[bnTV] 정부 10만명 보안인력 양성!! ‘화이트해커’ 되는 법 A to Z

2022-09-30 17:06
  • 카카오톡
  • 네이버 블로그
  • url
우리나라 화이트해커들, ‘데프콘 CTF 30’ 우승팀 참여...세계 최고 무대에서 최고 실력 보여줘
화이트해커 되려면? 국·영·수와 컴퓨터 공부는 기본, 윤리관과 사명감 갖춰야
기업 내부에 모의해킹 인력 보유하는 경우 많아져...실력 갖춘 화이트해커, 높은 몸값으로 스카웃



■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 17화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사

□ 권준 국장 지난 8월에 기쁜 소식이 있었어요. 우리나라 화이트해커들이 아마 세계 최고 권위의 해킹 대회로 알려져 있죠, ‘DEF CON CTF 30’에서 우리나라 해커들이 연합팀으로 들어간 팀이 우승을 하고 별도의 한국팀이 3위를 차지하는 등 세계 최고의 실력을 나타낸 거잖아요. 아마 그럼으로써 화이트해커에 대한 관심이 커지고 있는 것 같은데 이번 대회 소식 접하고 이사님은 어떤 느낌이 드셨어요?

■ 곽경주 이사 당연한 것 아닌가 (웃음)

□ 권준 국장 역시..!

■ 곽경주 이사 이것이 이제는 새삼스럽지도 않고 우리나라에 워낙 뛰어난 해커들이 많죠. (티오리) 박세준 대표도 마찬가지고.

□ 권준 국장 우리나라 실력이 역시 최고인 것이죠. 얼마 전에 화제 속에 끝난 ‘이상한 변호사 우영우’에서도 해커가 등장하잖아요. 그 친구가 공교롭게 해킹(방어)대회나 우승 실력을 보유하기도 했더라고요.

■ 곽경주 이사 아, 그렇군요.

□ 권준 국장 그래서 이것이 참 동전의 양면이다. 화이트해커가 되거나 정말 삐끗하면 그냥 범죄자로 전락할 수도 있다?

■ 곽경주 이사 범죄자가 되는 것이죠.

□ 권준 국장 사실 화이트 해커가 되려고 그러면 어떤 준비를 해야되는지 잘 모르는 경우가 많은데, 이사님이 보시기에는 어떤 준비가 필요할지?


▲[곽경주의 다크웹 인사이드] 17화 시작 화면[이미지=보안뉴스]

[보안전문가, 화이트해커가 되는 길]
■ 곽경주 이사 당연히 국·영·수 잘 하셔야 되고요(웃음). 그리고 보안 쪽도 마찬가지고, IT 쪽도 마찬가지고 대부분 발 빠른 소식들이나 정보가 영어로 많이 나오고.

□ 권준 국장 영어 실력을 갖춰야 되는 것이 맞고...

■ 곽경주 이사 영어는 잘해야 되고, 수학은 잘해야 되는 것이 (해커가 되려면) 암호학이나 이런 것들을 해야 하는데 암호학은 결국에 베이스가 수학이거든요. 인터넷을 사용할 때 많은 것들이 지금 암호학을 기반으로 설계가 돼 있어요.

□ 권준 국장 화이트해커 한다고 코딩 공부하고 보안 스킬만 공부하려고 하지, 사실 “나 그러면 국·영·수 안해도 돼” (대부분) 이런 것인데...

■ 곽경주 이사 천재들이 있긴 합니다(웃음). 학교 때 공부 못하고 공부 진짜 지지리 안하고 그랬어도 지금 세계적인 해커가 돼있는 사람들도 많거든요.

