국내 대표 리버서 및 북한 사이버공격 전문가...이스트시큐리티에 입사해 ESRC 설립 주도
리버서는 사명감과 호기심이 필수...재미있게 즐겨야 오랫동안 할 수 있어
[보안뉴스 원병철 기자] 최근 채용을 진행하던 A기업의 인사담당자는 ‘입사지원서 ○○○입니다.’란 제목의 이메일을 한 통 받았다. 모집용 이메일이 별도로 있었지만, 가끔 담당자 연락처를 보고 메일을 보내는 지원자도 있었기에 별 의심없이 이메일을 열고 첨부파일을 열었던 인사담당자는 이력서의 내용을 한 번 보고는 그냥 닫았다. 그런데 얼마 지나지 않아 사내 보안관제를 담당하는 보안전문기업에서 해킹공격을 받은 것 같다며 열어본 이력서 파일을 요청했고, 이를 분석한 뒤 악성파일이 숨겨져서 동작해 PC가 감염됐다고 진단한 후 후속작업을 진행했다.
▲문종현 이스트시큐리티 이사/ESRC 센터장[사진=보안뉴스]
최근 가장 많은 유형의 해킹 공격인 이메일을 통한 악성파일에 감염될 경우 단순히 삭제하는 것만으로는 해결되지 않는다. 악성파일이 어떤 경로에서 어떤 행위를 하는 지 알 수 없고, 이미 악성 행위를 했는지도 알 수 없기 때문이다. 이 때문에 우리가 ‘역공학자’라 부르는 ‘리버서(Reverser, Reverse Engineer의 줄임말)’는 악성파일을 거꾸로 분석해 소스코드까지 파악하는 일을 한다. 그래야만 공격자들의 공격의도와 목적, 공격방법 등을 모두 파악할 수 있기 때문이다.
문종현 이스트시큐리티 이사는 이러한 리버서의 대표 주자 중 한명이다. 악성파일 역공학에 재미를 느껴 혼자 공부를 시작한 이후 약 20여년 동안 한 분야에만 매달려 왔다. 2014년 이스트시큐리티에 입사해 시큐리티대응센터(ESRC)의 설립을 주도했고, 현재 센터장으로 근무하고 있다.
비전공자, 흥미로 리버싱을 시작하다
그렇다면 문종현 이사가 보안과 인연을 맺은 것은 어떤 계기가 있었을까? 흥미롭게도 문종현 이사는 컴퓨터전공이 아닌 전자공학전공이었다. 다만 고등학교 시절 컴퓨터를 접한 후 관심을 갖고 다뤘는데, 어느 날 컴퓨터가 멀웨어에 감염돼 사용할 수가 없게 됐다. 놀란 마음에 컴퓨터를 들고 한달음에 용산전자상가를 방문했던 문종현 이사는 당시 ‘바이러스’라는 것의 존재를 처음 듣고 스스로 알아보겠다는 다짐을 하게 된다. 인터넷 통신을 통해 관련 정보를 수집하고, 많은 정보를 구하기가 어렵자 아예 커뮤니티를 만들어 관심있는 사람들을 모아 정보를 공유했다.
“비전공자로서 이렇게 오랫동안 리버서로서 일을 할 수 있었던 것은 사명감과 호기심 두 가지 때문이었습니다. 사실 보안 범죄나 사고는 언제 발생할지 모르기 때문에 경찰관이나 소방관처럼 사명감이 없으면 대응하기 힘들죠. 주말이나 명절을 가리지 않고, 낮이나 밤이나 사건사고가 발생하면 바로 대응해야 하니까요. 또 이 일에 대한 관심도 중요합니다. 저도 비전공자였지만 보안에 대한 관심이 있었기 때문에 스스로 공부하면서 지금까지 일할 수 있었다고 생각합니다. 지금도 재미있는 건 변함없죠.”
