• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[차세대 보안리더 10人] 김진국 대표 “디지털 프로파일링 개척” 2015.05.08

[릴레이 인터뷰] 김진국 플레인비트 대표 

정교한 공격 더 많아질 것, 정부·기관·기업간 연계가 중요

 

[보안뉴스 김경애] 지금까지 차세대 보안리더에서는 악성코드 분석가, 보안업체 대표, 취약점 분석가 등 정보보호 분야에서 왕성하게 활동하고 있는 전문가들을 만나봤다. 이번에 소개할 차세대 보안리더 역시 눈과 귀가 솔깃해지는 포렌식 분야의 전문가로 정평이 나 있는 플레인비트(Plainbit)의 김진국 대표다.


강한 인상과 달리 남다른 패션감각이 돋보이는 김진국 대표는 디지털 프로파일링을 연구하는 차세대 보안리더다. 현재 한국디지털포렌식학회 교육사업이사이며, 지난해에는 중앙선거관리위원회, 경찰청 외사과, 국세청, 삼성SDS 등에서의 포렌식 강의를 비롯해 다방면으로 맹활약을 펼치고 있다. 또한, 2010년부터 2012년까지 3회 연속 코드게이트 문제출제위원으로 활동해 공로상을 수상하기도 했다. 지금부터 차세대 보안리더 10人의 일곱 번째 주자인 김진국 대표를 만나보자.


 ▲ 플레인비트 김진국 대표


Q. 이종호 연구원이 추천했는데, 이종호 연구원과의 인연은?

이종호 연구원은 지난 2011년과 2012년 코드게이트를 운영할 때 만나 지금까지 인연을 유지해오고 있습니다. 당시에는 20대 초반이었는데, 어린 나이에 비해 책임감이 강하고, 호기심도 굉장히 많았습니다. 특히, 무언가에 빠지면 끝을 봐야 하는 열정적인 친구로 현재보다 미래가 더 기대되는 보안전문가입니다.


Q. 최근 관심 있게 연구하는 분야는 무엇인가요?

아무래도 사물인터넷(IoT) 보안위협이 이슈가 되는 만큼 IoT 기기의 보안위협을 사전·사후에 어떻게 분석할지에 대해 관심을 갖고 있습니다.


그리고 최근에는 사고와 관련해 의미 없는 디지털 데이터를 의미 있게 만들어 주는 작업을 하고 있어요. 분석대상은 디지털 데이터이지만 결국 데이터를 통해 알고자 하는 것은 사람이거든요. 따라서 디지털 데이터를 기반으로 사람의 행위를 어떻게 정의할 것인가? 나아가 어떻게 사건을 재구성할 것인가에 대해 항상 고민하고 있죠. 흔히 이런 작업을 디지털 프로파일링이라고 하는데, 어떻게 하면 오류를 줄이고 올바른 판단을 할 수 있을지에 대해 연구하고 있습니다.


Q. 디지털 데이터를 분석하는데 있어 어려운 점은 무엇인가요?

디지털 데이터를 분석하는데 있어 포렌식 기법과 장비 혹은 솔루션만 있으면 다 되는 것으로 오해하는 경우가 간혹 있어요. 디지털 환경이 워낙 다양한데다가 공격자도 고도의 기술을 활용하기 때문에 분석이 쉽지 않거든요. 공격자의 행위를 재구성해야 하는데 때론 흔적조차 없거나 미약한 증거로 인해 사고를 프로파일링하는데 어려움이 많아요. 예를 들어, 파일을 삭제해도 쉽게 복구한다고 대부분 알고 있지만 현실은 그렇지 않거든요. 모두 상황과 조건이 맞아야 가능한 일입니다. 


Q. 그렇다면 기업에서는 어떻게 해야 할까요?

최근 시스템은 OS의 발전도 있지만 안티포렌식 기법도 일반화되면서 사람의 행위를 추적하기가 쉽지 않아요. 따라서 기업 입장에서는 추적이 필요한 디지털 증거에 대해 상시적으로 관리할 수 있는 체계를 만들고, 문제가 있을 때 원인을 파악하는 등 신속하고 적절한 대응을 해야 합니다.


