“공격을 통한 보안에 대한 인식 자리잡길 바래”
“해커의 생명력은 창의성…안정을 원한다면 해커의 길 버려라!”
데일리시큐는 창간 이후 계속해서 <차세대 리더>라는 타이틀로 국내에서 젊고 실력있는 보안전문가들을 한명한명 소개하고 있다. 허영일 NSHC 대표, 유동훈 아이넷캅 연구소장, 박찬암 루멘소프트 팀장, 최상명 하우리 선행기술팀장, 장영진 조지아 공대 박사과정, 박천성 비스트랩 맴버 등을 소개해 왔다. 이번에 소개할 차세대 리더는 심준보 블랙펄 시큐리티 선임연구원이다. “해커의 생명력은 창의성…안정을 원한다면 해커의 길 버려라!”
“초등학교 1학년 때 컴퓨터 학원을 다녔다. 프로그래밍을 초등학교 1학년부터 시작해 베이직도 배우고 C언어도 배우고 4학년 때 전국 소프트웨어 경진대회에도 나가 입상도 했다. 프로그래밍을 하다 보니 자연스럽게 해킹에 관심을 가지게 됐고 당시 나우누리 시지프스 동아리에서 해킹공부 소모임에 가입해 본격 공부했다.”
심준보 연구원은 이렇게 어린 나이부터 컴퓨터에 대한 관심과 열정이 남달랐던 모양이다. 해커로서 본격적인 활동을 하게 된 계기는 해커스랩 IRC 채널과 해커스쿨 IRC 채널에서 워게임을 풀면서였다고 한다. 문제를 풀면서 질문하고 답하며 공부를 했고 커뮤니티를 만들어 운영도 했다고 한다.
그는 “24살까지는 개발자를 생각했다. 실제 개발업체에서 일도 했다. 하지만 당시 맴버 3명과 충남대 아르고스 동아리를 만들어 운영하면서 개발보다는 해킹이 더 체질에 맞는 다는 것을 알게 됐다”며 “정보보안 분야는 꼼꼼해야 한다. 하지만 해킹은 꼼꼼함 보다는 창의적인 발상으로 공격을 하는 것이기 때문에 더 재미를 느끼게 됐다. 창의성은 해커에게 생명과도 같은 것”이라고 말했다.
◇보안, 공격성향 해커의 손길이 필요해=그래서 그의 컨설팅 방향도 다르다. 현재 그는 여러 기관의 컨설팅 업무를 맡고 있다. 그가 하는 컨설팅 업무는 보안쪽 컨설팅이 아니라 사고가 발생했을 때 어떻게 공격이 일어났는지 추측해서 공격 시나리오를 만들어 컨설팅을 해주는 방식이다. 공격성향이 강한 심 연구원에 맞는 컨설팅 스타일이라고 볼 수 있다. 기업에서도 공격자 입장에서 결과물이 나오기 때문에 더욱 신뢰한다고 한다.
그는 컨설팅 과정에서 겪은 어려움에 대해 “아직 보안컨설팅에 대한 인식이 부족하다. APT 공격 시나리오를 설계하는 일을 의뢰 받았는데 이러한 실질적 공격 시나리오를 작성하려면 내부 전체를 분석해야 가능하다. 콜센터 직원부터 모든 부서와 모든 직원들이 연계돼 공격이 이루어지기 때문에 전체를 조사해야 하는데 보안팀은 힘이 없어 시스템 부서에 협력을 요청하는 과정에서부터 어려움이 있다는 것을 느꼈다”며 “그래서 차라리 감사팀이나 경영진에 바로 이야기한다. 감사나 경영진과 함께 일하면 이해도는 떨어지지만 일이 쉽게 진행된다”고 말했다.
