국내외 좋은 기술력 보유한 보안 업체들을 한데 모아 통합적인 제품 라인업 구성

ns-1.jpg

NSHC(대표 허영일)는 8월 29일 서울 쉐라톤 디큐브시티 호텔에서 120여 명의 고객을 대상으로 세이프스퀘어 컨퍼런스를 열고 새로운 얼라이언스 사업 모델을 소개하는 시간을 가졌다.

6회째를 맞고 있는 이번 세이프스퀘어 컨퍼런스는 모바일 보안솔루션의 중요성과 인텔리전스 서비스를 통한 최신 보안 이슈와 취약점에 대한 안내 등, 기업 맞춤형 보안의 필요성을 강조했다. 아울러 새롭게 진행하고 있는 보안 클라우드 서비스인 SafeSqaure.co에 대해 소개하는 시간을 가졌다.

‘SafeSquare.co’는 Safe(안전)한 Square(공간)를 Co(cooperation, 협력)을 통해 이루고자 하는 뜻을 가진 브랜드명으로 NSHC의 새로운 얼라이언스 사업 모델이다.

오랜 기간동안 협력 관계를 유지해 온 국내외 좋은 기술력을 보유한 보안 업체들을 한데 모아 통합적인 제품 라인업을 서비스 레벨로 구성하고(SECaas, Security as a Service), 수 년간 구축해 온 글로벌 파트너 네트워크를 활용해 이 서비스를 일본, 싱가폴, 베트남, 인도네시아 등의 해외 시장에 공급할 예정이다.

기존에는 제품의 선별 및 도입부터 관리까지 비용이 많이 들고 어려웠던 보안을 클라우드를 기반으로 한 서비스 형태로 준비하여, 쉽고 간단하며 합리적인 가격대를 만들고 원 스탑 포털로써 넓은 선택의 폭을 제공하고자 한다.

이로써 기업들은 서비스의 규모와 상관없이 어느 고객이나 그들의 애플리케이션, 웹 서비스는 물론 PC 보안과 인증까지 두루 도입할 수 있는 기회를 얻게 된다. 또한 NSHC가 바라보는 주 타깃인 동남아 시장은 IT 보급률과 기술력이 한 시대 느리며 해외 기술을 도입하기에 경제력이 부족한 특징을 갖고 있고 이에 따라 보안 기술을 도입하는데 어려움을 겪고 있다. 따라서 각 플랫폼 별로 취약성 진단으로부터 시작하여 보안까지 두루 함께 제공함으로써 수요를 형성하고 공급하는 전략이 필요하다.

특히 기존 보안 기술들이 시장의 상위 10%에게만 해당하는 고수준의 보안 위협을 막기위한 제품들만을 공급함으로써 수요자의 니즈와 맞지 않는 기술을 비싼 가격대로 제시하고 있는 문제가 있다.

SafeSquare.co는 이 문제를 직시하고 나머지 90% 시장을 타깃으로 하여 보편적이면서도 시장에서 이미 검증된 보안 기술들을 통합하여 전반적인 보안 서비스를 제공하여 이를 해결하고자 한다. 모바일 앱의 취약성 분석(AppChecker)과 안티 해킹(AppProtect), 웹 서비스의 취약성 분석(WebChecker), 웹 애플리케이션 방화벽(WebProtect), 웹 악성URL 탐지(WebScan), 그리고 PC 보안(CylanceProtect)과 인증 서비스(KeyProtect)가 이번 버전에 포한되어 있고, 향 후 CloudSIEM 등 더 다양한 카테고리로 확장할 예정이다.

이번 얼라이언스 사업 총괄 담당인 최병규 본부장은 “모바일 어플리케이션, 웹서비스, PC등 End-Point 서비스를 제공 및 운영하는 모든 기업을 위한 보안 패키지”라고 SafeSquare.co를 소개하며 “본 사업을 통해 이윤 창출은 물론, 보안이 특정 시장을 위한 혜택을 넘어 보급화 할 수 있는 기회가 되길 바란다”고 포부를 밝혔다.

원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=38072&page=&total=

ns.jpg

NSHC(대표 허영일)는 오는 9월 5일부터 3일간 서울 양재 엘타워에서 국내 정부, 민간 관련조직 대상으로 ‘ICS/SCADA 정보 보안 전문가 과정 교육’을 진행한다.

NSHC는 2016년 6월부터 한국에서 중요 기반시설 보안 트레이닝 교육을 시작했고, 이번에 한국에서 진행하는 8번째 교육이다. 그리고 일본, 싱가포르, 홍콩, 마카오, 태국, 말레이시아, 네덜란드를 포함해 15개 국가에서 교육을 진행했다.

교육과정은 국가 중요기반시설 및 제어시스템 보안에 필요한 이론과 실무능력에 초점을 맞췄다. 실제 제어망 관련 장비와 취약점을 이용한 교육으로 진행된다는 설명이다. 교육을 위해 회사측은 국내외 보안컨설팅업무, 침해대응, 보안연구로 경험한 사례를 소개할 예정이다. 실제 PLC와 HMI 및 제어시스템 장비로 구성한 시뮬레이션 환경에서 교육을 진행할 계획이다.

NSHC 측은 교육참석자가 이 과정을 이수해 ICS에서 발생할 보안위협을 분석하고 침해사고 대응능력을 높일 수 있다고 주장했다. NSHC 글로벌사업팀의 프로젝트사례로 기업과 기관 정보보호 인프라 운영환경 구축 기반지식도 습득할 수 있다고 덧붙였다. 알려지지 않은 SCADA 시스템에 대한 제로데이 취약점을 소개하고 최근 발생한 기반시설 관련 보안사고 관련 악성코드 분석정보도 발표하겠다고 예고했다.

허영일 NSHC 대표는 “지속적으로 늘고 있는 제어망 관련 보안 위협에 대응하기 위해서는 관련 분야에 특화된 정보 보호 전문 인력 양성이 시급하다”며 “이번 교육을 통해서 현장에 즉시 활용 가능한 기술을 전수하고, 관련 분야의 전문 인력을 확보하는 등 보안 인력 육성에 박차를 가할 것”이라고 말했다.

원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=37555&page=1&total=270

레드얼럿팀 “3년간 기반시설 관련 전세계 27개국에서 60회 이상 트레이닝…노하우 축적”

▲ 데프콘 26에서 ICS CTF 대회를 운영한 NSHC 레드얼럿팀.[데일리시큐=라스 베이거스]
▲ 데프콘 26에서 ICS CTF 대회를 운영한 NSHC 레드얼럿팀원들.[데일리시큐=라스 베이거스]

세계 최대 해커들의 축제인 데프콘(DEF CON) 26이 8월 9일부터 12일까지 라스 베이거스 시저스 펠리스호텔과 플라밍고 호텔에서 전세계 해커들이 대거 참여한 가운데 성황리에 개최됐다.

데프콘은 24개 빌리지와 40여 개의 콘테스트 그리고 각종 이벤트들로 가득한 그야말로 해커들의 문화 축제 한마당이었다. 이 자리에서 국내 보안기업인 NSHC(허영일 대표)가 ICS CTF 콘테스트 주최측으로 참여해 많은 참관객들의 눈길을 끌었다.

NSHC RED ALERT(레드 얼럿)팀이 주최한 콘테스트는 산업제어시스템 해킹 대회인 ‘RED ALERT ICS CTF’ 대회다. 데일리시큐는 데프콘 현장에서 레드얼럿팀과 만나 이번 콘테스트 개최와 관련해 인터뷰를 진행했다.

▲ 레드얼럿 ICS CTF에 30여개 팀이 참가해 산업제어시스템 해킹에 도전하고 있다.
▲ 레드얼럿 ICS CTF에 30여개 팀이 참가해 산업제어시스템 해킹에 도전하고 있다. 최종 우승팀은 데프콘 폐막식에서 영광의 블랙배지를 수여받았다.

‘RED ALERT ICS CTF’ 대회는 일반적인 CTF 대회와는 달리 산업제어시스템 해킹대회로 현장에 설치된 항공기와 워터보일러시스템 시뮬레이션을 제어해 움직이던 비행기가 멈추고 기차가 빠르게 돌아가고 사이렌이 울리도록 해킹에 성공해야 하는 대회다. 시스템은 실제 스카다 시스템과 동일히다.

현장에서 만난 박정우 레드얼럿팀 팀장은 “레드얼럿팀 연구원들이 재미와 흥미를 가질 수 있는 이벤트가 있다면 적극적으로 지원하겠다는 것이 허영일 대표의 마인드다. 이번 데프콘 콘테스트 참여도 그런 차원에서 참여하게 됐다”며 “올해 2월 데프콘 주최측에 콘테스트 개최 의뢰를 했고 10일 뒤 오케이 사인이 왔다. 그때부터 레드얼럿팀 전체가 준비를 시작했고 이후 상제 준비 내용에 대해서는 5월경 도착해 세부적인 사항들을 체크해 나갔다”고 준비 과정에 대해 설명했다.

대회는 데프콘 현장에서 30개 팀이 지원해 대회에 참가했고 기존 CTF처럼 문제가 오픈되고 플래그를 인증하면 점수를 받는 형식이 아니라 최종 목표는 시뮬레이션 해킹이다. 외부의 해커가 제어시스템에 접근하고 내부망을 뚫고 해킹에 성공해야 하는 난이도 있는 문제들이 출제됐다. 제어시스템 해킹 시나리오에 대한 이해도 높아야 하는 대회였다.

레드얼럿팀은 “지난해 애틀란타 ICS 컨퍼런스에서도 해킹대회를 진행했고 일본 코드블루에서도 산업제어시스템 CTF를 진행해 대회 운영 노하우가 쌓인 상태다. 이번 데프콘에서는 그동안 레드얼럿팀이 ICS 해킹사건 분석을 꾸준히 해 온 상태라 공격 시나리오 베이스 문제 위주로 출제를 했다. 기존 출제문제에서 많은 부분이 업그레이드 됐다. 에어갭(폐쇄망) 우회와 최종 공격까지 성공해야 사이렌을 울릴 수 있도록 구성했다”며 “30개 팀이 참여했지만 어려워 하는 문제들이 있어 난이도를 현장에서 좀 낮추기도 했다”고 설명했다.

문제는 60문제가 출제됐고 주최측이 난이도별로 문제를 오픈하면 참가팀이 풀고 공격 성공 퍼즐을 최종적으로 모두 맞추면 사이렌을 울리게 된다.

박 팀장은 “생각보다 많은 데프콘 참가자들이 와서 ICS 시뮬레이션을 보고 문의를 해 와서 놀랐다. 미국 주정부에서 일하는 참가자도 찾아와 ICS 해킹에 대해 문의를 해 왔고 해외 다른 컨퍼런스 운영자들도 찾아와 CTF 개최를 요청하기도 했다. 이외에도 산업제어시스템 관련 기업과 발전소 관리자 등 상당히 많은 산업군 참가자들의 문의가 왔고 비즈니스로도 연결될 수 있을 것 같다”고 말했다. 힘들게 준비했지만 좋은 성과도 기대되고 있어 보람을 느낀다는 것이다.

▲ 대회 우승자에게는 NSHC에서 준비한 배지를 수여했다.
▲ 대회 우승자에게는 NSHC에서 준비한 배지를 수여했다.

대회 우승자에게는 300달러 상금과 배지도 준비했다. 또한 데프콘 주최측에서 메인 세레모니에 ‘RED ALERT ICS CTF’를 선정해 우승자에게 영광의 데프콘 블랙배지도 수여할 수 있었다.

