• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[차세대 보안리더 10人] 하동주 CTO “보안은 이해와 배려” 2015.03.11

[릴레이 인터뷰] 하동주 NSHC 싱가포르 법인 CTO

“정보공유와 소통, 서로에 대한 이해와 배려가 있어야”


태고적 생긴 길 하나/오르막이 내리막 고통스러워 말고/내리막이 오르막 춤추지 말자/내 믿음 가벼워 보일 듯 보이지 않고/뱀의 유혹과 산짐승의 울부짖음/두려울지라도 흔들림 없이 간다/모진 겨울 끝 연푸른 입김 모락모락 피어오르고/검푸른 그림자 하늘 길 막아선 그날/이리저리 헤매었지만/해와 달이 지켜주고/비바람이 살포시 스며들어/갈라터진 가린 몸/훌훌 털어버린 채/기쁨의 몸짓을 할 수 있겠다/ 더 넓어진 길 더 높은 데 이른 길/하늘 닿을 수 있기에/사방이 트여도 두렵지 않다.

-산길...박화진-


 ▲ NSHC 싱가포르 법인 하동주 CTO

[보안뉴스 김경애] 차세대 보안리더 첫 번째 주자인 이슈메이커스랩 최상명 리더가 추천한 두 번째 차세대 보안리더는 NSHC 싱가포르법인의 하동주 CTO다. 그를 인터뷰하면서 제일 먼저 떠오르는 건 경찰청 사이버안전국 박화진 국장이 지은 ┖산길┖이란 시였다. 한 시간 남짓 만남에 그를 안다면 얼마나 알겠냐만은 인터뷰 동안만큼은 마음이 참 곱다라는 느낌을 받았다. 인터뷰내내 그가 자주 언급한 단어는 배려와 이해, 신뢰, 소통 등이라는 단어였다. 그만큼 배려와 이해로 다져진 그의 모습에서 정보보안에 대한 애틋한 마음을 엿볼 수 있었다.


하동주 NSHC 싱가포르 법인 CTO는 순천향대학교 정보보호동아리 ‘Security First’를 시작으로  국내 보안업체 안랩과 금융결제원을 거치면서 오랜 기간 악성코드 분석 및 침해사고 분석 전문가로 활약해 왔다. 주요 수상 경력으로는 KISA 해킹방어대회에서 10회 연속 수상으로 최다 수상자의 영예를 안았으며, 데프콘 OPEN CTF 및 Capture The Packet 준우승도 차지한 바 있다.


그런 그가 최근에는 연일 이슈가 되고 있는 공유기 제로데이 취약점을 NSHC ResAlert팀과 함께 발견하기도 했다. 지금부터 차세대 보안리더 두 번째 주자 하동주 CTO를 만나보자.


Q. 먼저 하동주 CTO를 차세대 리더로 추천한 최상명 리더에 대해 말한다면?

이슈메이커스랩 최상명 리더는 대학교 입학이 결정됐을 때부터 대학원 마칠 때까지 Security First 소속으로 함께 여러 가지 재미난 일들을 공유한 친구사이에요. 그래서 저를 추천했다니까 조금 민망하기도 하네요. 최상명 리더는 본인이 무엇을 하고 싶은지, 무엇을 해야 하는지, 무엇을 잘할 수 있는지 잘 아는 친구죠. 그리고 이를 바탕으로 본인이 하고 싶은 일을, 꼭 해야 하는 일로 만들어서, 잘 이루어내는 실력을 갖춘 정보보안 전문가입니다.


Q. 최근 관심 있게 보고 있는 보안위협은 무엇인가요?

일반인들이 광범위하게 피해를 입을 수 있는 문제점들 중 아직까지는 깔끔한 해결 방법을 찾기 어려운 보안위협들을 찾아보고 있습니다. 예전부터 이슈가 되고 있었던 공유기 보안위협 같은 것들이죠.

 

Q. 정보보호 업무를 담당하면서 가장 기억에 남는 에피소드를 소개한다면?

제로데이 취약점을 찾기 위해 고객사에 점검 나간 적이 있는데요. 마치 고객사에서 해킹대회를 하는 것 같았어요. 도둑이 집을 털려면 자물쇠를 열고 들어간다든가, 창문을 통해 들어간다든가, 문이 약하든가하는 일반적인 취약점이 있는데요. 당시 고객사는 정상적으로 동작하는 자물쇠 자체가 문제가 있는 거에요. 물론 당시에는 취약점을 찾는 게 힘들기도 했지만 그래도 재미있게 찾았고, 결국 조치가 이루어져 보람이 컸습니다. 그래서 그때가 가장 기억에 남죠.