결국에는 컴퓨터를 잘해야죠. 컴퓨터 안에서도 여러 가지 분야가 있겠지만 전반적으로 다 할 줄 알아야 실력 있는 해커가 되는 것입니다. 예를 들어서 우리가 사용하고 있는 ‘윈도우’라든가 ‘리눅스’라든가 다양한 운영체제가 있는데 그 운영체제의 기본 구조를 잘 알고 있어야지 해킹을 할 수 있거든요. 그리고 ‘데이터베이스(Database)’가 있죠. 공격자들이 현실에서 일어나는, 저희 콘텐츠 보면 공격자들이 실제로 어디를 공격하는지에 대한 내용들이 많이 나올 텐데, 그것과 유사하게 선의의 목적을 가지고 일을 하는 것이 보안전문가들, 그리고 화이트해커들인데 똑같은 거예요. 거기도 Database 잘 알아야 되고.

그리고 특히 ‘네트워크(Network)’를 잘 알아야 됩니다. 예를 들어서 해킹 당했을 때, ‘BGP’ 해킹 이런 얘기하잖아요. 이런 것을 이해할 수 있어야 돼요. BGP가 뭐고 ‘라우터(Router)’는 뭐고, 이것이 어떤 식으로 Router가 경로가 바뀌는 것인지 그것을 머릿속에서 굴릴 수 있어야 되고. 그리고 우리가 서로 이메일 주고 받고 메신저를 하는데, 그 근간에는 어떤 기술들이 사용되고 있는지를 이해하려면 이런 컴퓨터의 기본적인 내용들을 다 알고 계셔야 되죠.

아, 그리고 마지막으로 빼먹은 것이 있는데, 결국 윤리의식, 윤리적으로 바르게 자란 아이들이 범죄의 길로 빠지지 않습니다. 지금 유명한 해커들, 국내에서 활동하는 많은 해커들이 그런 범죄자에 대한 오퍼를 받아요. 그런 것에 빠져들지 않으려면 윤리적으로 바르게 자라야 된다는 것이죠.

일단 겁이 많아야 됩니다(웃음). 학생들 수준의 눈높이에 맞는 그런 윤리의식들, 법에 대한 얘기들 이런 것들을 해주면 좋지 않을까 싶습니다.

[화이트해커, 곽경주]
□ 권준 국장 이사님은 그러면 처음에 어떤 분야 쪽에 관심을 가지셔서 이렇게 보안전문가로?

■ 곽경주 이사 저도 처음에는 모의해킹 쪽이었죠. 모의해킹해서 ‘Web Hacking’ 이런 것이라든가 ‘Database’ 이런 쪽에 관심이 있었는데요. 근데 애초에는 (보안 분야에) 별로 관심이 크게 없었어요(웃음).

그냥 “컴퓨터 잘해야지, 개발자 해야지.”
그렇게 (공부를) 하다가 대학교 동아리 내에 서버 관리를 하다보니까 중국 쪽 해커들이 많이 공격이 들어오더라고요. 그것을 이제 대응하고 조치하다보니까 자연스럽게 보안 쪽으로 넘어왔어요.

그리고 처음 시작할 때는 사명감 같은 것이 있었어요. 약간 좀 아재(?) 같은 말인데 저는 한 때는 경찰이 되고 싶었고, 군인이 되고 싶었고, 국정원 같은 곳에 가고 싶었거든요. 그런 것 자체가 나라를 지킬 수 있고, 주변 사람들을 지킬 수 있고, 그런 것에 관심이 많았었기 때문에요. “그러다가 자연스럽게 정보보호를 택했다”라고 보시면 될 것 같습니다.

[다양한 보안 분야 직업군]
□ 권준 국장 그럼 아까 잠깐 말씀하셨지만 모의해킹 분야도 있고 그 다음에 요즘 사이버수사관 쪽도 많고요. (보안 분야에) 어떤 직업군들이 있는지 간단히 한번 소개를 해주시고, 화이트해커의 역할에 대해서 설명을 해주신다면요?

■ 곽경주 이사 보안 분야 직업군에 대해서 ‘NIST’의 Cybersecurity Workforce Framework라는 문서가 있어요. 이것을 보시면 보안 분야의 직업군을 총망라해서 아주 체계적으로 정리를 해놨어요. 번역은 안 돼 있습니다. 제가 번역을 한번 해보고 싶었는데 양이 너무 방대하다 보니... 저 예전에 책 하나 번역하다가 죽을 뻔해 가지고, 번역 일은 더 이상 하지 않습니다.