우선 기업은 보안 강화에 앞서 현재의 상태를 제대로 파악해야 합니다. 상태가 파악되면 기업의 목표에 따른 우선순위와 주어진 예산범위 내에서 계획을 세우고 방법을 실천해나가면 됩니다. 하지만 직접 경험해본 기업의 대부분은 상태를 제대로 파악하고 있지는 못했어요. 이런 환경에서 솔루션을 도입한다면 문제를 해결하기보다는 또 다른 문제를 야기할 수도 있습니다.


Q. 지금까지의 분석을 통해 본 해커들의 공통점과 특징이 궁금합니다.  

대규모 사고의 특징을 살펴보면 특정 몇몇 그룹에서 체계적이고 조직화된 그룹 형태로 수행한 흔적이 많이 나타납니다. 사용했던 공격기법이나 침투 및 전파 과정, 패턴 등이 유사한 경우가 많고, 매우 유연한 점이 특징입니다. 따라서 앞으로 좀더 정교한 공격이 많아질 것으로 예상되며, 단일 보안 솔루션이나 체계만으로 방어해내기는 쉽지 않을 것입니다. 각 기관과 정부, 기업이 서로 연계할 수 있는 방안이 우선적으로 마련되어야 할 것으로 봅니다.


Q. 국내 정보보호 환경에 있어 개선되지 않는 부분은 무엇인가요?

CEO 입장에서 보안사고를 막을 수 있다고 생각하고 접근하는 것이 가장 큰 문제라고 생각합니다. 사고를 100% 막을 수 없기 때문에 어떻게 최선을 다할지에 대해 고민하고, 그에 따른 평가가 이루어져야 해요.


또 다른 문제점은 외부의 컴플라이언스 요건이라고 생각되는데요. 기업 스스로 정보보호에 대해 고민하기 보다는 정부 주도하의 많은 산업별 규제와 인증 등 주어진 제도에따라 맞추는데 급급한 경우가 많습니다. 실제 보안사고의 처벌 판례도 제도를 준수했는지 여부가 크게 작용하고 있거든요. 기본적인 제도는 필요하지만 정부는 세부적인 시행방안을 기업 스스로 마련하도록 유도하고, 기업 스스로 마련한 내용이 적절한지, 잘 준수하고있는지 평가하는 등 관리·감독에 집중하는 것이 효율적이라고 생각합니다.


Q. 차세대 정보보안 리더가 갖춰야 할 가장 중요한 자질은 무엇인가요?

윤리의식을 먼저 갖춰야 할 것 같습니다. 윤리는 몇 번의 교육만으로 갖추기 어려운 소양으로 정보보안을 시작할 때부터 확고히 체득될 수 있도록 다양한 방안을 고민이 필요합니다. 최근 윤리 문제가 많이 강조되고 있지만 구체적인 방법이 제시되지는 못하는 실정이거든요. 정보보안에 종사하는 개개인 스스로가 내재화할 수 있도록 사회적 인식과 함께 구체적인 방안이 마련되어야 할 것 같습니다.


윤리 소양과 함께 전문가로서 발전하기 위해서는 무엇보다도 커뮤니케이션 능력이 필요합니다. 자신이 아는 바를 아는 만큼 표현할 수 있는 능력, 신뢰를 줄 수 있는 대화능력 등이 무엇보다도 중요합니다.


그리고 포렌식 전문가로서 갖춰야할 기본 자질은 컴퓨터 시스템에 대한 이해입니다. 포렌식 전문가의 분석대상은 컴퓨터를 비롯해 CCTV, 네비게이션, 블랙박스 등 다양한데요. 기기마다 OS가 다르고 내부 데이터 구조도 상이합니다. 따라서 시스템 이해가 우선적으로 필요합니다. 하지만 모두 컴퓨터 원리 속에서 동작하는 만큼 기본 원리를 잘 이해하고 있다면 문제는 자연스럽게 풀릴 거라고 생각합니다.


