CEO가 밝히는 SW 시대에 필요한 인재상

"소프트웨어 중심의 사고로 본질적인 문제 해결이 가능하다."

안철수연구소 김홍선 대표가 최근 SBS CNBC에서 "SW 경쟁력을 강화하기 위해 무엇이 필요한가"라는 질문을 받고 한 답변이다. 김 대표는 이러한 변화의 흐름 속에서 창의력과 융합의 오픈 마인드를 가진 것이 소프트웨어 인재라고 전했다. 또한 오는 10월 개최되는 개발자 컨퍼런스인 '안랩 코어 2011'에서 현 상황 해결과 올바른 인재 양성을 위해 SW 개발 노하우와 협력할 수 있는 방안들을 공개한다고 밝혔다. 다음은 인터뷰 전문.

-얼마전 구글이 모토롤라 모빌리티를 인수하면서 소프트웨어 경쟁력 강화의 필요성을 느끼고 있다. 우리나라 업체들은 이 분야에서 많이 뒤쳐졌다는 인식이 강한데 어떻게 보는가?

구글이 모토롤라 모빌리티를 인수하고, HP가 PC 사업을 포기하고, 비즈니스 소프트로 사회적으로 큰 영향력을 발휘하고 있지만 IT는 항상 미국이 주도를 해왔다. 우리나라도 초고속 인터넷 인프라와 하드웨어 산업에서 괄목할 만한 성장을 했으며, 이는 굉장히 의미 있는 성장이다.


그러나 소프트웨어와 콘텐츠가 중요한 역할을 했고 구글, 애플, 페이스북을 필두로 소프트웨어가 절대적 영향력을 갖는 것 같다. 그런 부분에서 우리나라가 주도권을 상당히 상실했다는 느낌을 갖기 때문에 그런 것 같다. 하지만 전세계적으로 항상 미국이 주도해왔으며, 하드웨어와 인프라 중심의 사고에서 소프트웨어 중심의 사고로 전환하는 것이 우리가 꼭 생각해야 할 과제라고 생각한다.

-궁금한 점이 있다. 애플 얘기를 하면서 소프트웨어 부분을 미국이 주도해온 것이 새삼스러운 일도 아닌데 왜 최근 유독 국가적으로 우리가 왜 이렇게 부족하냐는 생각을 하는지 궁금하다.

과거에도 소프트웨어가 영향력이 있었지만 그 당시는 SW와 HW가 분리되어 있었다. 하지만 지금은 소프트웨어와 콘텐츠, 플랫폼을 가진 업체들(구글, 애플 등)이 결국 주도하는 절대적인 영향력을 발휘하기 때문에 상실감이 더 큰 것 같다.


-SW를 강화하고 경쟁력을 강화하기 위해서는 어떤 것이 필요한가?


먼저, 우리가 'SW 가 중요하지 않다'고 말한 적은 없다. 그러나 과연 우리가 중심에 두고 생각했었는가생각해 보아야 한다. 오늘날은 SW가 사업의 중심이다. 아이디어를 실현시키는 기반이 되지 못하고 항상 '하드웨어가 먼저고, 그 다음이 소프트웨어'라고 생각했었다. 결국 제 값을 받지 못하고. 항상 마무리 일을 하다 보니 시간에 쫓기고, 한마디로 사업적 소외감이 컸다는 것이 가장 크다고 생각한다. 결론은 많은 인력들이 일자리가 부족하다고 해도 SW 업무는 하지 않고 SW 에 몸담고 있는 사람들이 오라고 권고 하지도 않게 되었다. 

 

소프트웨어 쪽에 이러한 소외감이 있기 때문에 사람들이 어렵게 공부해서 가도 소모품적으로만 쓰일 수밖에 없다는 생각이 만연하다. 소프트웨어 중심으로 먼저 생각하고, 나머지를 생각하는 것으로 사고의 전환을 가져가지 않으면 이 문제는 본질적으로 해결할 수 없다.

-예전부터 이공계 기피 현상이 있었고 그 중에서도 SW 쪽에는 인재가 많이 부족하다는 호소를 들었다. 실재로 지원자들이 많이 부족한 편인가?

사실 안철수연구소는 꽤 많은 사람들이 지원한다. 한 방송에서는 SW에 대기업보다 더 많은 R&D를 투자한다고 나왔다. 하지만 SW를 진정으로 하고 싶고 보안에 좀더 전문가가 되고 싶은 사람들이 지원하고, 매년 공채를 뽑는데도 우리나라 인력이 워낙 적기 때문에 절대적으로 스킬을 가진 사람들이 부족하다.

 

-안철수연구소에서 키워가는 인재가 우리나라 산업의 미래 상이다. 안철수연구소의 인재상이 궁금하다.

사회 변화를 실현해주는 것이 SW의 역할이다. 사회 변화의 흐름을 읽을 수 있고 거기에 창의력과 아이디어를 발휘할 수 있는 것이 소프트웨어 인력들이 하는 일이다. 그래서 그런 창의력과 융합의 마인드를 가진 오픈마인드를 가진 사람을 선호한다. 우리뿐만 아니라, 결국 그런 사람들이 좋은 아이디어를 통해 새로운 세계를 만들어 가는 것이 소프트웨어 인력이다. 기술적인 요소도 중요하지만, 사회 변화 속에 IT가 그냥 단순한 기능적인 요소가 아니라 사회를 움직이는 아이디어로 실현할 수 있는 오픈마인드된 인력을 찾고 있다.

-SW 개발 노하우를 공개하는 컨퍼런스가 10월에 열린다고 들었다. 


많은 사람들이 SW 하면 생태계 얘기를 하는데 협업의 문화가 부족하다고 생각한다. 이번에 개최하는 '안랩 코어'는 개발자를 위해서 우리가 갖고 있는 노하우를 공개하고 같이 협력할 수 있는 방안들을 공개하는 데 목적이 있다. 그 이유는 우리나라에서 제품을 기획하고 개발하고 검증하고 안전하게 만드는 부분에서 어떻게 사업하는지에 대해서 궁금해하는 분들이 많고 또 그런 분들을 육성할 뿐만 아니라 같이 파트너가 되어서 수평적으로 협력관계로 가는 창의적인 목표를 갖고 있기 때문이다. 지금은 시작이지만 더 강화해서 소프트웨어를 생각하는 많은 사람들이 계속 얘기를 나누고 토론할 수 있고 서로 발전을 도모할 수 있는 공간으로 삼았으면 좋겠다.

-대표님이 보시기에 우리나라 SW가 아직 늦지 않았다고 확신하시는 건가?

어떤 패배주의가 팽배한 것 같지만 그렇게 생각하지 않는다. 소셜 네트워크도 우리나라에서 만들어 진 것이고 많은 분야들이 우리나라에서 만들어 진 것이 많다. 우리 주위에서 만든 정보와 환경들도 세계적으로 굉장히 벤치마킹이 많이 되고 있다. 안철수연구소가 갖고 있는 보안인프라나 기술에 대해서 세계적으로도 많은 분들이 찾고 있고 그렇기 때문에 우리는 확신이 있어야 한다. 무엇보다 SW가 중심이고, SW가 중심이면 우리가 될 수 있다는 반전의 포인트를 갖는 것이 굉장히 중요하다고 생각한다.


-최근 대형 금융기관들이 해킹에 자유롭지 않다. 어떻게 대비해야 할까?


어떻게 보면 IT가 사업과 조직과 모든 개인 생활의 중심이다보니 그렇게 된 것 같다. 지금은 어디든지 연결된 세상이며 해킹의 위협이 과거의 차원과 다르다. 굉장히 입체적이라고 표현을 한다. 최근 공격은 거의 100%가 악성코드로 시작된다. 단순히 부분적으로 막는 솔루션이나 제품보다는 전반적, 입체적으로 막을 수 있는 방법이 필요하다. 사이버공격을 하는 집단들도 조직적인 범죄이기 때문에 여기에 대응하는 문화와 인식을 갖는 것이 중요하다고 생각한다.

-금융기관이 공격을 당했다는 뉴스를 들으면 어떤 기분이 드는지 궁금하다. 피해자들이 많이 속출이 되는 반면 안철수연구소의 감회가 있을 것이다.

한 편으로는 굉장히 안타깝다. 우리뿐만 아니라 많은 보안업체가 있었고 전문가들이 있었음에도 부족했다는 생각도 들면서 아쉬운 마음이 든다. 더 많은 투자와 준비가 있었으면 하는 아쉬움도 있다. 한편으로는 환경이 굉장히 급속도로 융합적으로 바뀌기 때문에, 또 우리나라는 초고속 인터넷 등 인터넷을 많이 쓰는 문화이기 때문에 더 그런 위험에 노출이 되어 있다고 생각한다.

세계적으로 먼저 이런 도전을 받고 있다고도 말할 수 있다.  DDoS 같은 경우도 우리나라가 세계적으로 가장 많다. DDoS를 막는 기술도 발전했고 그만큼 우리가 인터넷을 더 활발하게 쓰다보니 가능한 것 같다. 한편으로 우리 문화에 맞게 잘 사업화시키지 못한 부분도 있는 것 같아서 물론 근본적으로 여기에 대한 인식 제고와 여러 가지 대비를 해야 할 것이다. 결국 우리가 겪어야 할 과정이라 생각하고 사회가  사이버와 통합되는 환경으로 가는데 있어서 우리가 어떤 창의적 모델을 구축하며 보안도 같은 관점에서 하나의 문화적 요소로써 우리가 각자 갖추어야 할 요소가 아닐까 생각한다.

 

-우리가 바뀌어야 할 부분에 대해서 대표님의 칼럼을 많이 접한다. 짧게  어떤 부분이 바뀌어야 하는지 얘기해 달라.


현실에 대한 인식을 했으면 좋겠다. 과거 산업화 시대에는 기술을 개발하고 산업을 만들면 경제가 성장했지만 지금은 그런 관점보다도 사회전체가 변하는 것이고 개인들이 막강한 정보화 기기들을 갖고 있으며 그런 시점에 이미 접어 들었는데 우리가 얼마나 창의적으로 새로운 환경을 만들어 내느냐가 한국의 경쟁력이 될 것이고 많은 일자리가 창출 될 것이라고 생각한다. 산업화 시대의 논리가 아닌 많은 창의력이 발휘될 수 있는 융합의 환경으로 우리가 마인드가 바뀌고 거기에 맞게 교육이나 여러 가지 인프라가 바뀌어야 한다고 생각한다. Ahn
 

사내기자 모희서 / 안철수연구소 커뮤니케이션팀

댓글을 달아 주세요

  1. 해피프린팅 2011.09.15 09:40  Address |  Modify / Delete |  Reply

    대한민국의 SW 산업이 헤쳐나가야 할 산이 많지만, 그래도 희망도 많은 것 같습니다. SW산업 부흥의 최전선에서 열심히 분투하시는 안철수연구소를 응원합니다!^^

  2. 라이너스 2011.09.15 09:50  Address |  Modify / Delete |  Reply

    정말 좋은 말씀 많이 해주셨네요^^
    잘보고갑니다.

해킹이나 보안이나 결국은 사람 문제다

현장속으로/세미나 2011.08.04 06:30
이전의 여러 정보 보안 관련 세미나, 워크숍 현장을 취재하면서 실무에 관련된 이야기는 많이 들을 수 있었다. 한편으로 정보 보안 공부를 시작한 학생으로서는 '보안에 관심을 갖고 공부하는 학생들을 위한 자리는 없을까?' 하는 생각을 했다. 

이런 생각을 하고 있던 찰나 사이버 보안 실무자는 물론 미래의 정보 보안 전문가를 꿈꾸는 중고등학생도 함께 참여할 수 있는 자리가 열렸다. 바로 7월 22, 23일 대전 한국과학기술원(이하 KAIST)에서 진행된  '2011 KAIST 사이버 보안 워크숍'이다 (http://csrc.kaist.ac.kr/workshop2011). 그 중 22일에 일반인과 대학생 대상으로 한 프로그램이 있어 그 현장을 다녀왔다.

근교에 있는 중고등학생부터 먼 지역에서 온 대학생, 어른까지 보안에 대한 관심과 열정으로 모인 다양한 연령대의 참가자들을 볼 수 있었다. 다양한 연령대의 참가자들만큼이나 주제도 다양했다. 그 중 A3시큐리티 윤영 부장이 발표한 '시큐리티 인지과학 분석에 관한 연구'가 흥미로웠다. 다음은 주요 내용.

정보보안에 인지과학을 접목한다면

미국 드라마 '멘탈리스트' (출처 : http://0jin0.com/1651)

 
미국 드라마 ‘멘탈리스트’에서 주인공 패트릭 제인은 각 용의자를 만난다. 다양한 인지 기법으로 다양한 질문을 한다. 몇 가지 기법 중 콜드 리딩(상대방에 대한 사전 정보가 없는 경우에 사용)은 상대방에 교묘한 질문을 던지는 것이다. 그 반대인 핫 리딩은 사전에 정보를 파악해서 최면을 걸어서 상대방을 원하는 방향으로 유도하는 것이다. 즉, '살펴보고, 들어보고, 질문하는' 과정을 통해 범인을 잡는다.

영화 '양들의 침묵'

 
그리고 미국에서는 연쇄 살인 사건이 발생하면 강력 범죄 사건으로 분류해서 FBI의 프로파일러(범죄 심리 분석관)가 출동한다. 출동한 프로파일러는 범행 현장에 남겨진 지문이나 살인 도구 같은 여러 흔적을 모아 범인의 성격, 콤플렉스, 취향, 연령대, 성별 등을 도출해내는 심리 분석을 통해서 범인의 윤곽을 잡아낸다. 영화 '양들의 침묵'에서 최고의 프로파일러 '렉터' 박사는 범죄 심리를 정신과적 분석과 자신의 경험에 비추어 누구보다 명확하게 범죄자를 파악한다. '멘탈리스트'의 패트릭 제인이나 FBI의 프로파일러들이 하는 수사도 일종의 기법이다. '인지과학'을 이용한 이런 수사 기법을 정보 보안 분야에서 충분히 활용할 수 있다. 

2000년대부터 계속 보안 이슈가 나왔는데 아직도 보안 문제는 계속 나오고 해결되지 못했다. 보안 기술이나 솔루션만으로는 해결이 안 된다. 회사의 내부자들은 보안을 한다고 하면 왠지 불편하게 여기고 부정적인 인식을 갖고 있다. 이처럼 해결이 안 되는 원인을 보면 보안 문제는 결국 사람의 문제라는 것을 알 수 있다.

그렇기 때문에 정보 보안 문제에 인지과학을 활용할 수 있다고 본다.
인지과학적 특성을 이용해 운영자, 사용자, 해커들의 행동양식을 연구하는 것이다. 이전에는 이런 사람들의 행위를 연구하지 않았기 때문에 보안 문제 해결이 어려웠다고 본다. 인지과학을 보안에 어떻게 활용할 수 있고, 그 효과는 어떠할까?
 

인지과학이란?
사람의 행동과 마음을 연구하는 학문이다. 인지과학을 연구하기 위해서는 다양한 인문학적 지식이 필요하다. 즉, 이름은 과학이지만 사실 인문학에 가깝다. 많이 들어가 있는 것 중의 하나가 사람이 말하는 것과 행위를 연구하는 것이다. 우리가 아는 기술적인 부분을 인간적으로 접근하는 것이다.

 
1. 패스워드를 좀더 효과적으로 설정할 수 있다
 
보안 하면 첫째로 떠오르는 것이 바로 패스워드다. 좋은 패스워드는 매번 입력할 때마다 변하는 랜덤 패스워드라고 할 수 있다. 하지만 사람은 직접 랜덤 패스워드를 생성할 수 없다. 결국 패스워드 생성 시 패턴과 규칙을 제시해 주게 된 것이다. 비밀번호 생성 시에 @,# 같은 특수문자를 넣으라는 경우가 있다. 사람들은 특수 문자를 옵션이라고 생각한다. 그래서 문구를 친 다음 마지막에 특수문자를 사용하는 경우가 많다. 맨 끝에 @나 #을 넣기 때문에 크래킹을 하는 것은 시간 문제다. 기존 패스워드의 이런 문제를 극복하기 위해 인지과학적 인증 방식으로 접근해보았다.

