[릴레이 인터뷰] 조주봉 라온화이트햇 보안기술교육팀장  기본을 안 지키는 게 문제...업데이트만 잘해도 70~80% 차단 가능


[보안뉴스 김경애] “초등(?)학교 때부터 컴퓨터 하는 것이 취미이고 특기였습니다. 초등학교 때 취미, 특기, 꿈을 적으라고 하면 항상 컴퓨터를 적었던 기억이 나요. 어떤 측면에서는 이미 꿈을 이룬 아주 행복한 사람이죠.”



 ▲ 라온화이트햇 조주봉 보안기술교육팀장
1999년 보안회사에 입사해 현재까지 보안 밥을 먹고 있다며 스스로를 보안쟁이라고 일컫는 라온화이트햇 화이트햇 센터 보안기술교육팀 조주봉 팀장. 그래서일까. 자신이 좋아하는 분야를 직업으로 삼은 만큼 그의 활약은 항상 빛난다.

이미 각종 해킹방어대회 약 20회 이상의 수상경력과 다양한 제로데이 취약점 발견이 말해주듯 그는 ‘차세대 보안리더’라는 코너명이 무색할만큼 보안 분야에서 이젠 베테랑 대접을 받고 있다. 기자가 만난 조주봉 팀장은 학창시절 반듯한 도덕선생님을 연상케 했다. 그만큼 그의 성실함과 정보보호에 대한 열정은 윤리성이 밑바탕이 되고 있다. 자, 그럼 지금부터 하동주 NSHC 싱가포르법인 CTO가 추천한 차세대 보안리더 세번째 주자인 조주봉 팀장을 만나보자.

Q. 본인을 추천한 하동주 NSHC 싱가포르법인 CTO에 대해 한 마디 한다면?
하동주 연구원은 오래전부터 함께 보안공부를 하고, 해킹방어대회도 참가했으며 안랩에서도 같이 근무한 동생이에요. 해커의 본질이 창의성이라면 그러한 기술적인 측면에서는 아이디어가 뛰어나죠. 워낙 성품이 온화하고, 남들과 잘 어울리는 성격이기도 합니다. 묵묵하게 많은 일들을 해내는 친구입니다.

Q. 최근 관심 있게 연구하고 있는 보안위협은?
아무래도 사물인터넷(IoT) 분야에요. 세상의 흐름에 따라 집안의 가전기기들이 인터넷과 연결되고 있죠. 이를테면 자동차, 의료기기, 공유기, 스마트TV 등이 그런 경우에요. 그래서 하드웨어 쪽에 관심이 많아요. 기존에 몇 가지 제품을 분석하고, 테스트해 보면 꼭 PC 초창기 때를 보는 것 같아요. 왜냐하면 초창기 PC의 보안문제점을 그대로 가지고 있고, 그 과정을 계속 밟아가고 있거든요. 모바일도 PC 초창기 때 문제점을 그대로 가지고 있었죠. 그러다보니 IoT 분야도 보안 프로그램이나 암호화가 되어 있지 않거든요. 또한, 하드웨어 측면에서 역공학적으로 분석해보면 보안조치가 미흡해 취약점이 계속 발생하고 있어요.

Q. 가장 기억에 남는 사이버공격 또는 해커에 대해 얘기해 주신다면?
기억에 남는 해커는 지난 2005년 침해사고 분석을 할 때인데요. 당시 공격자가 침해 서버에 접속해 있는 거에요. 리눅스 명령어를 통해 실시간으로 공격자와 얘기를 나눴던 기억이 나네요. 외국인이었는데 여기 왜 들어 왔냐고 했더니, 그냥 재미 삼아서 들어왔다며 프로그램을 바꿔놨으니 한번 찾아보라고 하더군요. 분석결과 리눅스에서 실행파일을 변조한 후, 스팸메일을 날리기 위해 이미지를 웹서버에 넣어 두고, 스팸메일을 발송시켜 놨더라고요. 그 당시 서버를 경유지로 활용했고요.

Q. 해커들의 유형 또는 특징에 대해 설명해 주신다면?
해커 유형을 크게 세 가지로 나눈다면 첫 번째는 대부분 나쁜 의도를 갖고 있는 사람들이 기술을 갖고 있는 사람에게 접근해 돈벌이 수단으로 악용하는 경우죠. 불법도박, 사이트 해킹 의뢰, 좀비PC를 만들기 위해 돈으로 유혹하죠. 이들은 해커라기 보다는 범죄자라고 할 수 있죠.

두 번째로는 실제 해커 유형인데요. 공격자 특성상 서버에 침입하거나 취약점에 대해 관심이 많죠. 알려진 공격 툴이나 공격 코드를 잘 활용하죠. 이들은 파워 유저에 해당하는 해커라고 보면 돼요.

마지막으로 전문적인 해커 유형인데요. 해킹·보안 분야의 그루라고 불려요. 해킹 및 보안기술에 매우 열정적이면서 기술적으로 깊숙이 파고 들어가죠. 공격보다는 기술에 관심이 많고 직접 취약점을 찾아 공격 툴이나 보안 툴을 만들어내죠.