컴퓨터 시스템을 이해하는 기본적인 자질과 함께 전문가가 되기 위해 꼭 갖춰야 할 자질은 객관성입니다. 디지털 데이터는 어떤 관점에서 보느냐에 따라 전혀 다르게 보일 수 있거든요. 따라서 사건 배경은 최소로 하고 객관적으로 데이터를 판단하는 능력이 매우 중요합니다. 왜냐하면 분석가의 잘못된 판단이 크게는 죄 없는 한 사람을 죄인으로 만들 수 있기 때문이죠.


Q. 가장 기억에 남는 사이버공격이 궁금합니다.

아무래도 3.20사이버테러가 아닐까 합니다. 3.20사이버테러는 공격 대상에 맞게 다양한 기법을 정교하게 사용한 공격이었는데요. 공격자를 추적하기 위한 데이터가 이미 지워진 경우가 많아 분석에 많은 어려움을 겪었습니다.


다음으로는 제가 분석한 보안사고인데요. 분석한 사고들의 대부분은 외부자에 의한 침해사고이거나 내부자에 의한 정보유출사고입니다. 국내에 많은 사고가 발생하고 있는 가운데 가장 안타까운 점은 자산을 보유한 조직에서 먼저 인지한 경우가 드물다는 점입니다.


해외의 큰 유출사고인 타겟이나 어도비 사의 경우 기업 자체적으로 정기감사를 통해 밝혀낸 사건이거든요. 특히, 타겟의 경우 CEO가 사임을 할 정도로 큰 사건이지만 기업 스스로 인지하고 사회에 공표를 했어요. 그만큼 윤리에 대한 사회적 인식이나 감사 시스템이 잘 정립되어 있기 때문에 가능한 일이라고 생각합니다.


반면, 국내 사고의 대부분은 기업 스스로 인지하기 보다는 외부에 의한 인지가 많아요. 사전에 인지한다고 해도 내부적으로 조용히 끝내려고 하는 경우가 많습니다. 특히, 대응체계가 갖춰지지 않은 상태에서 외부에 먼저 알려지게 되면 기업 이미지 손실이나 주식가치 하락 등 대·내외적인 손실이 굉장히 큽니다. 따라서 적절한 대응전략을 마련하기 위해서라도 사고에 대한 사전인지가 매우 중요하고, 이를 위해서는 다양한 감사 활동을 통해 조직을 사전 진단할 필요가 있습니다.


Q. 현재 국내 포렌식 기술의 수준은 어느 정도이며, 개선해야 할 점은 무엇인가요? 

국내 포렌식 기술수준을 보면 단일분석 기술은 해외시장보다 오히려 높은 수준이라고 생각됩니다. 다만, 프로파일링이나 데이터 마이닝 등의 체계는 많이 뒤떨어져 있다고 봅니다. 또한, 단일분석 기술도 아직 글로벌화가 미흡해 국제 경쟁력은 뒤쳐져 있다고 볼 수 있습니다. 이런 측면에서의 보완이 필요한 것이죠.

 

Q. 포렌식 업무를 담당하면서 가장 기억에 남는 에피소드는 무엇인가요?

최근에 겪은 에피소드 하나가 있는데요. 한 금융회사 부사장님이 실수로 몇년 동안 관리해오던 데이터를 지웠습니다. 국내 여러 데이터 복구 업체에 맡겼지만 복구가 되지 않아 절망하고 계시던 찰나에 내부 지인의 부탁으로 제가 10분 만에 모두 복구해 영웅 아닌 영웅이 된 적이 있었습니다. 사용자 모르게 시스템에 자동 백업된 데이터를 이용한 것인데, 이건 포렌식 분석에서는 일반적으로 사용하는 데이터 방식이거든요.


Q. 앞으로 계획 또는 목표가 궁금합니다.

민간 디지털 포렌식 시장을 만들기 위해 창업을 시작한 만큼 관련 국내 시장이 커질 수 있도록 계속 노력해나갈 예정입니다. 또한, 강소기업으로서 아시아 포렌식 시장에 연결고리가 될 수 있는 일들을 해 나갈 계획입니다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>