이미지 하나는 1000개의 단어와 같은 효과를 낼 수 있다. 그리고 사람들은 1000개의 단어를 외우는 것보다 시각적 이미지를 기억하는 능력이 강하다. 이미지를 이용한 패스워드로 기존 패스워드를 대체할 수 있다고 본다. 그리고 4개의 이미지 정도면 적당하다고 본다. 그래픽컬 패스워드 방식은 사용자는 편리하면서 보안성이 높아지는 장점과 키로깅(Keylogging)에 대한 해결책이 될 수 있다.

물론 이런 방법도 문제는 있다. 바로 사람들은 새로운 것이 다가오면 거부감과 불안감이 높아진다는 것이다. 하지만 인지적으로 접근해서 이런 것들이 해결되면 그 후에는 몸으로 익혀지기 때문에 순식간에 퍼질 수 있다고 본다.

2. 악성코드를 DNA화해 신속히 대응할 수 있다

악성코드(Malware)는 어떻게 인지적으로 접근할 수 있을까? 바로 악성코드를 바이러스라고 보고 생물학적으로 접근하는 것이다.

출처 : 악성코드 분석 (http://boanin.tistory.com/6), DNA(http://www.news-medical.net/health/)

 
하루에 수천 개의 악성코드가 쏟아져 나오는데 하나하나 분석하는 것은 힘들다고 본다. 정상파일과 악성코드를 분석해서 사람의 DNA처럼 만드는 것이다. 즉, 악성코드의 행동을 분석하는 것이다. DNA화가 잘 이루어지면 스캔 과정을 거쳐 비교를 하면 따로 패턴 업데이트를 안 해도 악성코드로 판단해 줄 수 있다.

악성코드는 대개 4가지 동작을 한다. 새로운 프로세스를 만들고 레지스트리 수정, 파일 생성, 네트워크 문제를 일으킨다. 이것이 전부다. 예를 들면 이런 4가지 동작 방식을 나열해서 DNA로 만들 수 있을 것이다.

이 방법이 실효성이 있는지 아직은 알 수 없다. 하지만 악성코드 분석에서 인지과학을 강조하는 이유는 무엇일까? 요즘 발견되는 악성코드 대부분이 자동화 툴에 의해 생성되기 때문에 여기에 빨리 적응하려면 유사성을 파악해서 악성코드 유무를 분석하는 것이 좋기 때문이라고 본다.

3. 크래커와 관리자를 구별할 수 있다


사실 크래커(악의적인 목적으로 남의 컴퓨터 시스템에 침입하는 사람, 즉 나쁜 해커)가 하는 일은 기본적으로 관리자의 그것과 같다. 다만 관리자와의 차이는 하는 행위가 나쁘다는 것이다. 크래커는 관리자의 기능을 악용하는 것이다. 관리자와 크래커 두 사람 모두 Root(서버 관리자) 권한을 따서 명령어를 실행시킨다. 명령어만 가지고는 관리자와 크래커가 구분이 안 된다.

기본적으로 크래커는 해킹할 시스템을 모르기 때문에 알기 위한 행동을 할 것이다. 반면 관리자는 시스템 관련 정보를 알기 위한 명령어는 칠 필요가 없다. 시스템하고 명령어는 동일하지만 두 명의 습관이 다르기 때문에 뚜렷한 차이가 나타나게 된다. 따라서 동일 명령어를 사용하는 빈도, 파일 수정 여부, 명령어 오류 등의 데이터를 많이 갖고 있으면 크래커와 관리자를 구분할 수 있다.

4. 보안 사고 전말을 정확히 분석할 수 있다

취약점을 이용해서 파일을 생성하는 경우를 보자. 배치 파일(1.bat)이 VB스크립트(2.vbs)를 생성하고 2.vbs는 최종으로 실행파일(3.exe)을 생성하는 경우가 있다고 가정하자. 크래커는 1.bat와 2.vbs는 완전 삭제한 뒤에 3.exe만 남기는 것이다. 

이 경우 리버싱 프로그래밍으로 3.exe를 분석할 수 있지만 어느 경로로 3.exe가 설치되었는가가 중요한 문제이다.
실제 공격은 A-B-C-D로 이루어졌는데 시스템에는 마지막의 결과(3.exe)만 보이기 때문에 이것만 보고 분석하기란 힘들다. 일단 웹에 의한 공격은 사회공학적 기법에 의해서 자신도 모르는 사이 설치되는 경우가 많다. 그리고 웹에서 애플리케이션이 실행되는 경우에는 사용자에게는 로그가 남지 않는다. 또 하나의 문제는 필요한 로그들이 제 각각이어서 연관성을 찾기 어렵다는 점이다. 로그가 절단되어 있는 것이다.

이러한 문제에 인지과학적으로 접근하면 로그에 5W1H만 남기는 방법을 생각할 수 있다. 즉, 타임라인을 기준으로 로그를 만드는 것이다. 크래커가 공격을 하더라도 실시간 기록을 하는 서버나 방화벽의 시간을 바꿀 수는 없기 때문에 로그의 연관성을 파악할 수 있다. When(언제) 접속했는지, Where(어디에서) 관리를  했고, Who(누가), What(무엇을) 인증해서, How(어떤) 권한을 가졌는지 로그 기록을 하면 보안 사고의 전말을 파악할 수 있다. 

하지만 문제는 실제로 디자인되기 어렵다는 것이다. 실제 담당자들이 고객사에 가보면 보안 팀들의 발언권이 강하지 않다고 한다. 결국 보안에 파워가 없어서 좋은 것이 있어도 채택되기 힘든 것이다. 하지만 10년 후에는 지금과 똑같으면 안 될 것이다. 바뀌고 발전해서 이렇게 되었으면 좋겠다.

 
보안 문제 = 사람 문제  

향후 10년 뒤에는 그 동안 해온 것이 맞는지 확인하고 크게는 전부 뒤집어야 할 수 있다. 시대에 맞는 방법과 전략을 세워야 하는 것이다. 기술 프로세스가 아무리 좋아도 사람이 문제가 되면 그 시스템은 망가지기 때문이다. 기술, 시스템, 프로세스 모두 중요하지만 결국 근본적인 문제는 사람이라는 것이다.

그래서 사람의 행동을 교정해야 한다. 만약 교정이 안 되면 그 사람에 맞게끔 바꿔야 보안 문제가 해결될 수 있다.
사람들은 보안에 대해 불편하게 생각하고 깊게 알고 싶어하지 않는다. 그래서 지금처럼 보안을 강요하기보다는 투명한 보안을 해야 할 것이다. 즉, 보안 통제가 된다는 것을 느끼지 못 하게 해야 한다. 통합적이고 간단한 프로세스로 구현해야 하는 것이다.

지금까지 이야기한 것은 아직은 학회에 검증된 것이 아닌 이론적인 것이다. 향후에 발전시키기 위해서는 체계적인 연구와 검증이 필요하다. Ahn
 

대학생기자 김재기 / 한양대 안산 컴퓨터공학과

해보지도 않고 포기하는 것은 현명하지 않은 일이라고 생각합니다. 
타고난 천재가 아닌 이상 처음부터 잘하는 사람은 없겠지요. 
새로운 것에 도전하고 항상 노력하는 대학생기자 김재기입니다. 

댓글을 달아 주세요

  1. 2011.08.05 11:47  Address |  Modify / Delete |  Reply

    비밀댓글입니다

  2. 김재기 2011.08.08 13:41  Address |  Modify / Delete |  Reply

    안녕하세요 김재기씨 트위터 @koreajack 김재기 입니다. ㅎㅎㅎ
    우연히 취재를 위해서 검색하던 중에 또 여기서 뵙네요. ^-^

보안전문가가 진단한 최신 해킹 패러다임

해킹은 어떻게 일어날까? 뉴스에서는 국가 간 사이버 테러전이 일어나고 있다는데, 마치 영화 속의 일인 것처럼 들린다. 하지만 아주 먼 이야기는 아니다. 해외에서는 카페라떼 한 잔을 마시는 동안에 스마트폰을 해킹하는 동영상이 유명세를 탔다. 해킹은 이미 일반 사용자도 할 수 있을 정도로 놀랍도록 쉬운 방법이 나와있다. 최근 해킹의 패러다임은 어떻고, 보안 전문가는 무엇을 준비해야 하는지 조주봉 주임연구원을 만나 들어보았다.

 

 해킹, 과시용에서 범죄로


- 최신 해킹은 어떤 양상인가? 

해커가 기술을 내세우기 위해 활동했는데, 지금은 돈 되는 건 다 한다범위 없이 모든 곳에서 일어나고 있다. 가장 빈번하게 일어나는 범죄는 개인정보 유출이다. 개인정보를 훔쳐서 외부에 팔고, 해당 사이트에 입막음 하기 위해 돈을 요구하는 범죄, A업체의 경쟁사 B업체의 사이트를 디도스(서비스거부) 공격으로 다운시키고 대가로 돈을 받는 등의 범죄가 빈번하게 일어난다.

- 과거에 비해 해킹 기술이 새로운 게 많이 발견되었나?

아니다. 기존 기술이 업그레이드되어 계속 쓰인다. 이미 해킹 기법은 2000년대 초반 기술이 정립이 된 상태다. 거것이 계속 업그레이드만 되어 오고 있다악성코드만 보면, 기존에는 바이러스로 컴퓨터만 망치는 것이 전부였다. 이후 정보를 빼가는 기술과 접목이 되고, 공격할 수 있는 기술이 접목이 되고, 전파할 수 있는 기술이 접목이 되는 등 많은 기법들이 다 합쳐져있다. 옛날엔 바이러스, 트로이목마가 나누어졌는데, 지금은 정확하게 나눌 수가 없을 정도로 모든 것이 합쳐졌다. 악성코드 유형의 구분이 의미가 없는 상황이다.

 

- 인터넷 환경이 변하면서 해커가 예전보다 활동하기 편해졌나? 

그렇다. 디도스(서비스거부) 공격을 예로 들 수 있다. 디도스 공격은 한 번에 많은 사용자의 데이터를 전송시킴으로써 서버를 다운시키는 공격이다. 기존엔 인터넷망이 국도와 같아서 공격을 해봤자 서버에서는 다 받아들일 수 없었기에 무용한 공격이었지만 지금은 인터넷망이 고속도로 8차선처럼 빨라서 많은 양의 데이터도 동시에 보낼 수 있다. 해킹을 쉽게 할 수 있게 하는 해킹 툴도 생겼다.

 

- 해킹 툴로 초등학생들도 해킹한다는 뉴스가 있었다. 이런 해킹 툴은 얼마나 쉽게 사용할 수 있나 
보고 놀랐다기술적 해킹이라기보단 남이 만들어놓은 툴을 이용하는 스크립트 키드수준이지만, 이용하기 아주 쉽다. 프로그램을 실행해서 버튼 하나만 누르면 악성코드 파일이 하나 만들어진다. 그 파일을 카페나 블로그에 올려서 사람들이 배려받게끔 사회공학적 기법을 사용해 해킹한다. 악성코드에 감염된 파일을 좋은 상용 툴이라고 속여 올려놓고 감염시키는 경우다.

 

*사회공학적 해킹: 기술이 아닌 사람의 심리적 취약점을 공략하여 원하는 정보를 얻는 공격을 말한다. 사용자의 궁금증을 교묘히 이용하여 메일을 열어보게 하는 등의 방법이 있다.
 

핵티비즘, 조직적 해킹 집단의 등장

  

- 기업이나 국가기관을 해킹하는 사람은 어떤 사람인가?
어나니머스 같은 해킹 조직은 평소엔 드러나지 않다가 사건이 한 번씩 터지면 드러난다
. 대부분의 해킹 조직은 조직적이지만, 악의적 목적이 아니라 취약점을 찾아내고 기술을 연구하며 발전시켜가는 해커가 많다
중국이 해커 집단이 많은 것으로 유명한데, 예를 들어 보이스 피싱은 해킹하여 개인 정보를 수집하는 팀, 해킹 자료로 협박하는 팀, 돈 찾는 팀 등 세분되어 있다.

 

- 테러 위협도 많을 듯?
국가 간 테러 얘기가 많이 나온다
. 최근 미국에서는 사이버 테러 하면 미사일 날리겠다는 발언도 있었고, 영국도 사이버 테러전 대비해서 준비하고 있다는 기사도 있다. 실제로 알게 모르게 중국에서도 있다
 

어나니머스가 소니에 보낸 협박 동영상 일부 장면

- 증거가 남나?

증거가 안 남는다. 초보가 아닌 이상 흔적을 삭제한다. A라는 사이트를 해킹하기 위해서는 직접 자신의 컴퓨터로 들어가는 것이 아니라 B,C,D 서버를 공략해놓고 그것을 경유해서 가는 경우가 많다. 이 경우 중간에 끊기면 전 단계를 찾기가 어려운 상황이 된다계속 추적해서 나가다보면 특정 IP를 찾고, 그 사건이 기존의 사건의 IP와 연루되어 있다면 찾을 수 있다. 이렇듯 다양한 정보를 모아 찾는 거라, 기술적 접근뿐 아니라 심리적 추리도 필요하다 

 

- 기술 쪽 인력이 이제 더 많이 필요할 듯하다.
맞다
. 인력이 많이 필요하다. 보안 회사도 인력이 많이 부족하다.
컴퓨터를 좋아하고 기술적 실력을 갖춘 인력을 구하기가 힘들다. 깊숙하게 공부하기보다, 얕게 공부하기 때문에 심도있는 기술을 보유한 인력을 찾기 힘들다. 기술적 역량이 있어야 프로그램을 만들고 분석, 방어도 할 것이다.

 

- 국내에서도 원전과 같은 사회기반 시설이 공격받을 수 있는가?
얼마든지 가능성이 존재한다. 농협의 경우 내부망에 접근 불가능하다는 게 정석이었으나, 그것을 뚫고 들어가는 걸 보면 중간에 걸쳐있거나 사람의 실수도 있을 수 있다. 꼭 컴퓨터만 갖고 해킹하는 건 아니기 때문이다. 가령 사회공학적 기법, 근처 쓰레기통 뒤져서 아이디, 패스워드 찾아내는 해킹도 있다.

  

내부 보안에는 투자를 하지 않는가?

 

- 보안은 성을 어려 겹 둘러싸는 성벽과 같은 개념인가? 

대부분 회사들이 겉 벽만 계속 쌓으면서 '이걸로 모든 게 해결이 될 것'이라고 인식하는 것이 현실이다. 하지만 실제로 지켜야 하는 곳 자체는 굉장히 허술한 경우가 많다. 프로그램이 잘못되었는데 그것을 방어하기 위해 겉만 여러가지 보안장비로 방어하는 경우가 많다. 당연히 외부도 보안이 되어야 하지만, 내부적으로는 프로그램 자체가 먼저 보안이 되어야 한다. 뭔가 뒤바뀌어있는 셈이다. 

- 겉만 단단하고 속은 약하다는 뜻인데, 외부 보안만 준비하는 것은 흔히 알려진 방법이라서인가? 혹은 내부 보안에는 투자를 하지 않는 것인가? 
프로그램 개발 단계에서부터 보안이 고려돼야 맞다고 생각한다. 일반 개발자는 보안을 모르는 상태에서 프로그램을 개발하고, 문제가 생겼을 때 그 프로그램을 고칠 생각보다 보안 장비에 의존하는 경우가 많다.

 

- 보안과 해킹을 보통 창과 방패라고 하는데, 무엇이든 막을 수 있다는 뜻인가 혹은 결국 뚫리는 것인가?
해킹이 앞서갈 수밖에 없는 구조다
. 어떤 공격 기법이 나와야 그에 적합한 보안 방법이 생긴다. '미리 예견해서 보안을 한다.'라는 말은 결국 어떤 공격 패턴인지를 알기 때문에 보안을 할 수 있다는 뜻이다
공격자도 방어하는 사람도 공격에 대해 알고 있어야 한다.