보안부서의 한계를 느끼게 하는 대목이다. 보안팀이 기업 IT부서의 부속으로 존재하기 때문에 권한에 한계가 있다는 것이다. 심 연구원은 “매일 전체 공지사항으로 전직원들에게 열어봐서는 안되는 메일유형, 정보보안을 위해 하면 안되는 사항들만 보안팀에서 힘을 가지고 교육해도 70%의 사고는 막을 수 있다. 이미 알려진 공격들은 충분히 막을 수 있다. 하지만 보안팀의 권한이 작다보니 잘 이루어지지 않고 있다”고 지적했다.
또 알려지지 않은 공격, 즉 제로데이 공격을 막을 수 있어야 한다. 이 때문에 그는 요즘 프로그램에 취약점이 있는지 없는지를 확인할 수 있는 자동화툴 개발을 위해 연구를 하고 있다고 한다. 취약점 진단이 가능하다면 안전한 프로그램만 사용할 수 있기 때문에 진단 방법론 혹은 시스템을 만들어보고 싶다고 포부를 밝혔다.
◇공격을 통한 보안이 필요해=심 연구원의 화두는 “공격을 통한 보안”이다. 그는 “공격을 통한 보안이 중요하다는 것을 중요 기관들은 긍정적으로 보고 그와 관련된 위탁과제들이 나오고 있다”며 하지만 “아직 민간기업들은 여기에 대한 인식이 크지 않다. 바뀌고 있는 중이다. 공격자 입장에서 보안대책을 마련하고 준비하는 것은 현재의 공격패턴을 볼 때 중요한 부분이란 것을 인식했으면 좋겠다”고 강조했다.
그래서 기업 내부에 보안팀과 공격팀이 상존해야 한다고 주장한다. “공격팀은 계속 공격을 해서 취약한 부분을 찾아주고 공격들이 정상업무를 방해하지 않는 선에서 실질적인 취약점을 찾아주는 것이 중요하다”며 “이러한 작업들이 이루어져야 현재의 APT와 같은 타깃 공격에 대한 방어 시나리오를 구축할 수 있을 것이다. 공격적 해커들이 기업에서 일할 수 있는 환경이 필요하다”고 덧붙였다.
또 하나 강조한 부분은 바로 기업과 해커간의 신뢰다. 그는 “공격적 컨설팅 의뢰가 와서 일을 하다 보면 담당자는 계속 공격 성공 여부를 확인하려 한다. 꼭 공격을 성공해야만 한다고 의뢰인은 기대를 하고 있다”며 “실제로 중요한 정보는 공격 과정에 대한 리포트다. 실패하면 더 좋아해야 하는데 반드시 성공해야 컨설팅 한 의미가 있다고 생각하는 것이 잘못됐다. 실패하면 보안이 잘돼 있다고 생각하면 되는데 실패하면 해커의 실력이 없다고 생각하는 것 같아 안타깝다”고 말했다. 즉 100%의 보안은 불가능하다는 것을 알면서도 해커에게는 100%의 보안을 기대하고 있는 것이다.
그는 또 “취약점을 찾는 것이 중요한 것이 아니라 그 취약점을 이용해 어떻게 공격할지를 알아내는 것이 더 중요하다. 취약점은 공격의 요소일 뿐이다. 그 취약점으로 어떤 공격 시나리오를 만들어내느냐가 더 중요한 정보다. 취약점은 계속 생긴다. 새로운 시스템이나 서비스가 나오면 취약점은 생기기 마련이다. 중요한 것은 취약점을 가지고 공격자가 어떻게 공격을 할지 시나리오를 세우고 정책을 만들어 방어해야 한다”고 조언했다.
◇보안담당자들 연봉 올려주면 인력양성 문제는 해결=인력양성 문제에 대해서도 그는 “보안관리자의 연봉부터 시작해야 한다. 연봉이 올라가면 일에 대한 자부심도 생기고 심적 여유도 생겨 더 발전적인 모색들을 할 수 있다. 또 후배들도 선배들이 좋은 대우를 받으며 직장생활을 하는 것을 보고 더 열심히 공부하게 되고 보안분야에 좋은 인력들이 자연스럽게 모여들 것”이라며 “이 부분이 해결되지 않는 한 인력부족 현상은 계속 될 것”이라고 강조했다.
