아무래도 최근 이슈가 됐던 공유기와 CDN 해킹이에요. 특히 공유기와 관련된 이슈는 아직 근본적인 개선이 이루어지지 않았거든요. 아무래도 논점을 잘못잡고 있는 듯해요. 현재 관심 있게 보면서 계속 추적중인데, 얼마 전 근본적인 문제점을 찾았어요. 알고 보니 공격당하는 원인이 있었더라고요.

이와 함께 한국을 대상으로 지속적으로 해킹공격을 시도하는 북한 추정의 해커조직에도 관심을 갖고 있어요. 오랫동안 그들을 지켜보면서 느낀 건 그들의 실력이 계속해서 발전하고 있다는 거에요. 최근에는 64비트 루트킷 기법이나 짧은 기간동안만 메모리에서 동작하도록 하는 등 악성코드를 은닉하기 위한 기법들을 사용하고 있는 게 특징이에요. 그래서 점점 더 탐지가 어려워지고 있죠. 뿐만 아니라 그들은 그 동안 여러 사건에서 공개된 분석결과를 통해 자신들이 어떤 경우에 쉽게 노출되고, 분석되는지를 파악하고 있어요. 게다가 최근에는 중국이나 미국에서 공격하는 것처럼 위장해요. 이 때문에 앞으로 어떻게 그들을 식별해야 하는지에 대해 열심히 연구하고 있습니다.

Q. 가장 기억에 남는 해킹 사건은 무엇인가요?

2009년도 7월 7일날 청와대 등을 대상으로 디도스 공격을 수행했던 북한의 7.7 디도스 해킹 사건이에요. 당시 사건은 9시 뉴스에서까지 크게 보도되면서 전 국민에게 ‘디도스’라는 단어를 알게 해준 아주 큰 사건이었죠.

당시 북한은 30만대가 넘는 좀비PC를 감염시키고 좀비PC를 두 그룹으로 나눠 한 그룹은 정보 유출을 시도하고, 나머지 한 그룹은 디도스 공격을 감행했어요. 언론에서는 디도스만 부각됐는데 사실 나머지 한 그룹에서는 국가기밀 정보를 탈취하는 공격이 있었거든요.

당시 이슈메이커스랩 동료들과 해당 공격의 실체를 추적했었는데, 역으로 추적하다보니 그들이 무려 5개월 이전인 2009년 2월부터 준비했던 과정들이 파악됐어요. 30만대 이상의 좀비PC를 컨트롤 하기 위해 C&C서버도 분산형 구조로 약 3000개 이상을 구성했어요. 온라인 게임에서도 10만명이 동시 접속하면 엄청나게 부하가 걸리는데, 효과적으로 컨트롤하기 위해 당시 C&C 서버를 분산형으로 구축했던 것에 감탄했어요. 그때를 계기로 북한 추정 해킹공격 연구에 보다 집중하게 됐죠.

Q. 최상명 리더가 생각하는 해커들의 공통점은 무엇인가요?

일반적으로 해커들은 무언가를 새롭게 연구하는 걸 좋아하는 것 같아요. 또한, 아직 남들이 모르는 무언가를 자신이 제일 먼저 알아내 발표하는 것을 즐기고요. 그런 경쟁의식 때문인지 해커들의 기술은 계속 발전하고, 새로운 취약점과 기법들이 계속 나오는 계기가 되는 것 같습니다.

또한 해킹 기술을 나쁜 쪽에 쓰는 공격자들이나 악성코드 제작자들도 마찬가지에요. 새로운 악성코드, 잘 들키지 않는 악성코드, 최신 공격기술을 가진 악성코드 등을 만들어 내면서 정보보호전문가들을 괴롭히고 있죠.