 

- 영화같이, 공격하고 대응하고? 
기본적으로 어떤 공격도 징후나 패턴이 존재한다보안 하는 사람이 공격도 할 줄 알면, 공격이 들어왔을 때 특정 패턴을 찾아낼 수 있다. 그 패턴이 발생했을 때 보고하도록 프로그래밍해놓아 같은 패턴이 다시 등장하면 자동 통보하도록 되어있다. 실제 관제센터에서의 상황은 이렇다. 공격이 발생하면 관제센터에서 미리 감지를 한다. 위협
보고가 되면, 보안 팀들이 나서서 방어를 한다. 방어를 해 놓으면 해커가 또 다시 다른 취약점을 찾아 공격한다. 이러한 패턴이 반복된다. 

 

보안 때문에 스마트폰의 사용이 불편해지지 않을까?

 

- 대상이 아닌 게 없는 것 같다? 전기자동차 시대가 와서 데이터화하면 차도 해킹될 수 있다는데?
TV
도 안드로이드가 되었고, 홈네트워킹 등 컴퓨터로 컨트롤이 가능한 환경이 되었다. 이미 공격기법도 많이 나왔다. 인터넷만 연결이 되면, 혹은 전자 기계로 연결되 있다면 공격 대상이 된다. 예를 들어 누가 컴퓨터를 사용할 때, 다른 사람이 밖에서 안테나를 들고 전류 전파를 잡아서 모니터 복제를 하는 일도 가능하다.

 

- 인터넷의 문제가 아니라 전류, 전파만 있으면 가능하다는 뜻인가?
그렇다. 외국에서도 이에 대한 보안 대책이 많이 나와 있다. 예를 들어 유리창 보안 필름의 경우 말하는 게 떨림으로 전달되는 것을 컴퓨터로 해석해서 음성으로 변환하고, 컴퓨터에서 나오는 전파를 잡아서 복제하기도 한다. 버려진 인공위성을 해킹하는 경우도 더러 있다.

 

- 스마트폰, 탈옥하면 더 취약하다는데?
탈옥하든 안 하든 위험하다. 폰이 탈옥이 안 되어 있어도 공격자가 탈옥을 시켜서 공격하기 때문이다. 인터넷 쇼핑하다가 공격자가 폰에 들어와서 정보를 가져가기도 하고, 언제든 접속할 수 있게 만들어놓고 위치정보 등 모든 정보를 가져간다.

 

- 유선랜보다 무선랜이 더 위험할 듯하다. 보안 연구가 되고 있는가?

무선랜 환경의 경우 사실 보안 대책은 어느 정도 만들어져 있다. 그러나 그것을 사용하지 않는 경우도 많다. 어쩔 수 없이 오픈해야 하는 서비스가 존재한다. 보안 해결책이 있어도 그것을 활용하지 못 해서 생기는 문제점이 더 많다고 볼 수 있다.

해외에서 카페라떼 한잔을 마시는 동안에 공격한다는 소위 '카페라테 어택' 동영상이 유명세를 탔다. 무선랜 자체의 프로토콜이나 기본적인 보안은 잘 되어있지만, '사회공학적'인 방법으로 인해 문제가 될 수밖에 없는 듯하다.

 

- 단축URL을 사용하면서 출처도 모르고 클릭하여 악성코드에 감염되기도 한다던데, 보안 때문에 스마트폰의 사용이 불편해지지 않을까?

단축 URL에 악성코드가 심어져 있는지 자동으로 검사해주는 보안 서비스도 있다. 편의성 떄문에 기술이 발전하는데 보안 문제 때문에 위축된다면 후퇴할 수밖에 없을 것이다. 기술을 발전시키면서 거기서 보안이 필요한 부분을 찾아내는 게 보안 기업의 임무이지 않나 생각한다기술이 후퇴하면 안 된다고 생각한다.

  

- 보안은 빠르게 대응하고 있나?
어떤 공격 기술이 나오면 그에 즉각 보안 대책을 세운다. 
 더 많이 노력해야겠지만, 어느 정도 수준으로는  따라가고 있다고 생각한다.  

보안전문가는 얼리어답터가 될 수밖에 없다


- 평소에도 바쁜가? 보안전문가의 하루는 어떤가?

평상시에는 분석과 정보 수집을 한다. 공격의 패턴, 악성코드가 어떤 구조인지 분석을 한다. 해킹이 일어날 때는 어떤 기법에 의해 어떤 자료가 빠져나갔는지를 분석한다. 3.4 디도스 공격 같은 사고가 날 경우 거의 전 직원이 밤을 샌다. 

 

- 보안전문가가 갖춰야 할 기본적 학문 지식 외에 무엇이 필요할까?

우선 도덕성, 윤리의식이 필요하다. 둘째로 새로운 정보를 빠르게 받아들일 수 있는 역량이 필요하다. 정보가 워낙 빨리 지나가기 때문에 기존 기술을 지금 100% 사용할 수가 없다보안전문가가 얼리어답터가 될 수밖에 없는 게, 애플 아이폰도 써봐야 취약점을 알고 보안 대비책을 찾아내기 때문이다.

  
- 안전문가나 해커는 모든 지식을 다 알아야 문제를 해결할 수 있을 거라는 생각이 든다. 과학자인가? 기술자인가?

기술자가 더 맞는 의미인 것 같다. 모든 분야를 다 알아야 하지만, 사실 그렇지 못 한 경우도 많고 한 분야에 많이 파고드는 성향이 크다.

 

- 우리나라에 화이트해커가 많은가?

많다고 생각한다. 아예 보안전문가처럼 공식적으로 활동하는 사람 말고도 취미 삼아 해킹을 하는 사람도 많다. 보안전문가라고 해서 무조건 해킹을 할 수 있는 것도 아니다.

 

- 학생들이 방학 동안 시도해 볼 수 있는 공부를 알려달라.

방학이 참 짧지만, 어떤 해킹 기술들이 존재하는지 살펴보면 좋겠다. 온라인 잡지나 KISA 기관 등의 자료로 정보 보호 동향을 보는 것이 많이 도움이 될 것이다공부할 때 추천하는 부분은 지속적으로 정보를 축적, 받아들이는 것이다. 해커는 하나의 기술이 아니라 모든 걸 다 알아야 하는 사람이다모든 기술을 전부, 얕게라도 습득하고 있어야 그에 대응하는 보안 기술이 나오고 대처할 수 있다. 무조건 많이 접하는 게 최고라고 생각한다. Ahn

 

사내기자 이하늬 / 안철수연구소 커뮤니케이션팀

댓글을 달아 주세요

  1. 라이너스™ 2011.07.04 10:42 신고  Address |  Modify / Delete |  Reply

    과시도 좋고 실력도 좋지만
    남에게 피해를 주는 크래킹은 정말
    지양되어야할듯합니다.ㄷㄷ;
    잘보고갑니다. 행복한 월요일 아침되세요~

  2. 최승호 2011.07.04 16:33  Address |  Modify / Delete |  Reply

    갈수록 보안이 점점 더 큰 이슈가 되어가는군요.
    도움이 되는 정보도 많네요, 감사합니다 :)

  3. 김마야 2011.07.04 16:58  Address |  Modify / Delete |  Reply

    요새 신문을 펼쳐볼 때마다 '보안'에 관한 기사는 반드시 꼬옥 나오는 듯. 그만큼 보안 이슈가 점점 커지고 있다는거겠죠?
    이번 기회에 보안 의식이 전체적으로 확대됐음 합니다:D

착한 해커 키우는 무료 보안 전문가 양성 과정

현장속으로/세미나 2011.06.17 10:33

올해 초 ‘3.4 DDoS’ 에 연이어 4월에는 현대캐피탈, 농협의 개인정보보호 유출 사고가 있었다. 이와 같은 사고는 저절로 일어나는 것은 아니다. 사고 뒤에는 사고를 일으키는 ‘사람’이 있기 때문이다. 역으로 생각하면 보안 문제를 ‘사람’이 해결할 수 있는 것이다.

이처럼 중요한 '사람'을 진정한 인재로 양성하기 위해서 정부가 발 벗고 나서 올해 처음 ‘사이버 보안 전문가 실무 인재 양성 과정’을 개설했다. 보안에 관심을 갖고 공부를 하고 싶은 사람은 눈여겨볼 만하다. 무료라 금상첨화이다. 모의해킹, 침해대응, SW보안의 세 가지 분야를 다루는데, 이 중 ‘모의해킹 과정' 개강식과 첫 수업에 참석했다.

‘모의해킹 전문가’라는 단어에서 볼 수 있듯이, ‘해킹’에 대한 교육을 하는 과정이다. 이 교육은 동전의 앞뒤와 같다고 생각한다. 해킹을 막기 위해서 모의 해킹을 하는 것이다. 하지만 전문적인 소양만 갖고 윤리성이 없다면 악의적 해커로 전락할 수 있다. 이번 '모의해킹 전문가 과정'은 이 점을 사전에 방지하기 위해 윤리적인 면에 대한 교육 내용도 포함되어 있다. 한국정보기술연구원장이 개강식에서 "해킹은 칼의 양날이 될 수 있다. 이 칼은 사람을 해칠 수 있는 강도의 칼이 아니라 사람을 살릴 수 있는 의사의 메스가 되어야 할 것이다."라고 말한 것도 이런 의미일 것이다.

강도의 칼이냐 의사의 메스냐

개강식에 앞서 초청 교수 강연이 있었다. 임종인 고려대학교 정보보호대학원장은 6개월 전에 발생한 멕시코 만 기름유출사고와 후쿠시마 원전의 방사능 누출 사고를 농협의 전산 장애 사고와 연결해 전문가의 역할을 강조했다.

고려대학교 정보보호대학원장 임종인

"과학 기술이 발달할수록 이득이 될 수 있지만, 그로 인한 사고가 벌어지면 모든 이들이 수습을 할 수 없을 정도의 일로 커진다. 여러분과 같은 전문가가 문제를 어떤 식으로 보는지에 따라 인류에게 큰 역할을 할 수 있고, 큰 피해를 줄 수도 있다."

이어서 나도성 한성대 지식서비스&컨설팅연구원장은 우선 혼, 창, 통이 필요하다고 역설했다. '이 분야에서는 내가 없으면 안 된다'는 열정(혼)악의적 해킹을 차단하기 위해 새로운 것을 창안하는 것(창), 주변과의 소통(통). 특히 기술자가 놓치기 쉬운 것이 소통이라며 " 열심히 좋은 것을 개발하는 것도 좋지만, 소통이 없는 기술자는 사회에 악이 될 수도 있다. 기술자는 시장이나 고객에게 득이 되는 기술을 개발해야 하기 때문에 소통이 필요하다."라고 설명했다.

이어서 마켓3.0 시대'이 필요한 인재상과, 시대 변화에 따른 보안 전문가의 중요성을 언급했다.

이 시대를 경영학에서는 ‘마켓3.0 시대'라고 한다. 지금까지는 단순히 좋은 제품을 만들어서 소비자들의 필요에 따라 주는 것으로 끝났다. 하지만 우리는 더 나아가 금융전산망 마비와 같은 사고를 생각해 보아야 한다. 개인의 잘못으로 인해 여러 사람이 피해를 입을 수 있다. 기술의 발달만 생각하고 그 기술로 인한 사고를 사전에 생각하지 못한다면 인류가 공멸할 수도 있다. 즉, 제품, 고객만 중요한 것이 아니라 사회에 공헌할 수 있는 것이 무엇인지 고민해 보는 것도 중요한 것이 될 것이다. 이런 생각을 갖고 공부를 하면 머릿속에도 잘 들어올 것이다.
 
세계적으로 큰 공장들이 지어지고 재벌들이 커지는 과정에서 공부 별로 안하고 그냥 대학을 다녔다. 그 결과 위에서 시키는 대로 하면 먹고 살 수 있는 공장의 부품처럼 일을 했다. 시대의 흐름을 몰라도 한 제품을 위해 오랫동안 일하면 최고였지만 시대가 바뀌었다. 지금은 부품화가 아니라 독창성과 창의성 중심의 시대이다. 세계적인 거대기업을 끌어가고 있는 사람들을 보면 남이 시키는 대로 하는 사람들이 아니었다. 이런 사람들을 ‘린치핀’이라고 한다. 과거처럼 몇 사람 시켜서 하는 것이 아니라 앞으로 모든 분야에서 내가 주인이라는 생각을 갖고 행동해야 한다.
 
글자를 배우는 순간 인터넷으로 연결이 가능한 시대가 되었다. 새로운 정보가 나오면 일단은 긍정적인 면을 생각한다. 즉, 새로운 정보에 대한 생각이 한 쪽 방향으로 흐르고 있는 것이다. 하지만 다른 시점으로 보았을 때의 문제는 생각을 안 한다. 그 결과 새로운 정보로 인한 사고가 발생하면 엄청난 피해가 생길 수 있다.
  
갈수록 많은 사건이 일어나고 비슷한 사건의 재발을 방지하기 위한 제도를 만들고 있다. 이렇게 되면서 시장은 성장하기 마련이다. 이제는 보안 시장이 커질 수밖에 없는 시기가 되었다. 보안 사고로 인해 각 은행과 공공기관에서 제도를 만들어서 시장이 커졌다. 그래서 교육을 잘 받아 보안 전문가가 되는 것은 유망주가 되는 것이다. 능력만 키워 준다면 전망이 밝다. 새로운 시장 확장이라는 것을 알고 이 기회를 잘 활용했으면 한다.


보안 전문가가 제시하는 효과적인 공부 방법


개강식에 이어 김태일 FSK 시큐리티 부장이 본격적인 첫 수업을 진행했다. 그는 '정보 보안은 IT 종합 예술'이라며 전 분야에 대한 전문가가 되어야 살아남는다고 강조했다. 

"유사한 과정을 이수한 분들을 보면서 차이는 단 하나라는 것을 느꼈다. 바로 얼마만큼 공부를 하느냐는 것. ‘무료 교육 과정이니까 자신의 돈을 낸 것도 아닌데 다음에 다른 곳에서 배워야지’ 하는 생각을 할 수 있다. 하지만 절대적인 시간을 투자해야 한다. 이 과정이 끝이 아니고 정보보안 전문가의 출발점이 될 것이다. 그때부터는 알려주는 사람이 없다."

김태일 FSK 시큐리티 부장

이어서 보안 전문가가 되려면 어떻게 공부하는 것이 효과적인지 경험자로서 실질적인 가이드라인을 제시했다.

1. 검색엔진 활용하지 마라.

바보가 되고 싶으면 검색엔진을 사용해라. 문제에 봉착하면 생각을 안 하는 것이 문제다. 검색으로 기초자료를 수집하는 것은 좋다. 그러나 문제가 생길 때마다 고민을 안하고 답을 찾아서 하면 훌륭한 엔지니어가 될 수 없다. 
평소에는 차이가 나지 않으나 문제 해결 능력에서 차이가 난다. 이런 차이는 평상시 작은 습관에서 나온다. 충분히 생각한 다음에 주변에 물어본 뒤 사용하라. 그리고 강사들을 검색 엔진처럼 사용하지 마라. '제 생각은 이런데 어떻게 해야 합니까?' 이런 식으로 문제를 충분히 생각한 뒤에 질문을 했으면 한다. 덥석덥석 받아먹지 말고 문제를 스스로 해결하는 자세로.

2. 매뉴얼 파일 잘 읽어라. 

Help나 매뉴얼에 답이 나와 있다. 사용법을 모르는데 어떻게 해야 할 것인가? 바로 Help 파일에 있다. 그만한 정보는 어디에도 없다. 모든 명령어가 Help, 매뉴얼에 있으니 스스로 터득하는 능력을 길러라.

3. 툴 사용법에 목메지 마라.
 
무림의 절대고수는 나뭇가지로 싸운다. 보안도 마찬가지다. 기술의 뿌리를 익혀야 하는 것이다. 툴 사용법을 마스터하는 것만큼 시간 낭비가 없다. 
해킹 공격 기법의 근본, 취약의 원인을 분석하다보면 툴 사용법은 자연스럽게 익히게 된다. 아무거나 주어도 사용할 수 있는 사람이 되어야 한다. 원리 위주로 학습을 해라.

4. 실 사이트를 대상으로 테스트하지 마라. 
 
지금은 '소림사'에 입문을 한 것이다. 5개월 동안 수련한 '정권 지르기' 하나로 강호에 나가면 얻어맞는다. 
모의해킹 컨설턴트에게 가장 필요한 것은 '윤리의식'이다.

