• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[차세대 보안리더 10人] 박찬암 대표 “공격자 관점의 보안 중요” 2015.04.10

[릴레이 인터뷰] 박찬암 스틸리언 대표 
“기술적 특별함 보다 시나리오상 특이한 보안위협 많이 출현할 것”

 

      ▲ 스틸리언(Stealien) 박찬암 대표

[보안뉴스 김경애] 2009년 코드게이트 국제해킹방어대회 우승, HITB 2009 CTF 1위, DEFCON 21 CTF 3위에 입상하는 등 고수들이 진검승부를 펼치는 각종 해킹대회에서 일찌감치 두각을 나타냈던 그가 최근에는 20대 청년 CEO로 변신해 화제의 중심에 섰다. 바로 스틸리언(Stealien)의 박찬암 대표다. 보안 분야에서 그의 유명세는 아이돌스타인 엑소 못지 않아 보인다. 실력자인 만큼 해킹기술을 배우고 싶어 하고, 기술을 연마하고자 하는 이들에게는 그가 부러움의 대상이자, 롤모델이기도 하기 때문이다.


본지가 앞서 소개했던 4명의 차세대 보안리더 역시 공통적으로 그를 추천했다. 실력자들 사이에서도 공통적으로 추천됐다면 더 이상 무슨 말이 필요하겠는가. 자, 그럼 지금부터 차세대 보안리더 다섯 번째 주자인 박찬암 스틸리언 대표를 만나보자.

 

Q. 앞서 인터뷰한 차세대 보안리더 4명 모두 박 대표를 추천했는데요. 그들과의 인연과 장점을 말한다면?

정말 영광이네요. 먼저 최상명 하우리 실장은 제가 고등학교때 부터 알고 지냈어요. 당시 해킹대회 운영자였는데 해커 추적과 관련해서는 국내에서 최고라고 생각해요. 공격자를 잡는 건 매우 중요하거든요. 여러 기관에서 가장 많이 필요로 하는 분으로 본받을 점이 많죠.


하동주 NSHC싱가포르 CTO는 성품이 너무 좋은데다가 평소 얘기하다보면 기술적인 꿈과 열정도 매우 크죠. 팀장이나 관리자로서도 충분한 실력자임에도 불구하고, 기술파트로 해외에 진출한 전문가에요. 비즈니스를 위해 해외로 진출한 경우는 종종 볼 수 있지만 기술파트 총책임자로 해외로 진출하는 경우 그리 많지 않거든요. 그런 측면에서 더욱 의미가 크고, 좋은 선례가 될 것 같아요.


조주봉 팀장은 보안 분야에 있어 모르는 게 없는 척척박사시죠. 기술적으로 다양한 분야를 알고 있는 실력자이며, 개인 역량이 매우 뛰어난 분입니다. 그만큼 보안에 대한 열정도 높은 분이라 많은 분들에게 귀감이 되는 것 같습니다.


심선영 안랩 책임연구원은 여성으로서 국내에 몇 안 되는 리더 역할을 담당하고 있는 대표적인 보안 리더에요. 예전보다 여성 보안인력이 늘어나는 추세이지만 심선영 책임연구원처럼 뛰어난 실력을 갖춘 보안전문가는 매우 드물죠. 앞으로 여성 보안인력들이 벤치마킹해야 할 중요한 분이라고 봅니다.


Q. 최근 관심 있게 보고 있는 보안위협은 무엇인가요?

사물인터넷(IoT) 분야에요. 사람의 몸과 점점 일체화 되는 상황이거든요. 스마트워치, 구글 글래스(Google Glass) 등 그만큼 가까이 있음을 뜻하죠. 이 때문에 변화된 환경 속에서의 보안위협은 기술적으로 특별하다기보단 시나리오상 특이한 보안위협이 많이 나올 것으로 봅니다. 특히, 제품에 장착되는 칩이 사람 몸에 영향을 끼칠 수 있어 무엇보다 보안에 신경써야 하죠.