자료를 보면은 일단
운영을 하는 사람이 있고
그 다음에 분석,
그 다음에 수사하는 Investigate(조사)하는 그런 쪽이 있고,
그 다음에 보안 개발,
그 다음에 보안 쪽 architecture(구성) 설계 전체적인 큰 그림을 설계하는,
그런 직업군들로 나누어져 있는데요.

각각의 큰 카테고리도 여러 개의 세부 직업으로 나누어져요. 그래서 분석이라고 하면 코드 분석도 있고 사고 분석도 있고... 여기서는 이제 사고 분석이랑 수사를 나눠놨어요. 저희는 Incident Response라고 하는데요. 사고에 대한 조사를 하는 민간 쪽의 용역이 있고, 그 다음에 수사 관점 수사기관들이나 경찰이나 이런 쪽에서 하는 관점이 조금 다르거든요.

그 다음에 언어 분석도 있습니다. 각 언어 중국어, 러시아어 각 언어별로 분석을 하는 언어 전문가들이 있고, 이제 다른 또 큰 분야로는 ‘모의해킹’이죠. 현업에서는 Red Team이라고도 많이 부르는데, 방어하는 쪽은 Blue Team, 그 다음에 공격하는 쪽은 Red Team. 그래서 Red Team도 큰 분야를 차지하고 있죠. 공격자의 관점에서 대응책을 마련해주는 그런 분야도 있습니다.

□ 권준 국장 화이트해커의 역할이 주로 그런 Red Team 역할을 한다고 보면 되는 것이죠?

■ 곽경주 이사 Red Team도 있고 코드 분석 같은 것도 있죠. 그리고 관제시장 전체로 봤을 때는 Blue Team이 인력이 훨씬 많고 그리고 보안 회사들 민간 회사 같은 경우에는 보안 개발을 하시는 분도 많죠.

[모의해킹의 중요성]
□ 권준 국장 기업에서 모의해킹이 계속 중요해지고 있는 것 같아요. 청소년들도 아마 그런 역할들을 하는 것들을 꿈꾸는 경우가 많은 것 같은데요. 기업 내 모의해킹이 얼마나 중요한 것인지 어떤 절차를 거쳐서 수행이 되는 것인지 간단하게 한번 소개를 해주신다면?

■ 곽경주 이사 일단 모의해킹 인력을 기업 내부에서 보유하고 있는 기업들이 국내 기업은 그렇게 흔하지는 않습니다. (모의해킹) 점점 중요하죠. 왜냐하면 외부 업체에게만 의존을 하게 되면 모든 것이 전부 의존적이고요. 그리고 그 (외부) 업체들은 한 회사만 모니터링해주고 케어를 해주는 것이 아니기 때문이죠,

최근에는 스타트업들 중에 ‘유니콘’들 많아졌잖아요? 금융 쪽 관련된 핀테크 사업들도 있고, 그런 곳들은 내부적으로 유명한 해커를 모셔서 Red Team을 운영하기도 하거든요. 그래서 이런 식으로 시대의 흐름 자체가 지금 Red Team을 자체적으로 꾸려가지고 내부적으로 어느 정도 (보안) 수준까지 올리려고 하는 그런 노력들을 많이 보이고 있고요.

요즘 보면 Red Team이랑 Blue Team이 서로 공방전을 하거든요. 내부 자체적으로 외부 업체도 같이 껴서 하기도 하는데 그것을 ‘Purple Teaming’이라고 해요. Blue Team은 얼마나 잘 막는지 Red Team은 얼마나 잘 공격을 하는지 공방전을 통해 점검하는 것이죠.

[화이트해커의 윤리관]
□ 권준 국장 다시 윤리 이야기로 돌아갈 수밖에 없는데요. 기업에서 이런 역할을 하는 담당자든 외부에서 보안업무를 하는 담당자든, 사실 이런 것들이 범죄의 유혹이라든가 돈의 유혹에 되게 약할 수밖에 없잖아요. 정말 윤리관과 함께 지켜야 될 원칙이 있어야 될 것 같아요. 그런 부분에 대해서 몇 가지만 소개를 해주신다면?

