[인터뷰] 보안 구멍 찾는 화이트해커, 라온화이트햇 최정수 팀장
[디지털데일리 이종현기자] “화이트해커의 일 자체는 악의적인 행위를 하는 공격자들, 크래커와 크게 다르지 않습니다. 해킹이라는 행위는 같지만 목적이 다를 뿐입니다. 크래커가 개인적인, 혹은 그들만의 이익을 얻기 위해 해킹을 한다면, 화이트해커는 악의적인 행위가 이뤄질 수 있는 취약점을 발견하고 공격 루트를 차단하기 위해 해킹을 합니다.” (라온화이트햇 최정수 핵심연구팀 팀장)
사이버공격 피해가 우후죽순 늘고 있다. 최근에는 국내 최대 기업인 삼성전자도 해킹으로 인한 데이터 유출 피해를 겪었다. 글로벌 그래픽처리장치(GPU) 제조사 엔비디아를 비롯해 유비소프트 등 거대 기업부터 중소 사업자나 개인을 겨냥한 공격의 피해도 적지 않다.
이처럼 악의적인 행위는 ‘크래킹(Cracking)’이라 불린다. 통상 취약점을 이용해 정보 시스템에 침입하는 행위를 일컫는 ‘해킹(Hacking)’과 구분하는 것이 옳으나 일상적으로 혼용하는 추세다. 크래커를 블랙해커, 해커를 화이트해커로 명칭하기도 한다.
보안기업 라온화이트햇에서 화이트해커로 활동하고 있는 최정수 핵심연구팀 팀장은 “크래커와 해커가 하는 일 자체는 유사하다. 불법적인 용도로 해킹을 하는 이들과, 그런 활동을 막기 위해 해킹하는 이들을 구분하면 된다”며 “화이트해커의 주 업무는 모의침투다. 웹사이트나 애플리케이션(앱)을 침투해보고, 어떤 부분에 문제가 있는지를 알려줘 피해를 미연에 방지하는 일을 주로 한다”고 말했다.
◆주기적인 대회 참가로 실력 입증··· 2021년 데프콘 CTF 본선 4위
1995년생인 최 팀장은 20대의 청년이다. 고등학교부터 보안에 관심을 가졌다. 정부에서 운영 중인 차세대 보안리더 양성 프로그램(BoB, Best of the Best)의 4기 수료생이다. 글로벌 해킹방어대회 데프콘(Defcon) CTF를 비롯해 여러 보안대회서 참여, 실력을 증명한 실력자다.
최 팀장은 2021년 ‘해커 올림픽’이라 불리는 데프콘 CTF서 본선 4위를 차지했다. 국가정보원(이하 국정원)이 주최하는 사이버공격방어대회(CCE)에서는 2018년 대회 본선 1위를 시작으로 2019년 우승, 2020년 준우승 등의 성과를 달성했다.
그는 “정보기술(IT) 분야 트렌드는 굉장히 빠르게 변화한다. 새로운 기술 스택이 나오면 이걸 학습하고, 언어에 대한 취약점도 찾아야 한다. 끝없이 공부해야 하는 영역”이라며 “해킹대회에서 나오는 문제는 최신 트렌드를 반영하는 경우가 대다수기에 주기적으로 참여하려고 한다”고 말했다.
기업 차원에서도 대회 참여를 적극적으로 지원하는 편이다. 글로벌 대회의 경우 본선을 해외에서 치르는 경우도 있는데, 라온화이트햇의 경우 출장 업무 처리를 해주는 경우가 대다수다. 피치못할 경우 개인 연차를 사용해 대회에 참여하기도 한다는 설명이다.
대회는 CTF(Capture The Flag) 방식으로 진행되는 것이 다수다. 정해진 문제를 풀고, 정답(깃발, Flag)을 알아낸다는 의미에서 사용된다. 출제진이 공격하고, 대회 참가자가 취약점을 패치하는 형태로 실시간 공방을 펼치기도 한다.
상대적으로 보안의 중요도가 높을수록 화이트해커에 의뢰하는 일이 많을 수밖에 없다. 은행이나 정부기관이 대표적인 예다. 라온화이트햇의 고객도 자연히 금융 및 공공기관이 많다.
최 팀장은 “금융권 기업의 수요가 많다. 이들 기업은 굉장히 크고, 보안 장비도 많이 갖췄고, 담당 인력도 많다. 실제 보안 수준도 매우 높은 편인데, 그래도 침투해보면 취약점이 나오더라. 언젠가는 금융기업 메인 사이트에서 셸(Shell) 취약점을 발견한 적도 있다”고 말했다.
셸은 명령어와 프로그램을 시행토록 하는 컴퓨터 인터페이스다. 운영체제(OS)마다 다른데, 윈도의 경우 ‘명령프롬프트(CMD)’나 ‘파워셸(PowerShell)’이 그 역할을 한다. 셸 취약점의 경우 공격자가 피해 서버의 제어권을 완전히 탈취할 수 있는, 매우 위험도가 높은 취약점이다.
