01.22
주요뉴스
뉴스홈 > 보안/해킹
에버스핀, 티오리에 ‘공개 해킹 테스트로 사실여부 확인하자’ 역 제안티오리에 ‘허위사실유포 및 명예 훼손’, ‘POC 2019’ 해킹 테스트 이의 제기
   
▲ 에버스핀 측이 주장하는 ‘정황상 의심되는 의혹 관계도’ (자료제공: 에버스핀)

[아이티데일리] 모바일 앱 보안 솔루션 전문 기업인 에버스핀(대표 하영빈)은 지난 6일 보안 취약점 분석 및 컨설팅 전문기업인 티오리한국(대표 박세준, 이하 티오리)을 상대로 ‘허위사실 유포로 인한 명예훼손 행위’를 하고 있다며 법무법인을 통한 경고장을 보내는가 하면, 지난 1일 ‘공개 해킹 테스트’를 통해 사실여부를 검증해 보자고 역 제안해 관련 업계의 비상한 관심을 불러일으키고 있다.

에버스핀은 특히 티오리 측이 지난달 7~8일 개최된 국제해킹보안 컨퍼런스 ‘POC 2019’에서 ‘Breaking Android Obfuscation By Applying BAOBAB’ 주제로 발표하면서 제시한 에버스핀의 503코드는 2년 전인 지난 2017년 8월 발생했던 그 당시의 이미지이고, 당시 그 코드는 서버가 작동되지 않은 상황, 즉 서버가 꺼져 있을 때 나타난 코드였다고 설명했다. 즉 티오리가 2019년 테스트 결과라고 제시한 이미지는 2년 전 이미지이고, 당시 고객의 내부 사정으로 서버가 꺼져있는 상황에서 테스트를 한 이미지라는 것이다.

에버스핀은 티오리 측도 이에 대해 인지하고 서버가 작동하지 않은 상태에서 테스트를 진행했다는 설명을 당시 해킹테스트 게시글에 첨부했다고 지적했다. 그럼에도 이번 해킹 테스트에 이미지를 그대로 사용한 것은 최근에 해킹 테스트를 진행하지 않은 것으로 밖에 의심할 수 없다고 회사 측은 강조했다. 에버스핀은 단 한 번도 해킹 당하지 않았을 뿐만 아니라 뚫리지도 않았다는 것이다. 에버스핀은 이에 따라 티오리가 자사를 고의적이고 악의적으로 허위사실을 유포하고 있다고 볼 수밖에 없어 명예훼손과 이로 인한 손해배상 등 가능한 모든 법적 책임을 반드시 물을 것이라고 밝혔다.

문제의 발단은 지난달 개최된 국제해킹보안 컨퍼런스에서 티오리 박세준 대표가 국내·외 앱보안 솔루션 10개의 검증 결과를 공개하면서 에버스핀의 ‘에버세이프’를 해킹난이도 ‘쉬움(Easy)’으로 표시하고, 국내 제품 2개를 포함한 총 4개 제품에 대해서는 ‘어려움(Hard)’ 등급을 부여한 데서부터 시작됐다.


POC 2019 이미지는 2017년 것

에버스핀은 이에 대해 지난달 15일 법무법인을 통해 티오리에 경고장을 보냈고, 자사와 관련 내용에 대한 답변을 11월 29일까지 달라고 요청했다. 에버스핀은 경고장을 통해 POC 2019에서 발표된 해킹 테스트의 전문성 및 객관성에 대한 이의를 제기하며, ▲자료에 첨부된 증거 사진이 2년 전 공개한 사진과 동일하다는 점 ▲실제 ‘에버세이프’의 구동방식을 이해하지 못하고 전체 시나리오 중 일부만 해당하는 화면을 표시하고 전체 솔루션 기능을 우회했다고 발표한 점 등을 허위사실로 지적했다. 더불어 이런 일련의 행위가 티오리가 관계를 맺고 있는 협력사의 A제품을 홍보하는 것으로 의심된다고 강조했다.

또한 ▲배포되고 있는 발표 자료 중 에버스핀 관련 부분 삭제 ▲허위사실을 유포해 명예 훼손시킨 것에 대한 서면 사과문 ▲추후 해당 내용과 같은 행위에 대한 재발방지 서약서 작성 등 3가지 사항을 요구했다.

그러나 티오리는 이에 대한 답변은 하지 않고 자사 블로그에 경고장 관련 내용을 공개했다. 즉 ▲최근 진행한 테스트에서도 2017년과 마찬가지로 서버 503 에러가 반환됐으며, 사진은 이해를 돕기 위해 2년 전 자료를 활용했다는 점 ▲보안 모듈 초기화 코드 호출 변조에 어려움이 없었으며, 이를 통해 보안성과 무결성을 잃었다고 판단한 점 등을 제시한 것이다. 또한 협력사와의 관계는 2018년 초에 종결했기 때문에 특정 기업이나 솔루션을 홍보할 이유가 없다고 강조했다고 한다.

