해킹 실력으로 대학 합격한 과학영재 만나보니

현장속으로/주니어안랩 2010. 5. 14. 11:10

입학사정관제.
다소 낯선 이 제도는 올해부터 국내 몇몇 대학에서 실시한 것으로 내신 성적, 수능 성적만이 아닌 다양한 요소를 가지고 신입생을 선발하는 전형 방식이다. 지원자는 수상 경력, 봉사 활동 등 다양한 증빙 자료로 자신을 부각해야 한다.

올해
포스텍(포항공대)에는 그 누구보다 특이한 자기 증빙 자료를 제출한 학생이 나타났다. 바로 수많은 보안 대회 수상 경력을 가진 전자전기컴퓨터공학부 10학번 이지용 군. 그는 파도콘(Padocon) 라이브 해킹 CTF 2008, 2009 연속 1위, 코드게이트(CodeGate) 2008 해킹대회 2위, 코드게이트 2008 방어기술 콘테스트 수상, KISA 제 6회 해킹방어대회 1위, CyberWarfare Isec 2009 CTF 1위의 화려한 수상 경력을 가졌다한국과학영재학교 출신으로 언더그라운드 보안 단체인 비스트랩(Beist Lab) 멤버이며, 포스텍 입학 후에는 보안 동아리 플러스(PLUS)에서 활동 중이다.

이렇게 어린 나이에 많은 것을 이룬 비결은 무엇일까? 대답은 정말 단순했다. 그는 대회에서 상을 받거나 대학 진학을 위해서가 아니라 자신이 좋아하고 매 순간 집중할 수 있는 일에 매달렸을 뿐이다. 공부를 하면서 힘들었던 순간도 많았을 테지만, 자신을 즐겁게 하는 일이었기에 힘든 순간을 이겨내고 지금의 멋진 모습을 가질 수 있었던 것이 아닐까. '자신이 하고 싶은 일, 그리고 하면서 자신이 즐거울 수 있는 일을 하면 그 보상은 자연스럽게 따라올 것'이라는 사실을 다시 한번 상기하게 하는 친구이다.


 

포스텍의 보안 동아리 플러스가 지용 군의 대학 선택에 영향을 많이 줬다고 하던데, 플러스와는 어떻게 알게 되었나요?
고등학교 1학년 때 비스트랩의 멤버로서 2008지식경제부의 후원으로 매년 개최되는 보안 기술 경연 대회인 코드게이트(CodeGate)에 출전했는데, 그 대회에서 플러스와 비스트랩이 1, 2등을 나란히 차지했어요. 뒤풀이 자리에서 서로 그쪽 실력이 대단하던데요?” 같은 대화를 나누면서 알게 되었고, 또 고등학교 선배가 플러스에 있어서 지속적으로 교류가 있었어요. 대학에서도 보안 공부를 계속 하고 싶어서 플러스가 있는 포스텍에 지원했죠.

수상 실적이 화려한데, 언제부터 컴퓨터를 했나요?

컴퓨터를 처음 접한 건 초등학교 2학년 때예요. 다른 아이들처럼 컴퓨터 게임을 좋아했는데, 제가 게임을 잘 못했어요. (웃음) 열심히 게임 하는데 제 맘대로 안 되면 열 받잖아요. 그래서 인터넷을 뒤져서 방법을 찾다가 컴퓨터 메모리 값이나 세이브 파일을 수정하는 방법을 알게 되었어요. 컴퓨터 속의 작은 값을 바꾸면 그게 바로 게임에 영향을 미친다는 사실이 마법 같고 신기하더라고요. 그래서 이런 것들은 어떻게 만들어지는 걸까, 그게 궁금해서 인터넷에 질문을 올리니 사람들이 ‘C언어를 배우라고 해서, 초등학교 6학년 때 프로그래밍을 공부하기 시작했어요. 그렇게 시작해서 중학교 2학년 때 해커스랩(Hackerslab)에서 개최하는 모의해킹대회 문제를 풀면서 본격적으로 컴퓨터 보안을 공부하기 시작했죠.

 

컴퓨터 보안을 공부하는 특별한 이유라도 있나요?