▲ 레드얼럿팀이 ICS CTF 우승팀에게 데프콘 폐막식에서 영광의 블랙배지를 수여하고 있다.
▲ 레드얼럿팀이 ICS CTF 우승팀에게 데프콘 폐막식에서 영광의 블랙배지를 수여하고 있다.

마지막으로 박 팀장은 “아시아 기업이 가장 큰 해킹 축제인 데프콘에서 콘테스트를 했다는 것 자체만으로도 대단한 경험을 한 것이라고 생각한다. 처음에는 걱정도 많았지만 이들과 함께 한 공간에서 이벤트를 진행할 수 있어서 즐거웠다”며 “ICS 관련 악성코드와 공격들이 상당한 위협으로 다가오고 있다. 해외에서는 많은 기관들이 이에 대한 이해도가 높고 준비를 철저히 해가고 있다. 한국도 더욱 철저한 산업제어시스템에 대한 보안강화가 이루어져야 한다고 생각한다. RED ALERT팀은 ICS 스카다 보안을 위해 계속 연구하고 교육하고 리포트를 제공해 나갈 것이다. 많은 관심을 가져주길 바란다. 특히 이번에 어렵게 대회를 준비한 RED ALERT팀 모두에게 감사를 전한다”고 밝혔다.

이번 데프콘 26 ‘RED ALERT ICS CTF’ 대회 운영에는 박정우 팀장, 벤자민 매니저, 하행운 연구원, 이선경 연구원, 오영석 연구원, 신의수 연구원 등이 함께했고 모든 문제출제와 대회 준비는 NSHC RED ALERT팀 전체가 참여했다.

▲ ICS CTF 현장에서 만난 NSHC 허영일 대표. ICS 관련 악성코드와 공격위협이 증가하는 만큼 많은 국가와 기관에서 트레이닝과 모의해킹 의뢰가 들어고 있다고 전했다.
▲ ICS CTF 현장에서 만난 NSHC 허영일 대표. ICS 관련 악성코드와 공격위협이 증가하는 만큼 많은 국가와 기관에서 트레이닝과 모의해킹 의뢰가 들어고 있다고 전했다.

현장에서 만난 허영일 대표는 “레드얼럿 연구원들이 흥미를 가질 수 있는 이벤트라면 언제든 지원할 예정이다. NSHC 레드팀엑서사이저는 3년간 기반시설 관련 전세계 27개국에서 60번 이상 트레이닝을 진행했다. 기반시설을 대상으로 폐쇄망 우회 등 모의해킹과 트레이닝을 하는 특화된 기업은 NSHC가 유일하고 유니크하다”며 “기반시설 관리 기관들은 정책이나 컴플라이언스에 치중하기 보다는 보다 실질적 보안위협에 대응할 수 있는 준비를 해야 한다. 정부 스폰서를 받고 국가 기반시설을 공격하는 위협들이 크게 증가하고 있다. 마지막으로 이번 데프콘 대회를 준비한 레드얼럿팀에 감사의 인사를 전한다”고 밝혔다.

원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=37528&page=1&total=270

6월 27일부터 3일간 국내 정부 기관 및 민간, 사이버 범죄 수사 기관 대상

▲ OSINT 교육 중인 NSHC 허영일 대표
▲ OSINT 교육 중인 NSHC 허영일 대표

NSHC(대표 허영일)는 오는 6월 27일부터 3일간 양재 엘타워에서 국내 정부 기관 및 민간, 사이버 범죄 수사 기관을 대상으로 하는 OSINT(Open Source Intelligence, 공개 정보를 이용한 정보활동) 전문가 과정 교육을 진행한다고 밝혔다.

이번 과정은 지난 1차 교육생들의 요구사항을 반영해 이론과 실습을 통한 실무 능력 중심의 심도있는 내용을 다루기 위해 교육일정을 2일에서 3일짜리 교육으로 한층 업그레이드 하여 선보인다.

사이버 범죄 수사 및 위협 정보 관제 업무 등 현장에서 활용 가능한 기술을 전수한다. 특히 싱가포르, 일본에서 진행했던 다양한 사례를 소개하며, Maltego와 같은 전문화된 위협 분석 도구를 이용해 보안성을 강화하기 위한 방법 등을 제공한다.

주요 교육 내용은 ◇OSINT에 대한 이해 ◇블랙마켓과 딥웹에 대한 모니터링 방법 ◇사이버 범죄자 추적을 위한 Maltego 도구 활용법 ◇침해 사고 분석시 활용할 수 있는 다양한 분석 방법 ◇최신 위협 정보를 활용한 해외의 범죄 수사 활용 사례 분석 및 실습 등이다.

수강생은 이번 과정을 통해 실제 공개 정보를 이용한 기업내 위협 정보를 모니터링하고 필요시 사이버 범죄자를 추적하고 분석할 수 있는 능력을 향상시키고 침해 사고 발생시 관련 기술을 사용하여 침해 사고에 대한 피해를 최소화할 수 있다. 또한 다양한 사례를 통해서 기업과 기관들의 정보보호 인프라 운영 환경을 구축하기 위해서 위협 정보를 활용할 수 있는 기반 지식을 습득 할 수 있다.

허영일 NSHC 대표는 “지속적으로 늘고 있는 사이버 범죄에 대응하기 위해서는 관련 분야에 특화된 정보보호 전문 인력 양성이 시급하다. 현장에 즉시 활용 가능한 기술을 전수하고, 관련 분야의 전문 인력을 확보하는 등 보안 인력 육성에 박차를 가할 계획이다”라며 덧붙여 “이번 교육을 통해서 아직까지 알려지지 않은 중국, 러시아 및 북한의 사이버 테러 집단의 주요 활동과 위협 정보 등을 소개할 예정이다”라고 말했다.

원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=35536&page=2&total=270

레드알럿팀 국제 무대에서 기반시설 사이버 훈련 시스템 소개

▲ ICS Cyber Security 세미나 현장 모습
▲’2018 ICS Cyber Security Conference’ 현장 모습

NSHC(대표 허영일)은 4월 24일부터 26일까지 싱가포르 페어몬트 호텔에서 열리고 있는 “2018 ICS Cyber Security Conference”에서 해킹 대회의 문제 출제와 운영 및 심사를 담당한다고 밝혔다.

ICS Cyber Security Conference는 매년 미국과 싱가포르에서 열리는 최대 규모의 기반시설 국제 보안 컨퍼런스로, 2002년부터 정부, 기반시설 업계 및 학계 등 다양한 업계에서 관계자를 모아 기반시설 보안에 대한 인식 제고와 솔루션 및 보호 전략에 대하여 논의한다.

이번 컨퍼런스를 통해 ICS 사업자가 직면하고 있는 수많은 사이버 위협을 해결하며 스카다 시스템, 공장 제어 시스템, 엔지니어링 워크 스테이션, 변전소, PLC 등 다양한 장비에 대한 보안에 대한 공유가 이루어 진다.

NSHC 허영일 대표는 “Threat Hunting system for ICS/SCADA”라는 제목으로 주제 발표를 했다.

특히, NSHC에서 운영하는 기반시설 해킹대회(CTF)는 본 컨퍼런스의 메인 이벤트로 개최되며, NSHC 레드알럿팀에서 진행을 하게 되었고, 대회 이름도 팀명을 따라 “Red Alert ICS CTF”로 진행된다.

NSHC의 레드알럿팀은 지난 해 총 17개국에서 ICS/SCADA 보안 교육을 진행했으며 국제 ICS/SCADA 해킹대회에서 우승을 차지한 경험이 있는 팀으로 기반 시설에 대한 특화된 모의 해킹 및 보안 컨설팅을 제공하고 있다.

원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=33627&page=2&total=270

최병규 NSHC 본부장 “미국은 기본에 충실…우리는 트렌디한 보안에 관심”

▲ RSA 컨퍼런스 2018에서 만난 NSHC 최병규 본부장(좌)과 성준영 이사(우).
▲ RSA 컨퍼런스 2018에서 만난 NSHC 최병규 본부장(좌)과 성준영 이사(우).

세계 최대 글로벌 보안컨퍼런스 ‘RSA 컨퍼런스 2018’에는 한국 보안기업과 기업 보안담당자들도 대거 참석했다. 이들의 눈에 비친 RSA는 어떤 모습으로 보여졌을까. 4월 19일경 샌프란시스코 모스콘 전시장에서 국내 모바일 보안 및 ICS/SCADA 보안전문기업 NSHC(대표 허영일) 최병규 본부장과 성준영 이사를 우연히 마주쳤다. 바쁜 가운데 기자실이 있는 메리어트호텔로 끌고가 그들이 본 RSA에 대해 몇 가지 물어보는 시간을 가졌다. 특히 최병규 본부장은 지속적으로 RSA 컨퍼런스에 참관해 그 흐름을 잘 알고 있었다.

최병규 본부장은 “2015년부터 RSA에는 엔드포인트와 쓰렛 인텔리전스가 주요 테마였다. 하지만 올해는 통일된 키워드가 없는 것 같다. 올해는 전시장에 머신러닝과 인공지능 기반 엔드포인트 보안기업 사일런스(CYLANCE)가 중앙에 진입한 것이 눈에 띄었다. 그 기업과 사이버 쓰렛 인텔리전스 기업들 위주로 둘러봤다”며 그리고 특히 “전통적인 보안기업이라고 할 수 없는 AWS, 오라클, IBM, MS 등이 RSA 보안 카테고리로 들어온 것이 흥미로웠다. IoT 시대가 도래하면서 보안과 비보안 기업의 경계가 무너지고 있다는 느낌이다. 아마존이나 마이크로소프트, 오라클, IBM, 인텔 등 글로벌 기업들이 자신들의 소프트웨어의 보안성을 내재화시키기 위해 보안기업들을 인수하고 이런 RSA 컨퍼런스에도 참가하는 것으로 보인다”고 말했다.

그는 또 한국과 미국의 클라우드 환경에 주목했다. “최근 대부분 대형 보안벤더 뿐만 아니라 스타트업 보안기업들도 클라우드 기반 보안서비스를 지향한다. 미국은 대기업이 보안시장의 주를 이루고 있고 이들 기업 대부분이 클라우드로 가고 있다”며 “하지만 한국은 보안시장은 메인이 공공과 금융이다. 공공과 금융이 클라우드 전환을 꺼리고 있기 때문에 그에 맞는 보안솔루션도 더디게 발전하고 있다. 결국 클라우드 환경에서 준비가 되지 않은 국내 보안기업들은 더욱 힘들어지지 않을까” 우려했다.

한편으로 클라우드 서비스가 확산되면 클라우드로 향한 공격이 더욱 거세질 것이란 의견도 나왔다. 그래서 클라우드 서비스 기업들의 보안기업 인수와 제품출시 그리고 RSA 참가도 계속 이어질 전망이다.

이번에 AWS나 MS 등이 대형 부스로 RSA 전면에 나선 이유와 일맥상통하는 내용이다. 보안은 클라우드로 가고 있고 클라우드 서비스 기업들이 보안시장의 전면에 진출하려 하고 있다.

또 미국과 한국의 차이점에 대해 그들은 “미국은 트렌디하지 않다. 기본에 충실한 보안 이야기를 중심에 두려고 한다. 완전히 사이버 시큐리티 중심이다. IoT나 모바일, 블록체인 등 응용기술에 대한 전시와 발표가 상대적으로 적다는 것을 알 수 있다”며 “반면 한국은 트렌디하다. 응용기술 위주로 발전하고 있다”고 말했다.

