• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[POC] 싱가폴 해킹컨퍼런스 운영자 ┖토마스 림┖ 2008.11.14

[인터뷰] 토마스 림(Thomas Lim) 싱가폴 COSEINC 대표


13일부터 14일까지 서울 양재동 서울교육문화회관에서 진행되고 있는 국제 해킹·보안 컨퍼런스 POC 2008는 실제 해킹, 보안 기술만을 다루는 해킹 중심의 컨퍼런스로 전 세계 보안 전문가(또는 화이트 해커)들의 관심을 끌고 있다. 그 중에서도 제 1회 POC부터 빠짐없이 참가하고 있다는 싱가폴 COSEINCE의 토머스 림(Thomas Lim)을 만나 싱가폴의 전자여권 현황과 이번 POC 2008에 대한 기대를 들어봤다.


Q : 우선, 간략한 소개를 부탁한다. POC 참가는 이번이 처음인가?

싱가폴 해킹 컨퍼런스 운영자이며 보안 전문가로서 싱가폴 컴퓨터 보안 리서치 및 컨설팅 업체 COSEINC의 CEO다. POC는 2006년 처음 개최되던 때부터 참가해왔는데, 이번 POC2008에서 발표하지는 않고 반젤리스를 서포트할 예정이다. 또 개인적으로 친분이 있는 강연자들이라든가 참석자들과도 많은 대화를 나누고 있다. 특히, 첫날 강연자인 독일의 스테판 에서와는 메일을 통해 PHP에 관해 많은 커뮤니케이션을 해왔다.


Q : 이번 POC 2008에서 가장 기대되는 강연은 무엇인가?

전자여권에 관한 강연에 큰 관심을 갖고 있다. 싱가폴은 이미 2년 전부터 전자여권을 쓰고 있다. 싱가폴은 특히 미국과 거래가 많아 비자 면제 프로그램을 위해서는 전자여권을 사용할 수밖에 없다. 생체 정보라든가 중요 정보 저장을 위해 칩을 사용하고 있지는 않지만 최선의 보안 기술을 모두 동원했다. 또한 두꺼운 커버로 덮어 여권이 읽히는 것을 방지하고 있다.


Q : 전자여권 도입에 어려움은 없었나? 싱가폴 정부에 대한 신뢰 때문에 저항감이 적었던 것은 아닌지?

그럴 수도 있다. 지금까지 싱가폴의 전자여권은 상당히 안전한 편이다. 그러나 그렇다고 안심할 수는 없기 때문에 끊임없이 개선하기 위해 노력하고 있다. 한국의 경우도 많은 전문가들의 의견을 수렴해 모든 보안 수단을 강구하고 끊임없이 개선의 노력을 기울여야만 할 것이다.


Q : 한국에는 최근 굵직한 데이터 침해 사건들이 많았는데 싱가폴은 어떤가?

싱가폴에도 데이터 침해 사건이 있다. 몇몇 은행이 해킹당하고 돈을 도난당하기도 했다. 그러나 싱가폴 내에서 크게 알려지지 못 했는데, 기업들이 사건을 은폐하고 있기 때문이다. 특히 싱가폴에는 그런 사건이 발생했을 때 공개해야 한다는 법이 없기 때문에 기업들은 사건이 발생해도 은폐해버리고 만다. 물론 경찰에는 신고를 했겠지만 언론이나 고객들에게는 알리지 않기 때문에 미디어를 통해 보도되지 않는다. 그러나 싱가폴에도 분명 데이터 침해 사건들이 발생하고 있다.


Q : 관련 법제도가 없는 것이 문제라고 생각하나?

그렇다. 예를 들어 은행의 경우 패스워드라든가 신용카드 정보 등 모든 정보를 갖고 있다. 그런데 그 데이터가 침해당했다면 고객들은 그것을 알아야만 할 권리가 있다. 모든 이들이 알 필요는 없다고 하지만 최소한 당사자인 고객들은 알아야만 하지 않겠는가.


Q : 물리적으로 싱가폴과 중국은 꽤 가까운 곳에 위치하고 있는데, 중국발 사이버 공격의 피해를 받고 있지는 않은지?

싱가폴과 중국은 물리적으로뿐만 아니라 정치적으로도 매우 가깝다. 또 싱가폴에는 많은 중국인들이 살고 있다. 분명 중국발 사이버 공격이 있었겠지만, 앞서 말했듯이 기업들이 모두 은폐하고 있어 알려지지 않았다고 생각된다. 또 싱가폴은 작은 국가이기 때문에 매력적인 타깃이 되지 못 한다.

사실, 중국발 해킹의 타깃 0순위는 대만이다. 물론 한국도 중국발 해킹으로 많은 피해를 입고 있지만, 중국의 해커들은 우선 대만을 연습 대상으로 삼는다. 언어라든가 여러 가지 편리함 때문에 중국 해커들은 자신들이 배운 것, 자신들의 기술을 테스트해보는 대상으로 대만을 선택하고 있다.

한국의 경우 IT환경이 좋다. 인터넷이 싸고 속도도 빠르고 그만큼 사용자의 수도 많다. 특히 온라인 게임이 상당히 발달했기 때문에 사이버 머니라든가 금품을 노린 중국 해커들에게 매력적인 타깃이 되고 있다.


Q : 그렇다면 화이트 해커, 또는 보안 전문가가 되고자 하는 사람들에게 조언하고 싶은 것이 있다면?

어셈블리를 배워라. 요즘은 학교에서도 다들 자바나 PHP 등으로 인터넷을 화려하게, 매력적으로 만드는 것만 가르치고 있다. 그러나 어셈블리는 기본이다. 어셈블리를 모르면 리버스 엔지니어링으로 나아갈 수 없다.


Q : 끝으로 정보보안과 관련해 최근의 개인적인 관심사는?

가상화다. 가상화는 굉장히 큰 건(big thing)이다. 그 중에서도 모바일 전화에 관심이 많다. 이미 모바일 전화는 소형 컴퓨터라 할 수 있을 만큼 모든 것이 가능하다. 그만큼 모바일 전화 시장도 이미 상당히 커졌다. 우리는 그 모바일 가상화에 관심을 두고 윈도우 모바일을 위한 루트킷 개발에 초점을 맞추고 있다.

[김동빈 기자(foregin@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>