• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[차세대 보안리더 10人] 이종호 “보안의 핵심은 창의성과 문화화” 2015.04.24

[릴레이 인터뷰] 이종호 라온시큐어 보안기술연구팀 연구원

 

[보안뉴스 김경애] 코드게이트 2013 국제해킹방어대회, 일본 SECCON Tokyo 국제해킹방어대회, KISA 2012~2013 해킹방어대회 등에서의 다채로운 우승경력은 물론 ISEC, 코드게이트, SECUINSIDE, 화이트햇 컨테스트 대회 운영, 박근혜 대통령 청와대 업무보고 발표, 다수 제로데이 취약점 보고 등. 화려한 경력에 시선이 절로 간다. 바로 라온시큐어 이종호 보안기술연구팀 연구원이다. 

▲ 라온시큐어 이종호 연구원


특히, 지난해에는 말도 많고 탈도 많았던 액티브X 취약점을 많이 발견해 리포팅한 장본인이기도 하다. 기자가 만났을 때 이종호 연구원은 해리포터 영화 속 주인공을 연상케 했다. 여리여리한 외모 속에서도 단단함이 절로 묻어나 프로다운 면모를 느낄 수 있기 때문이다. 지금부터 차세대 보안리더 10人의 여섯 번째 주자인 이종호 연구원을 만나보자. 


Q. 박찬암 대표가 추천했는데 그에 대해 언급한다면?

박찬암 대표와는 오랜 기간 동안 함께 일을 해왔었고, 지금까지도 많은 조언을 받고 있습니다. 생각하는 게 상당히 깊고 정신적으로도 많은 귀감이 되는 분이시죠.


Q. 최근 관심 있게 보고 있는 보안위협은?

모바일이나 사물인터넷(IoT) 분야를 관심 있게 보고 있습니다. 이제는 새로운 기기들에 아주 작은 소형 컴퓨터가 하나씩 들어가는 추세거든요. 기존 PC의 보안위협들과 비슷하지만 사람에게 미치는 영향은 더욱 커졌죠. 그만큼 보안이 중요해졌다는 것을 의미합니다. 더욱이 모바일 기기는 24시간 작동하기 때문에 개인 사생활 유출 등의 보안위협이 매우 높고, IoT의 경우는 사람 몸에 직접 영향을 미칠 수 있기 때문이죠.


Q. 가장 기억에 남는 사이버공격은?

Anonymous’, ‘Whois’와 관련된 사이버공격들입니다. 이전에 Whois 해커조직이 한 통신사를 공격한 적이 있었거든요. 저희는 Whois라는 팀의 존재가 교란 목적이라 판단하고 ‘누구나 Whois라는 팀명을 사용할 수 있다’라는 의미에서 2013 코드게이트 해킹방어대회에 출전할 때 Whois라는 팀명을 사용했었습니다. 당시에는 여러 함축적인 의미를 두었던데, 우승을 하게 되면서 실제 Whois팀으로 의심을 받아 진땀을 뺀 적도 있었죠. Anonymous, Whois 공격사건의 경우 일반인들도 보안위협을 인식하게된 대표적인 사이버공격 사례인 것 같아 더욱 기억에 남는 것 같습니다.


Q. 정보보호 활동을 하면서 가장 기억에 남는 에피소드는?

대통령 업무보고 때 청와대를 방문해 박근혜 대통령 앞에서 발표를 했던 적이 있어요. 이제까지는 그런 사례가 없었던 터라 저에겐 의미가 상당히 깊었죠. 정보보호 전문가 타이틀을 달고 대통령 앞에서 발표했다는 점은 여러 가지 의미가 있다고 봅니다. 아직 가야할 길은 멀지만 정부기관에서도 정보보안 인식이 점점 더 나아지고 있다는 점을 상징적으로 보여준 것 같습니다.


Q. 차세대 정보보안전문가들이 가장 우선적으로 갖춰야 할 소양은 무엇이라고 보시나요?

현된 프로그램을 보고 개발자의 마음을 읽어서 코드를 추측하고 취약점을 찾아야 하는 경우가 많기 때문에 창의성이 가장 중요하다고 생각합니다. 하지만 본인이 우선 정보보안 분야에 재미를 느껴야 해요. 취미로 시작해서 직업으로 전향하는 경우가 많은데, 무엇보다 본인이 이 일을 즐기는 게 중요하거든요. 즐기는 자는 아무도 이길 수 없다고 생각합니다.


Q. 정보보호에 있어 개선되지 않는 가장 큰 문제점은?

아직까지 기업과 일반인들의 보안인식이 많이 부족해요. 약간의 노력만으로도 많은 해킹사고들을 방지할 수 있는데 ‘편리함’에 매몰되어 소 잃고 외양간 고치는 일이 계속 반복되고 있죠. ‘보안‘ 이라는 분야 자체가 이제는 문화로 자리 잡혀야 한다고 봐요.


Q. 해커들의 공통점과 특징에 대해 설명해 주신다면?

해커들은 자기가 보유한 기술에 대한 프라이드가 강하고 호기심도 많아요. 그리고 승부욕도 엄청나죠. 특히, 침해사고 분석을 해보면 공격과 방어 기술 및 기법들이 굉장히 창의적이라는 사실을 느껴요. 이는 공격자가 공격시나리오를 먼저 짰다는 것을 의미해요. 공격은 물론 보안담당자들의 대응방법까지 모든 기술적 측면을 머리로 다 계산하고 구상한다는 얘기죠. 이러한 점은 보안담당자들이 배워야 하고, 매우 중요하다고 봐요.  


Q. 청소년들을 대상으로 한 보안윤리 교육에 대한 당부나 조언이 있다면?

체계적인 커리큘럼을 바탕으로 진행되지 않는 이상 매우 어려운 숙제중 하나죠. 최근 버그바운티가 어느 정도 활성화되면서 일부 청소년들이 의도치 않게 해킹을 해서 리포팅을 하는 경우가 있어요. 그럴 경우 법에 저촉되는 경우도 상당수 있는데, 청소년들이 미처 생각하지 못하거나 잘 모르는 경우가 많아요. 이 때문에 어린 나이 일수록 윤리교육은 매우 중요해요. 특히, 법적인 측면에 대해 사례 중심으로 교육하는 일이 필요하다고 봅니다.


Q. 평소 취미와 좋아하는 음식은?

저 같은 경우는 취미생활이 직업이 된 경우라 특별한 취미생활이 없더라고요(웃음). 그래도 영화를 보는 등 의식적으로 문화생활을 많이 하려고 해요. 음식은 고기나 회가 최고죠. 건강식품 역시 좋아하고요. 보안관련 업무가 아무래도 생활이 불규칙하다보니 자연스레 건강을 챙기게 되더라고요.


Q. 앞으로 계획 또는 목표는?

지금도 제가 너무 재미있어 하는 일이기 때문에 앞으로도 재미있고 하고 싶은 일들을 찾아서 열심히 해볼 생각입니다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>