최 본부장은 “우리나라도 4차 산업혁명과 AI, 머신러닝이 포함되지 않으면 사업이 안될 정도다. 하지만 AI와 머신러닝이 제대로 이루어지려면 학습할 수 있는 데이터가 풍부해야 한다. 하지만 그럴만한 데이터가 부족하다는 것이 문제다. 이런 면에서 글로벌 AI, 머신러닝 기업들과 차이가 날 수밖에 없다”고 밝히고 “이번에 인텔도 대형 부스로 참가했는데 이제는 칩을 만드는 회사도 보안을 생각하지 않으면 안된다. 한국도 소프트웨어든 디지털제품이든 IoT 디바이스든 보안을 중심에 두고 제품 개발을 고려해야 할 때다”라고 강조했다.

▲ RSA 컨퍼런스 2018에서 열린 산업제어시스템 보안 전시.
▲ RSA 컨퍼런스 2018에서 열린 산업제어시스템 보안 전시.

대화를 마치고 둘은 메리어트호텔 지하에서 열리고 있는 RSA 컨퍼런스 2018 샌드박스 콘테스트 현장에서 열리는 산업제어시스템 보안 관련 전시와 세션발표를 참관하기 위해 참관객들 사이로 흘러 들어갔다.

원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=33398&page=2&total=270

이윤승 부사장 “영업이익의 5% 매년 봉사활동에 투자…직원들 삶에 작은 변화 기대”

▲ 올해로 7년째 캄보디아 봉사활동 워크샵을 떠난 NSHC 직원들. 가정 형편이 어려워 전시를 사용하지 못하는 열악한 수상가옥 가정에 태양광 전구를 설치하는 프로그램을 진행했다.
▲ 올해로 7년째 캄보디아 봉사활동 워크샵을 떠난 NSHC 직원들. 가정 형편이 어려워 전기를 사용하지 못하는 열악한 수상가옥 가정에 태양광 전구를 설치하는 프로그램을 진행했다.

“학교에서나 사회에서나 누군가와 경쟁하는 구도로만 살아 오다가 해외 어려운 지역에 와서 그들의 삶을 들여다 보고 직접 땀 흘리며 작으나마 도움을 주면서 섬김의 기쁨을 느꼈으면 해서 해외 재능기부 봉사활동을 시작하게 됐어요. 또 NSHC 젊은 친구들이 컴퓨터 앞에만 앉아 있다가 전혀 다른 세상을 접했을 때 느끼는 사고의 변화와 균열을 만들어 주고 싶었어요.” -캄보디아 시엠립 봉사활동 중 이윤승 NSHC 부사장-

국내외에서 모바일과 기반시설 보안 분야에 역량을 인정받고 있는 기업 NSHC(대표 허영일)는 지난 3월 21일부터 25일까지 4박5일간 캄보디아 시엠립 지역 어려운 가정을 대상으로 봉사활동 프로그램을 마치고 돌아왔다.

2012년부터 7년간 캄보디아 시엠립 지역에 극빈 가정을 대상으로 CSR(기업의 사회적 책임) 정신을 이어오고 있는 NSHC는 매년 모바일사업부 영업이익의 5%를 봉사활동 예산으로 잡고 실질적으로 해당 지역에 도움이 될 수 있는 프로그램을 개발해 지원해 오고 있는 기업이다.

올해 봉사활동에 참가한 직원은 이윤승 부사장을 필두로 이현식 Red Alert팀(레드알럿팀)연구원, 하행운 싱가포르 레드알럿팀 시니어컨설턴트, 이강석 전임컨설턴트, 김진영 글로벌마케팅기획팀장 그리고 데일리시큐 길민권 기자 등 총 6명이 투입됐다.

선발대로 먼저 출발한 이윤승 부사장과 하행운 컨설턴트는 캄보디아 현지에서 조달할 수 있는 태양광 전력 설비에 필요한 배터리, 태양광 판넬 등을 주문하고 작업에 필요한 공구상태를 점검했다. 또 정수통을 올려 놓을 수 있는 스탠드 주문제작 의뢰 등 본진이 합류하기 전 사전작업에 바쁜 일정을 소화했다.

21일 저녁 인천공항에서 출발한 캄보디아행 비행기는 별이 총총한 밤하늘을 날아 5시간 30분 뒤 캄보디아 시엠립 공항에 착륙했다. 4개의 커다란 박스에는 12개의 정수통과 장비들, 사진 프린트와 코팅에 필요한 물품, 아이들에게 나눠줄 선물 등등으로 가득했다.

이번 봉사활동 프로그램은 크게 4가지로 나눌 수 있다. △오염된 식수로 인해 항상 복통과 전염병에 시달리고 있는 캄보디아 극빈가정에 무한 필터방식의 정수시스템 설치 △가난으로 인해 어두운 밤 불빛 없이 살아가야 하는 수상가옥에 태양광 시스템 전구 설치 △졸업앨범 한 장 없는 초등학교 학생들에게 소중한 추억을 만들어 주기 위해 단체사진 촬영 후 모든 학생들에게 사진 선물하기 △캄보디아 오지에서 태어나 한번도 차를 타고 여행이란 것을 가 보지 못한 어린 학생들(이윤승 부사장은 이 아이들을 ‘천사’라고 부른다)을 데리고 앙코르와트 관광과 함께 맛있는 음식도 먹고 가방, 치약, 칫솔, 간식 그리고 함께 여행한 마을 친구들과 찍은 추억 사진 등을 선물하는 프로그램이었다.

▲ 오염된 식수 문제를 해결하기 위해 정수키트를 제작하고 있는 NSHC 직원들.
▲ 오염된 식수 문제를 해결하기 위해 정수키트를 제작하고 있는 NSHC 직원들.

첫날 대원들은 NSHC 현지 봉사활동에 매년 도움을 주고 있는 김계숙 선생의 캄보디아 시엠립 센터에 모여 무독성특수정수통에 영구사용필터 2개와 호스를 결합하는 작업을 진행했다. 이렇게 조립된 정수시스템은 그 지역 마을에서 생계가 어려운 가정들을 선별해 스텐드 위에 정수시스템을 설치해 주고 어떻게 사용하고 관리해야 하는지 직접 방문해 주민들에게 설명해주는 시간을 가졌다.

▲ 수상가옥에 정수시스템을 설치하고 사용 및 관리 설명을 마친 후.
▲ 수상가옥에 정수시스템을 설치하고 사용 및 관리 설명을 마친 후.

오염된 물 위에 떠 있는 수상가옥에서 생활하는 가정들에 공급된 정수시스템은 오염물질은 물론 복통을 유발하는 미생물까지 걸러낼 수 있어 주민들의 건강을 위해 꼭 필요한 시스템이다. 이 정수시스템 하나를 제작하기 위해 들어가는 비용은 10만원. 이윤승 부사장은 단기적이고 실용성 없는 장치보다는 그 지역 주민들이 영구적으로 사용할 수 있는 시스템을 개발하기 위해 계속 고민해 왔고 그 결과 이번 정수시스템을 개발해 설치해 주게 됐다고 설명했다. 실제로 지난해 이 정수시스템을 사용한 가정들은 복통도 사라지고 안전한 식수로 사용하고 있다고 주민들이 전했다.

태양광 전구설치도 수상가옥에서 어렵게 생활하는 가정을 선별해 이루어졌다. 캄보디아 시엠립 뚠레삽 쩡크니으스면 뿜삐마을 한 수상가옥에 도착한 대원들은 너무도 열악한 환경에 입을 다물 수 없었다. 오염된 물 위에 페트병을 그물에 모아 물에 뜨게 하고 그 위에 대나무나 얇은 판자를 대서 만든 5평 남짓한 수상가옥이다. 해먹을 만들어 팔면서 생계를 유지하는데 한 달 수입은 우리 돈으로 20만원 정도. 전기를 사용할 수 없어 밤이면 촛불로 불을 밝히며 살고 있는 가정이었다. 그 작은 집에는 할머니와 아이들 엄마, 그리고 7살 리사(여)와 5살 라첸(남), 이렇게 4명이 9년째 살고 있다.

▲ 캄보디아 시엠립 수상가옥이 밀집된 지역에 태양광 전구시설을 설치하기 위해 준비하고 있는 NSHC 직원들.
▲ 캄보디아 시엠립 수상가옥이 밀집된 지역에 태양광 전구시스템을 설치하기 위해 준비하고 있는 NSHC 직원들.

이 부사장은 지붕 위에 미리 설치된 100와트 태양전지 판넬과 배터리를 컨트롤러에 연결하고 대원들은 배터리에 선을 연결해 부엌 쪽과 입구 쪽에 전구 2개를 설치했다. 1시간 정도 작업이 끝나고 스위치를 켰다. 밝은 불빛이 어두웠던 집안을 가득 매웠다. 리사와 라첸은 반짝이는 전구를 보며 환한 미소를 지었다. 엄마는 대원들에게 고마움의 인사를 전하며 기쁨을 감추지 못했다. 아이들은 이제 밝은 불빛 밑에서 즐거웠던 하루를 조잘댈 수 있고 책도 볼 수 있게 됐다. 어두워서 위험했던 집 주변이 밝아져 안전해졌다. 작은 불빛 2개가 만들어낸 아이들의 미소를 보면서 NSHC 직원들의 마음 속에도 알 수 없는 기쁨이 빛나는 것을 느낄 수 있었다.

태양광 전구설치는 하루 종일 진행됐다. 수상가옥이 열악해 좀 무거운 직원이 작업을 위해 집에 들어가면 밑에서 물이 차오를 정도로 심각한 가정도 있었다. 지붕이 낮아 머리를 부딪히기도 하고 발판이 얇아 부러지면서 발이 물에 빠져 부상을 당하는 직원도 있었다. 하지만 한 집 한 집 작업을 해 나가면서 대원들의 작업 속도도 점점 빨라졌다. 처음 1시간 걸렸던 작업이 30분 대로 줄었다. 35도 정도 되는 더운 날씨에 덥고 고된 작업이었지만 대원들의 표정은 때론 진지하고 때론 행복해 보였다. 작업을 마치고 전구에 불빛이 켜지면서 그들의 미소와 감사의 표현에 대원들 모두 보람과 기쁨으로 얼굴은 더욱 밝아졌다.

▲ 졸업을 해도 친구들과의 사진 한 장 없는 초등학교 학생들. 이 아이들을 위해 사진 선물.
▲ 졸업을 해도 친구들과의 사진 한 장 없는 이 지역 초등학교 학생들. 이 아이들을 위해 준비한 사진 선물 프로그램.

아이들과 함께하는 시간도 가졌다. 시엠립 지역 초등학교를 방문해 단체 사진을 촬영했다. 친구들과 찍은 사진 한 장 없던 아이들에게 훗날 추억이 방울방울 피어날 수 있는 사진을 선물하기 위해서였다. 반별로 단체 사진을 촬영해 모든 학생들에게 사진을 선물하는 프로그램이었다. 사진을 찍고 숙소로 돌아와 프린트를 돌리고 프린트된 사진들을 학생 수대로 코팅 작업을 해서 학생들에게 선물을 해야 했다. 이 작업을 위해 대원들은 밤 늦게까지 숙소에서 프린트와 코팅 설비를 준비하고 거의 공장 수준의 출력작업을 진행했다.

▲ 처음 여행이란 것을 해보는 학생들과 함께한 앙코르와트 관광.
▲ 처음 여행이란 것을 해보는 이 지역 학생들과 함께한 앙코르와트 관광.

