[보안뉴스 김경애] 어느덧 차세대 보안리더 10인의 마지막 주자를 소개할 시간이 됐다. 그동안 본지에서는 다양한 차세대 보안리더를 만나 최근 관심있게 연구하고 있는 보안위협, 정보보안에 있어 가장 큰 문제점과 개선사항, 그리고 차세대 보안리더로서의 자질 등 다양한 보안이슈에 대해 들어봤다.

이번에 소개할 차세대 보안리더 역시 다방면으로 인정받은 정보보호 전문가로 알려져 있다. 바로 마이크로소프트MMPC(Microsoft Malware Protection Center)에서 악성코드 분석 및 관련 업무를 맡고 있는 강흥수 연구원이다. 현재 MMPC내 분석가들은 시애틀, 밴쿠버, 멜번, 뮌헨에 분산돼 있는데, 현재 강흥수 연구원은 밴쿠버에서 근무중이다. 

차세대 보안리더 양성 프로그램인 BoB(Best Of The Best) 2기 멘토로도 활약한 바 있는 강흥수 연구원은 여러 종류의 악성코드를 분석하고 리버스 엔지니어링 관련 연구를 해온 재원이다. 정부기관에서 취약점 분석과 악성코드, APT 사례에 대해 자문하거나 발표한 바 있으며, 여러 해킹방어대회 CTF 문제출제 위원을 비롯해 시큐인사이드(SECUINSIDE)에서도 강연하는 등 전도유망한 차세대 보안리더다. 

연예계에서 배용준의 미소가 으뜸이라면 보안업계에서는 강흥수 연구원의 미소가 그에 못지 않다는 점이다. 그만큼 환한 미소가 인상적이다. 물론 현재는 캐나다에서 근무해 그 미소를 직접 볼 수 없어 안타깝긴 하지만. 자, 그럼 지금부터 차세대보안리더의 열 번째 주자인 강흥수 연구원을 만나보자.

Q. 심준보 대표가 추천했는데 심준보 멘토에 대해 말한다면?

심준보 멘토는 취약점을 연구하는 보안전문가 중에서도 워낙 유명한 분이시죠. ‘한국을 대표하는 화이트해커’라고 할 만큼 실력도 실력이지만 자신의 지식을 적극적으로 공유하는 분이에요. 해킹 기법이 잘 공유되지 않던 시절 심준보 멘토는 자세하고 친절하게 모든 걸 단계별로 공개했죠. 공부를 하다 보면 이 분의 블로그나 문서를 반드시 만나게 됩니다.

Q. 최근 관심 있게 보고 있는 보안위협은 무엇인가요?

유럽내 뱅킹 악성코드의 공격기법을 유심히 보고 있습니다. 해당 악성코드의 특징으로는 브라우저 내 코드를 삽입하기 때문에 관리자 권한이 필요 없다는 점과 감염, 배포, 정보수집 등의 프로세스가 고도로 자동화됐다는 점입니다. 또한, 봇넷의 탈취(sinkholing)를 방지하기 위한 C&C서버의 명령을 인증하는 코드도 포함돼 있다는 것도 특징입니다. 

이어 관심있게 보고 있는 보안위협은 랜섬웨어입니다. 한국 역시 최근 랜섬웨어의 타깃이 되기 시작했는데, 확산될 경우 많은 사람들이 피해를 입게 될 수 있기 때문이죠. 따라서 이용자들이 주의해야 할 점은 이러한 보안위협에 노출되지 않도록 운영체제를 최신 버전으로 업데이트하고, 랜섬웨어로 인해 데이터를 날려버리지 않도록 주기적으로 백업을 하는 것이 좋습니다.

이외에도 취미 삼아 프로그래머의 코딩 습관들을 기반으로 프로그램을 프로파일링하는 방법도 연구해보고 있습니다. APT 공격 관련해서 재밌을 것 같아서요.

Q. 가장 기억에 남는 사이버공격 또는 해커 유형이 있다면?

이란 핵시설을 공격한 스턱스넷입니다. ‘이렇게 하면 되겠다’고 말로만 상상할 법한 공격을 실제로 성공시킨 사례죠. 사실 이 공격은 ‘해킹’이라는 단어 내에 국한시키면 안 되고 ‘군사작전’이라는 표현이 더 적절할 것 같습니다. 코드개발, 취약점, 실행까지 새로운 수준을 보여줬기 때문이죠.

또 한 가지는 실제 외부 공격을 통해 발견된 취약점(CVE-2013-0640) 익스플로잇(exploit)인데요. 처음으로 공개된 구글 크롬의 샌드박스 탈출 취약점이 인상적이었습니다. ROP는 운영체제의 해킹방지기능인 데이터 실행방지를 우회하기 위한 기법인데요. 공격자가 모든 공격코드를 ROP로 구성한 점도 독특했죠. 공격 대상이 티벳과 위구르인 것으로 보아 공격자는 추정됩니다만.