또 그는 “취약점을 찾는 방법이나 과정은 기업마다 다르다. 대고객 서비스를 하는 기업의 경우 업무 시간 외 점검을 해달라고 요청하기도 하는데, 새벽 1시부터 6시까지 취약점을 발견하려 애쓴 적도 있다”며 “금융권 취약점 중에는 타인의 이체 내역을 조회하거나, 타인의 돈을 이체할 수 있는 등의 경우도 있다. 이런 취약점을 발견할 때면, 게임으로 비교하면 남들이 할 수 없는 것을 해내는 듯한 성취감을 느끼곤 한다”고 전했다.
라온화이트햇의 경우 연구기관의 연구과제 수행도 맡고 있다. 약 60여명이 재직 중이며 보안 컨설팅과 모의침투 등의 서비스를 제공 중이다.
◆아웃풋 내기 힘든 정보보안··· “SW·AI 비해 지원 아쉽다”
코로나19 이후 급격한 디지털 전환으로 개발직군 종사자의 몸값이 ‘금값’이 됐다. 2020년 게임사를 중심으로 시작된 연봉 인상 러시는 아직까지 이어지고 있는 추세다. 반면 정보보안 분야는 상대적으로 주목도가 덜하다. 이는 정보보안 기업들의 규모가 다른 업종에 비해 처지는 탓이 크다.
최 팀장은 정보보안 분야의 문제점 중 하나로 아웃풋이 나오기 힘들다는 점을 꼽았다. 소프트웨어(SW) 개발은 완성품이 명확히 나오지만 화이트해커의 경우 ‘침투했더니 취약점이 없더라’라는 상황이 연출될 수 있다. 취약점이 없다는 것은 기업에게 좋은 일이지만 비용을 지출하다 보니 고객 입장에서는 불만이 나올 수도 있다고 전했다.
정부 차원의 지원도 SW나 인공지능(AI) 분야에 비해 조금은 아쉽다는 것이 최 팀장의 견해다. 정부 지원 프로그램으로 BoB가 운용되고 있지만 SW나 AI에 비해 예산이 부족한 데다 감소하는 중인데, 육성 환경에 대한 개선이 이뤄졌으면 한다고 피력했다.
그는 “결국 투자가 많이 이뤄질수록 근무 환경이나 처우는 좋아지리라 생각한다. 게임이든 SW든, 보안은 항상 함께할 수밖에 없는 만큼 정보보안 시장 역시 확대될 것”이라고 전망했다.
◆보안 강화하려면? 개개인의 의식 향상이 중요
과거에는 주요 기업 및 기관을 해킹한 실력 있는 크래커를 기업이 채용한다는 얘기가 돌았다. 이와 관련 최 팀장은 “아주 옛날 얘기일 것”이라며 “화이트해커에게 가장 중요시되는 것은 윤리의식이다. 악의적인 공격을 한 사람을 기업이 믿을 수 없을 것”이라고 말했다.
최 팀장은 현재 BoB 멘토로 활동 중이다. 서울여대 정보보호 영재교육원에서 강의도 맡고 있다. 20대의 젊은 나이에 후진 양성에도 나서고 있다. 현장에서 직접 경험한 것을 후배들에게 전달하는고 있다.
그는 ‘보안 수준을 향상하기 위한 방법’을 묻는 질문에 “사람들의 보안 인식 향상이 가장 중요하다”고 답했다. 사람의 실수에 의해 발생하는 보안사고와 코드상의 문제로 취약점이 발견되는 보안사고가 반반 정도인데, 취약점으로 인한 사고는 SW 개발자나 화이트해커가 노력해서 방지할 수 있지만 사람에 의한 실수는 막기 어렵다는 설명이다.
최 팀장은 “정보보안이라고 해서 크게 다를 게 없다. 일상 생활에서 강도를 조심하듯, 사이버 공간에서도 개인 자산을 위해 개인이 노력해야 한다. 출처가 불분명한 인터넷주소(URL)에 접속 안 하고, 해당 URL에 자물쇠 표시가 돼 있는지, 백신이 잘 작동 중인지, SW의 업데이트는 됐는지 등을 살펴야 한다”고 조언했다.
이어서 “라온화이트햇에는 뛰어난 화이트해커들이 함께하고 있다. 대외적으로 봤을 때 라온화이트햇 핵심연구팀이 실력 있는 해커들로 구성된 곳이라 평가받을 수 있도록 노력하겠다”고 피력했다.
[2024 IT혁신상품] AI 협업부터 비정형데이터 보호까지…지란지교그룹 '각개약진'
2024-12-19 18:33:01비트코인, 1억5000만원대 유지…RWA NOVA 코인, 비트마트에 신규 상장
2024-12-19 18:06:07'계엄군 점거' 서버 살펴본 선관위 보안자문위…"침입 흔적 없다"
2024-12-19 17:56:25[현장] 티빙·웨이브 합병 두고 CEO별 온도차…"주주 동의 필요 vs 無 관여"
2024-12-19 17:13:57[DD퇴근길] 갈길 먼 AI 기본법…바디프랜드, '가구' 선보인 이유는
2024-12-19 16:52:18