또 시엠립에서 더 오지마을에 살고 있는 아이들 20명을 초청해 앙코르와트 유적지를 관광하는 시간도 가졌다. 아이들은 생전 처음 버스를 타고 4시간을 달려 NSHC 대원들과 만나 앙코르와트에 도착했다. 처음 차를 오래 타서 그런지 아이들이 피곤해 보였다. 사진을 찍어 주기 위해 카메라를 대면 얼굴을 돌리는 친구도 있었다. 한국에서 온 우리를 신기하게 바라보기도 하고 낯선지 경계하는 눈빛도 있었다. 하지만 아이들은 아이들이었다. 같이 앙코르와트 유적지를 돌면서 장난도 치고 사진도 찍으며 시간을 보내다 보니 아이들도 자연스럽게 사진 포즈도 취하고 얼굴에 미소가 번지기 시작했다.

NSHC는 이 아이들에게 선물할 가방과 간식, 치약, 칫솔을 미리 준비해 선물했다. 또 그날 저녁 아이들은 KFC 치킨을 처음 먹어보기도 했다. 여행에서 찍은 사진도 그날 밤 프린트, 코팅 작업을 급하게 진행해 다음날 집으로 돌아가는 아이들 손에 선물했다. 선물 받은 가방을 등에 매고 아이들은 즐거운 미소를 지으며 손을 흔들고 집으로 가는 버스에 올라탔다. NSHC 대원들도 단순히 앙코르와트를 관광하기 보다 아이들과 함께해서 더욱 기억에 남는 여행이었다고 입을 모았다.

▲ 태양광 전구시스템을 설치하고 있는 이윤승 부사장.
▲ 태양광 전구시스템을 설치하고 있는 이윤승 부사장.

이윤승 부사장은 “우리가 후원을 하는 아이들은 1년에 몇 명 되지 않지만 그 아이들이 훗날 씨앗 역할을 할 수 있다고 생각해요. 그 씨앗들이 자라서 지역사회를 발전시켜 나갈 수 있다고 믿어요. NSHC는 앞으로도 지속 가능한 CSR 모델들을 개발해 나가고 기업화된 실적위주의 봉사단체에 단순 기부 보다는 자체적인 봉사활동을 계속 해 나갈 계획입니다. NSHC 직원들도 단순 워크숍 보다는 이런 땀 흘리는 진정성 있는 봉사활동을 통해 더 많은 것을 생각하고 느낄 수 있다고 생각해요. 회사에서 직원들을 위해 할 수 있는 의미있는 투자라고 생각합니다. 이런 봉사활동을 더욱 활성화하기 위해 NSHC 사업도 더 열심히 해야겠죠”라고 이번 봉사활동의 의미에 대해 전했다.

7-1.jpg

이번에 함께 참여한 대원들의 소감도 들어봤다.

▲ 김진영 팀장
▲ 김진영 팀장

김진영 팀장은 “정말 뜻 깊은 경험이었어요. 태양광 전구를 설치하기 위해 찾아 갔던 수상가옥들이 가장 인상에 남아요. 너무 열악한 환경이라 놀랐고 안타까웠죠. 물론 그들의 삶이 불행하다고 단정 지을 수는 없을 거에요. 삶에 대한 행복감은 우리 보다 그들이 더 할 수도 있겠죠. 아무튼 우리가 설치한 밝은 전구가 켜지면서 아이들이 행복하게 웃는 모습이 아직도 선해요. 그들의 생활에 작은 보탬이 됐다고 생각하니 뿌듯한 마음이 들어요. 앞으로도 이런 활동에 적극적으로 참여해야겠다는 생각을 갖게 됐어요.”라고 소감을 밝혔다.

▲ 이형식 연구원
▲ 이현식 연구원

이현식 연구원은 “살면서 경험하기 힘든 경험을 한 날들이었어요. 실제로 이렇게 힘들게 사는지 몰랐어요. 직접 와 보니 왜 도움이 필요한지 알게 됐어요. 우리가 당연하게 누리는 것들이 이들에게는 너무 절실한 무언가였다는 것을 말이죠. 어두운 집에서 아이들이 생활하는 것을 보면서 작은 전구지만 그들에게 참 필요한 일을 우리가 했구나란 보람을 느껴요. 단순히 여행 패키지 보다는 이런 봉사활동 패키지가 한국에 생기면 좋을 것 같아요. 아이들과 앙코르와트 유적지를 함께 걸으며 즐거운 시간을 보낸 것도 좋았어요. NSHC 직원으로서 자부심을 느낄 수 있는 시간이었습니다.”라고 말했다.

▲ 하행운 컨설턴트
▲ 하행운 컨설턴트

하행운 시니어컨설턴트는 “쉽게 할 수 없는 경험을 한 4일이었어요. 대부분 해외는 일 아니면 관광 목적으로 가봤었는데 이번처럼 봉사활동은 처음이었어요. 수상가옥에서 생활하는 주민들의 모습을 보며 느낀 점이 많았던 것 같아요. 우리가 누리는 혜택을 그들은 누리지 못하고 살아가고 있더라구요. 이번 캄보디아 봉사활동은 앞으로 계속 여운이 남을 것 같아요. 기회가 되면 앞으로도 이런 활동에 계속 참여하고 싶어요.”라고 전했다.

▲ 이강석 컨설턴트
▲ 이강석 컨설턴트

이강석 컨설턴트는 “TV에서나 볼 수 있었던 그들의 삶을 직접 와서 보니 너무 많은 차이가 났어요. 미디어에서 보는 것 보다 더 열악하고 이렇게 살 수도 있구나란 충격을 받았어요. 전기를 사용할 수 없을 정도로 가난하고 열악한 삶에 작은 보탬이 됐다는데 보람을 느끼고 한편으로는 더 많은 집에 도움을 주지 못해 안타까운 마음도 커요. 제 삶에서 아주 의미있는 경험을 한 시간들이었습니다. 내가 몸 담고 있는 회사에서 이런 일을 매년 해 오고 있다는 것이 자랑스러워요. 내 생각을 변화시킨 소중한 시간으로 기억될 것 같아요.”라고 말했다.

지금쯤 이윤승 부사장은 모바일 보안사업부 비즈니스 일에 묻혀 있을 것이고 김진영 팀장은 사업기획일에 여념이 없을 것이다. 이현식 연구원은 악성코드 분석과 레드알럿 업무에 바쁜 하루하루를 보낼 것이고 한국에 도착하자마자 고객사 컨설팅 업무를 위해 진주행 버스에 오른 이강석 컨설턴트는 취약점을 찾는다고 노트북 앞에서 씨름하고 있을 것이다. 캄보디아에서 바로 싱가포르행 비행기에 몸을 실은 하행운 컨설턴트도 싱가포르 레드알럿팀 업무에 파묻혀 오늘 하루를 보냈을 것이다. 같이 동행했던 기자도 역삼동 어느 카페에서 이 기사를 작성하고 오늘 업무를 마무리하고 있다.

그리고 지금…NSHC 직원들이 캄보디아 어느 작은 수상가옥에 설치한 태양광 전구들이 반짝반짝 빛나고 있을 것이다. 그 불빛 아래서 아이들이 밥을 먹고 고양이와 놀며 엄마와 함께 즐거운 이야기를 나누고 있을 것이다. 또 어떤 집에서는 정수기를 통해 깨끗하게 흘러나오는 물을 한 잔 마시며 집 옆으로 지나가는 배 한 척을 물끄러미 바라 볼 수도 있겠다. 또 어떤 아이들은 선물받은 칫솔로 양치질을 하고 있을 것이고 어떤 아이들은 친구들과 함께 찍은 사진을 보며 미소 짓고 그날 한국이란 나라에서 온 하늘색 조끼를 입은 친절한 사람들과의 즐거웠던 한 때를 떠올리고 있을 수도 있겠다. 멀리멀리 떨어져 있지만 그렇지만 우리는 뭔가로 연결돼 있는 것이다.

원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=32178&page=2&total=270

산업제어시스템 대상 실제 모의 해킹 서비스 사업…2016년 대비 4배 이상 성장

▲ NSHC 연구원들이 산업제어 시스템 모형을 제작해 연구중
▲ NSHC 연구원들이 산업제어 시스템 모형을 제작해 연구중

NSHC(대표 허영일)의 산업제어시스템 대상 실제 모의해킹 컨설팅 서비스가 활기를 띄고 있다. 지난해만 국내외 18개 주요 기반 시설의 컨설팅 사업을 수주해 성공적으로 수행했다고 9일 밝혔다.

특히 국내의 경우에는 에너지, 교통 분야에 특화된 모의 해킹 방법론을 개발해 국내 14개 발전소에 모의해킹 서비스를 수행했으며, 해외의 경우 마카오 발전소와 태국 발전소 등의 모의해킹 사업을 수주해 2016년 대비 4배 이상으로 성장시켰다.

산업 제어 시스템(Industrial Control Systems)은 국가 중요 기반 시설, 설비 및 산업 공정 등의 작업 공정을 감시하고 제어하는 시스템으로 발전소, 교통 시스템, 전력 및 유류 관리 시스템, 공장 생산라인, 국방시스템 등 국가 기반사업 분야에서 널리 사용된다. 한편 산업제어 시스템에는 주로 인터넷과 분리된 폐쇄망을 사용하지만 특수 프로토콜이 일반 인터넷망 보다 상대적으로 취약한 환경으로 알려져 있다. 따라서 사이버 침해사고 발생시 사회적으로 엄청난 피해를 유발할 수 있기 때문에 철저한 보안대책 마련이 요구되는 분야다.

허영일 NSHC 대표는 “제어 시스템 보안 연구 개발에 필요한 인력과 장비등 많은 투자를 하고 있으며 이와 관련된 ‘산업 제어 시스템 모의 해킹 방법론’을 개발했다. 이 방법론을 통해 이미 다양한 기반 시설의 취약점을 도출하고 보안성을 강화하는데 기여하고 있다”고 말했다.

이 방법론은 제어 시스템의 환경을 고려한 ‘운영기술 모의해킹 프레임워크(O.T Pen-Testing Framework)’를 바탕으로 구성되어 있으며 IT, OT 자산에 대한 아키텍처를 분석하고 취약점을 찾아내 보안 관점에서 마스터플랜을 수립하는데 활용된다.

운영기술 모의해킹 프레임 워크(O.T Pen-Testing Framework)는 ▲11가지의 폐쇠망 우회 기법에 대한 모의 해킹 ▲에너지, 교통, 통신, 공장 등 제어망에 특화된 모의 해킹 ▲중요 기반 시설 장비의 취약점을 바탕으로 진행하는 제로데이(0-day), IoT 모의 해킹 등의 다양한 점검 방법론으로 구성되어 있다.

이승준 NSHC 연구원은 “운영기술 모의해킹 프레임 워크를 통해 발전사, 반도체, 교통, 화학 분야 등 여러 분야의 제어시스템 보안성을 한층 높일 수 있을 것으로 기대한다. 2018년에는 스카다 등 산업제어시스템 모의해킹 서비스 사업을 더욱 성장시켜 나갈 것”이라고 밝혔다.

원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=27887&page=2&total=270

▲ Hack2Win 대회에서 우승한 NSHC팀과 관계자들이 포즈를 취하고 있다
▲ Hack2Win 대회에서 우승한 NSHC팀과 관계자들이 포즈를 취하고 있다

NSHC(허영일 대표)는 지난 11월 9일부터 이틀 동안 일본 도쿄에서 진행된 Codeblue 컨퍼런스의 Hack2Win대회에서 우승을 차지하게 됐다고 밝혔다.