한편 하영빈 에버스핀 대표 역시 이에 대해 페이스북을 통해 공개적으로 해킹 테스트를 제안하면서 국면이 변하고 있다. 답변에 제시한 동영상의 경우 조작논란이 있을 수 있기 때문에 해킹이 완료된 앱을 양사가 직접 확인할 수 있는 방식으로 테스트를 진행하자고 제안한 것이다.

하영빈 에버스핀 대표는 “티오리가 분석한 보안 솔루션과 동일한 솔루션이 탑재된 샘플 앱을 제공할 테니 해킹 테스트를 하자”면서 “에버스핀은 고객사의 니즈에 따라 특정 기능을 온/오프(ON/OFF) 할 수 있도록 제공하고 있다. 이번 테스트에 일부 기능을 켜놓고 제공할 테니, 정상적인 OS 환경의 폰에 앱을 설치하고 실제 앱을 운영하는 서버에 로그가 남아있는지를 확인하면 된다. 이는 많은 금융사에서 실제로 테스트에 사용하는 조건”이라고 공개 테스트를 제안한 것이다.


악의적이고, 고의적인 허위사실

또한 에버스핀은 POC 2019에서 발표된 테스트 결과에 객관성이 부족하다는 것을 실제로 밝혀냈다고 주장했다. 하영빈 대표는 “POC 2019 테스트 결과를 토대로 자체 테스트를 진행한 결과, A제품 테스트에 사용된 앱에서 A제품은 동작도 하지 않고 B제품이 동작하는 것을 확인했다”면서 “더불어 ‘어려움(Hard)’으로 평가된 보안 솔루션이 적용된 앱을 1시간 만에 해킹했다. 이런 점들은 POC 2019 테스트가 객관성이 부족함을 인정하는 확실한 증거”라고 설명했다.

하 대표는 이어 “에버스핀은 주로 보안 컨설팅 서비스를 해외에서 제공해 왔지만, 국내에서도 서비스를 시작해 사회에 이바지하고자 한다”면서 “내년부터 해킹 컨설팅 사업의 수익을 활용해 상금 규모 1억 원 상당의 해킹대회를 매년 개최할 계획”이라고 덧붙였다.

한편 티오리 측은 지난 4일 에버스핀의 이 같은 공개 해킹 테스트 제안에 대해 아직까지 공식적인 답변은 회신하지 않고, 페이스북 등의 SNS를 통해 ▲에버스핀 홈페이지에 게시돼 있던 컨설팅사의 검증결과가 갑자기 사라졌다 ▲실제 고객사 앱을 제시하면 비용을 받고 하겠다 라는 등 본 논란과 관계없는 문제점을 제시하거나 간접적으로 우회해서 답변을 제시하고 있는 것으로 알려지고 있다.

에버스핀은 이 같은 박세준 대표의 제안에 대해 “솔루션 공급업체가 고객의 앱을 해킹해 보라는 것과 같은 의미인데, 만약 그렇게 할 경우 고객들은 등을 돌리거나 계약도 해지하자고 나올 것”이라며, “이는 에버스핀이 결코 받아 줄 수 없는 제안임을 알고 제시한 말장난에 불과하다. 사실상 문제를 일으킨 당사자 입장에서 논지를 흩트리려는 의도가 깔려 있음이 분명하다”고 강하게 지적했다.

한편 본지는 에버스핀의 이 같은 주장에 대해 사실여부를 확인하기 위해 박세준 대표에게 휴대폰으로 전화를 걸었고, 메시지(에버스핀과의 논쟁 및 명예 훼손 관련 내용)까지 남겼으나(12월 4일 오후 4시 57분) 아무런 답변을 하지 않고 있다.

본지는 에버스핀과 티오리와의 기술적인 논쟁 및 명예훼손을 넘어 관련 산업 발전을 위해 객관적인 사실을 근거로 한 기사를 작성하고자 박세준 대표의 답변을 기다리고 있다. 아울러 본 사건의 발단인 POC 2019에서 발표한 자료에서 ‘어려움(Hard)’이라고 표시된 A제품의 테스트를 위해 사용된 앱에서 A제품은 동작도 안 한 상태에서 B제품이 동작하고, 그 결과를 왜 A제품의 결과로 사용했는지, 그리고 현재 버전을 발표하는 문서에서 왜 2년 전 자료를 사용했는지 등에 대해서도 답변을 듣고자 한다.

인기기사 순위
(우)08503 서울특별시 금천구 가산디지털1로 181 (가산 W CENTER) 1713~1715호
TEL : 02-2039-6160  FAX : 02-2039-6163  사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김선오