOU)을 맺어서 언제든 인재들을 데려올 수 있는 장치를 마련했고요. 두 번째로 지금까지 모인 데이터와 앞으로 모을 데이터, 다크웹에서 수집할 수 있는 취약 정보들을 회사 데이터베이스(DB)에 넣고, 이것들을 정형화‧라벨링해서 자동화 엔진으로 만드는 것도 추진하고 있습니다. 그러면 인력 수요를 줄일 수 있습니다.”

출처: 월간해킹

출처: 월간해킹
김기명 대표


-궁극적인 목표는 뭔가요.

“프로그래밍 언어에는 국적이 없습니다. 코드를 기반으로 대화하는 작업이라 공용어처럼 어디서든 쓸 수 있죠. 국적이나 국가에 상관없이 누구나 보안상 취약점을 발견할 수 있는 자동화 엔진 개발에 성공한다면, 많은 기업을 우리 고객으로 만들 수 있습니다. 꼭 글로벌 서비스가 되겠습니다.”


김 대표는 창업 아이템을 정할 때 타깃 고객의 ‘페인 포인트(pain point)’를 명확하게 짚어야 한다고 강조했다. 고객들이 실제 겪고 있는 불편사항이 무엇인지 확실하게 정의한 후에 솔루션을 내놔야 한다는 것이다. “보통 사람들은 문제가 생기면 ‘어떻게 해결하지?’를 먼저 생각하요. 그것보다는 문제의 원인부터 찾아야 해요. 그래야 빨리 풀립니다. 사업도 같아요. 우선 타깃 고객부터 정의한 후에 이들이 겪는 문제의 근원을 파고들다 보면 자연스럽게 창업 아이템이 보일 겁니다.”


/백승연 에디터

이 콘텐츠에 대해 어떻게 생각하시나요?
공유 신고