Q. 정보보호 업무를 수행하려면 무엇보다 인성교육이 중요한 것 같은데, 어떤 방법이 좋을까요?

정보보호 분야는 무엇보다 관심을 갖고, 흥미가 있어야 해요. 유망하다고 해서 하는 것보다 정말 자기 적성에 맞고 재미있어야 하죠. SNS를 통해 보안이슈를 노출하는 이유도 후배들이 흥미를 갖도록 정보를 교류하기 위해서죠. 하지만 윤리성을 지키지 않고 본인의 목적을 위해 해킹을 하는 것은 자신의 커리어에도 도움이 되지 않아요. 오히려 그 주변이 오해 받을 수 있죠. 때문에 멘토링을 통해 윤리성을 강조합니다.

Q. 스카웃 제의도 받았을텐데 한 직장에서 8년간 근무한 비결이 있나요?

예전에는 스카웃 제의가 있긴 했었는데, 요즘은 거의 없어요(웃음). 사실 하우리에 바이러스대응팀으로 처음 입사했을 때부터 악성코드 분석과 패턴 만드는 업무를 1년 6개월 정도했었거든요. 그러다보니 반복되는 똑같은 일에 흥미가 떨어지더라고요. 그래서 한때 그만두려는 생각도 했었어요. 효율적으로 만들면 단순한 작업을 할 필요가 없거든요.

이를 개선해보고자 다른 업무를 해보고 싶다는 의사을 표현했고, 선행연구라는 업무를 새롭게 맡게 되었어요. 이후 효과적인 패턴 분석과 악성코드를 진단할 수 있는 방법들에 대해 선행연구를 하게 되면서 더욱 흥미와 재미를 갖게 되었죠. 그 뒤로도 어떤 프로젝트가 완성되거나 종료되면 하고 싶었던 일을 계속 할 수 있게 회사에서 지원해 주었어요. 그렇게 하고 싶은 일을 하다보니 회사를 계속 다닐 수 있게 된 것 같아요. 최근에는 빅데이터와 인텔리전스 분야를 연구하게 되면서 해당 인프라 기반으로 좀더 효율적이고 자동화된 대응체계를 만들려고 하죠, 현재 이 일이 너무 재미있고, 만족하고 있습니다.

Q. 보안전문가로서 애로사항은 무엇인가요? 

아무래도 너무 많이 쏟아지는 보안위협이 가장 큰 애로사항이에요. 공격기술의 발전과 빠른 변화로 인해 엄청난 보안이슈가 터져나오죠. 의사의 경우 한 가지 기술로 계속 이어갈 수 있지만 정보보안전문가들은 늘 새로운 정보를 받아들이고, 그에 따른 지식을 습득해야 해요. 새로운 정보를 받아들이는 양이 많다보니 일상생활에서는 며칠도 안돼 잊어버리는 일이 일쑤에요(웃음).

앞으로도 북한관련 보안위협에 대한 전문성을 강화하는데 초점을 맞출 계획이에요. 전문성 강화를 위해선 지속적인 추적작업을 통해 자료를 수집하고, 정보를 공유해서 공감을 넓히는 일이 필요하다고 봐요. 그리고 향후에는 누구나 보안정보를 쉽게 접할 수 있도록 공개적으로 블로그를 운영할 계획이에요.

두 번째로는 해외 활동을 준비 중에 있어요. 이를테면 특수한 상황에서의 사이버위협에 대해 미국에서 개최되는 블랙햇(BlackHat) 컨퍼런스에서 발표할 수 있도록 준비하고 있죠. 정보보호라는 게 자신의 실력만 높인다고 해서 되는 게 아니거든요. 혼자서 하기엔 한계가 있죠. 여러 사람들과 함께 연구하고 공유해야 보다 다양한 시각에서 많은 걸 볼 수 있어요. 전 세계에서 인정받을 수 있는 전문가가 되기 위해 꾸준히 노력할 계획입니다.

마지막으로 정보보호관련 기술을 지속적으로 연구할 수 있는 후배를 양성하고 싶어요. 현재 하우리 CERT실에서도 순천향대 후배 2명을 채용했어요. 양질의 후배 양성은 회사 측면에서도 많은 도움이 되죠. 함께 연구하고 공유하는 데 있어 시너지 효과가 날 수 있거든요. 다양한 측면으로 서로 발전할 수 있죠.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>