재미있어서요. 처음에는 호기심으로 시작했는데, 문제를 하나씩 풀다 보니 점점 재미있더라고요. 문제를 풀려고 끙끙대고 있으면 물론 머리도 아프고 짜증이 날 때도 있지, 문제를 푼다는 것은 퍼즐을 맞추는 것과 비슷해서 힘든 만큼 성취감이 있어요. 고생해서 문제 하나를 결국 풀어냈을 때의 성취감은 정말 엄청나죠. 이런 것 때문에 누군가 굳이 동기부여를 하거나 칭찬해주지 않아도 계속 공부를 하게 되는 것 같아요.

 

앞으로 목표나 계획은 무엇인가요?

그냥 제가 하고 싶은 공부를 하고 싶어요. 계속 실력을 쌓아서 데프콘(Defcon)같은 세계적인 대회에서 수상하거나, 블랙햇(Blackhat) 같은 세계적인 컨퍼런스에서 발표해보는 게 소원이예요. 한국 쪽에도 보안 관련 대회는 많이 있지만 그 역사가 짧고 성격이 데프콘하고는 좀 다르거든요.

대회 수상을 목표로 하는 사람들에게 조언할 만한 것이 있다면?

보안 실력을 높이는 데 가장 중요한 것은 문제를 풀어보는 것이라고 생각해요. 우선 내가 뭘 모르는지를 먼저 알아야 하거든요. 실제로 문제를 풀려면 많은 지식이 필요하지만, 내가 공부하는 내용이 어디에 쓰일지도 모르고 무작정 공부하는 것은 별 의미가 없어요. 대회에 나가보든지, 아니면 모의해킹대회 문제 같은 것을 찾아서 보세요. 문제 하나를 정해서 풀기 위해 노력하다 보면 무엇을 공부해야 할지 알게 될 거예요. 일단 부딪혀보고, 시행착오를 통해 공부해 보라고 조언해주고 싶네요.

 

컴퓨터로 하는 것 이외의 취미 생활은 있나요?

영화 보거나 기타 치는 걸 좋아해요. 대학교 입학해서 들어간 동아리가 보안 동아리 플러스와 통기타 동아리거든요. 기타는 배운 지 얼마 안 됐어요.

 

영화에 가끔 해커가 등장하는데, 그런 걸 보면 어떤 생각이 드나요?

영화로 보고 즐기면 별 문제가 없는데, 저게 실제로 가능한가?” 하는 의문이 들 때도 있어요. 영화에서는 키보드 몇 번 두드리면 해결되는 문제가, 실제로는 푸는 데 며칠 또는 몇 달이 걸릴 수가 있거든요. 그런 문제들을 풀기 위해 저는 엄청 고생하는데, 영화에서는 너무 간단하게 되니까 왠지 허탈하죠. (웃음)

 

보안 취약점을 발견하는 경우가 있을 텐데, 이걸 개인적인 이익을 위해서 사용해볼까 하는 유혹이 든 적은 없나요?

보안을 공부하는 사람이 제일 조심해야 하는 점이죠. 실제로 그런 유혹에 넘어가서 잘못된 길로 들어서는 사람도 꽤 있기 때문에, 항상 윤리적인 부분에 제일 많이 신경 써요. 아직까지 그런 유혹에 넘어가 본 적은 없어요. “여기를 이렇게 공격하면 될 것 같은데?”라는 생각이 들 때도 있지만, 실제로 실행해보지는 않아요. 사전에 허가 받지 않은 다른 컴퓨터를 공격하는 것은 모두 불법이거든요. 대신 제 컴퓨터에 그와 비슷한 환경을 구축해서 시뮬레이션을 해보죠.

 

그렇게 시뮬레이션을 해서 취약점을 발견하면 어떻게 하나요?

그 서버의 관리자에게 알려주죠. 이러이러한 취약점이 있으니 고치는 것이 좋겠다고요. 하지만 이렇게 알려줘도 그냥 아무 조치도 하지 않고 무시하거나 오히려 취약점을 발견한 저를 신고하려고 하는 경우가 있어요. 전 좋은 의도로 한 것인데, 좀 억울할 때도 있어요.

 

사람들의 보안 의식이 많이 부족한가 봐요?