해킹하면 디도스 공격을 생각하는 사람이 많아요. 하지만 공격자 측면에서 볼 때 디도스 공격은 기술적 측면에서 어려운 기술에 속하지 않죠. 그러나 호기심 아닌 대규모 공격의 경우에는 국가나 대규모 조직 등이 연관되어 있을 수 있는 등 다양한 변수가 작용하기도 합니다. 이 때문에 전문적인 지식과 경험이 필요해요. 특히, 호기심에 디도스 공격을 하게 되면 범죄로 처벌 받게 되죠. 하지만 많은 어린 친구들이 이런 점을 잘 모르는 게 안타깝습니다.

Q. 정보보호 관련 업무 수행중 가장 기억에 남는 에피소드는?
화상채팅 사이트에서 몸캠을 이용해 범죄를 저지른 사건이 있었어요. 여성은 무료입장이고 남성은 유료 사이트였죠. 외국에 서버를 두고 운영하는 한국인으로 구성된 조직이었는데 당시 지원 요청을 받아 분석해준 결과를 갖고 불법 조직을 소탕하는데 일조한 적이 있었죠. 그때가 가장 기억에 남네요(웃음).



Q. 국내 정보보호에 있어 개선되지 않는 가장 큰 문제점은 무엇이라고 보시나요?

기본을 안 지키는 게 가장 큰 문제에요. 공격자가 외부를 통해 들어오기 위해서는 해당 사이트에 취약점이 존재해야 하거든요. 실제 사이버공격 중에 제로데이 취약점을 악용한 공격비중도 그리 크지 않아요. 오히려 과거 취약점이 훨씬 많죠. 사건사고를 분석해 봐도 아주 단순한 것부터 보안조치가 제대로 지켜지지 않은 경우가 대부분이에요. 웹사이트만 보더라도 공격자는 아주 단순한 기술로 뚫는 경우가 많아요. 아직까지 기본사항도 안 지켜진다는 게 가장 큰 문제죠. 개인 PC도 마찬가지에요. 업데이트만 잘해줘도 100%는 아니어도 70~80%는 막을 수 있거든요. 기업 및 개인의 보안의식이 아직까지 많이 부족한 걸 느낍니다.

또 다른 문제점은 정보보안이 모든 산업에 녹아들어야 하는데 그렇지 않다는 점이에요. 이 문제는 10~15년이 지나도 개선되지 않는 문제죠. 보안에 대해 기본적으로 알아야할 사항들이 있는데, 보안전문가들만이 보안을 해야 한다는 의식이 깔려있죠. 기업은 기업대로 보안의식을 높이고, 개인은 개인대로 신경을 써야 해요. 또한 개발자, 서버 관리자, 운영자 등 각 업무에 따라 보안역할도 달라지거든요. 보안이라는 분야는 각각 해야 할 부분이 다르기 때문이죠.

기업의 경우는 가상의 모의훈련을 통해 구성원이 보안의식을 가질 수 있도록 해야 해요. 그래야 개인들로 연결이 되거든요. 공격자가 보낸 것처럼 가상의 메일을 보내 메일의 첨부파일을 열어봤는지, 백신이 탐지하는지, 잘못된 헤더는 스팸 필터에서 걸러지는지 등을 확인해야 한다는 거죠.

그러기 위해선 시스템이 구축되어야 합니다. 메일 헤더가 조작된 메일은 열어보지 못하도록 메일 시스템에서 파악이 가능하거든요. 실제 메일을 통해 PC를 장악하고 나서 번외로 공격이 이루어지기 때문에 이 부분도 매우 중요합니다. 모든 보안대책은 다양한 측면을 고려해야 해요. 보안정책 등 관리적 보안과는 다르게 기술을 앞세운 공격은 공격기술을 알아야 방어가 가능합니다.



Q. 앞으로 계획 또는 목표는 무엇인가요?
앞으로 교육을 주로 하면서 연구를 계속할 생각이에요. 할 수 있는 건 다 해보려고요. 뭐든지 분해하고 다시 만들어보면서 보안문제를 찾아봐야죠. 일례로 RC카를 만들고 그 위에 취약점을 심어 테스트해 보는 등 기술적인 연구에 집중하려고 해요. 새로운 기술을 습득하기 위해 노력하고 있죠.

해킹방어대회는 꾸준히 참가할 생각입니다. 자극제가 되거든요. 일각에서는 나이 들었다고 이제 나오지 말라고 하는데...(웃음) 순위에 연연해하지 않고, 스스로에 대한 채찍질로 삼으려고 해요. 물론 어린 친구들의 실력이 너무 뛰어나서 밀릴 수도 있지만요. 또한, 취약점을 패치할 수 있는 기술을 찾아냈을 때 관련된 지식과 노하우를 후배들에게 전수해 주고 싶어요.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>