Q. 가장 기억에 남는 사이버공격 또는 해커 유형이 있었다면?

3.20사이버테러입니다. 피해규모도 그렇고, 이후 보안을 강화해야 한다는 분위기로 엄청난 파장을 일으켰던 이슈였죠. 그래서 당시에는 보안 투자가 많아지고 환경도 많이 바뀔 줄 알았어요. 그런데 사고 전과 크게 달라진 게 없어 아직은 미흡한 실정입니다.


Q. 해커들의 공통된 특징에 대해 설명해 주신다면?

대체적으로 한 가지에 강한 집착을 보이며, 몰두하는 특징이 있어요. 그만큼 순수한 사람도 꽤 많죠. 그 두 가지가 공존하는 겁니다. 그러다 보니 해커들을 범죄에 악용하려는 사기꾼들이나 범죄자들이 많죠. 또 다른 특징은 사이버범죄자들의 경우 고도의 기술보단 일반적인 기술이지만 사람의 심리를 악용하는 사회공학적 수법을 많이 이용한다는 점이죠. 이를테면 메일 베타 서비스를 통해 100명에게 초대장을 발송하고 아이디와 패스워드를 입력하라고 하면, 70명이 입력하죠. 이렇게 입력된 정보는 해커 컴퓨터에 저장돼요. 그만큼 사람을 쉽게 현혹시키기 위한 사회공학적 기법이 문제에요.


Q. 정보보호 활동을 하면서 힘든 점이 있다면?

업무를 하다 보면 보안을 너무 잘했기 때문에 해킹하기가 힘들거란 의견이 있는 곳도 100% 안전할 순 없기 때문에 뚫릴 수 있거든요. 실제로 공격에 성공하면 원래 공격이 안 되는데 억지로 취약점을 만들어 뚫은 게 아니냐는 이야기도 간혹 있더라고요. 하지만 공격자 입장에서는 빈틈을 노린 공격이 너무나 평균적이고 일반적인 생각이거든요.  


Q. 기업과 개인이 정보보호 강화를 위해 가장 염두에 두어야 할 것은?

항상 공격자 입장에서 생각하고, 보안을 강화해야 한다는 점이에요. 공격자는 일반적이지 않은 특이하고 비정상적인 관점에서 생각하고 이를 악용해 공격하는 경우가 많거든요. 일례로 일반적으로 내부 폐쇄망은 외부에서 접근하기 힘들 것이라는 생각에 보안조치가 제대로 되어 있지 않은 경우가 많은데, 이러한 부분들이 공격당할 수 있는 포인트라고 봐요. 상대적으로 내부망이 취약할 수 있다는 것이죠. 이런 측면에서 내부인력 중 공격자의 역할을 담당하는 보안전문가가 있어야 해요. 해커 관점에서 바라보고, 이를 바탕으로 보다 객관적이고 검증된 보안 솔루션을 도입해야 하는 것이죠.


개인의 경우 스마트폰으로 영화나 프로그램 등을 불법으로 다운로드 받거나 탈옥, 루팅 등을 하면 더 쉽게 해킹에 노출돼요. 정상적인 상태에서 사용하는 게 안전하죠. 소프트웨어는 정품을 사용해야 하는 건 물론이고요. 아주 작고 사소한 보안수칙에서부터 개인의 안전이 시작되거든요.

 

Q. 정보보안 전문가로서 우선적으로 갖춰야 할 소양은 무엇이라고 보나요? 

윤리, 신뢰, 커뮤니케이션 능력이 가장 중요하다고 봐요. 먼저 윤리는 본인 자체가 다시 신뢰를 얻기가 거의 불가능하기 때문이죠. 기술적인 부분은 본인이 좀더 열심히 공부하다보면 언젠가 따라올 수 있지만 윤리는 그렇지 않거든요. 신뢰 측면에서는 고객사의 중요정보를 접근할 기회가 많다보니 신뢰를 쌓는 게 중요해요. 기업이나 기관 입장에서는 외부에 가장 민감한 치부를 드러내는 것이거든요.