이에 문종현 이사는 리버서를 뽑는 기업이나 리버서를 희망하는 학생들 모두 단순히 전공이라서, 혹은 당장 취업을 하기 위한 것보다는 장기적인 관점에서 바라봐야 한다고 조언한다. 아울러 교육현장에서도 보안에 대한 태도와 관심 등을 교육해주기를 바랬다.
악성파일을 역으로 분석하는 역공학자
리버스(Reverse)는 반전, 즉 거꾸로라는 말이다. 여기에 엔지니어링(Engineering)를 붙여 ‘역공학(Reverse Engineering)’이라고 하며, 보통 줄여서 ‘리버싱(Reversing)’이라고 부른다. 또한, 역공학자를 ‘리버스 엔지니어(Reverse Engineer)’ 또는 줄여서 ‘리버서(Reverser)’라고도 한다. 역공학은 이미 만들어진 소프트웨어를 역으로 분석해 처음의 문서나 설계기법 등의 자료를 얻어 내는 것을 말한다.
“쉽게 말하면, 이미 건설된 아파트를 분석해 설계도를 만드는 것이라고 할 수 있습니다. 보안에서는 악성파일을 역으로 분석해서 프로그램 소스까지 접근하죠. 악성파일을 역공학으로 분석하면 해커가 악성파일을 만든 목적과 공격방법 등을 알아낼 수 있기 때문에 보안분야에서 능동적 대응 중의 하나로 꼽히고 있습니다.”
주로 안티 멀웨어 기업이나 보안관제 업체 등에서 리버스 엔지니어링을 하지만, 대기업이나 글로벌 기업에서는 보안팀에 리버서를 두고 외부 공격을 분석하기도 한다. 하지만 리버스 엔지니어링이 워낙 어려운 탓에 전문가가 많이 없는 것이 현실이다. 차라리 프로그램을 만드는 게 더 쉽다는 얘기도 나온다. 게다가 해커들도 악성코드를 만든 후 리버스 엔지니어링을 하기 힘들도록 다시 역으로 작업하거나 내부 코드를 못보게 하는 일도 늘고 있어서 더욱 힘든 상황이다.
그렇다면 리버서들은 어떤 장비를 사용할까? 대중적으로 사용하는 것은 올리디버거(OllyDbg)나 IDA, 기드라(Ghidra) 등이며, 자체적으로 개발한 툴을 사용하기도 한다. 샌드박스나 VM 등 가상 프로그램을 이용해 악성파일을 테스트하기도 한다. 다만 문종현 이사는 프로그램을 이용한 스킬도 중요하지만 직접 해보면서 공부하는 것이 중요하다고 조언했다. 현장에서 프로그램 사용 스킬을 일일이 알려주는 것이 쉽지 않기에 미리 공부하는 것이 중요하다는 것. 이 때문에 본인이 관심을 갖는 게 무엇보다 중요하다고 다시 한 번 강조했다.
“제가 컴퓨터전공이 아님에도 악성파일이나 멀웨어에 관심을 갖고 혼자 공부한 것, 또 악성파일을 공부하다 북한의 공격들을 분석하게 돼 현재 북한 사이버 공격 전문가로 알려진 것도 결국은 제가 재미있어서, 흥미가 생겨서 공부한 것이 시작점이 됐습니다. 어떤 분야든 마찬가지지만 보안 분야, 특히 리버서는 본인이 흥미를 갖고 하고자 하는 사람이어야만 오랫동안 할 수 있다고 생각합니다. 분명 쉬운 일은 아니지만, 그만큼의 자긍심과 성취감을 주는 직업이니만큼 많은 후배들이 함께 했으면 좋겠습니다.”
리버서로서, 그리고 북한 사이버공격 전문가로서 이미 많은 국가기관으로부터 인정받아 자문을 해주고 있는 문종현 이사는 가끔 국가간 사이버공격, 보다 정확하게는 북한의 사이버공격에 대한 경각심이 줄어들어 화가 날 때도 있지만 새로운 악성파일이 발견되면 시간을 가리지 않고 분석하고 보는 천상 ‘리버서’다.