아사아 해킹-보안 컨퍼런스인 Codeblue 컨퍼런스에서는 1,000여 명 이상의 전 세계 해커들이 참여해 자동차, IoT, 기반시설등 다양한 해킹 대회가 개최됐으며, Hack2Win 대회는 매년 가장 보안이 잘 되어 있는 IoT 기기 6종을 대상으로 알려지지 않은 취약점을 찾는 해킹 대회로 5만 달러의 상금과 함께 진행됐다.

이번 대회에는 지난 2015년에 우승했던 하동주 기술이사(NSHC싱가포르), 이민우 연구원(NSHC한국), 문해은 연구소장(NSHC한국), Benjamin Lee(싱가포르)등으로 구성해 우승을 하게 되었다.

NSHC에서 발견한 취약점은 시스코 라우터를 포함한 가장 보안에 대한 투자를 많이 하는 보안 제품에 대한 원격 코드 실행 취약점 등 여러 개의 심각한 취약점을 발견했다.

NSHC의 문해은 연구소장은 “레드알럿팀의 실력을 다시 한 번 인정받아 기쁘다”라며 “향후 사이버전 대응을 할 수 있는 실력있는 화이트해커 및 사이버 보안 인력양성에 더욱 집중해 국민들이 안심하고 생활할 수 있는 사이버 안보 강국으로 발돋움하는데 기여하고 싶다”라고 말했다.

원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=25820&page=2&total=270

▲ 무료 앱보호 서비스 '프리쉴딩닷컴'
▲ 무료 앱보호 서비스 ‘프리쉴딩닷컴’

NSHC(대표 허영일)는 무료 앱보호 서비스 “프리쉴딩닷컴”을 공개한다고 밝혔다.

프리쉴딩닷컴 서비스는 누구나 자신이 만든 앱을 업로드 후 다운로드 하기만 하면 해킹에 대한 종합적인 보호 대책이 적용된 앱을 사용할 수 있는 무료 앱보호 서비스다. 단, 개발자의 사인 절차 후 앱마켓을 통해 ‘배포용’으로 사용할 수 있으며 악성앱의 남용을 막기 위해 앱개발자 등록 실명제와 안티바이러스 검사를 하게 된다.

현재 대부분의 안드로이드 앱은 대부분 크랙 버전이 존재하며 역공학 방식으로 소스코드가 노출되거나 위변조, 리패키지, 디버거공격, 메모리해킹 등 여러가지 문제점에 노출돼 있다. 이러한 문제점을 해결하기 위해 다양한 보안솔루션이 출시되고 있으나 현실적으로 보안솔루션 자체의 신뢰성문제, 유료 버전의 높은 가격, 무료 버전일 경우 제한적인 기능 등으로 많은 제약들이 있었다.

하지만 이번에 NSHC가 공개한 프리쉴딩닷컴은 ◇기능 제한 없음 ◇기한 제한 없음 ◇광고 없음의 3대 원칙을 내세우며 상용 버전의 모든 보안 기능을 그대로 적용하고, 적용기간도 제한을 두지 않는다.

NSHC 이윤승부사장은 “작년 가트너의 요청으로 자사 솔루션인 디엑스쉴드를 소개한 적이 있다. 그런데 얼마 지나지 않아 올 6월 ‘Market Guide for Application Shielding’이라는 제목으로 가트너 보고서가 발간됐는데 이 보고서의 핵심은 안드로이드 앱보호 분야의 시장을 조망하고, 앱보호 프로세스의 공식 명칭을 ‘Shielding’이라고 정의했다는 것이다. NSHC가 이미 앱보호 프로세스의 표준을 만들기 위해 개발한 쉴드시리즈와 일맥 상통한다”라며 덧붙여 “안드로이드 생태계의 신뢰성을 높이기 위해 구글이 관심을 가져야 할 사안이겠지만, 아직까지 운영체제 레벨에서 뚜렷한 대안이 없는 상태이기에 시장에서 검증된 NSHC의 앱보호 기술을 공개해 안드로이드 생태계의 신뢰성을 획기적으로 높일 수 있을 것으로 생각된다. 프리쉴딩닷컴의 가치를 알게 되면 기업용 상용버전의 보급도 확산될 것이라고 확신한다”고 말했다.

한편 NSHC는 오는 13일부터 싱가포르에서 열리는 핀테크 페스티벌(SFF)에 국내 핀테크 대표기업으로 추천받아 참가해 프리쉴딩닷컴 소개와 함께 “Hack Free Android Plan”을 발표할 예정이다.

원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=25794&page=2&total=270

허영일 대표 “제어망 보안 위협 대응 위해 관련 분야 특화된 정보보호 인력 양성 시급”

▲ 제16회 ‘2017 ICS Cyber Security Conference’에서 기반시설 국제 해킹 대회대회 문제 출제 및 운영을 담당하고 있는 NSHC 레드알럿팀.
▲ 제16회 ‘2017 ICS Cyber Security Conference’에서 기반시설 국제 해킹 대회대회 문제 출제 및 운영을 담당하고 있는 NSHC 레드알럿팀.

NSHC(대표 허영일)는 산업제어시스템 및 국제 기반시설 보안 컨퍼런스로 가장 큰 규모인 제16회 ‘2017 ICS Cyber Security Conference’에서 국제 해킹 대회 문제 출제와 운영 및 심사를 담당한다고 밝혔다.

이번 국제 기반시설 해킹 대회는 10월 24일부터 25일까지 미국 아틀란타 인터콘티넨탈에서 열리고 있는 기반 시설 보안 컨퍼런스의 메인 이벤트로 개최된다. 문제출제 및 운영은 올해 싱가포르에서 열렸던, 국제 ICS/SCADA 해킹 대회에서 최종 우승을 차지한 NSHC의 기반 시설 보안 연구를 맡은 Red Alert 팀(이하, 레드알럿팀)에서 진행을 한다.

레드알럿팀은 국내 뿐만 아니라 해외 기반시설 보안 담당자를 대상으로 ICS/SCADA 보안 교육을 지속적으로 진행해 오고 있으며, 기반시설에 대한 특화된 모의 해킹 및 보안 컨설팅을 제공하고 있다.

▲ 사진 좌측 레드알럿팀이 운영하는 국제 기반시설 해킹 대회. 우측 국제기반시설 보안 컨퍼런스 현장.
▲ 사진 좌측-레드알럿팀이 운영하는 국제 기반시설 해킹 대회. 우측-국제기반시설 보안 컨퍼런스 현장.

이번 대회 총괄을 맡은 박정우 매니저는 “대회 형식은 실제 기반시설에서 사용하는 장비 및 네트워크를 대상으로 폐쇠망을 우회하는 다양한 시나리오를 기반으로 설계되었다. 모든 문제와 시나리오는 레드알럿팀 모든 연구원의 프로젝트 경험과 기술 연구가 있었기에 가능했다”고 말했다.

또 박 매니저는 “지속적으로 늘고 있는 제어망 관련 보안 위협에 대응하기 위해서는 관련 분야에 특화된 정보보호 전문 인력 양성이 시급하다”며 “이번 해킹대회를 통해 현장에서 즉시 활용 가능한 기술을 습득하고 관련 분야의 전문 기술을 가늠할 수 있는 사이버 훈련 시스템을 국제 무대에 소개 하게 되어 기쁘다”고 덧붙였다.

NSHC는 화이트해커들이 설립한 오펜시브 리서치 기업으로 제대로 된 비즈니스 모델을 만들어 가기 위해 한국과 싱가포르 등 해외에서 많은 노력을 기울이고 있다.

이 회사는 기반시설 보안 시장에 진입한지 3년이 안됐음에도 불구하고 이미 르완다 발전소를 비롯해 싱가포르, 태국, 카타르, 홍콩, 일본, 이란, 한국 등지에서 가시적인 성과를 내고 있다. 명실공히 기반시설 보안 분야에서 독보적인 기업으로 글로벌 시장에서 인정을 받고 있다.

한편 NSHC는 국내뿐만 아니라 싱가포르, 홍콩, 태국, 일본에서 교육 사업을 펼쳤다. 기반시설 보안 진단 컨설팅 서비스도 제공한다. 발전소 및 공항을 비롯해 아시아 내 중요 기반시설 컨설팅 사업도 수행했다.

허영일 NSHC 대표는 “급증하는 제어망 보안 위협에 대응하기 위해 관련 분야에 특화된 정보보호 인력 양성이 시급하다”며 “이번 교육으로 현장에 즉시 활용할 수 있는 기술을 전수할 것”이라고 말했다.

원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=25087&page=3&total=270

허영일 대표 “11개국서 ICS/SCADA 보안사업 진행…이 분야 독보적 기업될 것”

▲ RSA 2017 싱가포르. NSHC 하동주, 최병규, 허영일, 성준영(사진 좌측부터)
▲ RSA 2017 싱가포르. NSHC 하동주, 최병규, 허영일, 성준영(사진 좌측부터)

(RSA 2017 싱가포르=데일리시큐) 한국의 보안기업 중 싱가포르하면 떠오르는 기업이 바로 ‘NSHC’다. 국내 모바일 보안 시장에서도 중요한 위치를 차지하고 있는 NSHC(대표 허영일)가 해외 사업을 시작한지 벌써 4년이 됐다.

허영일 대표는 4년 전, 혼자서 ‘맨 땅에 헤딩’하는 식으로 싱가포르로 날아가 현지에 법인을 설립하고 레드알럿(RED ALERT)팀을 중심으로 보안교육과 컨설팅, 위협 인텔리전스 정보 제공을 비롯해 최근에는 ICS/SCADA 보안교육까지 사업을 확대하며 한국 직원 5명에 현지 직원 5명으로 현지 법인을 키워냈다.

이런 NSHC가 RSA 2017 싱가포르에 전시부스를 내고 아시아 시장 확대를 위해 자사의 기업용 모바일 백신 ‘Droid-X’와 앱보호솔루션 ‘DxShield’ 그리고 스카다 등 기반시설 보안관련 교육과 정보제공 서비스를 들고 나왔다.

현장에서 만난 허영일 NSHC 대표는 “해외 사업을 시작한지 4년이 됐다. NSHC 전체 매출에 해외 시장 매출이 20%를 차지하고 있다. 누적 매출로 보면 450만불 정도 된다. 지난해 해외 매출은 14억 규모”라며 “지금까지 한국 본사 지원을 받지 않고 해외 매출로만 현지 법인을 이끌고 온 것에 자부심을 느끼고 있다”고 밝혔다.

특히 허 대표는 해외 시장 진출에서 가장 큰 성과를 매출도 중요하지만 미래 사업 아이템을 발굴 한 것이라고 말한다.

기존 NSHC는 모바일 보안 사업에 집중해 왔다. 하지만 모바일 보안은 아직까지 앱개발이 활성화된 한국과 일부 국가에서만 먹힐 수 있는 사업이라고 할 수 있다. 즉 글로벌 시장이 그리 크지 않다는 것이다. RSA 2017 싱가포르 전시장에서도 모바일 보안 제품을 들고 나온 기업은 한국 업체들이 대부분이다. 세계 시장은 현재 인텔리전스를 기반으로 한 보안기업들이 주류를 이루고 있다.

이에 허 대표는 “싱가포르에 회사를 설립하고 해외 사업을 하다 보니 스카다 보안 시장 즉 기반시설에 대한 보안 니즈가 엄청 크다는 것을 알게 됐다. 지금까지 기반시설 보호를 위한 보안교육, 트레이닝, 컨설팅, 정보제공 서비스만 11개국에서 진행했다”며 “해외에서 이 분야 사업을 더욱 강화시켜 나갈 것이다. 올해 싱가포르 법인 매출 목표가 30억이다. 추후 싱가포르에서 NSHC가 IPO까지 가는 것을 목표로 하고 있다. 오펜시브 리서치 분야에서 한국의 대표기업으로 성장해 나갈 것”이라고 포부를 밝혔다.