또 “최근 해킹사건에 대해 보안담당자가 처벌을 받고 있는데 이는 잘못됐다. 보안에 대한 투자를 하지 않은 경영진이 책임질 문제”라고 지적하고 “다시 한번 말하지만 보안팀은 공격팀을 구축해 상시적으로 위험성을 체크하고 방어해야 한다. 보안장비로는 한계가 있는 부분이란 것을 잘 알 것”이라고 덧붙였다.
그는 사이버공격에 대해 너무 안일하게 생각하고 있다고 지적한다. “사이버공격은 이제 사이버공간에만 그치는 것이 아니라 사람의 목숨을 앗아 갈 수도 있고 사회 기반시설을 파괴할 수도 있다. 금융망을 마비시키면 어떤 결과가 올까. 사회 전체가 마비되는 것이다. 실제로 공격자들은 이런 공격 시나리오를 만들어가고 있다는 것을 인식해야 한다. 너무 중요한데도 아직 느슨한 생각을 하고 있는 것 같아 안타깝다”고 답답해 했다.
한편 후배들에게 그는 이렇게 조언한다. “해킹공부는 끝이 없다. 할 것도 너무 많다. 모든 것을 다 공부하고 해킹을 공부하는 것 보다 해킹공부를 하면서 관련 지식을 하나씩 습득하는 것이 좋을 것”이라며 해킹에 관심이 있다면 해킹 분야를 공부하면서 관련 IT지식들을 공부해 나가는 것이 효과적이라고 조언하고 있다.
심 연구원은 어떤 인생 목표를 가지고 있을까. 그는 “뛰어난 해커들이 많은데 현재는 프리랜서로 일하기가 불편하다. 쓸데없는 문서작성, 제안서 등에 소모되는 시간을 줄여 실질적 해킹업무에 집중할 수 있는 회사를 만들고 싶다. 그래서 실력면에서 공신력을 인정받는 기업, 후배들이 편하게 하고 싶은 일을 할 수 있는 그런 기업을 만들어 보고 싶다”고 밝혔다.
◇안정을 원한다면 해커의 길 버려라=또 그는 이렇게 말한다. “안정된 생활을 바란다면 해커가 되고 싶다는 생각을 버려라. 공격적 해커로서 살아가고 싶다면 수입이 비정기적으로 발생하더라도 이를 감수할 각오가 있어야 한다”며 “충분한 능력이 있는 해커들이 회사에 눌러앉아 안정을 찾는 경우를 많이 봤다. 이해는 되지만 프리랜서를 하면 자신의 능력이 어디까지인지 정확히 알게 된다. 자신의 능력에 확신이 있다면 프리랜서가 더 좋을 수 있다”고 말했다.
더불어 “해커라면 버릴 것은 버려야 한다. 해커는 많은 사람을 만나고 경험하고 창의적으로 생각하는 것이 중요하다. 창의적 생각을 키우려면 자유롭게 사람들을 만나고 보고 듣고 배워야 가능하다. 회사에 안주하면 정체되고 해커로서 창의성도 떨어진다. 해커로서 가장 중요한 생명력을 잃게 된다. 잘 생각하고 결정해야 한다”고 강조했다.
그는 마지막으로 후배들에게 “포기하지 마라. 지금 상황이 좋지 않다고 하더라도 포기하지 말고 끝까지 해보라. 창의적 생각과 최고의 실력이 상황을 변화시켜 줄 것이다. 선배들도 도와주겠다”며 “재미있어 시작했다면 끝까지 가라. 남의 시선 따윈 신경 쓰지 마라. 안정을 원한다면 해커로서 아무것도 할 수 없다. 재미있게 끝까지 하라”고 조언했다.
[데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지