[릴레이 인터뷰] 그레이해쉬 이승진 대표

“기업 대부분, 시큐어코딩·인증·암호화 부분 취약해”

▲ 그레이헤쉬 이승진 대표

[보안뉴스 김경애] 지금까지 차세대 보안리더를 인터뷰하면서 느낀 점은 저마다 개성이 뚜렷하다는 것이다. 프로다운 그들의 모습 가운데 한쪽 모퉁이로 비쳐지는 개성은 인간미를 더한다.

이번에 소개할 차세대 보안리더 역시 개성이 넘쳐 흐른다. 마치 가요계의 반항아 같은 힙합그룹 리더를 연상케 한다. 하지만 목소리는 가수 김동률을 뺨치는 중저음 톤. 물론 노래를 잘하는지는 직접 들어보지 않아 모르겠다. 그러나 적어도 강연장에서 그의 강연을 듣는 사람들에게는 귀에 꿀을 발라놓은 것처럼 척척 달라붙게 할 수 있을 것이라는 건 짐작이 가능하다. 심지어 무표정하면서도 간혹 나타나는 뾰로통한 표정은 귀엽기까지 하다. 이쯤 되면 알만한 사람은 다 아시려나? 바로 그레이해쉬(GRAYHASH)의 이승진 대표다.

그의 경력과 실력은 절로 입이 떡 벌어질 만큼 화려하다. 국제적으로 잘 알려진 시큐인사이드(SECUINSIDE), 코드게이트(CODEGATE) 컨퍼런스 및 해킹대회를 운영했으며, 현재는 삼성SDS 통합보안센터와 사이버사령부의 자문위원을 맡고 있다. 뿐만 아니라 블랙햇(BlackHat) 등 세계적인 컨퍼런스에서의 수차례 연구발표는 물론 2015년에는 블랙햇 아시아의 심사위원으로도 활동하고 있다. 더 이상 무슨 말이 필요하랴? 지금 바로 만나보자.

Q. 대표님을 추천한 김진국 대표는 어떤 분인지요?

김진국 대표는 국내 포렌식 발전을 위해 해당 분야를 개척하고, 좋은 비즈니스 모델을 많이 만든 보안전문가에요. 기존의 포렌식 기업이나 경쟁업체에서 귀감이 될 만한 유능한 포렌식 분야 전문가입니다.

Q. 최근 관심 있게 보고 있는 보안위협은 무엇인가요?

최근엔 모바일 해킹 위협에 대해 관심있게 보고 있어요. 모바일의 경우 보안위협이 갈수록 심각해지고 있거든요. 고도화·지능화된 공격을 비롯해 APT 공격 등 전방위적으로 잠재적인 피해자가 많아질 것으로 예상되고 있죠. 반면, 기업의 경우는 이러한 위협에 관심이 부족하다는 점이 문제에요. APT 공격를 당했을 법한 기업임에도 불구하고 이를 제대로 인지하지 못하고 있는 기업이 많을 거라고 봅니다. 실제로는 공격을 당했지만 탐지가 미흡했거나, 혹은 100% 방어했다고 오인하는 사례가 종종 발견되곤 하거든요. 기업에서도 모바일 보안위협에 대해 관심을 기울여야 합니다.

Q. 가장 기억에 남는 사이버공격 또는 해커 유형은 무엇인가요?

최근 IS 해커집단이 정치적 목적에 의해 사이버공격을 일삼는데요. 보안전문가 입장에서 볼 땐 새로운 보안위협은 아니라고 할 수 있죠. 정치적 목적의 해커 단체들은 계속 있어 왔고, 예전부터 활동하고 있었거든요. 문제는 정치적 목적을 위해 은밀하게 국가간의 해킹을 진행하는 세력들입니다. 이를테면 스턱스넷이 그런 경우죠. 원래 작전 목표는 모르겠지만, 이란의 핵 작업을 지연시키고, 소기의 목적을 달성하는 등 파급력이 큰 매우 위험한 상황을 만들었죠. 게다가 당시 사용된 기술은 매우 진보적인 기술이였기 때문에 위험성이 더욱 컸어요. 따라서 이러한 사이버위협이 가장 위험할 뿐더러 기억에도 남죠.

Q. 정보보호 활동을 하면서 가장 기억에 남는 에피소드가 있다면?

첫 번째 에피소드는 고등학교 1학년 때 책을 쓴 적이 있는데요. 당시 책 판매를 제 홈페이지에서만 했었거든요. 그런데 누군가 메신저로 말을 걸어오는 거에요. 북한에 살아서 제 책을 구매할 방법이 없다며 파일로 보내줄 수 있냐고 말을 하더라고요. 당시 IP 주소는 중국으로 떴지만 북한 말투라 북한 사람으로 추정했죠. 물론 책 파일을 주지 않았고, 답변도 하지 않았습니다(웃음).

두 번째 에피소드는 오랜 연구 끝에 시스템에 침투할 수 있는 제로데이 취약점을 찾아 성공 보수를 받았던 기억이 나네요.