NSHC는 화이트해커들이 설립한 오펜시브 리서치 기업으로서 제대로 된 비즈니스 모델을 만들어 가기 위해 한국과 싱가포르에서 부단히 노력을 하고 있다.

기반시설 보안 시장에 뛰어든지 3년이 안됐음에도 불구하고 벌써 르완다 발전소를 비롯해 싱가포르 기반시설, 태국 기반시설, 카타르, 홍콩, 일본, 이란, 한국 등지에서 가시적인 성과를 내고 있다. 명실공히 기반시설 보안 분야에서 독보적인 기업으로 글로벌 시장에서 인정을 받고 있다.

허영일 대표는 “해외에서 돈 벌기가 쉽지 않다. 국내 사업보다 어려운 점이 더 많다. 하지만 어려운 상황에서도 해외 법인이 자체적으로 운영될 수 있었던 것은 한국 본사에서 중심을 잘 잡아줘서 가능했다. 중장기적 목표는 우리가 하고 싶은 연구를 하면서 비즈니스를 활성화 시키는 것이지만 단기적으로는 수익도 내야 회사가 운영되기 때문에 그 밸런스를 잘 맞춰 나갈 것”이라며 “모바일 보안과 기반시설 및 인텔리전스 보안 서비스 사업에 균형있는 발전을 위해 더욱 정진할 것”이라고 말했다.

원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=22191&page=3&total=270

국내 방산업체, 기간산업, 금융사 등 웹 상 계정노출 심각…해킹의 단초될 수 있어

 

▲ OSINT 정보의 위험성에 대해 설명하고 있는 NSHC 허영일 대표
▲ OSINT 정보의 위험성에 대해 설명하고 있는 NSHC 허영일 대표

정보보호 전문기업 NSHC(대표 허영일)는 12일 양재동 엘타워 엘하우스홀에서 100여 명의 고객 및 관계자를 초청한 가운데 “YOLO, 인생은 한번뿐! 보안도 한번뿐! 방심하지 말자!”란 주제로 제5회 세이프 스퀘어 행사를 개최했다.

이 자리에서 허영일 대표는 ‘어둠의 세계 파헤치기-다크웹, 랜섬웨어, 사이버 공방’을 주제로 발표를 진행했다.

허영일 대표는 “얼마전 인터넷상에서 수집된 정보만을 가지고 특정 국가 공항을 대상으로 사이버 공격이 가능하다는 보여준 바 있다. 구글에 특정 키워드를 입력해 해당 공항의 관리자 페이지를 찾아내고 패스워드도 알아 낼 수 있었다. 이를 통해 공항내 전광판을 마음대로 조정할 수 있고 공항 네트워크를 마비시켜 엄청난 혼란을 야기시킬 수 있다는 것을 해당 공항에 전달한 바 있다”고 밝혔다.

◇국내 방산업체, 금융사, 기간산업체 임직원 정보 유출 심각

▲ 웹상에 노출된 국내 방산업체 현황
▲ 웹상에 노출된 국내 방산업체 현황

또한 “국내 공항도 마찬가지다. 더 심각한 상황일 수 있다. 더불어 국내 방산업체별 이메일 계정 유출 현황도 파악됐다. 인터넷상에 회사 메일을 사용하는 직원들이 있다. 이를 통해 이메일 패스워드를 알아낼 수 있고 피싱메일을 통해 회사내부에 침투해 회사내 기밀정보도 빼내 올 수 있다”며 “방산업체뿐만 아니라 우리나라 발전소 등 기반시설 임직원들의 이메일 정보도 노출된 상태다. 카드사, 증권사 등 금융권 직원들의 이메일 주소와 패스워드도 알아낼 수 있다. PASTBIN에 검색만해도 타깃 기업의 직원 정보와 내부 침투 정보를 획득할 수 있다. 이런 정보를 바로 ‘OSINT’라고 한다. 이런 어둠의 골짜기에 우리가 지켜야 할 데이터가 너무도 많다. NSHC는 이런 정보들을 보호하고자 인텔리전스 서비스를 고객사에 제공하고 있다”고 설명했다.

참고로 ‘OSINT’란 ‘Open Source INTelligence’의 약자로 공개된 출처에서 얻은 정보들을 말한다. 오신트 혹은 오픈소스 인텔리전스 또는 공개정보, 공개된 정보, 공개소스정보, 오픈소스정보 등으로 불리기도 한다. CIA 등 국립정보기관이나 민간정보회사에서 수집하는 정보의 종류는 인간정보(HUMINT, 휴민트), 신호정보(SIGINT, 시긴트), 영상정보(IMINT, 이민트), 측정정보(MASINT, 매신트), 공개출처정보(OSINT, 오신트), 기술정보(TECHINT, 테킨트) 등이 있다.

일반인이 사용하는 인터넷 사이트보다 수면 속에 가려진 어둠의 사이트들이 인터넷 상에는 더욱 많다. 이 어둠의 웹, ‘다크웹’ 속에 우리가 지켜야 할 정보들이 엄청나다는 것이다.

◇정보유출 차단하기 위해 다크웹에 대한 모니터링 필요해

허 대표는 “다크웹에 10만개 이상의 사이트가 존재한다. 마약거래, 무기거래, 신용카드 거래는 물론이고 심지어 청부살인 사이트까지 존재한다. NSHC는 다크웹에 존재하는 데이터를 수집하고 축적된 데이터의 연관성을 찾고 이를 토대로 공격 정보와 지켜야 할 고객 데이터를 뽑아 고객들에게 전달한다. 이를 자동화 하기 위해 딥웹 자동검색시스템을 구축했다”며 “공격자들은 오픈웹이든 다크웹이든 노출된 정보를 토대로 타깃 회사의 정보를 빼내기 위해 다양한 시도들을 하고 있다. 또 제로데이 취약점 공격방법도 높은 가격에 거래되고 있다. 노출된 정보와 제로데이 공격코드로 그들이 목표로 한 타깃을 집요하게 공격하는 것이다. 각별한 주의가 필요하다. 이들의 움직임을 파악하고 대응방안을 마련하기 위해 NSHC RED ALERT팀이 존재한다”고 말했다.

그는 또 효과적인 정보유출 차단을 위해 다크웹(다크넷)에 대한 모니터링을 위해 실시간 OSINT 모니터링 시스템을 구축했다고 전했다. 이를 통해 SNS 및 인터넷상에 올라오는 자료를 모니터링 하고 특정 키워드를 중심으로 직원 정보나 기밀정보에 대한 정보유출 여부를 모니터링 한다고 밝혔다.

허 대표는 NSHC 인텔리전스 서비스에 대해 “국내외 최신 보안 이슈를 수집해 취약점, 악성코드, IoT, 스카다, 기술정보, 보안 업데이트 정보를 제공 하고 있다. 각 주요 보안 관련 뉴스, 업체 뿐만 아니라 SNS를 통해 확산되는 보안 전문가들의 이슈, 공격자들의 관심사도 포함된다. 이슈는 매주 메일을 통해 공유되고 있으며 실시간 타임라인으로 홈페이지에서 보다 빠르게 확인 가능하다. 특히 매주 새롭게 윈도우, 리눅스, 아이폰, 안드로이드, IoT, 스카다 등을 대상으로 하는 랜섬웨어, 금융 악성코드, APT 공격그룹 툴킷 정보 등을 제공하고 있다”고 설명했다.

한편 허 대표는 이 자리에서 해킹 시연도 선보였다. MS오피스 제로데이 취약점을 활용해 타깃 PC를 감염시키고 피싱사이트로 접속을 유도해 금융정보를 빼낼 수 있다는 것을 현장에서 보여줬다.

원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=21769&page=3&total=270

기반시설 국제해킹대회 우승 통해 한국의 기반 시설 보안에 대한 앞선 기술력 입증

▲ 이번 대회에서 우승한 싱가포르 NSHC 기반시설 보안 연구팀
▲ 이번 대회에서 우승한 싱가포르 NSHC 기반시설 보안 연구팀

NSHC(대표 허영일)는 모바일 보안 뿐만 아니라 국가 중요 기반시설 보안기술에서도 글로벌에서 그 기술력을 인정 받고 있으며 계속 발전해 가고 있다.

NSHC싱가포르의 하동주 기술이사(CTO)를 비롯해 박정우, 문해은, 태인규, 하행운 등 NSHC 기반 시설 보안 연구팀 5 명으로 구성된 NSHC의 레드알럿 연구소가 전 세계에서 유일한 ICS/SCADA 국제해킹대회인 SUTD Security Showdown(S317) CTF 2017 본선에 진출해 기반 시설 해킹 대회에서 우승을 차지했다.

이번 본선 대회는 세계 각국에서 총 6개팀이 치열한 예선전을 통해서 본선에 진출해 6월 5일부터 9일까지 총 5일간의 일정으로 SUTD(Singapore University of Technology and Design)에서 개최됐다. 전통적인 CTF방식과 달리 실제 하수처리 시스템의 기반 시설에 대한 해킹 및 방어 문제가 일부 출제되었으며 실제 기반 시설 현장에서 사용하는 다양한 장비 등에 대한 공개되지 않은 취약점을 찾는 문제들이 출제 되었다. 또한, 기반시설에 해당하는 폐쇠망(Air-Gap)을 우회해 실제 운영 장비 등에 접근할 수 있는 다양한 해킹 기법들이 문제로 출제되었다.

▲ 실제 해킹 대회 운영에 사용된 시스템(좌) 과 우승트로피(우)
▲ 실제 해킹 대회 운영에 사용된 시스템(좌) 과 우승트로피(우)

하동주 연구원은 이미 지난달 산업 제어 시스템 보안 컨퍼런스 등에서도 기반 시설 해킹 대회를 운영했으며, 국내 뿐만 아니라 발전소, 교통시스템과 전력망 등에서 사용하는 다양한 취약점 연구를 지난 3년 동안 꾸준히 준비해 왔다. 이번 기반시설 국제해킹대회의 우승을 통해 한국의 기반 시설 보안에 대한 앞선 기술력을 다시 한 번 확인했다.

NSHC 허영일 대표는 ”지속적으로 늘고 있는 국가 중요 기반시설 관련 보안 위협에 대응하기 위해서는 관련 분야에 특화된 정보 보호 전문 인력 양성이 시급하다”면서 “NSHC의 레드알럿팀의 세계 최고 수준의 보안 기술과 실력을 다시 한 번 인정받아 기쁘다”며 “향후 사이버전에 대한 대응을 할 수 있는 실력있는 화이트해커 및 사이버 보안 인력양성에 더욱 집중해, 국민들이 안심하고 생활할 수 있는 사이버안보 강국으로 발돋움하는데 기여할 것”이라고 말했다.

최근, NSHC는 프로스트앤설리반과 함께 ‘아시아태평양 지역 산업용 제어 시스템(ICS) 보안 시장’ 보고서를 발간했으며, NSHC는 국내에서는 처음으로 글로벌 시장조사 기업과 보안 취약점 보고서 사업에 참여 하였다. 이를 통해서 아시아태평양지역 14개 주요 국가에서 인터넷에 연결된 ICS 장치에 대한 위협 현황을 조사했으며, 아시아 10개국을 분석해 국가별 SCADA/ICS 보안 문제점을 보고했다.