3~4년 전에 사건 하나가 있었다. 교육을 받았던 모 수강생이 수업 시간에 배운 내용으로 해당 사이트가 아주 좋은 교보재가 되어서 DB를 긁어왔다. '해킹'을 한 것이다. 모 수강생을 그렇게 교육 과정을 수료하고 '해킹' 사실을 잊고 있었다. 
하지만 취업 후, 해당 사이트의 관리자가 그 사실을 발견해서 손해배상을 요구했다. 결국 벌금형을 받았다.
 
모의해킹을 하면 지식경제부에서 정보보호 전문 인력으로 등재하는데 범죄 기록이 있으면 등재가 안 된다. 교육을 시작할 때 '윤리 서약서'를 줄 것이다. 모든 책임을 지는 것이다. 실제 상황이다. 조금 더 나아가고 싶은 마음이 들겠지만 제한된 환경에서도 충분히 할 수 있다. Ahn

 
대학생기자 김재기 / 한양대 안산 컴퓨터공학과

해보지도 않고 포기하는 것은 현명하지 않은 일이라고 생각합니다.
타고난 천재가 아닌 이상 처음부터 잘하는 사람은 없겠지요.
새로운 것에 도전하고 항상 노력하는 대학생기자 김재기입니다.


댓글을 달아 주세요

  1. 라이너스 2011.06.17 11:52  Address |  Modify / Delete |  Reply

    크래커가 아닌 착한 해커를 키우는 교육인가요^^

  2. 최승호 2011.06.17 13:06  Address |  Modify / Delete |  Reply

    무척이나 도움이 되는 내용이네요- 잘 읽었습니다^^

  3. 닉네임 2011.06.17 17:18  Address |  Modify / Delete |  Reply

    사람들이 무조건 해커들이 나쁘다는것이 아니라는것을 알았으면 하네요.

    • Jack2 2011.06.18 15:52 신고  Address |  Modify / Delete

      악의적인 목적을 가진 '크래커'라는 용어가 있는데 해커의 의미가 잘못 받아드려져서 그런거 같아요 ^^;; 정보보안이 중요해지는 만큼 사람들의 인식도 개선 되어야 할 것 같아요

  4. 하나뿐인지구 2011.06.17 17:22  Address |  Modify / Delete |  Reply

    이런 뉴스도 있던데...
    http://news.naver.com/main/read.nhn?oid=053&aid=0000014382
    ...
    ps>필리핀에 있다는...해커는 왜 안 잡히는지 궁금하네요...

    • Jack2 2011.06.19 15:18 신고  Address |  Modify / Delete

      해킹알바라... 기술이 발전하는 만큼 사람들의 윤리의식이 점점 더 중요한 것 같아요

    • 하나뿐인지구 2011.06.20 10:44  Address |  Modify / Delete

      위에 답변 댓글에 대한...개인적인...의견인데요...
      ...
      우리나라에선...
      뉴스나 보편적으로 크래커를 해커라 통칭하는 것 같습니다...
      ...
      그냥 한국 말로...
      "보안 전문가"라는 단어가...더 좋은 것 같다는...
      ...
      http://ask.nate.com/qna/view.html?n=10863252
      ...
      http://web.humoruniv.com/board/humor/read.html?table=game&pg=29&number=726706
      ...
      http://gall.dcinside.com/list.php?id=starcraft&no=43229&page=214838

  5. zxh 2011.06.18 23:48  Address |  Modify / Delete |  Reply

    오.. 좋은기회군요 국비지원으로 이런 과정을배울수있다니
    5일 일8시간이면 나중에 휴학하고라도 꼭 듣고싶군요!

    • Jack2 2011.06.19 15:17 신고  Address |  Modify / Delete

      저도 학생이라 듣고 싶었는데 아쉽게도 졸업을 마친 구직자 대상이네요 ^^;; 대학생들에게도 과정이 오픈되었으면 하네요

24시간 펼쳐진 전세계 해커의 치열한 두뇌싸움 현장

현장속으로/세미나 2011.04.22 07:47

'해킹'
주로 개인 정보 침해, 인터넷 계좌 도용, 불법 소프트웨어 복제 등 범법 행위를 언급할 때 사용된다. 이 때문에 많은 사람이 '해킹'을 부정적으로 생각한다. 하지만, 이런 통념과 달리 '해킹'은 보안 취약점을 미리 알아내고 보완하는 데에 필요한 행위이기도 하다. 이처럼 이로운 '해킹'을 하는, 합법적이며 양성적인 해커를 '화이트 해커'라고 부른다.

그런 세계 최고의 '화이트 해커'를 가리는 대회인 '코드게이트’(http://www.codegate.org)가 지난 4월 4~5일 삼성동 코엑스에서 열렸다. 4회를 맞은 올해는 우리나라 전통 윷놀이 방식을 적용한 '한국형 국제 해킹방어대회(YUT challenge)'가 열렸다.
YUT challenge 예선에는 57개국 720여 개 팀이 참여했다. 나도 720여개 팀 중 한 팀으로 학회원들과 함께 예선에 도전했지만 탈락했다. 이런 나에게 본선 진출 팀의 경기를 직접 눈앞에서 볼 기회가 생긴 것은 행운이었다.

예선 720여 개 팀 중 총 8개 팀만이 본선 진출을 했다. 본선 진출 팀 중 절반이 한국 팀이라 한국인으로서 자랑스러웠다. 나머지 4개 팀은 일본(1), 스웨덴(1), 미국(2) 팀이었다. 그 중 미국 팀인 PPP_CMU, disekt을 눈여겨보았다. 두 팀 모두 각 4명의 팀원 중 한국인이 1명씩 있었기 때문이다.
영화나 드라마 속 해커의 모습 때문인지 해킹보안대회는 남성 선수만 있을 것이라는 선입견이 있었다. 하지만, 대회를 지켜보던 중 One-Eyed Jack(한국), sutegoma2(일본)의 총 두 팀에서 여성 선수를 볼 수 있었다.

고요 속 치열한 두뇌 게임의 현장

치열하게 경기에 몰두해 있는 선수들과 달리 관람석에서 보이는 것은 선수들과 스크린에 보이는 윷판뿐이라 좀처럼 박진감을 느끼기는 어려웠다. 하지만, 시시각각 변하는 선수들의 눈빛과 빠른 손놀림에서 고요 속의 긴장감을 느낄 수 있었다.

초반에는 조용한 분위기 속에서 대회가 진행되었다. 그러다 점심 도시락이 배달될 즈음 Hacking For Soju 팀에서 웃음소리가 흘러나왔다. 첫 문제를 해결한 첫 팀이 나온 줄 알고 윷판을 쳐다보았으나 아쉽게도 윷판은 그대로였다. 더 이상의 진전이 보이지 않아 식사를 하러 갔다. 언제 첫 문제가 풀릴지 모른다는 생각에 30분 만에 점심을 먹고 왔지만 해커들은 나를 기다려주지 않았다. 윷판에는 이미 두 팀(Hacking For Soju, PLUS)의 말이 놓여있었다. 첫 문제를 푼 순간을 놓쳐서 아쉬웠다. 관람석에 계속 앉아있던 사람에게 첫 문제는 지난해 우승 팀인 Hacking For Soju가 해결했다는 사실을 알았다. 두 팀 모두 점수는 '0'이라고 기록되고 점수 옆 괄호 안에 '-' 붙은 숫자가 기록되어 있었다.
'–'는 현재 놓인 말의 위치부터 도착점까지 남은 최소 경로를 나타낸다. 말 하나가 도착점에 들어와야 1점이 되는 전통 윷놀이 방식이 그대로 적용되었다. 
13시 30분이 넘어가는 시점에서 큰 변화는 없었다. 표정이 굳어가는 팀도 보였다.
10분 뒤, 갑자기 포스텍(포항공대) 보안 동아리 팀인 PLUS가 떠들썩하기 시작했다. ‘걸’ 문제를 풀어 세 칸 앞으로 가서 Hacking For Soju 팀과 같은 위치로 이동한 것이다. 그 뒤 관련된 문제를 풀었는지 다시 두 칸 더 앞서 갔다.
13시 45분에 PLUS에서 1개의 말을 놓자 곳곳에서 박수가 터졌다. 연이어 13시 47분에 카이스트 보안 동아리 팀인 Gon에서 박수소리가 흘러 나왔다. 그리고 순식간에 한 문제를 더 풀었다. Hacking For Soju와 동점이 되었다. 갑작스러운 Gon의 약진에 Hacking For Soju는 당황하는 모습을 보였다.

13시 52분. '우리 팀만 즐기면서 하는 것 같다'는 말을 하면서 한국 팀인 Unemployed 전원이 자리에서 일어났다. 머리를 식힐 겸 모두 밖으로 나간 듯싶다. 이런 경기 모습에서도 자유스러움을 느낄 수 있었다.

15시 7분. 드디어 PPP_CMU(미국)에서 문제를 해결했다. 한숨 돌리는 표정이었다. 나중에 안 사실이지만 팀의 리더가 한국인이었다. 팀 셔츠는 리더가 디자인을 했는지 한국어가 적혀있는 것을 볼 수 있었다. 15시 45분 disekt(미국)가 첫 문제를 해결했다.
720여 개 팀 중에서 최고의 실력을 가졌지만 아직까지 출발을 못한 세 팀이 있었다. 역시 본선 문제는 예선과는 차원이 다르다는 것을 알 수 있었다. 더 이상의 변화가 보이지 않아서 첫날 취재를 마감했다. 이튿날까지 어떤 변화가 일어날지 알 수 없었다. 계속해서 PLUS가 선두를 지키고 있을까? 아니면 새로운 팀이 선두를 차지하였을까?

밤새 역전된 드라마 같은 승부


다음 날 조금 더 이른 시각에 대회 현장으로 향했다. 밤 사이 계속 진행된 상황이 몹시 궁금했기 때문이다. 대회 장소에 도착한 순간 윷판을 보고 깜짝 놀랐다. 어제 4번째로 말을 움직인 PPP_CMU 팀이 1위를 달리고 있었다. PLUS 팀이 그 뒤를 쫓고 있었고, 전 날 취재를 마칠 시각까지 한 문제도 해결하지 못 했던 One-Eyed Jack이 3위에 있었다. 

대회를 지켜보던 중 할아버지, 할머니, 아주머니, 학생 이렇게 한 가족으로 보이는 분들이 관객석에 앉았다. 미국 팀인 PPP_CMU의 리더인 cai(박세준) 군의 가족이었다. 그의 어머니와 이야기를 나누면서 어제부터 궁금했던 점을 해결했다.

Q: cai 군이 어떻게 미국 팀으로 출전했습니까?
A: 현재 미국 카네기멜론대학교 4학년이에요. 대학 내 해킹동아리 소속으로 출전했어요.

Q: 가족이 전부 응원을 오셨는데 오늘처럼 항상 적극적으로 cai 군을 지원해주셨습니까?
A: 처음 해킹에 관심을 가졌을 때는 많이 말렸죠. 하지만, 해킹, 컴퓨터 관련해서 계속 관심을 보여서 그냥 둘 수밖에 없었어요. 그 결과 자신이 좋아하는 것을 살려 컴퓨터 공학과에 진학했어요. 그리고, 1학년 때는 대학 내 해킹동아리가 없었는데 교수님과 상의해 해킹동아리를 만들었어요. 이번에 출전한 팀 역시 같은 동아리 원들이에요.

Q: 현재 대회 상황으로 봤을 때는 우승이 눈 앞입니다. 편안한 마음으로 보시면 될 것 같은데요?
A: 아니에요. 작년 코드게이트에서도 오늘과 같이 1위를 하고 있었어요. 하지만,  대회 종료 30분 전에 Hacking For Soju에 역전을 당해서 아쉽게 1위를 내주었네요. 작년도 징크스가 있기에 오늘 대회는 가족과 끝까지 긴장 늦추지 말고 봐야 할 것 같아요.

대화를 나누다보니 어느덧 경기 종료시간이 가까워졌다. cai의 가족은 끝까지 집중하여 경기를 관람했다. 드디어 경기 종료. 1위는 PPP_CMU(미국), 2위 PLUS(한국), 3위 One-Eyed Jack(한국). 옆에 앉았던 cai 어머니에게 축하의 인사를 전했다. 올해가 마지막 학기인 아들에게 이번 코드게이트가 의미있는 추억이 된 것 같다는 말씀과 함께 미소로 답했다. 

비록 우리나라팀이 1위는 못 했지만, 1위에 버금가는 2, 3위 모두 한국 팀이라는 사실이 같은 한국인으로서 자랑스러웠다. 다른 한편으로 정보보안에 관심을 가지고 관련 공부를 하는 학생의 입장에서는 대단해 보였다.
한편, 24시간밖에 안 되는 시간이지만 선수들은 '코드게이트'라는 하나의 끈으로 맺어진 것 같다. 대회 직후 너나할 것 없이 이야기를 나누는 모습이 무척 보기 좋았다. 특히 영원한 라이벌인 포항공대 PLUS와 카이스트 Gon 팀원이 이야기를 나누는 모습이 인상적이었다. 이것이 진정한 라이벌의 모습 아닐까?
대회 종료 후, disekt(미국)의 한국인 선수 (위 사진 가장 오른쪽)를 만나서 간단한 대화를 나누었다.

Q: 한국인인데 어떻게 미국팀(disket)으로 참여했나요?
A: 조지아텍(Georgia Tech)에 있는 선배를 통해 'disekt' 팀의 제안을 받아서 합류했어요.

Q: 예전에 다른 대회에 카이스트의 'Gon'으로  출전했던 것으로 압니다. 어떤 이유로 다른 팀으로 출전했나요?
A: 올해 군대 제대 후 카이스트 석사로 진학했습니다. 그래서 후배들도 경험을 쌓아야 하니까 후배들을 위해 한 발 물러서게 되었죠.^^

Q: 다른 대회에도 참여했는데 YUT challange의 문제 난이도를 어떻게 생각하세요?
A
: 글쎄요, 자기가 풀면 쉬운 문제가 되겠죠. 다른 팀과도 이야기를 나누었는데 이번에는 다들 많이 어렵다고 말하더라고요.


곧 이어진 시상식.

3위 One-Eyed Jack (한국)

2위 PLUS (한국)

1위 PPP_CMU(미국)

2일에 걸쳐 눈 앞에서 세계적인 대회를 지켜보니 다음 대회에는 '기자'로서가 아니라 본선에 진출한 '선수'로서 참여해보고 싶다는 생각이 들었다. 그러기 위해서는 지금보다 더 공부해서 실력을 향상해야 할 것이다. 하지만, 단지 실력만 있는 것이 아니라 해커에게는 올바른 의식이 요구된다. 해커가 좋은 실력을 갖추었으나 인식이 그릇됐다면, 최근 일어난 금융권 보안 사고처럼 해킹이 금전적인 목적을 위해 악용될 수 있기 때문이다. '코드게이트'가, 많은 도전자가 실력을 향상할 뿐 아니라 올바른 해킹 의식도 배울 수 있는 대회로 더 발전하기를 바란다. Ahn

대학생기자 김재기 / 한양대 안산 컴퓨터공학과

해보지도 않고 포기하는 것은 현명하지 않은 일이라고 생각합니다.
타고난 천재가 아닌 이상 처음부터 잘하는 사람은 없겠지요.
새로운 것에 도전하고 항상 노력하는 안철수연구소 대학생기자 김재기입니다.

댓글을 달아 주세요

  1. Arnim 2011.04.22 10:17  Address |  Modify / Delete |  Reply

    이번에 와서야 코드게이트에 관심을 갖게 되었는데, 우리나라 팀들이 활약을 해 주어서 기분이 너무 좋네요^ ^ 저도 자극받아서 더 열심히 공부해야겠어요!!
    좋은 기사 읽구가요^ ^

    • Jack2 2011.04.24 00:21 신고  Address |  Modify / Delete

      저도 공부하는 입장에서 같이 잘해봐요 ㅋㅋ 공부하면서 블로그나 이멜로 서로 많은 공유해요

  2. erumex 2011.04.22 14:05  Address |  Modify / Delete |  Reply

    잘 봤습니다!!