이외에도 커뮤니케이션 능력이 무엇보다 필요하죠. 보안은 누구나 쉽게 알 수 있는 분야가 아니에요. 그래서 설명을 잘 해야 하는 경우가 많아요. 그런 측면에서 볼 때 경영진이나 일반인 등과 같이 보안을 잘 모르는 사람을 대상으로 문제점에 대해 잘 설명하고, 보안의 필요성을 인식시켜줘서 보안을 강화하도록 해야 해요. 그러기 위해선 쉬운 용어로 쉽게 설명해야 받아들이는 사람도 이해할 수 있어요.


Q. 스틸리언을 창업하게 된 계기와 배경이 궁금합니다.

창업이라고 해서 거창하게 생각한 건 아니고요. 한번 빠지면 끝까지 가보려는 스타일이고, 좀더 재밌게, 하고 싶은 일을 펼쳐나가고 싶다는 단순한 생각에서 출발하게 됐어요. 아무래도 회사 직원으로 근무하다 보면 회사 내부 시스템도 따라야 하고, 제약이 있기 마련이거든요. 제가 더 잘할 수 있을 것 같은 방향으로, 맘에 맞는 사람들과 주도적으로 진행하고 싶었기 때문이라고 보시면 될 것 같습니다.


Q. 회사 조직은 어떻게 구성하셨나요? 운영은 잘 되고 있나요? 

조직구성원의 직급체계는 관리직급인 임원과 개발자, 연구원으로 구성돼 있어요. 고등학교 때부터 지금까지 잘 알고 지내면서 오랫동안 호흡을 맞춰온 지인들이에요. 그러다 보니 팀워크도 잘 맞고, 마음도 잘 맞아요(웃음).


오전에는 자유롭게 출근하고, 퇴근도 각자 업무상황에 맞게 자율적으로 하고 있어요. 워낙 다들 프로이고, 실력자들이다 보니 자기 일은 알아서 진행하거든요. 연봉은 나쁘지 않은 수준이고요. 휴가도 1년에 24일이나 됩니다(웃음). 


Q. 창업하기가 쉽지 않았을 것 같은데힘든 점은 없나요?

한 달 정도 지났는데 일의 양은 몇 배 이상 많아져 금요일이 되면 항상 체력이 방전되곤 합니다. 때로는 업무 수행과정에서 스트레스를 받는 경우도 많지만 전체적으로 봤을 때는 보람되고 재밌어요. 그래서 아직까진 큰 애로사항은 없어요. 다만 회사를 운영해야 하는 입장이다보니 위험관리에 대한 고민을 많이 해요. 주변에서 다양한 업무제안도 많이 들어오는데 자리가 어느 정도 잡히면 몰라도 현재는 초기단계라 거의 대부분 거절했어요. 그러다보니 회사 사람들의 생각이나 조언을 많이 듣는 편이죠.


Q. 해킹 관련 책자도 발간한 것으로 알고 있는데, 출간배경은?  

그동안 해킹 공부를 하고 싶은데, 무엇부터 시작해야 하는지 방향성에 대한 질문을 가장 많이 받았어요. 많은 사람들이 궁금해하는 부분에 대해 알려주고 싶다는 생각에 책을 기획하게 됐죠. 처음 공부하는 친구들에게 책을 통해 통찰력을 길러주고 싶었거든요. 책 제목이나 전체적인 기획은 제가 하고, 이전 직장에서 근무하던 같은 팀 7명이 각자 잘하는 분야를 중심으로 함께 준비해서 출간하게 됐어요. 책 내용은 특정 해킹 기술을 알려주는 게 아니라 해킹 기술을 맛봄으로서 통찰력을 길러주기 위해 구성했죠.  


Q. 좋아하는 음식과 평소 취미는?  

홍삼처럼 마시는 건강식품을 좋아합니다(웃음). 예전에는 기타 치는 걸 좋아하고, 이전 직장 사내밴드에서 보컬도 맡았었는데요. 요즘은 일하는 시간이 많아지다보니 취미보단 예능 프로그램을 보며 휴식하게 되는 것 같아요.


Q. 앞으로 계획 또는 목표가 있다면?

안정적인 회사 운영을 위해 중장기적 관점에서 서비스와 솔루션 사업 모델을 생각하고 있어요. 앞으로 우리들만의 문화를 공유해가며, 다같이 재밌게 일할 수 있는 그런 회사를 만들고 싶습니다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>