Q. 차세대 정보보안 전문가로서 우선적으로 갖춰야 할 능력은?

정보보안이라고 해서 다른 분야와 딱히 다를 건 없고요. 집중력과 논리적인 사고가 매우 중요하다고 봐요. 컴퓨터 구조와 코드의 로직을 이해하는데 있어 논리적인 사고가 필요하기 때문이죠. 때론 벽에 부딪혀도 자신의 한계치를 더 끌어 올릴 수 있는 집중력도 요구되죠. 도덕적 소양은 말할 것도 없이 기본입니다. 이 부분은 정보보안 분야뿐만 아니라 사회구성원으로서의 교육문제 차원에서 접근해야 한다고 봅니다. 도둑질을 하면 안 된다는 건 사회구성원으로서 당연히 알아야 하는 것처럼 말이죠. 특히, 해킹의 특성상 걸리지 않을 것 같다는 착각에 빠지는 경우가 많은데, 절대 그렇지 않다는 걸 깨우쳐주는 교육이 필요합니다.

Q. 국내 정보보호 분야에 있어 개선되지 않는 가장 큰 문제점은?

글로벌 기업이나 대기업, 금융기관 등은 침해사고가 기업의 이익과 직결되기 때문에 정보보안에 많은 투자를 하고 있습니다. 방향이 옳고 그름을 떠나 적어도 투자가 되고 있다는 것은 담당자들의 고민과 노력이 있다는 것을 뜻하기 때문이죠. 하지만 국내는 아직까지 많이 부족한 게 현실입니다.

가장 큰 문제는 현재 개인정보 유출 피해자들의 민사소송이 거의 배상 없는 수준에서 끝나기 때문이라고 봅니다. 이런 상황에서 이익을 쫒는 기업이 개인정보보호에 투자할 이유가 없죠. 법적 근거를 통해 배상을 하도록 유도한다면 손해 보기 싫은 기업들은 투자를 늘릴 것입니다. 중소기업의 경우는 투자가 어려울 수 있지만 그래도 적극적인 자세가 필요합니다. 한국인터넷진흥원의 도움을 받을 수도 있고요. 결국 투자가 확대되면 인력 처우도 좋아지고, 인력 유입과 함께 교육 투자가 늘어나는 선순환 구조가 만들어질 수 있다고 봐요.

Q. 블랙해커 또는 공격자들의 공통점과 특징에 대해 설명해 주신다면?

블랙해커 중에 사적으로 아는 사람은 없습니다. 있어서도 안 되겠죠. 제가 그들에 대해 느낄 수 있는 유일한 루트는 오직 그들의 코드를 분석할 때죠. 프로그래머들의 특성이 다 다르듯 공격자들도 다 다른데요. 재밌는 코드와 문자열을 많이 넣는 사람이 있는 반면, 무미건조한 코드를 짜는 사람도 있고 재미있는 사회공학적 기법을 넣기도 하지만 고수준의 공격기법을 보이기도 합니다. 후자의 경우는 주로 APT 공격자들인데요. 한 가지 재미있는 공통점이 있다면, 악성코드 개발자의 소스코드 경로에 ‘work’ 또는 ‘project’가 많다는 것입니다. 또한, 주말에 쉬는 경우도 많고요. 그들도 결국 직장인이라는 걸까요(웃음).

Q. 평소 취미와 스트레스 해소법은요? 좋아하는 음식은?

게임을 하거나 미드(미국 드라마)를 봅니다. 게임은 Modern Warfare, Sleeping Dogs을 좋아하고요, 미드는 현재 왕좌의 게임(Game of Thrones)이 새 시즌을 방영중이라 즐겨보고 있습니다. 가을이 되면 재개할 홈랜드(Homeland)도 기다리고 있어요. 그런데 요새는 딸과 노느라 취미활동 시간이 많이 줄었어요. 대신 집 근처에서 산책을 종종 합니다. 제가 있는 곳은 밴쿠버쪽인데 경치와 공기가 매우 좋거든요. 좋아하는 음식은 하나만 꼽기는 너무 힘들지만 와이프가 해주는 매운 삼겹살입니다.

Q. 앞으로 계획 또는 목표는 무엇인가요?

개인적인 계획으로 짧게는 프로그래머를 프로파일링하는 시스템을 만들어 보고 싶고요. 여러 분야의 취약점 기법을 공부하고 싶습니다. 한동안 뜸했던 블로그에 글쓰기도 다시 시작해야 하고요. 목표로는 소박하고 개인적이긴 하지만 날씨 좋은 곳에서 재밌는 일을 하며 살고 싶습니다. 혼자 일하는 것도 좋겠지만 원격으로 소수의 그룹과 함께 일하고도 싶어요. 만약 그렇게 해서 수익이 발생한다면 바다가 가깝고 따뜻한 곳에서 살고 싶습니다(웃음).

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>