  3. 두근윤 2011.04.22 20:48  Address |  Modify / Delete |  Reply

    재밌게 기사 잘봤어요.ㅋㅋ

중고생 미래 진로 길잡이, 청소년 보안교실 V스쿨

청소년은 우리의 미래다
교육 프로그램에서도 자주 볼 수 있는 이 문구처럼
청소년의 무한한 가능성은 우리 사회에 가장 의미 있는 요소 중 하나다. 그러한 점에서 청소년이 지닌 잠재력을 북돋워주고 올바른 길로 안내하는 것 역시 모든 사회 구성원이 함께 고민할 과제일 터.

올해로 10번째를 맞은 안철수연구소 'V스쿨'은 그러한 청소년의 가능성을 일깨우고, 일상생활 속 IT, 정보보안 분야에 대한 관심을 높이는 행사이다. 특히 이번 V스쿨은 역대 어느 때보다 높은 지원 경쟁률을 보이면서, 안철수연구소와 정보보안에 대한 학생들의 의식이 확대됐음을 보여주었다. 이처럼 열띤 참여로 매우 짧게 느껴졌던 안랩 V스쿨의 하루. 미래의 꿈을 키우며 건전한 정보보안 의식을 확립하고, 안철수연구소와 소통할 수 있는 기회까지 주어진 그날의 하루를 다시금 되짚어본다.

친구 그리고 선배, 명사와의 만남

 

오전 10시. 행사 시작을 알리는 안철수연구소 홍보 동영상과 함께 V스쿨이 막을 올렸다. 이날 행사는 160여 명의 학생이 10개 조로 나누어 조별 활동을 했다. 조별 활동에서 항상 빠질 수 없는 것이 바로 조장과 조 이름 정하기! 처음이라 서로 어색해하는 참가자들의 결속을 다지기 위해 각 조 오리엔테이션이 진행되었다. V3 백신의 이름을 본 따 만든 V5, V7부터 노라조 등 톡톡 튀는 개성을 보여준 각 조의 이름과 조장이 정해지면서 V스쿨의 열기가 더해졌다.

"안녕하세요, 저는...", 같은 조 학생들 간에 자기소개가 이루어졌다

조별 모둠 활동 이후 격려 인사가 진행되었다. 안철수연구소 김홍선 대표는 책이나 교과서로 배우는 지식도 중요하지만 직접 참여하면서 배우는 것이 더 좋은 자극제가 될 수 있다. 그러한 점에서 V스쿨이 큰 도움이 되기를 바란다”라고 말했다. 한국인터넷진흥원(KISA)의 서종렬 원장도 이번 V스쿨이 폭넓은 생각과 경험의 밑거름이 되어 자신의 꿈을 찾아나가는 하나의 과정이 되기를 바란다.”라고 전했다. 


안철수 교수(KAIST 기술경영전문대학원 석좌교수)도 영상 메시지를 전했다. 안 교수는 V스쿨 카페(http://cafe.naver.com/vgeneration)에 학생들이 남긴 질문에 답하면서, 보안전문가를 꿈꾸는 학생들에게 윤리의식의 중요성을 강조하였다보안 기술이 잘 쓰면 좋은 기술이지만 악용하면 매우 위험하게 변할 수 있는 양날의 검과 같다. 학생들이 보안 기술을 단순히 이익 추구의 수단으로 생각할 것이 아니라 그 안에서 사회에 환원할 수 있는 요소가 무엇인가를 고민하는 과정이 필요하다."라고 말했다

안 교수는 5가지 질문에 답하며 축하메시지를 전했다

또한 안 교수는 우리는 우리가 읽은 것으로 만들어진다는 독일의 문호 마틴 발저(Martin Waiser. 1927~ ) 말을 인용해 풍부한 독서 습관을 기르길 권유했다여러 책을 읽음으로써 다양한 간접 경험을 얻고 자신의 생각을 정리할 수 있는 능력을 기를 수 있다고 강조했다. 영상을 보던 학생들은 안 교수의 진심 어린 조언에 크게 감명받은 듯 메모까지 하는 열의를 보이기도 했다.

환영 인사가 마무리된 뒤에는 김홍선 대표와 학생 간의 QnA 시간이 진행되었다. 오프라인에서 학생들이 만나기 쉽지 않은 김 대표의 등장에 이곳 저곳에서 사진 촬영과 박수가 이어졌다. 김 대표 역시 많은 학생의 질문에 모두 답할 수는 없어 V스쿨 카페에서 미리 전달받은 질문에 답하면서, 추가로 두 가지의 현장 질문을 더 받았다.

안철수연구소의 최고경영자인 만큼
 기업 경영, 정보보안 관련 내용이 주를 이루었다. 경영을 잘하는 방법이 무엇이냐는 질문에 김 대표는 경영에 정해진 진리는 없는 것 같다고 답했다. 최근 IT 업계의 이슈로 떠오른 태블릿 PC를 예로 들면서, 태블릿 PC는 원래 10여 년 전에 이미 나온 것인데 당시 대부분의 업체가 그것의 사업성을 높게 평가하지 않아 주목받지 못 하다가, 애플사가 태블릿 PC 사업에 참여하고 아이패드를 필두로 소비시장 공략에 성공하여 최근의 트렌드가 됐다고 설명했다.

김 대표는 이처럼 기업가(Entrepreneur)로서 한 회사를 경영하는 것에는 미래를 내다볼 수 있는 통찰력과 발상의 전환 등 다양한 요소가 복합적으로 고려된다.”라는 의견을 내놓았다. 또한 그렇기 때문에 청소년 여러분이 지금 당장 경영을 우선시하기보다는 올바른 결정을 내리고 깊이 있는 생각의 능력을 기르는 것이 중요하다.”라며, 그러한 능력을 우선 기른다면 이후 자신의 진로에서 더욱 의미 있는 선택을 할 수 있을 것이라고 조언했다.

김 대표가 학생들의 질문에 답변하고 있다

또한 보안전문가에 대한 대우와 안랩의 근무 환경을 묻는 질문에 자기 개발, 셀프리더십(Self-Leadership), 전문가라는 3가지 개념을 이용해 답했다본인과 회사가 모두 중요하게 생각하는 것은 자기개발이며, 이를 통해 상대방과 소통하고 이야기할 수 있는 셀프리더십을 기르고, 그러한 요소를 바탕으로 경험과 실력을 모두 갖춘 최고의 전문가를 배양하는 것이 목표라고 말했다. ‘백발이 되어도 전문가로서의 가치를 발할 수 있다면 계속 함께 일할 것이라는 회사의 인사 철학을 예로 들면서, 안철수연구소는 그러한 전문성을 이끌어내는 업무 환경을 지향한다고 밝혔다.

김 대표와의 대화가 마무리된 뒤 10분 간의 쉬는 시간이 주어졌다. 첫 만남의 어색함과는 달리 많은 학생이 쉬는 시간에 게임, SNS, 스마트폰 등에 대해 이야기 나누면서 한층 더 가까워진 모습을 보여주었다.

쉬는 시간이 끝나고참가자에게 좀더 실질적인 도움으로 다가올 시간이 주어졌다. 현재 안철수연구소에 근무하는 보안전문가와 직접 대화할 수 있는 기회가 주어진 것이다. 사내 연애 사례 등 호기심 많은 학생들의 독특한 질문(?)도 있었지만주로 보안전문가가 되기 위해 무엇이 필요하고 어떤 일을 하는지 궁금해했다.

보안전문가가 되려면 어떻게 해야 하냐는 질문에 한 안랩인은 정보
보안 분야에 관심을 갖고 그와 관련된 진로를 목표로 한다는 점에서 이미 한발 앞서가 있는 것이라며, 비교적 많은 기회와 준비 기간이 있으므로 인문학, 사회학 등 다양한 분야와의 연계성을 고려해 생각의 폭을 넓히는 기회도 가질 것을 주문했다.

관련 분야에 대한 심층적인 지식과
기술은 대학 교육 과정에서도 더 구체적으로 학습할 수 있으므로 너무 일찍이 컴퓨터, 정보보안 계통 한 가지만을 바라보기보다는 그러한 생각을 바탕으로 다양한 활로를 찾아보고, 신종 악성코드 같은 보안 이슈에 지속적으로 관심을 가져가는 과정 속에서 보안전문가로서 꿈을 키워갈 수 있을 것이라고 말했다.


이어진 점심 식사 및 사내 투어 시간에도 참가자들은 개별적으로 안랩인들을 만나 조언을 구하는 등 진로 계획과 IT, 정보보안 분야에 대한 살아있는 교훈을 전해듣기 위해 노력하는 모습을 보였다.

점심 식사를 마치고 맞이한 오후 세션.
식곤증으로 자칫 나른해질 수 있는 시간을 OX 퀴즈로 시작했다.

"O는 오른손, X는 왼손을 들어주세요~!"

퀴즈는 올해 안철수연구소가 발표한 7대 보안 위협 요소를 중심으로 약 25개의 문제가 출제되었는데, 디도스(DDoS)부터 클라우드(Cloud), 제로데이 공격 등 다소 어려운 문제가 출제되었다. (현장에 있던 기자도 참여했는데 5번 문제도 못 가서 틀리는 등 난이도가 만만치 않았다. 그래도 개수로는 절반 이상 맞힌 것이 다행이라면 다행이었다.^^) 그러나 참가자들은 V스쿨에 참여한 인재들답게 웬만한 문제는 거침없이 풀어나갔다. 역시 미래의 정보보안 꿈나무다운 모습이었다.

하지만 스턱스넷(Stuxnet)에 관련 문제에서 대거 탈락하자 패자부활전을 진행, 최후의 25인이 남게 되었다. 그리고 마지막으로 2명의 도전자만 남은 가운데 안철수연구소의 ‘PC주치의에 대한 문제로 최후의 1인이 가려졌다. OX 퀴즈의 우승은 정답을 맞힌 추민규(청도 모계고. 19) 학생에게 돌아갔다.

O/X퀴즈에서 1등을 차지한 추민규 학생(청도 모계고. 19)


해킹, 사이버 범죄 등 청소년 보안 교육도 이루어져
10
분 간의 휴식이 끝나고 V스쿨의 열기는 더욱 뜨거워졌다. 안철수연구소의 장현승 연구원과 신지상 사원의 해킹 시연 덕분이다. 장 연구원온라인 게임에서 해킹하는 것은 간단할지 몰라도 그로 인한 여파와, 이를 막기 위한 조치를 취하는 것은 어렵다며 게임마다 직접 방법을 보여주고 설명해주었다.

게임보안팀의 해킹 시연에 학생들이 집중하고 있다

한편, 신 사원은 온라인 게임이 크게 MMORPG(Massively Multiplayer Online Role Playing Game: ex. WOW), FPS(First Person Shooting: ex. Sudden Attack), Racing Game(ex. 카트라이더), Sports Game(ex. FIFA Online), Web Board Game, Social Network GameStrategy Simulation(ex. StarCraft) 등의 종류로 나뉘고,  그에 따른 해킹 방법도 다양하다고 설명했다.

서비스기획팀 신지상 사원이 온라인 게임 해킹에 대해 설명하고 있다

온라인 게임 해킹에서 가장 많이 쓰이는 것은 '오토플레이'인데, 해킹 툴을 이용해 게임 속 가상 인물이 자동으로 공격 혹은 방어를 할 수 있게 하는 것이다. 또 다른 방법은 '치트 엔진Cheat Engine)'으로 게임 속 데이터를 조작하여 점수나 게임 속 캐릭터의 능률을 높일 수 있다. 이러한 다양한 해킹 방법은 시대가 변함에 따라 다양해지고 복잡해져서, 이를 막는 일은 더욱 어려워지고 있다. 안철수연구소의 해킹 방지 프로그램 '핵쉴드(Hack Shield for Online Game 2.0)'는 바로 이런 연구원들의 열정과 노력의 산물임을 참가자들은 크게 공감하는 듯했다.

마지막 강연은 용산경찰서 사이버수사팀 류정은 경장의 사이버 범죄에 대한 설명이었다. “여러분과 제가 앞으로 마주할 일이 없으면 좋겠습니다.라는 농담 섞인 충고로 말문을 연 류 경장은 사이버 범죄의 심각성을 쉽고 재미있게 설명했다. 통계에 따르면 2010년 우리나라 인터넷 사용자는 1,617만명으로 10대의 인터넷 이용률은 99.9%(20 99.7%, 30 99.8%)에 달한다. 반면 인터넷 범죄에 대한 경각심은 저조한 편으로, 2004 9천여 건이던 사이버 범죄가 2010 2만여 건으로 증가한 것만 보더라도 쉽게 알 수 있다. 사이버 범죄는 사이버 공간을 이용 혹은 사이버 공간에서 발생한 모든 범죄를 가리키는데, 일반적 범죄(ex. 전자상거래, 복제, 명예훼손, 개인정보, 유해사이트 등)와 테러(ex. 해킹, 바이러스 등)로 나눌 수 있다.

그 중 청소년이 많이 관여된 범죄로는 아이템 해킹(정보통신망법 71조에 의해 5년 이하의 징역 혹은 5,000만원 이하의 벌금)이 있는데, PC방에 해킹 프로그램을 설치하거나 블로그에 일반 파일인 것처럼 속여 해킹 파일을 올리는 등 17세 학생들의 수사 기록이 꽤 있다고 한다. 이를 방지하기 위해서는 백신 프로그램을 설치, 업데이트하고, 잘 알지 못하는 프로그램은 절대 다운받지 않는 것이 중요하다.

인터넷 물품 사기 역시 많은 학생이 관여된 범죄이다. 이는 형법 제347조의 형법에 속해 10년 이하의 징역 혹은 2,000만원 이하의 벌금형에 처해질 수 있는데, 개인 간 물품 거래를 최소화하고, 하더라도 신분 파악과 직거래를 명심해야 한다. 그리고 본인이 사기를 당했을 경우는 입금영수증과 같은 증거 자료를 확보해 놓아야 형사 처벌을 할 수 있다.

그럼 여기서 깜짝 퀴즈~! 다음 중 저작권법 위반에 해당하지 않는 것은 무엇일까?

1) 좋아하는 TV 프로그램의 캡처 사진을 미니홈피에 올린다.

2) 악보를 복사해서 사용한다.

3) 학교 시험 문제를 블로그에 올린다.

4) 친구의 일기를 미니홈피에 올린다.

5) 여행에서 찍은 풍경 사진을 블로그에 올린다.

매우 간단해 보이지만 쉽지만은 않은 문제이다. 저작권 침해는 저작권법 97조에 명시된 사항으로 2년 이하의 징역형 혹은 5,000만원 이하의 벌금형이 부과될 수 있는데 일기나 악보, TV 드라마 캡처, 온라인 쇼핑몰 사진 등 모든 창작물이 해당된다. 따라서 위 문제의 답은 5, 여행에서 자신이 찍은 사진은 본인의 창작물이기 때문에 문제가 되지 않지만, 그 외 1~4번은 다른 사람의 창작물이기 때문에 위법에 해당한다. 이 외에도 사이버 명예 훼손과 명의 도용, 네티켓 등 가상 공간 범죄에 대한 경각심을 일깨우기 위한 강의는 계속되었고참가 학생들은 미래 보안전문가로서의 기본 자질을 마음 속 깊이 새겼다.

모든 일정을 마치고 팀 별, 개인 별 시상으로 하루 동안의 V스쿨이 마무리되었다. 행사가 끝난 후에도 몇몇 참가자는 안철수연구소 직원들과 인사를 나누며 아쉬움을 달랬다. 행사가 끝나고 또다시 분주히 마무리 작업을 하는 안철수연구소 커뮤니케이션팀의 모습을 보며, 왜 이렇게 힘들고 큰 행사를 매년 진행하는 걸까 싶기도 했지만, 참가 학생 한 명 한 명의 열정과, 이를 키우고 북돋아주려는 안철수연구소 사람들의 마음이 느껴지는 훈훈한 행사였다.

