악성코드에 공격받지 않는 안티-맬웨어 시스템 연구중
해커는 자신의 재미를 위해 끊임없이 지식을 쌓는 것
해킹기술, 세상에 유용하게 사용할 수 있도록 가꾸는 것 중요
데일리시큐는 해킹과 보안분야에서 차세대를 이끌어갈 젊은 인재들을 한분한분 소개하는 시간을 갖고 있다. 허영일 NSHC 대표, 유동훈 아이넷캅 연구소장, 박찬암 소프트포럼 팀장, 최상명 하우리 팀장 등을 차세대리더로 소개해 왔다.해커는 자신의 재미를 위해 끊임없이 지식을 쌓는 것
해킹기술, 세상에 유용하게 사용할 수 있도록 가꾸는 것 중요
이번에는 KAIST 보안동아리 GoN에서 활동하며 국내외 크고 작은 해킹대회에서 좋은 성적을 거두었고 현재는 Georgia Institute of Technology(Georgia Tech)에서 운영체제와 가상화 보안 분야 박사과정을 밟고 있는 장영진씨를 소개할까 한다. 현재 미국에 있는 관계로 기자와 이메일 인터뷰를 진행했다. 그 내용을 가감없이 그대로 지면에 소개한다. 다음은 그와의 일문일답 내용이다.
-보안에 관심을 가지게 된 시점과 계기가 있다면?딱히 보안 분야를 해야겠다 라고 느낀 적은 없습니다. 어린 시절 제 또래라면 누구나 컴퓨터 게임에 열광했었는데요, 당시 PC CHAMP라는 게임 잡지가 있었는데 그 잡지에서 어떻게 게임 데이터를 조작하는지 알려주는 섹션이 있었어요. 보안보다는 간단한 해킹을 접하게 된 때가 그 때 쯤 아닐까 싶습니다. 물론 그때는 HEX editor정도 사용하는 수준이었어요.
-카이스트 GoN 맴버로 알고 있는데 GON에 가입하게 된 동기, 그리고 GoN에서 어떤 활동들을 했는지 궁금합니다.
부모님께선 제가 컴퓨터를 잡으면 공부를 하지 않는 걸 아셔서 하루에 1~2 시간 정도만 컴퓨터를 할 수 있어 고교시절까진 프로그램 하나 만들 줄 몰랐어요.
대학교에 와서 여러가지 학과를 고민하다 전산학과를 선택하고 컴퓨터 프로그래밍을 접하게 되었는데요, 동아리에 들어가 공부하는 것이 좋을 것 같아 관심있던 '해킹' 동아리를 찾은 것이 GoN 가입 계기였어요.
제가 GoN에 들어갔을 당시의 GoN은 해킹을 잘 해서 카포전(카이스트-포항공대 정기전)을 이기는 것은 물론이고, 동아리에서 창업을 하셨던 분, 게임을 좋아하셔서 게임회사에 취직하신 분 등 다양한 재능이 있는 선배님들이 계신 동아리였어요.
하지만 제가 군대를 다녀오기 전 까지 공부를 열심히 안했던 터라 같은 학번 친구들만큼 잘하지 못했었어요. 군대에 다녀왔을 때 다시 동아리를 찾았는데, 예전과는 달리 조금 활발하지 못하다 라는 느낌을 느꼈습니다.
복학한 선배로써 어떤 활동을 해야 좋을 지 망설였었는데, 2008년 봄에 저희와 라이벌인 POSTECH PLUS에서 CODEGATE 1위를 차지하여 상금 4,000만원을 탔다는 소식을 듣고 '외부 해킹대회를 나가 보자'라는 생각을 하게 됐죠.
그래서 그 후로 KISA 해킹방어대회 대학동아리 부분 우승, DEFCON Open CTF, Codegate 등 많은 대회를 출전하였고 2010년에는 GoN으로 DEFCON CTF Final에 진출하여 POSTECH과 함께 3등의 성적을 거두었습니다.
해킹대회를 출전하는 것도 참 즐거웠지만, 더 기억에 남는 건 상금과 상품을 타와 동아리원들과 즐겁게 놀았던 거에요. GoN 하면 가장 먼저 떠오르는 건 해킹이 아니라 소고기 와인 파티, 동아리 내 연주회인 GoNCERT, 밤 새도록 즐기는 酒酒총회가 아닌가 싶어요.
GoN에선 해킹이 주가 된다기 보다 동아리 원들이 추구하는 많은 즐거움 중 하나가 아닐까 생각해 봅니다.
<HungryHungryHackers(H3)라는 교내 해킹대회에 나갔을 때 수상자 사진>
-현재 미국생활이 궁금하네요. 현재 어떤 대학에서 어떤 공부를 하고 있는지요? 그리고 향후 한국 복귀시점은?
Georgia Institute of Technology, 줄여서 Georgia Tech에서 운영체제와 가상화 보안 연구를 하고 있습니다. 아직 논문이 출간되지 않아 연구에 대한 자세한 내용을 말씀드릴 순 없어요. 간략하게는 바이러스나 악성코드에 의해 공격받지 않는 anti-malware 시스템을 만드는 연구를 하고 있습니다.
많은 분들이 '미국에 공부하러 갔다'는 소식을 들으면 여쭤보시는 것이 한국에 돌아 올 것이냐? 언제 돌아오냐? 인데요. 학교에서 졸업한다는 것이 아직 멀게 느껴지는 박사과정 2년 차라 아직 졸업 후의 확실한 계획이 서 있진 않아요. 보통 박사과정이 5~6년쯤 걸리니 졸업하고 한국에 돌아간다면 2015~16년 쯤 되지 않을까 싶어요. 하지만 좋은 연구를 잘 해야 제때 졸업할텐데 잘 모르겠네요.