요즘은 이런저런 일들이 계기가 되어서 조금 나아졌지만, 그래도 아직 부족하죠. 예전엔 보안이라는 개념 자체가 크게 중요하지 않았기 때문에 사람들이 전혀 신경쓰지 않았거든요. 하지만 많은 컴퓨터가 인터넷으로 연결되고, 거의 모든 정보가 인터넷 상에 올라가니 자신의 이익을 목적으로 다른 컴퓨터를 공격하는 사람들이 생겼어요. 이런 공격에 대한 방비책에 사람들이 조금 더 신경 써야 한다고 봐요. Ahn

 

대학생기자 한대희 / 포스텍 컴퓨터공학과

사람은 누군가가 되어가는 작은 과정을 거친다고 합니다. 이 글을 읽는 여러분이 저의 작은 과정이 되어주실 수 있기를 바라봅니다.






 

댓글을 달아 주세요

  1. 라이너스 2010.05.14 11:24  Address |  Modify / Delete |  Reply

    역시 무슨일이든 최고가 되는게 중요한거같아요.
    정말 대단합니다.^^

  2. 아크몬드 2010.05.14 12:31  Address |  Modify / Delete |  Reply

    멋진데요

  3. 하나뿐인지구도용아닌mbti 2010.05.14 20:10  Address |  Modify / Delete |  Reply

    장차 대성하셔서...관제(코코넛) 쪽에 일 하시면...좋을 듯...^^;

  4. SSM 2010.05.18 13:05  Address |  Modify / Delete |  Reply

    사람은 자고로 대기업에서 놀아야 큰 사람이 됩니다!

해킹과 보안, 창과 방패의 무한 충돌 현장

현장속으로/세미나 2010. 3. 18. 09:09
얼마 전 국내 보안 컨퍼런스로 유명한 'Paradox Confernece 2010'(이하 파도콘 2010)이 서울 양재동 AT센터에서 개최되었다. 파도콘은 2005년부터 올해로 6번째 열렸다. CTF(Capture The Flag; 팀 간 상호 공격과 방어를 하며 점수를 획득하기)와 같은 해킹대회부터 보안 관련 이슈들에 대해 세미나와 다양한 이벤트까지 열정적인 행사들로 가득했다.


파도콘은 2005년 국내 해킹 및 정보보호 동아리들이 연합하여 만든 해킹/보안 컨퍼런스로 매년 초미의 관심사인 보안 이슈를 연구하고, 그 결과를 세미나 형식으로 발표하는 자리이다. 무엇보다 등록비도 없고, 누구나 참여할 수 있다는 점이 큰 매력이어서, 학생부터 전문가까지 많은 사람들이 참여한다. '파도콘 2010'은 이틀 동안 두 개 세션으로 나누어 진행되었다.


모바일 기기 해킹


국내 해커 그룹으로 유명한 beistlab의 멤버 osiris는 윈도 모바일이 가진 위험성을 시연과 함께 언급했다. 발표자는 윈도 모바일에 악성코드를 이용해서 SMS 서비스를 스니핑하는 등 예상할 수 있는 위험을 언급하고 사용자의 주의를 당부했다.
 

        


또한 binoopang은 최근 많이 사용되는 모바일 기기 아이팟 터치(iPod touch)에서 BOF(Buffer OverFlow; 메모리를 다루는 데에 오류가 발생하여 잘못된 동작을 하는 프로그램 취약점)를 이용하여 원격에서 코드를 실행해 리버스 바인드 셸코드(reverse bind shellcode)를 시연해 보였다. 그동안 애플의 정책상 불가하다고 알려진 원격 공격을 직접 시연해 충격을 주었다.


IPTV 해킹 및 ECU(전자제어장치) 해킹




그동안 IPTV의 해킹 위험성이 많이 알려져 관련 기관에서 보안에 힘쓰고 있지만, 상용 제품에 한해서는 아직 보안이 부족하는 발표가 눈길을 끌었다. 전북대 정보보호 동아리 IS(Invisible Sheild)의 이강욱씨는 IPTV에 보안에 매우 신경쓰고 있지만, 아직까지 부족하는 말과 함께 유료 컨텐츠에 대한 보호를 우회하는 방법을 직접 시연해 보였다.