<미니 인터뷰>

올해 고
3이 되는 안정화 학생(부천 상원고. 19)은 남학생이 대부분이던 참가자 중 단연 돋보이던 여학생이다. 초등학교 때부터 정보보안 관련 자격증을 취득하기 시작하여 정보처리 기능사, 그래픽스, 그리고 관련 대회까지 휩쓴 보안계의 꿈나무. 이번 V스쿨에서 자신의 진로에 확신을 얻을 수 있었고, 안철수 교수님과 김흥선 대표님의 말씀 한 마디 한 마디가, 대입을 앞둔 자신에게 큰 힘이 되었다고 말했다.

친구끼리
V스쿨에 참여한 학생들도 눈에 띄었다. 동갑내기 친구 장덕우(좌), 조바울(우) 학생(순천전자고 광정보통신과. 19)은 각각 정보보안전문가와 IT 컨설턴트의 꿈을 갖고 있다. 이번 V스쿨에서 실제 보안전문가들을 만난 것이 큰 도움이 되었다고 한다. 특히 장덕우 학생은 보안전문가들로부터 실질적인 경험담을 들으면서 자신의 꿈을 더욱 확고히 했다고 했다. 또한 조바울 학생은 프로그램 내용이 모두 만족스러웠다며, 다만 참가 학생의 수준을 고려한 단계별 프로그램이 진행되었으면 한다는 의견도 밝혔다.

한편
, 올해 중학교 2학년인 김시형 학생(좌) (일산 양일중. 15)과 고등학교 2학년인 고남현 학생(우) (인천 동인천고. 18)은 당일 처음 안면을 튼 사이지만, 마치 오랜 친구 혹은 형제 같은 모습을 보였다. V스쿨 네이버 카페와 다양한 소셜 네트워크 매체에서 잦은 교류를 나눈 덕분이다. 이 두 학생 역시 중, 고등학생이라는 사실이 무색할 정도로 온라인 보안 분야에 관심과 지식을 겸하고 있었다. 김시형 학생은 어린 나이에 직접 해킹을 해보기도 하고(범죄로 악용하지 않는 한에서), 백신 프로그램에 대해 항상 자신을 업데이트하는 등 나이만 어릴 뿐 보안전문가와 다름 없는 듯했다. 고남현 학생 역시 2004년 처음 나온 액티브 X의 악용 위험성을 지각하고 이를 알리려 노력하는 등 단순한 학생이라고는 믿기 힘들 정도였다.

 Ahn
 

대학생기자 오정현 / 이화여대 정치외교학과
夜深星逾輝(야심성유휘) : 밤이 깊을수록 별은 빛난다.
주위가 어두워질수록 별빛은 거세게 흔들립니다. 그러나 그만큼 더욱 밝게 빛나죠. 여러 기사와 소식이 당신의 세상을 어둡게 비출지라도 더욱 밝게 빛나고, 그리고 그 빛들로 그 세상을 더욱 밝힐 수 있으면 좋겠습니다.

 

대학생기자 한병욱 / 명지대 디지털미디어학과

'1%의 가능성만이 존재하더라도 도전할 수 있는 것이 20대의 특권이다.' 한 소설책에서 본 구절이 문득 떠오릅니다. 열정적이고 순수함으로 가득한 20대의 소중한 시간을, 영혼이 있는 기업 안철수연구소와 함께 할 수 있어 더욱 행복합니다.

 

댓글을 달아 주세요

  1. crownw 2011.03.20 19:04  Address |  Modify / Delete |  Reply

    올해도 알차고 풋풋한 내용들이네요. 잘 읽었습니당. >_<

해커 잡는 보안전문가, 영화와 현실 얼마나 같을까

우리가 사는 시대는 이름도 많다. 인터넷 시대, 네트워크 시대, 정보 기술 시대.
우리 시대를 한 단어로 규정할 수 있을까? 아마 불가능할 것이다. 매 순간순간 새로운 기술과 콘텐츠가 쏟아져 나오고, 주요 사회 경제 활동이 IT 기술을 기반으로 급격히 변화하고 있다. 바야흐로 변화의 시대


그러나 모든 변화에는 새로운 위협이 뒤따르게 마련이다. 인터넷을 기반으로 상호 연결과 의존이 증가함에 따라, 이들 시스템의 취약점을 노리는 사이버 공격 또한 더욱 증가하고 있다. 우리 생활 패턴을 송두리째 바꾸어 놓은 인터넷 세상에서는 각종 사이버 공격으로부터 정보와 자산을 지켜내는 것이 필수 불가결한 과제가 된 것이다.

KBS 드라마 '아이리스'의 해킹 장면

영화나 드라마를 보면 재야에 묻힌 고수 해커들이 기업의 기밀자료를 유출하거나 네트워크에 혼선을 일으키는 장면이 자주 연출된다. 그때 결코 빠질 수 없는 이가 있으니, 바로 '보안전문가'! 기억을 더듬어 보자. 파마 머리 괴짜 해커의 공격은 짠~ 하고 등장한 보안전문가의 손놀림에 보란 듯이 차단되지 않던가? 컴퓨터라곤 미니홈피 관리밖에 할 줄 모르는 내 눈에 비친 그 모습은 그야말로 엣지그 자체였다.

 

듣자하니 해킹이나 정보 침해, 바이러스로 인한 사고 위험성은 날로 심각해진다던데, 기업이나 학교의 정보는 어떻게 지킬 수 있을까? 말로만 듣던 보안전문가들은 어떤 모습으로 일하고 있을까? 나도 보안에 관심이 많은데, 무엇을 어떻게 공부해야 할까오늘, 이런 궁금증들을 해결하기 위해 안철수연구소 침해사고대응팀(CERT; (Computer Emergency Response Team)의 한승훈 책임연구원을 만났다. 

직접 만나본 그의 첫인상은... 음, 일단 잘생겼다. CERT팀의 '비주얼 담당'이라는 소문이 사실이었나 보다. 지적인 외모에, 편안하게 분위기를 리드하는 부드러움까지 갖췄다! 점점 영화에서 보던 유능한 보안전문가가 오버랩되기 시작한다. 아닌 게 아니라, 그는 업무 내외적 성과가 뛰어난 직원에게 주어지는 안철수연구소 이달의 스타상수상자이기도 하다. 백문이 불여일견. 지금 바로 만나보자.

 

-CERT팀과 본인 업무 소개를 해달라다.

흔히 침해사고란 시스템에 대한 비인가된 행위나 위협을 의미하는데, 정보서비스를 방해한다든가, 악성코드를 유입하고 실행한다든가, 사용자의 계정을 도용한다든가 하는 행위들이 여기에 속한다. 안랩 CERT팀은 24시간 365일을 멈추지 않고 보안 이벤트 분석, 대응, 서비스 지원 업무를 한다. 나는 침해사고 분석 업무를 맡고 있다.

 

-분석 업무를 구체적으로 알고 싶다.

보안 이벤트 분석 업무는 새로운 보안 취약점이나 새롭게 발생하는 공격 방법을 연구하는 것이 주를 이룬다. 이러한 연구 결과를 이벤트 대응에 활용하고, 최신 공격으로부터 고객의 자산을 안전하게 보호하게 된다. 만일 고객사에 침해사고가 발생할 경우에는 컴퓨터 포렌식(FORENSIC)을 통해 원인과 향후 대응 방안을 강구하게 된다.

 

-해킹 수법은 날이 갈수록 교묘하게 지능화해간다고 알고 있다. 문외한 입장에서는 언제, 어떤 형태로 일어날지도 모를 공격을 분석한다는 게 가능할까 싶은데?

사실, 알고보면 침해사고 이벤트 자체는 단순하다. 문제는 드러나는 이벤트 자체만 알아서는 안 된다는 것이다. 발생하는 이벤트는 단순하지만, 발생 원인은 정말 많기 때문다. 애플리케이션이 될 수도, 시스템이 될 수도, 네트워크가 될 수도 있다. 초등학생에게 복잡한 그림을 하나 보여주고, 얼마 후에 백지에 다시 그려보라는 것과 비슷한 느낌이랄까? 어떻게 보면 매우 공포스러울 수도 있다. 매 순간 이런 작업을 해야 하니까.

 

-요즘에는 방화벽이 있어서 외부 공격을 차단해주지 않나? 장비가 좋아서 해킹 위협도 막아주고 자동으로 기록도 되는 걸로 알고 있는데?
언젠가부터 방화벽이 있는데도 침해사고가 반복적으로 발생하고 있다결론부터 말하면, 공격 기법들이 날이 갈수록 지능화하기 때문이다. 기존 차단 시스템에 문제가 있어서 뚫리는 것이 아니라, 그 차단막을 우회해서 공격하는 기법들이 나타나기 때문이다. 고객이 가장 많이 오해하는 부분이, 침해사고를 ‘기계가 막아준다고 생각하는 것이다. 실제로 모 CEO는 우리는 정보보호를 위해 이만큼 장비를 갖췄는데 왜 이런 문제가 발생하느냐?” 고 물은 적도 있다. 하지만 실제로 공격을 막는 것은 장비가 아니라 사람’ 이. , ‘지식이 막아주는 것이다. “장비가 막아줄 것 이다.”라는 단정은 매우 위험하다.

 

-‘지식이 막아준다.’감이 잘 오질 않는데, 구체적으로 사람이 어떤 역할을 한다는 건지?

예를 들어, 웹 기반 공격의 경우 나날이 다양한 기술들이 나오고 있다. 이를 차단하기 위한 차단막이 웹 방화벽인데, 사실은 웹 방화벽 자체가 공격을 막는 것이 아니라 그 안에 들어있는 패턴이 막아낸다는 뜻이다. 산술적으로만 볼 때도 마찬가지다. 방화벽 안에 들어있는 패턴이 100개인 곳과 1000개 인 곳은 그 성능에서 현저한 차이가 있을 수 밖에 없다. V3 제품의 엔진업데이트를 계속 해오고 있는 것과 일맥상통하는 이야기다. 엄밀히 말하면 V3가 막아주는 것이 아니라, 그 안에 들어있는 패턴이 막아주는 것이다. 일종의 프로그래밍과 유사하다고 보아도 무방하다. 프로그램을 완벽하게 짜면 참 좋을 텐데, ‘완벽이라는 것이 쉽지가 않다. 더구나 공격자들의 방화벽을 우회하는 방법은 날로 지능화, 복잡화 되어가고 있다전문가가 봐도 , 이거 새로운 방법이 또 나왔구나!”고 느낄만한 방법들이 한달안에도 여러 건 나오고 있으니까. 그런 새로운 방법들을 사람이 패턴화 시키고 적용시킴으로써 같은 형태의 또 다른 공격들을 막아내게 되는 것이다. 

-공격이 있어야 방어도 있을 것 같다. 본질적으로 공격이 언제나 선행된다는 이야기인데, 방어하는 입장에서 경쟁력을 기를 수 있는 방법이란 게 있나?

대한민국에서 가장 많은 공격이 들어오는 곳이 어디일까? 바로 게임 관련 사이트다. 현재 안철수연구소는 거의 모든 메이저급 게임 사이트들의 보안을 책임지고 있다. 바꿔 말하면, 우리 고객의 사이트에 공격이 가장 많이 들어오는 셈이다. 역설적인 이야기이긴 하지만, 그만큼 많이 당해 봤고 그 사례를 통해 많이 배워 온 셈이다. 그 과정에서 축적된 지식이 우리의 경쟁력이라고 할 수 있다. 세계적으로 볼 때도 안철수연구소는 새로운 공격 패턴을 가장 많이 연구하고 가장 빨리 대응하고 있다.

 

-개인적인 부분도 궁금한 점이 많다. 어떻게 보안에 관심을 갖게 된 건지?

어릴 적부터 컴퓨터에 관심이 많았다. 그 시절 컴퓨터라고 해봐야 쓸 수 있는 언어가 베이직정도밖에 없었지만 그걸 가지고 노는 걸 좋아했다. 그러다가, ‘나만이 쓸 수 있는 내 프로그램을 만들고 싶다는 생각이 들어 직접 프로그램을 짜보기도 했다. 몇 주 동안 고심하고 고심해서 저만의 프로그램을 완성한 일이 있었다. 그런데 어느날, 오랜만에 놀러와 컴퓨터 이곳저곳을 눌러 보던 사촌이 ‘Break 명령으로 내 프로그램을 깨버리는 상황이 일어났다. 황당했다. 나름 고민하고 고생해서 만든 프로그램이었는데 눈 앞에서 너무나 허무하게 깨져버렸으니까. 어린 마음에 괜시리 억울하기도 하고, 눈물이 다 났다그 일이 있은 후 많은 생각을 하게 됐다. 나는 사용자가 아이디와 패스워드를 칠 수밖에 없다고 생각했는데, 그 입력을 우회할 수 있는 방법도 있었던 거니까. 내가 놓친 부분이 있었던 것이다. 아마 그 때 생각한 것 같다. ‘, 보안 공부를 제대로 해보고 싶다.’. 

   

-그럼 본격적으로 보안 전문가의 길로 들어선 것은 언제였나?

처음에는 산업용 PC 프로그래밍을 했다. 그 당시 나는 보안 관련 모 인터넷 커뮤니티에서 활동하고 있었는데, 그 쪽 친구들과 많이 친해졌다. 공유할 수 있는 관심사가 많았고, 같은 고민을 해온 사람들이었으니까. 그러다 의기투합해서 99 8 15국내 최초의 보안 컨설팅 회사를 만들었다당시에는 컨설팅이라는 용어 하나에도 막연한 동경이 있었다. ‘우리가 가진 기술로, 누군가의 소중한 정보를 보호하고 설계한다.’는 게 아무나 할 수 없는 일이라 생각했기 때문이다.

 

-따지고 보면 개발자에서 컨설턴트로 전직을 한 셈인데?

그렇다. 업종을 아예 바꾼 셈이다당시 멤버가 다섯 명이었는데, 젊은 혈기로 뭐든 몸으로 부딪혀가며 일했던 것 같다. 지금은 모 대학 교수로 있는 당시 CEO의 경우, 낮에는 외부에 영업을 나가고, 저녁에는 모여서 주요 사항들을 의논하고, 밤에는 모의해킹을 했다. 정말 바빴다. 그러다 사우나에서 잠깐 눈을 붙이고 또 아침이 시작되는 생활이 반복되곤 했다. 몸이 많이 힘들었다. 집에는 며칠 만에 옷을 갈아 입을 겸 들르는 정도였으니까. 하지만, 그 당시 매우 즐겁게 일했던 것 같다. 모두가 다 재미있어하면서 회의하고, 리포트를 쓰던 기억이 난다.

 

-안랩 CERT팀에서 일하는 지금은 어떤가? 보안전문가들이 겪는 애로사항은 어떤 것들이 있나?

팀 내에서 내가 하는 일은 고객과 가장 가까이에서 고민하고 해결해야 하는 고객 접점 업무이. 내가 하는 일의 아이러니한 점은, 고객에게 문제가 생겨야 만나게 된다는 점이다. 그러, 고객 얼굴이 늘 울그락 불그락한 채 대면하게 된다. 또한 사고가 발생하면, 무엇이 문제인지 최대한 빨리 분석해내야 한다. 또 최대한 빠른 시간 안에 대응 방법을 찾아서 실행해야 한다이런 상황에서 늘 시간과의 싸움을 벌여야 한다는 것이 애로 사항이다.

 

-늘 긴장한 채로 시간과의 싸움을 벌인다는게 어마어마한 스트레스일 것 같은데?

음, 혹시 당구칠 줄 아는지? 당구에 처음 재미를 붙이면 밤에 누워도 천장이 당구대로 보이곤 한다. 그것과 비슷하다. 집에 들어가면 좀 쉬어야 하는데 누워서도 일 생각을 많이 한다. 긴장 상태가 지속되는 것이다. 다행이 나는 일을 많이 즐기는 편인 것 같긴 하다. 늘 최악의 상황에서 고객을 만나지만, 후에 컨퍼런스 같은 곳에서 고객과 마주하면 제가 밥 사줄게요~.” 하면서 먼저 다가오기도 한다. 나를 한번 만난 고객은 나를 신뢰하고, 또 언젠가는 도움을 줄 거라고 생각하는 것 같다. 그럴 때 참 뿌듯함을 느낀다. 고객사 대부분이 한국 사회에서 큰 영향력을 발휘하는 기업이기 때문에, 문제가 해결되지 않는다면 국가적으로도 큰 손실이 발생할 수 있다는 생각을 늘 한다. 그래서 잠을 자지 않더라도 꼭 해결해드리려고 노력한다. 거기서 오는 자부심, 사명감이 있다.