원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=20954&page=3&total=270

이윤승 부사장 “모바일 보안의 현주소는 항상 ‘적색 경보상태’다”

▲ G-Privacy 2017에서 이윤승 NSHC 부사장이 모바일 보안위협에 대해 발표를 진행하고 있다.
▲ G-Privacy 2017에서 이윤승 NSHC 부사장이 모바일 보안위협에 대해 발표를 진행하고 있다.

국내 최대 개인정보보호 컨퍼런스 ‘G-Privacy 2017’이 4월 6일 양재동 더케이호텔서울 가야금홀에서 공공, 지자체, 금융, 기업 등 전분야 CPO 및 개인정보보호, 정보보안 실무자 1,000여 명 이상이 참석한 가운데 성황리에 개최됐다.

이 자리에서 이윤승 NSHC 부사장은 ‘증가하는 모바일 보안위협을 통한 정보유출 어떻게 막아야 하나’란 주제로 세션발표를 진행했다.

이윤승 부사장은 PC환경과 모바일 환경을 비교하면서 발표를 시작했다. “업무용 PC는 전원을 켜면 동작을 시작하지만 스마트기기는 한번 전원을 켜면 24시간 365일 동작한다. 또 PC는 유선 네트워크로 주로 연결되지만 모바일기기는 와이파이로 연결돼 사용범위도 광범위하다. 그래서 모바일 기기 보안이 PC보안보다 더 어려운 상황”이라고 설명했다.

이어 그는 “모바일의 경우 굳이 PC환경에서와 같이 굳이 DB서버를 해킹하지 않아도 사용자를 속여 개인정보를 수집할 수 있다. 악성코드나 어플리케이션 변조 등을 통해서 가능하다”며 “또 PC의 경우 프로그램이나 디바이스 자체는 격리된 공간에 있어 해커가 원격 접속으로만 접근이 가능하지만 모바일의 경우 동일한 앱이나 디바이스를 어디서든 쉽게 구매할 수 있어 엔드포인트 보안이 핵심 이슈다. 모바일에서 가장 두드러진 보안위협은 엔드포인트를 대상으로 하는 악성코드와 앱 위변조”라고 밝혔다.

▲ 이윤승 부사장 발표현장
▲ 이윤승 부사장 발표현장

한편 사이버 공격자들이 ‘랜섬웨어’ 공격과 게임 크렉 서비스로 많은 돈을 벌고 있다고 전했다. 이 부사장은 특히 “게임 크렉에 대응하기 위해 NSHC가 작년부터 ‘GxShield’라는 게임용 보안 솔루션을 출시했으며 아직 이 보안솔루션을 도입한 게임사는 아직 해킹을 당하지 않고 있다”고 소개했다.

주제는 인터넷전문은행으로 넘어갔다. 이 또한 관련 앱을 다운받아 간단한 비대면 인증을 거쳐 금융거래를 간편하게 할 수 있는 시스템이지만 사이버 공격자들이 금융거래 조작이 가능한 앱을 배포해 불법으로 돈을 갈취해 갈 수도 있다. 공격자들은 돈이 되는 일에 집중하고 있기 때문에 충분히 가능한 보안위협이라고 할 수 있다. 즉 모바일 보안의 현주소는 항상 ‘적색 경보상태’라고 이윤승 부사장은 강조했다.

N-3.jpg

NSHC(대표 허영일)는 이번 G-Privacy 2017에서 모바일앱 보호 솔루션 DxShield 제품군을 소개했다. 이 제품은 모바일 보안의 가장 취약한 부분이라 할 수 있는 End Point(단말기 APP 영역) 보호를 위한 서비스 제품으로 기존의 보안솔루션이 가진 특정 분야 방어중심 보안 프로그램의 한계를 넘어 APP을 공격할 수 있는 거의 모든 해킹 수단을 한번의 간단한 조치로 ‘통합적’으로 방어할 수 있도록 하는 기능의 솔루션이다.

이 제품은 단순한 공격 방어뿐 아니라, 대쉬보드를 통해 해당 공격시도에 대한 통계적 데이터의 제공을 통해 관리데이터의 축적과 함께 방어기능의 실시간 컨트롤을 가능케 하고, 관리자의 유연한 보안정책의 적용까지도 가능하도록 배려한다.

또 가장 치열한 해킹 공격에 그대로 노출되어 있을 수 밖에 없는 글로벌 지향 게임사들 뿐 아니라 핀테크 기업 및 기존의 금융기업 등에서 사용 중이며, 일본 현지에서도 호평을 받고 있는 안드로이드 앱용 보호 수단이다.

NSHC는 2003년 언더그라운드 해커들이 모여 만든 회사다. 2010년 본격적인 모바일 시대의 개막과 함께 모바일 보안솔루션 비즈니스의 길을 걸어온 기업으로 현재 200여 금융사와 기업을 대상으로 보안솔루션을 공급해 오고 있다. 특히 싱가포르에 해외진출의 교두보를 마련하고 제로데이 분석이나 SCADA보안 등 오펜시브(Offensive) 비즈니스에 새로운 사업영역으로 확대해 나가고 있는 기업이다.

한편 이윤승 NSHC 부사장의 G-Privacy 2017 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

“해외봉사캠프 활동은 NSHC 구성원들에게는 특별한 자부심”

▲ 캄보디아로 봉사활동을 떠나는 NSHC 직원들
▲ 캄보디아로 봉사활동을 떠나는 NSHC 직원들

“Happy Together!” 정보보안 기업 NSHC(대표 허영일)가 6년째 해외 재능기부 봉사활동을 이어오고 있다. NSHC는 2017년 3월 20부터 25일까지 캄보디아 시엠립에서 재능기부 워크숍을 진행중이라고 밝혔다.

지난 3월 20일, NSHC 이윤승 부사장을 포함 10명의 직원들은 올해도 어김없이 캄보디아의 시엠립으로 향하는 비행기에 몸을 실었다.

15Kg짜리 저가항공 수하물 규격에 맞춘 푸른색 박스를 앞세운 NSHC 봉사단. 일행 모두 저가항공을 이용하기에 배당된 개인 위탁수하물 중량에 맞게 운반해야 할 기부물품 및 장비를 챙기는데 여념이 없었다. 그 박스 안에는 10명의 팀원들이 캄보디아 현지에서 재능기부 봉사활동에 사용할 물품들과 직원들이 십시일반 모아준 기부물품들이 가득 들어있었다.

구체적으로는 ▲태양광 전력설비에 필요한 장비 ▲무한 필터방식 정수기 구성품 ▲사진촬영 봉사를 위한 물품 ▲개인 기부물품 등이었다.

이 회사가 캄보디아에서 진행하는 재능기부 워크숍은 올해 여섯번째를 맞는다. ‘6’이라는 숫자는 NSHC에 특별한 의미가 있다.

NSHC 관계자는 “햇수로 6년동안 영업이익을 달성했다. NSHC는 매년 영업실적 결산을 통해 일정 비율의 예산을 확보하고 그 예산 안에서 CSR(기업의 사회적 책임) 관련 활동을 해오고 있다”고 설명했다. 따라서 이 해외봉사캠프 활동은 NSHC 구성원들에게는 특별한 자부심인 셈이다.

그들의 행사 캐치플레이스에서도 알 수 있듯, ‘우리가 일하는 이유’, ‘제대로 사는 법’을 배우기 위해 매년 캄보디아를 가는 것이라고 한다.

이 연례행사를 주도하고 있는 이윤승 부사장은 “이 행사가 그냥 일회성 봉사에 그치지 않고, 직원들이 자신의 ‘삶의 가치’에 대한 깨달음을 얻기 위한 기회로 생각하고 지속적인 투자를 하고 있다”고 말한다.

특히 캄보디아의 한 지역, 시엠립을 매년 지속적으로 방문하는 이유는 현지 협력 네트워크를 구축해 태양광 시스템 설치, 정수키트 보급 등 현지에 비용을 들여 설치한 자재들이 봉사팀이 철수한 이후에도 잘 관리되도록 하기한 목적이 있고, 매년 새로운 팀이 구성되어 이곳을 찾는 인원들은 선배 기수가 해놓고 간 시설이나 장비들이 어떤 상태로 지역사회에 도움을 주고 있는지 눈으로 확인하며 이 프로젝트의 구성원으로서 자부심을 느끼게 된다고 전했다.

▲ 왼쪽위부터 시계방향으로 태양열전기시설, 정수키트설치, 학급사진찍기 봉사활동
▲ 왼쪽위부터 시계방향으로 태양열전기시설, 정수키트설치, 학급사진찍기 봉사활동

올해도 3가지 봉사활동에 중점을 두고 있다. △첫번째로 전기가 들어오지 않는 오지에 위치한 방과후수업 교실에 태양광 전기 시설을 설치 △두번째로 위생상태가 극도로 열악한 도시주변의 빈민촌에 오염된 우물물을 정수해 식수로 바꿀 수 있는 무한필터방식의 정수키트를 설치 △세번째로 학급사진이라고 구경도 못해본 학생들을 위해 변두리 학교를 찾아 학급별 사진을 찍어 밤샘 인화와 코팅을 통해 학생들에게 나누어주고, 인근의 연세가 높은 노인들의 영정사진을 미리 찍어 마음 편히 임종을 준비할 수 있도록 도와주는 행사를 진행하고 있다.

특히 NSHC의 봉사활동은 현지의 봉사자 인적 네트워크와 함께 진행하며 사후관리가 그들로 하여금 지속적으로 이루어 질 수 있도록 기술교육과 유지보수에 대한 계획을 매년 협의하고 돌아온다고 한다. 또 이듬해 현장을 다시 찾아 운영실태를 확인하는 과정을 반복한다.

▲ 캄보디아 현지 학생들과 함께
▲ 캄보디아 현지 학생들과 함께

봉사활동의 특성상 현지에 NSHC의 이름이 드러나지는 않지만, 실질적인 봉사활동으로 현지 봉사자들에겐 큰 힘이 되어주고 NSHC는 시설관리를 위해 현지에 상주하는 운영 인력에 대한 부담을 더는 방식이다. 이른바 기업과 소형 NGO의 콜라보레이션인 셈이다.

현지에서도 6년간 한 곳을 지속적으로 찾아와 봉사를 하는 기업은 찾아보기 어렵다고 한다. 실제로 경험해보면 이 일이 생각처럼 쉬운 일이 아니라는 것을 알게 된다.

NSHC 관계자는 “관련된 모든 이들의 행복을 위해 NSHC의 기업활동이 잘 이루어져 회사의 자부심이라 할 수 있는 해외봉사캠프가 계속 이어질 수 있길 바란다”고 전했다.

알려지지 않은 ICS/SCADA 시스템에 대한 제로데이 취약점도 소개

HITB2017.jpg

NSHC(대표 허영일)는 오는 4월 10일 네덜란드 암스테르담에서 개최되는 HITB 2017 국제 컨퍼런스에서 제어망 관련 기관 및 기업을 대상으로 하는 ICS/SCADA 정보 보안 전문가 과정 교육을 3일에 걸쳐 진행한다고 밝혔다.

NSHC 관계자는 ”HITB 2017 컨퍼런스는 세계적인 보안 컨퍼런스로서 엄선되고 검증된 교육 과정만 컨퍼런스 서비스에서 제공 하는 것으로 알려져 있다. 이번이 한국에서 교육을 제공하는 첫 사례로NSHC의 제어 보안관련 전문성과 그 동안 국 내외 트레이닝에 대한 경험과 노하우를 인정받게 되어 개설이 되었다”고 밝혔다.