또 다른 에피소드를 꼽는다면 오래전 메신저로 피싱 사이트 범죄에 가담한 해커와 대화했던 기억입니다. 당시 해커와 대화를 나누기 위해 돈이 많은 사람으로 위장해 어떻게 하면 피싱사이트에 투자할 수 있냐고 물었어요. 그랬더니 당시 해커인 조선족은 고용주가 따로 있다며, 소개시켜 주겠다고 하더군요. 그러면서 본인도 이 일이 너무 힘들다며 갈아타고 싶다고 하더라고요(웃음).


Q. 차세대 정보보안 전문가로서 가장 우선적으로 갖춰야 할 소양은 무엇인가요?

신뢰, 인내심, 즐길 줄 아는 마음가짐 3가지를 꼽고 싶어요. 그중에서도 고객사와의 신뢰, 자신과의 양심, 즉 신뢰가 우선이죠. 보안업무는 파급효과가 크기 때문에 신뢰가 매우 중요하거든요. 두 번째로는 인내심이에요. 해킹대회의 경우 어떤 취약점이 있는지 명확하게 답이 있지만, 실제 취약점 점검시에는 취약점이 있기도 하지만 없을 수도 있거든요. 이러한 모든 상황을 수용하고, 참아낼 수 있는 인내심도 중요한 소양중 하나에요. 마지막으로 정보보안 전문가가 되려면 실력을 늘리기 위해서나, 일을 잘하기 위해서 우선 즐겨야 하죠.


Q. 보안에 있어 가장 중요한 것은 무엇이라고 보시나요? 

무엇보다 정보공유와 소통이라고 봅니다. 여기에는 서로에 대한 이해와 배려가 무엇보다 중요하죠. 그래야 원활한 소통이 가능합니다. 특히, 보안문제에 대한 해결방법을 실무자나 일반인들이 이해하기 쉽게 설명하는 것이 중요하죠. 또한, 정부에서 추진하는 정보보안 정책들을 색안경을 끼고 불평을 하기보다 구체적인 해결방법을 제시하는 게 중요합니다.


Q. 정보보호 분야 에 있어 가장 개선되지 않는 문제점은 무엇인가요?

앞서 언급한 바와 같이 정보보안을 하는데 있어 반대의견에 대해 서로 이해하고, 배려해야 하는데 그렇지 못하고 있는 것 같아요. 그 점이 가장 큰 문제죠. 이를테면 정보보호를 하는 보안관리자와 개발자 사이에 서로 충돌합니다. 서로 상대방에 대해 이해하고, 관심을 갖는 게 중요한데 말이죠. 특히 상대방 입장에서 중요성을 인지하고 배려하는 자세가 필요합니다. 정부, 보안종사자, 일반인들도 나름대로 자신이 알고 있는 선에서 보안을 강화하려는 노력을 펼치고 있는데, 이 과정에서 소통의 문제가 발생하거든요. 그래서 저 또한 신중하려고 노력하죠.


Q. 하동주 연구원이 생각하는 해커들의 공통점과 특징은 무엇인가요?

일반적으로 공격자는 자신들의 이익을 위해 특별한 기술이 필요하거나 특정 타깃을 대상으로 하는 APT 공격이 아닌 이상 손쉽게 뚫을 수 있는 보안이 허술한 여러 곳을 대상으로 선정합니다. 즉, 1차로 선정한 대상자를 악성코드에 감염시켜 정보를 빼내는 등의 1차 공격을 통해 취약성 여부를 확인하죠. 그 다음 실제 공격대상을 정해 2차로 공격하는 것이죠. 공격자 대부분은 곧바로 공격 가능한 사이트 위주로 공격하거든요. 이는 그만큼 보안에 허술한 곳이 많다는 얘깁니다.


Q. 앞으로 계획 또는 목표는 무엇인가요?

인생 최대의 목표는 평생 재미있게 살기에요(웃음). 그렇기 때문에 재미있게 할 수 있는 일을 찾고, 그렇게 함께 일할 수 있는 동료와 재미난 일을 만들어가기 위한 노력이 필요한 것 같아요. 이를 위해 평생 고민하고 노력해야 하는 일은 사회와 윈윈할 수 있는 방법론을 찾아나가면서 이용자들이 쉽고 편리하게 사용할 수 있는 보안 서비스와 솔루션을 만드는 것이라고 봅니다.  

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>