 

"한승훈 책임은 침해사고 분석 역량도 우수하지만, 집중력이 정말 뛰어나다. 시스템 분석에 몰입하기 시작하면 이틀이 걸리든 삼일이 걸리든 밤낮없이 분석 업무에 매달린다. 그리고 결국은 문제의 원인을 찾아내고 최적의 대책과 가이드를 제공한다. 웬만한 집중력으로는 힘든 일이다. 이런 집중력과 끈기가 기술력과 함께 고객사에 크게 어필되는 것 같다."

-안철수연구소 CERT팀 권동훈 팀장-

"한승훈 책임님의 에너지는 끝이 없다. 그 좋은 휴가를 떠나서도 VPN을 통해 업무처리를 하곤 한다. 업무에 대한 책임감과 사명감이 없다면 힘든 일이다. 이런 그의 열정은 CERT팀을 비롯한 모든 연구원들에게 귀감이 된다."

-안철수연구소 CERT팀 전인석 연구원-

 

 -마지막으로 '이달의 스타상' 수상 소감을 듣고 싶다.

사실, 침해사고 분석이 내 사명이고 책임인데, 이런 부분에서 상을 받는다는 것이 쑥스럽기도 하고 또 감사하기도 하다. 지금은 비즈니스 환경과 기존의 시스템들이 끊임없이 변화하는 시대다. 네트워크 기반부터 정보 시스템까지 많은 부분이 발전하고 또 변화하고 있다. 그만큼 우리 정보나 시스템이 위협받는 상황도 계속 증대되리라 생각한다. 변화하는 비즈니스 환경에 적응하고, 고객의 자산을 안전하게 지켜낼 수 있는 무기를 계속 갈고 닦으려고 노력하겠다. 


이처럼 철두철미한 전문가의 면모를 갖춘 그의 취미는 블루스 기타 연주이. 중학교 시절, 평소엔 근엄하던 담임선생님이 기타를 연주한 적이 있다. 그 모습과 그 때의 기타 선율에 매료돼 당장 배우기 시작했다. 당시 선생님은 클래식 기타를 연주했는데, 그는 일렉으로 배우기 시작해서 블루스 기타로 옮겨왔다. 

B.B. King(미국의 흑인 기타리스트), Jimi Hendrix(20세기 최고의 기타리스트로 꼽히는 뮤지션), Eric Clapton(영국의 기타리스트이자 싱어송라이터)에 거의 미쳐 있었고, 들국화, 산울림, 동물원의 음악도 좋아한다. 고등학교 시절 들국화 음반을 닳기도 했다. 마음 맞는 친구들과 밴드도 했다. 요즘에는 하드 락(Hard Rock) 장르가 좋아져 레드 핫 칠리 페퍼스(Red Hot Chili Peppers), 메탈리카(Metallica)의 음악을 즐겨 듣곤 한다. 예전 음악에 대한 향수도 있지만, 요즘 음악도 참 좋아한다며 "아이유는 최고"라며 웃는다.
"
음악은 어떤 식으로든 끊을 수 있는 게 아닌 것 같다. 우스갯소리이긴 하지만, 무인도에 떨어져 예쁜 아가씨와 기타 한 대 중 하나만 고르라고 한다면 두말없이 기타를 집어 들 것 같다.음악은 제 인생에서 떼려야 뗄 수 없는 활력소다." 
 
그런 그이기에 자녀에게 그의 기타 소리는 
일종의 태교 음악이었다. 심지어 락(Rock)도 들려줬단다. 요즘도 자주 들려주곤 한다.

'냉철한 전문가의 얼굴'과 '순수한 청년의 모습'을 모두 가진 한승훈 책임연구원
업무에 관해서만큼은 누구보다 철저한 전문가의 모습을 보이다가도, 좋아하는 기타와 음악 이야기를 꺼냈을 땐 아이 같이 천진한 미소를 띄우곤 했다. 매 순간순간을 긴장으로 보내야 하는 지난한 환경 속에서도 결국 임무를 완수해내는 그의 집중력은, 한승훈 책임이 가진 순수한 열정에서 비롯된 것이 아닐까. 앞으로도 무기를 계속 갈고 닦겠다.’는 그의 말 속에는 오랜 경험에서 비롯된 자신감이 실려 있었다. 현재의 위치와 평가에 만족하지 않고, 그는 또 한발 한발 나아가려 한다. 

한편, 한승훈 연구원은 멋지게만 보이는 보안전문가들의 모습을
껍질이라고 표현한다많은 사람이 떠올리는 극적인 요소는, 현실을 사는 이들 모습의 극히 일부분에 불과하다는 것. 그래서 
이제는 껍질뿐 아니라 이들의 ‘속 이야기도 들여다 볼 필요성을 느낀다

시시각각 변하는 공격 패턴에 골몰하는 모습
,
침대에 누워서도 천정에다 대응방법을 그리는 모습,
쓰디 쓴 커피로 새벽을 견뎌내는 모습,
고맙다고 다가와 인사를 건네는 고객의 모습,
믿고 맡기겠다며 보내오는 신뢰,
거기서 얻는 사명감과 자부심까지.
 

하나하나 모두 이들이 살아가는 모습이다
.
 지금 이 시각에도 대한민국의 사이버 안전을 위해 고군분투하는 이들에게 진심 어린 격려의 메시지를 보내고 싶다.

<한승훈 책임이 보안전문가를 꿈꾸는 이에게 주는 조언>


침해사고를 분석하는 입장에서 말하자면, 가장 기본적으로 갖추어야 할 것들이 ‘논리성’과 ‘추론 능력’이다. 하나의 문제를 해결하기 위해 논리적 사고를 꾸준하게 키워나가는 것이 중요하다. 그런 부분들이 축적되면 경험이 되고, 경험이 쌓이면 본인 만의 무기이자 커리어가 되니까. 거기에 추론적인 부분을 더해서 시나리오를 형성할 수 있는 능력을 배양할 필요가 있다. 사실 살펴봐야 하는 로그 파일만 해도 몇 기가씩 된다. 그 중 고객과 관련된 이벤트는 단 몇 줄밖에 없다. 일일이 다 들여다볼 수가 없다는 이야기다. 때문에 논리성과 추론 능력을 기르는 것이 가장 기본 중의 기본이라고 생각한다.

 

요즘 학생들은 정말 바쁜 것 같다. 사회에서 요구하는 기준도 높아졌고, 각종 정보들은 너무 넘쳐나서 어떤 걸 공부해야 할지 고민하는 하는 사람들도 많은 것 같다. 그러다보니 너도나도 스펙(specification) 올리기에만 열중하는 것 같다. 하지만 여러 개의 자격증을 따고 학점 쌓는 데만 매진하다보면, 반드시 알고 있어야 할 부분들을 겉핥기 식으로만 다루기도 한다. 그건 좋지 않다. “기본으로 돌아가라!” 내가 해주고 싶은 말이다. 네트워크 프로토콜 및 OS에 대한 기본적인 사항은 반드시 마스터하는 것이 좋다. 가장 기본적인 공부가 훗날 어떤 상황에도 응용력을 발휘할 수 있는 ‘체력’이 되니까.

한 가지 덧붙이자면, ‘본인 만의 강점’을 기르라는 이야기를 해주고 싶다. TCP / TIP 프로토콜, C언어 같은 랭귀지 등 뭐라도 자기 손으로 만들어보고 시행착오도 겪어 봐야 한다. 그런 시도가 필요하다. 그리고 이러한 시도들이 모여 자기만의 강점이 되었을 때, 새로운 상황에도 당황하지 않고 응용력을 발휘할 수 있기 때문이다. ‘기본 체력’과 함께 ‘자기만의 강점’을 기른다면, 훌륭한 보안전문가가 될 수 있으리라 생각한다. Ahn

 

사내기자 이동현 / 안철수연구소 커뮤니케이션팀

 

댓글을 달아 주세요

  1. zxh 2010.12.28 11:03 신고  Address |  Modify / Delete |  Reply

    좋은글 잘읽었습니다~

  2. 초록별 2010.12.28 15:53  Address |  Modify / Delete |  Reply

    ip주소가...218.54.743.183...^^;...
    ...
    미남이시네요...^^;

  3. crownw 2010.12.28 15:58  Address |  Modify / Delete |  Reply

    안랩에 없어선 안될 인재시네요ㅇㅅㅇ

    • 보안세상 2010.12.29 14:26 신고  Address |  Modify / Delete

      crownw님 안녕하세요 ^^ 집중력이 대단하다고 소문이 자자한 한승훈 책임님이지요~ 방문감사합니다~ 좋은 하루보내세요!

  4. 슈퍼볼매냐 2010.12.29 08:26  Address |  Modify / Delete |  Reply

    보안전문가가 갖춰야할 자질이뭔지 생각하게 만드는글이네요~ #.# 앞으로도 계속 화이팅부탁드려요~!

  5. 2010.12.29 08:28  Address |  Modify / Delete |  Reply

    비밀댓글입니다

    • 보안세상 2010.12.29 14:25 신고  Address |  Modify / Delete

      안녕하세요? 질문하신 사항은 직무에 따라 차이가 존재 합니다. http://www.ahnlab.com/company/site/recruit/comRecruitMain/comRecruitMainList.do 에서 진행 중인 채용 및 자격 요건 정보를 확인하실 수 있으십니다. ^^ 좋은 하루 되세요!

국제해킹대회 우승자가 조언한 보안 수칙의 기본

지난 11월 29일 행정안전부·지식경제부·방송통신위원회의 주최로 ‘ISEC 2010'(제4회 통합 정보보호 구축전략 컨퍼런스)이 서울 코엑스 그랜드볼룸에서 개최되었다. 컨퍼런스의 중요 행사 중 하나는 세계 각지의 해커들이 실력을 겨루는 CTF(Capture The Flag; 팀 간 상호 공격과 방어를 하며 점수를 획득하기) 대회였다. 이번 대회에서는 '30대 중반부터 고등학생까지'라는 슬로건을 내건 nnns(남녀노소) 팀이 우승을 차지했다.

말 그대로 다양한 구성원이 모인 '남녀노소'팀의 우승 비결은 무엇일까? 또 이들이 생각하는, 일반인이 지켜야 할 정보보안 팁은 무엇일까? 이용일 팀장과 박원현씨를 직접 만나 이야기를 들어보았다.

박원현씨(좌)와 이용일 팀장(우)

-'남녀노소'라는 팀명이 재미있습니다. 팀원들의 나이와 직업은 어떻게 되나요? 
팀원은 8명이고요. 홍일점인 안철수연구소 시큐리티대응센터 연구원, 다른 보안 회사 연구원, 대기업 보안 부서 직원, 정보 보호를 공부하는 대학원생, 고등학생이 한 명씩 있고, 세 명이 대학생입니다.

-다양한 배경을 가진 성별의 팀원이 모인 계기가 있나요?
사실 '남녀노소'팀은 이번 대회 준비를 위해 만들어진 팀이에요. 작년 데프콘에 'Song of freedom(자유의 노래)'라는 팀으로 출전하면서 알게 된 사람들인데, 이번 ISEC 대회는 최대 인원이 8명이라서 팀을 반으로 나누어 참여했습니다. 대회 때문에 생긴 팀이긴 하지만 앞으로도 계속 팀을 유지할 계획입니다.

-대회에 참가한 다른 팀은 대부분 직장인 모임이거나 대학교 동아리처럼 공통 분모가 있는 경우가 많은데 남녀노소 팀은 그에 비해 상당히 조건(서로 직업이 다르고, 사는 지역 역시 제각각)이 불리한 것 같아요. 이런 점을 극복하고 우승을 거머쥔 비결은 뭘까요? 
팀원들이 서로를 존중하고 일을 맡기면 해낼 거라는 믿음을 가진 것이 비결인 것 같아요. 또 평소에 마주칠 일이 거의 없으니 그만큼 부딪힐 일도 없어서 떨어져 있다는 것이 오히려 플러스로 작용했던 것도 같고요. 사실 해킹 대회 우승은 운도 많이 따라야 해요. 해킹은 이론적으로 문제 풀이 방법이 적립된 분야가 아니라서 현업의 실무자로 구성된 출제 위원의 성향에 따라 문제가 나오는 경우가 많거든요. 또, 밤을 새면서 문제 풀이를 해야 하기 때문에 당일 컨디션도 중요하고, 이런저런 변수가 있어 팀 간 실력 차는 있지만 부동의 1위는 존재하기 힘들다고 봐요. 저희도 이번에 우승을 했지만, 다음 대회에도 또 우승하리라고는 장담할 수 없죠.

‘ISEC 2010' 대회 당일 전체 팀원과 함께

-해킹이 사람들이 생각하는 것과는 달리 굉장히 지루하다는데, 그 지루함을 어떻게 이겨내나요?

지루함을 거쳐 문제를 풀어냈을 때의 쾌감으로 버텨내죠. 밤 새우며 10시간씩 같은 문제에 매달려서 결국 공격에 성공했다는 메시지를 보면 그 느낌은 말로 표현할 수가 없어요. 모래 사장에 숨겨져 있던 보물을 발견한 느낌이랄까요? 작년에 나갔던 대회에서 어떤 분은 너무 흥분한 나머지 다른 사람이 옆에 있다는 것마저도 잊고 크게 "만세!"를 외치기도 했어요. 옆에 있다가 깜짝 놀랐죠. (웃음) 해킹 동아리에 있는 친구들은 다 그 쾌감을 아는 친구들이에요. 이걸 못 느끼고 지루하다고 포기해 버리는 친구들은 금방 나가죠.

이번 대회도 비슷했어요. 오전 9시에 시작해서 밤 9시까지 12시간 정도 집중해서 문제를 풀었는데, 그 때 1등 팀과 점수 차이가 두 배 이상 났거든요. '안 되겠구나' 싶었지만 포기하지는 않았어요. 그렇게 밤새 조금씩 따라잡아 결국 대회 종료를 한 시간 남기고 역전할 수 있었죠.


-이번 대회의 컨셉이 '무선 인터넷과 스마트폰'이었는데 일반인에게 해당되는 내용도 있었나요?
실제로 대회는 일반 CTF 형식으로 이루어져서 그런 내용은 없었어요. 하지만 평소에 일반인도 보안에 신경 써야 한다고 생각해요. 당장 그 효과가 눈에 드러나는 건 아니지만, 한번 무너지면 그 피해가 막심한 게 보안이거든요. 우선 공용 컴퓨터에서 개인 정보가 유출될 수 있는 사이트에 로그인하거나 인터넷 뱅킹 등에 접속하는 것은 삼가는 게 좋아요. 컴퓨터에 백신이 깔려 있더라도 100% 안전한 건 아니거든요. 그리고 요즘 스마트폰이 보급되면서 무선 인터넷을 많이 쓰는데, 암호화하지 않아서 비밀번호 없이도 접속할 수 있는 무선 랜을 쓰는 건 위험해요. 마음만 먹으면 통신 내용을 가로채는 게 가능하거든요. PC용 웹브라우저로는 구글에서 만든 크롬을 추천하는 편이에요. 보안 관련 요소들을 잘 신경써서 만들었더군요.

‘ISEC 2010' 대회 당일 현장 모습

-두 분 다 대학생이신데, 앞으로의 진로 계획은 어떻게 되나요?
(박원현) 보안 회사에 취업하고 싶어요. 게임 회사에도 관심이 있긴 한데, 게임 회사에서 일하더라도 따로 보안 공부는 계속 할 생각이에요. 제가 좋아서 하는 일이니까요.
(이용일) 저는 잘 모르겠어요. 보안으로 비지니스를 하는 건 힘들다는 것이 개인적인 생각이거든요. 실제로 실력이 있는 이들이 대기업이나 대학원처럼 안정된 진로를 택하는 경우도 많고요. 시장 규모도 작고 외국에 비해 보안 전문가에 대한 인식이 아직까지는 부족해서 망설여지네요.