마지막 세 번째는 개인적인 경험을 얘기하고 싶은데요. 국내에서만 활동하다가 처음으로 지난 2008년 해외 컨퍼런스에 참가한 경험이 기억에 남이 남아요. 당시 해외 분위기를 접하면서 새로운 생각을 하게 된 계기도 됐고, 매우 신선했거든요. 그 이후로 시큐인사이드, 코드게이트 등의 해킹방어대회를 운영하면서 새로운 경험도 하게 됐고요. 이전에는 해킹방어대회 참가하면서 입상하는 재미만 느꼈는데, 직접 대회를 운영하면서 만든 문제를 해외 해커들이 풀어내는 뒤바뀐 상황에 보람, 희열, 그리고 재미를 느꼈죠.

Q. 차세대 정보보안 전문가로서 가장 우선적으로 갖춰야 할 소양은?

아무래도 윤리의식을 가장 먼저 꼽을 수 있을 것 같아요. 다행히도 아직까지 국내는 보안인력 수와 비교했을 때 블랙햇(크래커)이 다른 나라에 비해서 적은 편입니다만 어쨌거나 윤리의식은 정보보안에 있어 반드시 필요한 덕목입니다. 

Q. 보안에 있어 가장 중요한 것은 무엇이라고 보시나요?

첫째는 기업 자체적으로 실력과 역량을 갖춘 인재를 확보해야 합니다. 하지만 보안인력을 채용하려고 하는 대기업도 우수한 인재가 부족해 채용하기가 어렵다고 하더라고요. 일각에서는 보안담당자 처우가 좋지 않다는 인식이 있는데 정말 실력이 좋은 사람은 좋은 대우를 받고 있다고 생각합니다. 그렇다고 당장 실력만 좋아서는 안 되고, 커뮤니케이션 스킬과 조직적응 능력 등을 인정받을 수 있어야 합니다.

둘째는 어떤 기업도 해킹에 자유롭지 못하다는 걸 인지하고, 이에 맞게 대응하고 점검해야 합니다. 그렇지 못할 경우 문제가 발생할 수 있기 때문이죠.

Q. 국내 정보보호 분야에 있어 개선되지 않는 가장 큰 문제점은?

대기업의 경우 오히려 국내 공공기관보다 나아요. 실제 개선사항도 많아졌고, 보안의식도 좋아졌어요. 오히려 사람이 없어서 못 뽑는 경우가 많죠. 하지만 공공기관의 경우 아직까지 예산이나 보안인력이 터무니없이 적은 경우가 많아요. 몇 십명이 해야 할 일을 한 사람이 처리해야 하는 경우가 비일비재하죠. 사회기반시설을 타깃으로 한 공격이 점차 증가할 것으로 보이는 만큼 앞으론 보안인력의 질적 향상에 초점을 맞춰야 합니다. 아직까지 대부분의 기업이 시큐어코딩 등이 안 되어 있거나 인증 및 암호화 부분에 취약한 경우가 많습니다.

Q. 해커들의 공통점과 특징에 대해 설명해 주신다면?

해커라고 해서 일반인하고 크게 다르지는 않아요. 다만 컴퓨터를 좋아하고 해킹 실력을 더 발전시키고자 하는 성향 때문에 약간 다르게 보일 뿐이죠. 일반인하고 똑 같은 사람들입니다(웃음).

Q. 평소 취미는요? 스트레스 해소는 어떻게 하나요?
우리나라 웹툰은 물론 원피스, 나루토 등 일본 소년 만화 장르의 만화책을 즐겨봐요. 개와 산책을 즐기기도 하고요. 스트레스 해소는 술? 주변 지인들과 대화를 많이 나누죠. 물론 술과 함께 하는 경우가 많지만요(웃음).

Q. 보안업체를 운영하면서 느끼는 애로사항은?

개인사업자로 활동한지는 2년 정도 됐고, 법인 설립은 작년 6월부터인데, 현재 저 포함해서 6명이 함께 활동하고 있어요. 그러다보니 저 역시도 우수인력 확보가 가장 어려운 것 같아요. 모든 분야도 마찬가지지만 IT 분야의 경우는 인재가 재산이거든요. 특히, 저희와 같은 스타트업 기업에서 신규인력 채용은 더욱 쉽지 않더라고요. 또한, 외국인 직원을 채용하려 해도 취업 비자 등을 해결해야 한다는 어려움이 있고요. 작은 기업에게는 이러한 일이 쉽지 않거든요.

Q. 앞으로 계획 또는 목표는 무엇인가요?

현재 저희 회사의 주력사업은 컨설팅이에요. 하지만 앞으로는 컨설팅 업무를 줄이고, 취약점을 자동으로 탐지하는 모바일 보안 솔루션 개발에 주력할 계획입니다. 현재 모바일 앱들을 위한 난독화 솔루션도 준비 중에 있습니다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>