[원병철 기자(boanone@boannews.com)]
리버서는 사명감과 호기심이 필수...재미있게 즐겨야 오랫동안 할 수 있어
[보안뉴스 원병철 기자] 최근 채용을 진행하던 A기업의 인사담당자는 ‘입사지원서 ○○○입니다.’란 제목의 이메일을 한 통 받았다. 모집용 이메일이 별도로 있었지만, 가끔 담당자 연락처를 보고 메일을 보내는 지원자도 있었기에 별 의심없이 이메일을 열고 첨부파일을 열었던 인사담당자는 이력서의 내용을 한 번 보고는 그냥 닫았다. 그런데 얼마 지나지 않아 사내 보안관제를 담당하는 보안전문기업에서 해킹공격을 받은 것 같다며 열어본 이력서 파일을 요청했고, 이를 분석한 뒤 악성파일이 숨겨져서 동작해 PC가 감염됐다고 진단한 후 후속작업을 진행했다.
▲문종현 이스트시큐리티 이사/ESRC 센터장[사진=보안뉴스]
최근 가장 많은 유형의 해킹 공격인 이메일을 통한 악성파일에 감염될 경우 단순히 삭제하는 것만으로는 해결되지 않는다. 악성파일이 어떤 경로에서 어떤 행위를 하는 지 알 수 없고, 이미 악성 행위를 했는지도 알 수 없기 때문이다. 이 때문에 우리가 ‘역공학자’라 부르는 ‘리버서(Reverser, Reverse Engineer의 줄임말)’는 악성파일을 거꾸로 분석해 소스코드까지 파악하는 일을 한다. 그래야만 공격자들의 공격의도와 목적, 공격방법 등을 모두 파악할 수 있기 때문이다.
문종현 이스트시큐리티 이사는 이러한 리버서의 대표 주자 중 한명이다. 악성파일 역공학에 재미를 느껴 혼자 공부를 시작한 이후 약 20여년 동안 한 분야에만 매달려 왔다. 2014년 이스트시큐리티에 입사해 시큐리티대응센터(ESRC)의 설립을 주도했고, 현재 센터장으로 근무하고 있다.
비전공자, 흥미로 리버싱을 시작하다
그렇다면 문종현 이사가 보안과 인연을 맺은 것은 어떤 계기가 있었을까? 흥미롭게도 문종현 이사는 컴퓨터전공이 아닌 전자공학전공이었다. 다만 고등학교 시절 컴퓨터를 접한 후 관심을 갖고 다뤘는데, 어느 날 컴퓨터가 멀웨어에 감염돼 사용할 수가 없게 됐다. 놀란 마음에 컴퓨터를 들고 한달음에 용산전자상가를 방문했던 문종현 이사는 당시 ‘바이러스’라는 것의 존재를 처음 듣고 스스로 알아보겠다는 다짐을 하게 된다. 인터넷 통신을 통해 관련 정보를 수집하고, 많은 정보를 구하기가 어렵자 아예 커뮤니티를 만들어 관심있는 사람들을 모아 정보를 공유했다.
“비전공자로서 이렇게 오랫동안 리버서로서 일을 할 수 있었던 것은 사명감과 호기심 두 가지 때문이었습니다. 사실 보안 범죄나 사고는 언제 발생할지 모르기 때문에 경찰관이나 소방관처럼 사명감이 없으면 대응하기 힘들죠. 주말이나 명절을 가리지 않고, 낮이나 밤이나 사건사고가 발생하면 바로 대응해야 하니까요. 또 이 일에 대한 관심도 중요합니다. 저도 비전공자였지만 보안에 대한 관심이 있었기 때문에 스스로 공부하면서 지금까지 일할 수 있었다고 생각합니다. 지금도 재미있는 건 변함없죠.”