이번 과정은 국내의 정보 보안 전문 업체로서는 최초로 제어 시스템 보안에 필요한 이론과 실무 능력을 중심으로 하는 교육 과정을 국제적인 컨퍼런스에서 진행하며, 실제 제어망 관련 장비와 취약점등을 이용한 실무 중심의 교육을 실시한다.

특히, 이번 교육을 위해 그동안 해외에서 진행해 왔던 제어 시스템 관련 보안 컨설팅 업무와 포렌식, 제어 시스템 보안 연구를 통해 경험한 다양한 해외 사례를 소개하며, 실제 장비를 이용하여 가상으로 구축한 제어망 시스템을 활용하여 제어 시스템의 보안성을 강화 하기 위한 실무 중심의 교육 프로그램을 제공한다.

수강생은 교육 과정 이수를 통해 실제 산업 제어 시스템에서 발생할 수 있는 보안 위협에 대한 분석 및 관제 능력을 향상시켜 사고 대응의 수준을 높일 수 있고, 최근 NSHC 글로벌 사업팀에서 경험한 다양한 사례를 통해서 기업과 기관들의 정보 보호 인프라 운영 환경을 구축하기 위한 기반 지식을 습득 할 수 있다.

최근, NSHC는 국내 뿐만 아니라 싱가포르, 홍콩, 태국 및 일본에서 관련 교육 사업을 적극적으로 진행하고 있으며, 제어 시스템 관련 전문가를 중심으로 기반 시설 보안 진단 컨설팅 서비스를 제공하고 있다. 작년 한해 발전소 및 공항을 비롯해서 아시아의 다양한 중요 기반 시설 컨설팅 사업을 수행했다.

또한, 이번 교육을 통해서 아직까지 알려지지 않은 ICS/SCADA 시스템에 대한 제로데이(0-day) 취약점에 대한 소개하고, 기반 시설과 관련된 악성코드 등에 대한 분석 정보도 함께 발표할 예정이다.

허영일 NSHC 대표는 ”지속적으로 늘고 있는 제어망 관련 보안 위협에 대응하기 위해서는 관련 분야에 특화된 정보 보호 전문 인력 양성이 시급하다”며 “이번 교육을 통해서 현장에 즉시 활용 가능한 기술을 전수하고 관련 분야의 전문 인력을 확보하는 등 보안 인력 육성에 박차를 가할 계획”이라고 말했다.

원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=19001&page=4&total=270

일본 내 앱 통합보호, 안티바이러스 서비스 공급 발판 마련

0210-2.jpg

NSHC(대표 허영일)의 일본 법인인 NSHC, Japan(대표 최병규)은 일본에서 250여 개의 게임 및 다양한 모바일 서비스를 운영하고 있는 일본 상장 법인 주식회사 알트플러스(대표이사 이시이 타케시)와 스마트폰 어플리케이션 통합 보안 서비스인 ‘DxShield’에 대한 정식 파트너 계약을 체결했다.

DxShiled는 암호화(난독화) 및 해킹 툴 차단, 응용 프로그램의 위조, 변조 탐지 및 가상 머신 대응, 메모리에 대한 공격 탐지 등 다양한 보안 기능을 갖추고 있다. 또한 모니터링 콘솔을 통해 별도 프로그램 설치 없이도 실시간 공격의 확인 및 보안 정책 변경, 통계 정보를 실시간으로 확인 할 수 있다.

현재 NSHC는 모바일 Anti Virus 제품인 Droid-X를 34곳의 일본 금융 기관에 OEM형태로 제공하고 있는데, 이번 알트플러스와의 파트너쉽 계약을 통해 기존 Anti Virus 서비스에 이어 모바일 게임 개발사를 중심으로 일본의 다양한 서비스 개발자들에게 모바일 앱 통합 보호 서비스를 자사의 브랜드로 공급할 수 있는 발판을 마련하게 됐다.

양사는 초기에는 스마트폰 앱 보안을 중심으로 비즈니스를 진행하지만 추후 일본에서 많은 발전을 이루고 있는 IoT 분야에 대한 보안 서비스도 공동 개발해 나갈 계획이다.

NSHC 일본법인 최병규 대표는 “현재 일본은 스마트 폰 애플리케이션 서비스의 세계화와 도쿄 올림픽을 대비하는 시기와 맞물려 그 어느 때보다 스마트 보안에 대한 요구가 높아지고 있는 시점에서 모바일 응용 프로그램에 대한 사이버 공격도 점차 늘어나고 그 수법도 다양해지고 있다. DxShield는 이러한 시장 환경에서 보안 전문 인력을 보유하기 어려운 일본의 중소 개발사를 위한 최적의 솔루션을 제공해 줄 수 있을 것으로 보인다”고 말했다.

원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=18448&page=4&total=270

기반시설 및 산업제어시스템 보안 위협에 대해 알아야 제대로 대처 가능해

▲허영일 NSHC 대표. IAEA 컨퍼런스 주제 발표 진행.

NSHC(대표 허영일)는 국제원자력기구(IAEA) 컨퍼런스(International Conference on Nuclear Security)에서 국내 민간 기업 최초로 주제 발표를 진행했다고 밝혔다.

이번 발표는 그간 2년 동안 국가 중요 기반 시설에 대한 다양한 보안 연구를 진행해왔던, NSHC의 허영일 대표가 직접 발표했다. 발표 준비는 한국남부발전, 인터폴 연구원과 함께 진행해 왔으며, 12월 8일 오후 오스트리아 비엔나에서 발표했다.

매년 열리번 IAEA핵 보안 컨퍼런스는 71개국 1,500여 명이 참석한 가운데 12월 5일부터 9일까지 4일간 오스트리아 비엔나 IAEA 본부에서 개최됐다. 해당 컨퍼런스에서는 그간에 발견된 PLC 관련 신규 취약점과 새로운 유형의 공격 기법을 살펴 보며, 관련 공격 기법에 따른 대응 시스템과 기술에 대한 내용을 함께 공유했다.

▲IAEA 컨퍼런스 발표장 현장

이번 발표를 맡은 허영일 대표는 “기반시설 및 산업제어시스템 보안 위협에 대해 알아야 제대로 대처할 수 있다. 이에 NSHC에서는 산업제어시스템 보안 트레이닝 프로그램을 제공하는 있는데, 관심을 갖고 관련 연구과 국내에서 지속적으로 이루어 지었으면 좋겠다”고 말했다.

또한 허영일 대표는 “그동안 한국남부발전, 인터폴 소속의 연구원들과 함께 제어 시스템 관련 악성코드 분석, 제어 시스템 신규 취약점 연구 분야를 통한 다양한 경험과 기술을 국제 무대를 통해서 발표를 하게 되어 매우 기쁘게 생각하며, 한국에서 발생한 다양한 보안 연구와 사고 사례에 대한 내용과 새로운 사이버 보안 기술을 발표했다”고 밝혔다.

NSHC는 올 한 해 국 내외의 다양한 국가 기반 시설에 대한 보안 진단을 수행했으며, 이러한 경험과 관련 분야의 지속적인 연구 결과를 통해, 싱가포르, 일본, 홍콩 및 이란 등 다양한 나라에서 관련 보안 트레이닝을 제공해 왔으며 홈페이지에서 신청할 수 있다.

원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=17454&sc_code=&page=4&total=270

개인 개발자 및 게임 개발사 대상 모바일게임 앱 보호 체험 프로모션 진행

NSHC(대표 허영일)가 오는 17일 부터 20일까지 부산 벡스코에서 개최되는 국제게임전시회 ‘지스타 2016(BTB전시관, 부스번호 U20)’에 3년 연속 참가한다고 밝혔다.

나날이 치밀해지고 조직화, 상업화 되어가는 모바일게임 앱을 대상으로 공격의 강도를 높여가는 신종, 변종 해킹 기술의 발전 방향에 대응하여 세계 최초로 “난독화 +암호화 + 해킹 방어 보호 기술 자동 적용” 기능을 갖춘 “능동적 대응 능력”을 특징으로 하는 모바일게임 앱 보호서비스 “GxShield 2017”을 국내 모든 개인 개발자 및 게임 개발사를 대상으로 “모바일게임 앱 보호 체험 프로모션” 을 진행한다.

모바일 게임은 가장 치열하고 높은 수준의 해킹 시도가 상례화 되고 있는 영역으로 유명하다. 수십억을 들여 만든 게임이 해킹을 당해 한 순간에 무너지는 일이 그리 새로운 뉴스가 아닐 정도이다. 상용 게임의 경우 아이템 구입이나 게임룰 선점에 있어 상당한 비용이 지출되고 있는 시장이라, 부정적인 시도에 대한 유혹이나 실제 그런 목적의 해킹이 광범위하고 빈번하게 이루어지고 있는 게 현실이다.

게임 크랙 이슈, 어뷰징 이슈 등 게임 운영자에게는 다양한 형태의 보안에 대한 위협이 늘 상존하지만 글로벌 영역의 게임 해커의 수준이 워낙 높아 보안솔루션을 통한 효과적인 대응에 큰 기대를 못 가져왔다. 이런 경우 해킹 공격에 대한 방어가 가능하도록 하는 역할이 게임용 ‘보안솔루션’의 역할인데, 사실 게임의 룰을 보호하고 결재모듈을 보호하기 위한 대처가 앱이 가진 몇 가지 대표적인 취약점에 대한 대응만으로 충분치 않은 게 사실이다.

▲NSHC GxShield의 주요 기능

보안사고는 늘 취약한 부분에서 일어나기 마련이므로, 게임의 해킹 사고는 고르게 보안대책에 대한 보안수준을 높이고, 만일을 위해 1차가 뚫리면 2차가 막고 그리고 계속해서 그 다음의 후속 보안대책이 준비가 되어야만 게임보안 솔루션은 그 목적에 충실한 역할을 할 수 있다. NSHC는 이런 게임 업계의 숙원과제를 목표로 정하고 2년여의 개발 기간을 투자해 게임앱용 전문 보호솔루션인 GxShield를 올 초에 발표했다.

그리고 이 능동형 솔루션(서비스)의 특징인 계속적인 ‘진화’를 거쳐 지금 ‘GxShield 2017’을 G-STAR에 맞춰 발표하고 프로모션을 진행하는 것이라고 밝혔다.

▲NSHC 지스타2016 전시부스

NSHC 관계자는 “현재 GxShield는 수개월 째 게임업체들이 사용중인데, 아직 보안기능이 우회되거나 무력화되는 해킹을 당해본 적이 없으며, 게임앱 크랙버전이 올라오는 사이트에서 아직 GxShield가 적용된 게임이 올라오지 않고 있는 것으로 확인 할 수 있다”고 설명했다.

이어 “GxShield의 기본 사양으로는 난독화와 암호화가 동시에 적용되어 소스코드를 2중으로 보호하며, 암호화의 단계를 사용자가 조절을 할 수 있어 보안상의 안전성과 앱 구동속도에 대한 최적의 비율을 운영자가 선택할 수 있다”고 덧붙였다.

한편, 프로모션 참여방법은 지스타 행사장 NSHC 부스에서 적용할 게임앱에 대한 기본 정보를 등록하면, GxShield 계정을 생성해 24시간 이내에 신청자에게 이메일로 전달하여 등록한 게임앱을 지정한 클라우드에 업로드 후 자동으로 보안기능 적용 과정을 이용할 수 있도록 한다. 행사장 방문이 어려운 경우 sales@nshc.net 으로 메일을 보내 신청할 수 있다. 이 경우 기업명과 담당자연락처, 게임앱의 패키지네임 정도의 정보가 필요하다.

원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=17030&page=4&total=269