■ 곽경주 이사 해킹을 공부하다 보면 자기의 능력을 과시하고 싶은 때가 있어요. 그런데 그럴 때가 이제 “인생의 기로에 서 있다”라는 말을 해주고 싶네요, 과시욕이 지나치다보면 해서는 안 되는 일들을 하게 되죠. 이런 것(불법 해킹)들을 순방향으로 돌리기 위한 많은 Framework들이 있어요.

CTF 대회 이런 곳 나가보는 것이고, 이런 곳 나가면 이제 또 겸손을 또 배우거든요. 실력자인데 알고 보니까 경찰이에요.
“헉 큰일났다.” (웃음)
“난리 치면 안 되겠다.” 이런 생각이 드는 거죠.

□ 권준 국장 대회들을 적극적으로 활용을 해서 자기의 능력을 좀 과시하고... 어우, 좋잖아요. 대회에서 우승도 하면 자기의 점수도 올라가고요. 대회라든가 이런 정보들을 많이 찾아서 “정말 끝없이 도전해 봐라”는 점을 되게 많이 강조하고 싶네요.

■ 곽경주 이사 (무엇보다도) 사명감. 내가 왜 이 분야를 하고 싶어 하는 것인지, 그런 것들에 대해서 진지하게 한번 생각해 보시는 게 중요한 것 같아요.

□ 권준 국장 오늘도 좋은 말씀해 주셔서 정말 큰 도움이 될 것 같습니다. 너무나 감사합니다. 방송 마치겠습니다.

■ 곽경주 이사 나쁜 짓 하시면 안 됩니다! (웃음) 감사합니다.
[권준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 하이크비전

    • 인콘

    • 현대틸스
      팬틸트 / 카메라

    • 이노뎁

    • 아이브스

    • 아이디스

    • TVT코리아

    • 웹게이트

    • 스누아이랩

    • 하이크비전

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 엔토스정보통신

    • 쿠도커뮤니케이션

    • 슈프리마

    • 비전정보통신

    • 이화트론

    • 지오멕스소프트

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 퀀텀코리아

    • 보이저아이엔씨

    • 시큐인포

    • 미래정보기술(주)

    • 세연테크

    • 다후아테크놀로지코리아

    • 경인씨엔에스
      CCTV / 자동복구장치

    • 가드텍

    • 성현시스템

    • 하이앤텍

    • 트루엔

    • 송암시스템

    • 동양유니텍

    • 유에치디프로

    • 디비시스

    • 위트콘

    • 주식회사 에스카

    • 보쉬빌딩테크놀러지

    • AIS테크놀러지

    • (주)우경정보기술

    • 투윈스컴

    • (주)넥스트림

    • 지에스티

    • A3시큐리티

    • 씨게이트

    • 안랩

    • 지니언스

    • 시만텍

    • 소만사

    • 엔피코어

    • 센티넬원

    • 트렌드마이크로

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 엔시드

    • 케이제이테크

    • 알에프코리아

    • 사라다

    • 아이엔아이
      울타리 침입 감지 시스템

    • 새눈

    • 시스매니아

    • 태정이엔지

    • 엔에스게이트

    • 보문테크닉스

    • 탄탄코어

    • 다원테크

    • (주)일산정밀

    • 두레옵트로닉스

    • (주)에이앤티글로벌

    • 유투에스알

    • 코스템

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 이스트컨트롤

    • 코디텍

    • 티에스아이솔루션
      출입 통제 솔루션

    • 구네보코리아주식회사

    • 디알에스

    • 포커스에이치앤에스

    • 한국화웨이기술

    • 대산시큐리티

    • 케이컨트롤

    • 센스타임

    • 모스타

    • 메트로게이트
      시큐리티 게이트

    • 제네텍

    • 세환엠에스(주)

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기