-보안을 공부하고 싶은 사람에게 조언을 해준다면요?
특별히 보안을 공부하는 방법이 있다기보다는 그냥 좋아하고 잘하기 위해 노력하다 보면 길이 보이기 시작하는 것 같아요. 그래서 먼저 '좋아하는 것'이 제일 중요하다고 생각해요. 인터넷을 보면 보안 관련 컨퍼런스나 모임이 많은데, 그런 데 참석해서 사람들을 사귀고 정보를 얻는 것도 좋아요.

-마지막으로 하고 싶은 말은?
열심히 해 준 팀원들에게 감사의 말을 전하고 싶어요. 대회 준비를 가장 많이 하고 이번 대회에서 공격을 전담한 현우, 아침 일찍 대구에서 대회를 위해 올라와서 열심히 해준 해은님, 대회에서 마지막에 결정적 역할을 해준 승연이와 원현이, 회사 일로 바쁜 와중에 시간 쪼개서 대회에 참여해준 동기님, 본선 참여는 처음인데도 기대보다 굉장히 잘 문제를 풀어준 영빈이, 요즘에 몸도 안 좋고 여자라서 24시간 동안 체력적으로 부담도 컸을 텐데 열심히 해주신 정우님, 본선 진출에 가장 큰 일을 많이 한 막내 승연이. 모두에게 감사합니다. Ahn

대학생기자 양정민 / 서강대학교 정치외교학과

 

대학생기자 한대희 / 포스텍 컴퓨터공학과

사람은 누군가가 되어가는 작은 과정을 거친다고 합니다. 이 글을 읽는 여러분이 저의 작은 과정이 되어주실 수 있기를 바라봅니다.



 

댓글을 달아 주세요

  1. 라이너스 2010.12.16 09:25  Address |  Modify / Delete |  Reply

    역시 창은 방패의 단점을 잘 아는걸까요.^^
    잘보고가구요. 날이 많이 춥네요. 따뜻한 하루되세요^^

  2. 용일이 2010.12.17 02:17  Address |  Modify / Delete |  Reply

    한대희 기자님 커피 잘 마셨고요.^^ 우려와는 달리 사진 예쁘게 찍어주셨네요.!

    양정민 기자님 서강대학교 정외과에 미팅 한번 주선 해주세요!

    담번엔, 인터뷰 자리가 아닌, 맛있는 밥도 먹고 얘기도 나누고 그런 친구로 지냈으면 해요~

    메리크리스마스, 해피 뉴이어~

  3. 제너시스템즈 2010.12.17 10:53  Address |  Modify / Delete |  Reply

    정말 남녀노소가 모여서 만든 팀이군요^^ 그리고 해킹이 지루한 작업이군요. 영화나 드라마에 나오는 해커는 다들 한두시간이면 문제를 해결하고는 땀한방을 흘리고 끝이 나던데;; 생각했던 것과 정말 다르네요~^^

    • 보안세상 2010.12.17 13:27 신고  Address |  Modify / Delete

      영화나 드라마의 경우 아무래도 꾸며진 모습이다보니 극히 일부분만 보게 되는 것 같아요.체력도 많이 요하고 장시간의 집중력 또한 요구되지요. ^^

해킹대회 1등 거머쥔 고교생이 그리는 미래는

서울호서전문학교가 주관한 5회 중고생 정보보호 올림피아드가 지난 99일에 열렸다. 20명의 본선자 중 당당하게 1위를 차지한 17최규범 군을 만나 인터뷰를 청했다. 수수하면서도 쑥스러움이 많아 보이는 소년에게서 미래의 보안 전문가, 화이트 해커로서의 당당함을 느낄 수 있었다.

 

정보보안, 해킹 공부를 시작한 동기가 무엇인가?

어렸을 때부터 관심을 가졌다. 컴퓨터를 좋아해서 시작했지만, 해킹을 따로 공부하진 않았다. 부모님께서 내가 원하는 것을 알고 흔쾌히 허락해주셔서 계속 이 길로 공부할 수 있었다.

 

1인데도 1위를 했다. 자신만의 특별한 공부법이 있는가? 문제는 어땠나?

특별한 공부법은 없고, 요즘엔 프로그래밍 공부를 하고 있다. 평소 공부하는 방법이라고는  인터넷으로 해킹 문제 풀이하고, 모르는 것이 있으면 그때그때 찾아보는 게 전부다. 동향을 잘 아는 친구가 있기 때문에 그 부분은 친구가 많이 알려준다. 그에 비해 1등을 한 것을 보면 이번 대회는 정말 운이 좋았다.


이번 대회의 문제는 특이했다
. 기술적인 문제보다는 창의력을 요구하는 문제가 더 많았다.
인상 깊은 것은 리버싱(Reversing) 문제였는데 물가에서 돌을 튕기는 문제였다. 움직이는 원을 정확한 위치에서 스페이스 바를 누르면 돌이 튕겨지는 원리인데, 이것을 30번 연속으로 해야 패스워드가 출력되는 문제였다움직이는 원의 좌표를 고정해서 30번 스페이스 바를 눌렀다.

 

이번 대회 수상자 10위권 내에 선린고 학생이 3명이나 된다. 학교의 특별한 교육이 있는가?

특별한 교육은 없다. 일반 학교와 비슷하지만, 네트워크 정보 기술, 프로그래밍 등의 수업이 있다. 다만 학교에서 지원하는 동아리에 가입해 개인 공부를 한다. 현재 네트워크 동아리에 들어가 있다.

 

1위를 했을 때의 기분은 어땠는가?

20명 중 예선 7위로 본선에 올라갔다. 20명 중 10명이 상을 받는 것이었는데 솔직한 생각으로는 반은 하겠지.’라는 생각이었다. 국회의사당에 가서 본선이 진행되었는 데, 3문제 풀어서 1등을 했다. 잘하는 사람이 많았고 1등은 무리일 것 같아서 2,3 등이라도 하기 위해 열심히 했는데 운이 좋게 상을 받은 것 같다. 예상하지 못했던 상을 받아서 그런지 상을 받을 때의 기분은 엄청 좋았다.

 

앞으로 어떤 공부를 하고 싶고, 어떤 목표가 있는가?

프로그래밍을 꾸준히 할 것이다. 주 전공이 프로그래밍이고, 웹과 시스템은 잘 모르고 있는 상태라 친구들에게 워게임을 만들어 달라고 해서 리버싱과 시스템, 웹을 공부할 생각이다. 현재의 목표는 친구들이랑 화이트 해커 그룹을 만들고, 화이트 해커로서 이름을 알리는 것이다. Ahn 

대학생기자 윤소희 / 순천향대 정보보호학과


윤소희가 '보안세상'에 왔습니다. 아직도 절 모르신다구요 ? 더 강한 파워, 더 색다른 매력, 더 불타는 열정으로 ! 풋풋함과 눈웃음까지 겸비한 여자! 그리고 뻔뻔함까지 ! 누구라도 기억할 만하지 않나요?


 

댓글을 달아 주세요

  1. 오스칼&앙드레 2010.11.26 11:55  Address |  Modify / Delete |  Reply

    컴퓨터 잘하는 사람 보면 정말 부럽습니다~_~ 전 그냥 인터넷이나 하는 수준이라-0-

  2. 착한아이 2010.11.27 00:20  Address |  Modify / Delete |  Reply

    저도 자세히는 모릅니다만 글을 살펴보니 c언어,java나 프로그래밍언어로 프로그램을 만들거나 한것은 아닌것처럼 보입니다 리버싱문제라든지 저도 전문계에 다니지만 혼자서 공부하지 않고는 어떤분야에 전문적으로 알기는 힘듭니다 학교에서 모든걸 가르쳐주니는 않습니다 이제 막 프로그래밍 공부했다고 하니 딱히 해킹대회라고 붙인것도 허울좋아 보이는 것처럼 보입니다만

    • NIMD4 2010.11.27 01:44 신고  Address |  Modify / Delete

      프로그래밍을 공부하기 시작했다는것이 기초적인 문법이 아니라 개발방법론이나 내부적인 시퀀스를 공부하는 것일수도 있죠 ㅎㅎ

    • keine__ 2011.04.09 11:54  Address |  Modify / Delete

      알고리즘을 잘이해하면 될거에요

  3. 라리르 2011.01.22 00:09  Address |  Modify / Delete |  Reply

    저도 1학년때부터 해커의 꿈을 꿔왔는데요.
    그런데 지금 중3올라가는데 이제 c언어 공부합니다..
    정보올림피아드, 정보보호올림피아드 등에서 상위권을 차지하는게목표인데,,
    늦지 않았을까요? 지금이라도 시작해서 정말 열심히 공부하면 될 수 있을까요?????
    제발 도와주세요 ㅜㅜ;;
    컴퓨터에 아주 관심이 많은 친구가 게임쪽(제작)으로가버려서
    같이 공부할애가없어서 한 1년을 끌었는데.. 그래서 저보다 한 1년 빨리 한사람보다
    잘 할 수 있을까요? 열정과 의지는 대단해서 지금 계속 노력은 하고 있습니다.
    답변 부탁드려요..

  4. keine__ 2011.04.09 11:53  Address |  Modify / Delete |  Reply

    최규범님인가요?

스마트폰 해킹 가능성 3가지 측면에서 살펴보니


스마트폰의 종류는 아이폰, 안드로이드폰, 그리고 최근 출시된 윈도우폰7 등 다양한 기종이 있다. 손 안의 컴퓨터로 불리우며 작은 화면이지만 보급형 컴퓨터 부럽지 않은 성능과 가능성을 보여주면서 보급이 급증하는 추세이다. 심지어 아직 국내에 출시되지 않은 윈도우폰7에 이르러서는 X-BOX 게임이 구동할 만큼 그 성능히 강력하다. 또한 아이폰이나 안드로이드폰에서도 3D를 이용한 퍼포먼스가 충분히 가능한 상황이다.

하지만 작용과 반작용의 법칙처럼 새로운 기술이나 디바이스가 나오면 언제나 따라오는 것이 크래커에 의한 해킹의 위협이다. 스마트폰에는 어떤 보안 위협이 있을까 한 번쯤 관심을 가져야 할 것이다.

애플리케이션을 통한 개인 정보 유출

스마트폰 사용자가 단연 최고로 뽑는 기능은 바로 애플리케이션(이하 앱)으로 같은 기종도 사용자의 취향에 따라서 전혀 다른 폰이 된다는 것이다. 게임을 좋아하는 사람이 사용한다면 게임기가 되고 음악을 좋아하는 사람에게는 음악 플레이어, 영화 마니아에겐 PMP 등 다양한 기능을 지원하고, 수많은 개발자가 이러한 기능을 지원하는 앱을 끊임없이 내놓기 때문이다.
하지만 이렇게 다양하고 수많은 앱 중에는 악의적인 목적을 가진 것도 꽤 있다. 실제로 지난 7월에는 스마트폰의 배경화면을 바꾸어 주는 것으로 인기를 얻었던 안드로이드 앱이 400만여 명의 개인정보를 유출하는 해킹 프로그램으로 밝혀져 충격을 주기도 하였다.
기사 보기 - "안드로이드폰 앱 400만 명 개인정보 유출"
또한 SNS 앱을 이용하여 아무 생각 없이 자신의 정보를 업데이트했다가 소위 '신상이 털린다'거나 여행을 간 사이 아무 생각 없이 올렸던 트윗을 본 도둑이 빈집털이를 하는 일도 있었다.
기사보기 - "휴가중" 글 올렸다가… 빈집털이 당할 수도

운영체제 상의 취약점

스마트폰 등장 전에는 휴대폰을 관리하는 프로그램은 일종의 펌웨어(ROM에 기록되는 아주 작은 프로그램)에 불과했다고 보아도 과언이 아니다. 하지만 스마트폰이 등장함으로써 심비안, iOS, 안드로이드, 지금은 윈도우폰7(윈도우 모바일) 등이 모바일용 OS(운영체제)로 사용되게 되었다. 앱을 쓰고 MP3를 쓰고 동시에 문서를 편집하는 등의 배경이 바로 이러한 운영체제들인 것이다.

흔히 말하는 아이폰4의 탈옥(제일 브레이크)의 경우 바로 아이폰에 탑재된 운영체제의 제로데이 취약점(별도의 보안 패치 전까지 공격이 가능한 취약점)을 이용하여 한 인터넷 사이트에 접속을 하는 것만으로 탈옥이 가능하다. 데스크톱 PC에서 수도 없이 발생하는 제로데이 공격처럼 스마트폰 또한 이러한 취약점을 이용해 마음만 먹으면 얼마든지 공격자가 원하는 대로 조작할 수도 있는 것이다. 이를 방지하기 위해 각 제조사는 끊임없이 보안 패치를 발표한다.
관련 취약점 정보

이러한 운영체제 상의 보안 결함은 단지 아이폰만의 문제가 아니다. 11월 1일에는 안드로이드에 존재하는 보안 취약점으로 인해 악의적인 목적을 가진 공격자가 상대방의 정보를 열람할 수 있다는 문제점이 제기되기도 하였다.
안드로이드 보안 취약점

인터넷 접속 자체가 취약점

위의 두 가지를 제외하고도 가장 커다란 취약점은 바로 스마트폰 자체가 인터넷 또는 네트워크에 접속이 가능하다는 것이다. 우리가 인식을 못할 뿐 인터넷을 하면서 적용되는 거의 모든 취약점이 스마트폰을 사용할 때도 적용이 되는 것이다. 허가되지 않은 접속자에게 권한을 부여하는 것은 물론, 스마트폰이 DDoS(분산서비스거부) 공격의 도구인 좀비 PC로 전락할 가능성도 공공연히 이야기되고 있다.
관련 기사 - "스마트폰 이용 DDoS 공격 가능성" 

또한 허가되지 않은 접속을 하기 위하여 별도 방법으로 교묘하게 악성코드가 있는 사이트로 연결할 가능성도 이미 제기가 된 현실이다.
관련 블로그 - QR 코드를 이용한 스마트폰 해킹 가능성
관련 블로그 - 실제 악용 시나리오

기본적인 수칙 준수가 예방의 첫 걸음

이렇게 다양한 스마트폰에 대한 공격 방법이 존재한다면, 기본적인 예방 가이드라인도 존재하기 마련이다. 이미 온라인 보안 커뮤니티인 시큐리티 플러스에서는 지난 8월 스마트폰 사용자를 위한 보안 가이드라인 v1.0 을 발표한 상태이다.
스마트폰 보안 가이드라인 다운

또한 안철수연구소도 스마트폰 사용자를 위한 보안 솔루션인 V3 Mobile을 안드로이드, 윈도우 모바일 등 이미 다양한 운영체제용으로 개발해 삼성전자, LG전자, 모토로라, 팬택의 스마트폰에서 제공 중이다.
스마트폰 보안도 컴퓨터 보안과 다르지 않다. 보안 업데이트를 꼼꼼하게 체크하고, 허가되지 않거나 출처가 의심되는 앱을 사용하지 않고, 탈옥이나 루팅 등을 최대한 자제하여 기본적인 가능성을 배제해 나가는 등 기초적인 것부터가 바로 스마트폰 보안의 시작인 것이다. 

<안철수연구소가 권하는 스마트폰 보안 10계명>

1. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다. 

2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.

3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.

4. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.  

5. 스마트폰용 보안 소프트웨어(V3 Mobile )를 설치하고 엔진을 항상 최신으로 유지한다.  

6. 스마트폰의 잠금 기능(암호 설정)을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를

수시로 변경한다.  

7. 블루투스 기능을 켜놓으면 악성코드에 감염될 가능성이 높으므로 필요할 때만 켜놓는다.

8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.

9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.

10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.

Ahn
                                                             

대학생기자 오세혁 / 한국항공대 컴퓨터정보공학 http://tigernet.tistory.com
미래의 보안전문가를 꿈꾸던 19살 대학 새내기가 25살이 되어 선배들의 열정을 느껴보고 싶었습니다.
어쩌면 할 수 있을까란 불안감과 나보다 앞서나가는 이들을 보며 느낀 열등감으로 갈피를 잡지 못하는 자신을 다잡아보고 싶어서였는지도 모르겠습니다. 보안세상과 함께 자신의 꿈에 한 발짝 다가가고 더 명확히 볼 기회가 되기를 간절히 바랍니다. 안철수연구소에 오세혁이란 사람의 영혼도 더해지는 날을 위해서!!


 

댓글을 달아 주세요