이에 문종현 이사는 리버서를 뽑는 기업이나 리버서를 희망하는 학생들 모두 단순히 전공이라서, 혹은 당장 취업을 하기 위한 것보다는 장기적인 관점에서 바라봐야 한다고 조언한다. 아울러 교육현장에서도 보안에 대한 태도와 관심 등을 교육해주기를 바랬다.
악성파일을 역으로 분석하는 역공학자
리버스(Reverse)는 반전, 즉 거꾸로라는 말이다. 여기에 엔지니어링(Engineering)를 붙여 ‘역공학(Reverse Engineering)’이라고 하며, 보통 줄여서 ‘리버싱(Reversing)’이라고 부른다. 또한, 역공학자를 ‘리버스 엔지니어(Reverse Engineer)’ 또는 줄여서 ‘리버서(Reverser)’라고도 한다. 역공학은 이미 만들어진 소프트웨어를 역으로 분석해 처음의 문서나 설계기법 등의 자료를 얻어 내는 것을 말한다.
“쉽게 말하면, 이미 건설된 아파트를 분석해 설계도를 만드는 것이라고 할 수 있습니다. 보안에서는 악성파일을 역으로 분석해서 프로그램 소스까지 접근하죠. 악성파일을 역공학으로 분석하면 해커가 악성파일을 만든 목적과 공격방법 등을 알아낼 수 있기 때문에 보안분야에서 능동적 대응 중의 하나로 꼽히고 있습니다.”
주로 안티 멀웨어 기업이나 보안관제 업체 등에서 리버스 엔지니어링을 하지만, 대기업이나 글로벌 기업에서는 보안팀에 리버서를 두고 외부 공격을 분석하기도 한다. 하지만 리버스 엔지니어링이 워낙 어려운 탓에 전문가가 많이 없는 것이 현실이다. 차라리 프로그램을 만드는 게 더 쉽다는 얘기도 나온다. 게다가 해커들도 악성코드를 만든 후 리버스 엔지니어링을 하기 힘들도록 다시 역으로 작업하거나 내부 코드를 못보게 하는 일도 늘고 있어서 더욱 힘든 상황이다.
그렇다면 리버서들은 어떤 장비를 사용할까? 대중적으로 사용하는 것은 올리디버거(OllyDbg)나 IDA, 기드라(Ghidra) 등이며, 자체적으로 개발한 툴을 사용하기도 한다. 샌드박스나 VM 등 가상 프로그램을 이용해 악성파일을 테스트하기도 한다. 다만 문종현 이사는 프로그램을 이용한 스킬도 중요하지만 직접 해보면서 공부하는 것이 중요하다고 조언했다. 현장에서 프로그램 사용 스킬을 일일이 알려주는 것이 쉽지 않기에 미리 공부하는 것이 중요하다는 것. 이 때문에 본인이 관심을 갖는 게 무엇보다 중요하다고 다시 한 번 강조했다.
“제가 컴퓨터전공이 아님에도 악성파일이나 멀웨어에 관심을 갖고 혼자 공부한 것, 또 악성파일을 공부하다 북한의 공격들을 분석하게 돼 현재 북한 사이버 공격 전문가로 알려진 것도 결국은 제가 재미있어서, 흥미가 생겨서 공부한 것이 시작점이 됐습니다. 어떤 분야든 마찬가지지만 보안 분야, 특히 리버서는 본인이 흥미를 갖고 하고자 하는 사람이어야만 오랫동안 할 수 있다고 생각합니다. 분명 쉬운 일은 아니지만, 그만큼의 자긍심과 성취감을 주는 직업이니만큼 많은 후배들이 함께 했으면 좋겠습니다.”
리버서로서, 그리고 북한 사이버공격 전문가로서 이미 많은 국가기관으로부터 인정받아 자문을 해주고 있는 문종현 이사는 가끔 국가간 사이버공격, 보다 정확하게는 북한의 사이버공격에 대한 경각심이 줄어들어 화가 날 때도 있지만 새로운 악성파일이 발견되면 시간을 가리지 않고 분석하고 보는 천상 ‘리버서’다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