또한, 동명대 정보보호 동아리 THINK의 최영남씨는 차량 안에 들어가는 ECU(전자제어장치)를 해킹해서 원하는 행동을 유발하는 하드웨어 해킹을 선보였다. 차량 안에 들어가는 ECU 역시 시스템의 일종이니 해킹이 가능하다는 것이 업계의 통념이었는데, 이를 직접 시연해서 도난방지 장치가 되어있는 차량의 시동장치를 우회하는 것을 동영상으로 시연했다.     

 

더 발전한 해킹 기법, 새로운 위협


영남대 정보보호 동아리 @Xpert의 이대규씨가 최신 안티 디버깅 기법들을 우회하는 방법들을 소개하고, 경북대 정보보호 동아리 KERT의 송석우씨가 악성코드(루트킷)을 감추는 최신 기법을 소개했다.


또, 동명대 정보보호 동아리 THINK의 심영진씨는 이제까지의 무선랜 해킹 기법과는 생각의 원리를 반대로 하는 'Passive War-Driving'을 선보여, 공개된 AP(Access Point; 무선 랜 구성 장치 중 하나로 유선 랜과 무선 랜을 연결해줌)가 아직까지 얼마나 많은 위협이 되고 있는지를 시연했다.


이제는 고전 해킹 기법인 BOF나 FSB(Format String Bug; 입력값을 다루는 데에 오류가 발생하여 잘못된 동작을 하는 프로그램 취약점)들이 최신 윈도에서도 아직 통용된다는 사실을 자세히 보여준 충남대 정보보호 동아리 ARGOS의 심준보씨는 윈도 비스타 커널에서 BOF를 통해 쉘코드를 실행하는 시연을 보여준 뒤, “보안은 끝이 없다. 계속해서 대비해야 한다.”라고 말했다.


그 밖에도 보안 업체 nchovy의 양봉열씨는 Kraken이라는 새로운 보안 프로그램 개발 프레임워크를 선보이고, 편의성에 중점을 둔 개발이 어떤 것인지 깊이 있게 설명했다.


참여하는 세미나, 재미있는 이벤트


파도콘에서는 매우 다양한 참여 형식의 이벤트를 준비했다. 인상적인 이벤트로는 주어진 개수의 메모리(RAM)을 최대한 높이 쌓아올리는 RAM stager, 어셈블리 코드를 프린트물로 나눠준 뒤 손과 머리로 리버싱해 답을 구하는 핸드 리버싱(Hand Reversing), 행사장 안의 AP로 도전하는 해킹대회인 라이브 해킹, 분해된 키보드를 다시 맞추어서 재조립하는 키보드 어셈블링(Keyboard assembling) 등이 있었다.

   

 

그리고 올해 역시 파도콘에서는 CTF 방식의 해킹대회를 개최했다. 행사장에서는 본선을 진행했는데, 누구나 구경할 수 있어서 다른 참가자의 해킹 과정을 실제로 관람할 수 있었다. 본선에서는 beistlab 멤버들이 출전한 ADNIM 팀이 1위를, 고등학생들의 연합팀인 1234팀이 2위를 거머쥐었다. 크지 않은 상금이었는데도 CTF장에서는 매우 뜨거운 열기를 느낄 수 있었다. 

  

 

많은 사람들이 열정적으로 정보보호의 의미를 되새기고 그곳에서 재미를 찾아 순수하게 움직이는 모습이 무엇보다 좋아 보인 행사였다. 행사가 끝나고, 뒤풀이에서 많은 사람을 만나면서 꿈나무로 자라는 학생들이 있어서 우리나라 보안 업계의 미래는 매우 밝다는 생각이 저절로 들었다. 항상 열정을 잃지 않는 파도콘이 되길 바란다. Ahn

     

 


심준보 / 파도콘 회장

댓글을 달아 주세요

  1. 라이너스™ 2010.03.18 17:05 신고  Address |  Modify / Delete |  Reply

    정말 흥미진진했겠어요?
    창과 방패라... ^^

  2. 요시 2010.03.19 23:51  Address |  Modify / Delete |  Reply

    해킹에 관심이 많았는데 ^^
    관심 가는 내용이 많네욥^^