<Applied Cryptography라는 암호학 수업에서 발표자로>
-미국에서 공부하는 것에 대한 장단점은?
KAIST에 재학 당시 훌륭한 교수님들이 많이 계셨지만, 제가 하고 싶어하는 딱 그 분야를 하는 교수님은 안계셨어요. 하지만 여기 Georgia Tech의 GTISC(Georgia Tech Information Security Center)는 운영체제, 가상화, 봇넷 감지, 네트워크, 암호학, Privacy, 모바일, 악성코드 분석, 웹 등을 전문적으로 담당하는 교수님이 계셔서 연구하기 아주 좋은 환경을 갖추고 있어요. 저것들 중 한 분야에 대해 아이디어나 궁금증이 생기면, 바로 문을 두드리고 그 분야의 최고 전문가와 토론을 할 수 있다는 것이 가장 매력적이지 않나 싶어요. 그 외에도 학회 경비 지원, 연구 장비 지원들이 원활해 원하는 것이면 뭐든지 수월하게 공부할 수 있어요.
단점이라고 하면 역시 영어문제가 아닐까 싶어요. 같은 논문을 읽고 같은 발표를 해도, 역시 미국인이 영어를 하는 것과 한국인인 제가 영어를 하는 것은 천지차이더라구요. 영어 독해를 잘 해서 논문을 조금 더 빨리 잘 이해할 수 있으면 더 좋지 않을까 싶습니다.
-혹시 그쪽에서 해커들과 교류가 있다면 어떤 분들과 만나보셨고 또 한국의 해커와 미국의 해커들은 어떤 면에서 다른지 느낀 점이 있다면?
우선 저희 연구실에서 졸업한 학생 중 2명이 Blackhat 발표를 한 적이 있어요. 근처 학교인 University of Georgia에서 학부과정을 마치고 석사를 Georgia Tech로 온 Maikol이라는 친구를 만나게 되어 그 학교에 있던 사람들과 'disekt'라는 CTF 팀을 만들게 되었어요. 2011 코드게이트 본선에 출전하여 아마 팀을 아시는 분이 꽤 있을 거에요. 팀원들이 항상 하는 말이 대한민국이 이렇게 해킹대회를 잘 주최하는지 몰랐다며 우리나라를 참 좋아한답니다. 그래서 그런지 팀 모임을 하면 항상 애틀랜타 근처 한식당인 '한일관'이라는 곳에서 갈비탕, 돌솥비빔밥, 불고기 등을 먹죠.
그리고 학교에서 학회 참석에 대한 지원을 아주 잘 해줘서, 올해 6개의 학회를 참석했는데요. 거기서 Tor Project의 director인 Roger Dingledine, UCSB에서 iCTF를 주최하시는 Giovanni Vigna 교수님 등 해킹과 학계에 걸쳐있는 멋진 분들을 많이 만날 수 있어 좋았어요.
미국 해커들과 저의 차이점이라면, 우리나라의 주입식 교육의 문제라고 하나요? 그것 때문인지 저는 해킹 대회가 있고, 문제가 있어서 그 문제를 풀기 위해서 지식을 쌓은 것 같은데 여기 해커들은 자신의 재미를 위해 지식을 쌓은 것이 다른 것 같아요. 물론 대회 문제를 푸는 건 저도 어느 정도 자신이 있지만 기존에 나오던 문제들이 아니라 새로운 스타일이 나오면 항상 팀원들에게 의지한답니다. 재미와 관심사가 우선인 그 부분을 많이 배워야 할 것 같아요.
-미국에서 공부하는 것에 대한 장단점은?
KAIST에 재학 당시 훌륭한 교수님들이 많이 계셨지만, 제가 하고 싶어하는 딱 그 분야를 하는 교수님은 안계셨어요. 하지만 여기 Georgia Tech의 GTISC(Georgia Tech Information Security Center)는 운영체제, 가상화, 봇넷 감지, 네트워크, 암호학, Privacy, 모바일, 악성코드 분석, 웹 등을 전문적으로 담당하는 교수님이 계셔서 연구하기 아주 좋은 환경을 갖추고 있어요. 저것들 중 한 분야에 대해 아이디어나 궁금증이 생기면, 바로 문을 두드리고 그 분야의 최고 전문가와 토론을 할 수 있다는 것이 가장 매력적이지 않나 싶어요. 그 외에도 학회 경비 지원, 연구 장비 지원들이 원활해 원하는 것이면 뭐든지 수월하게 공부할 수 있어요.
단점이라고 하면 역시 영어문제가 아닐까 싶어요. 같은 논문을 읽고 같은 발표를 해도, 역시 미국인이 영어를 하는 것과 한국인인 제가 영어를 하는 것은 천지차이더라구요. 영어 독해를 잘 해서 논문을 조금 더 빨리 잘 이해할 수 있으면 더 좋지 않을까 싶습니다.
-혹시 그쪽에서 해커들과 교류가 있다면 어떤 분들과 만나보셨고 또 한국의 해커와 미국의 해커들은 어떤 면에서 다른지 느낀 점이 있다면?
우선 저희 연구실에서 졸업한 학생 중 2명이 Blackhat 발표를 한 적이 있어요. 근처 학교인 University of Georgia에서 학부과정을 마치고 석사를 Georgia Tech로 온 Maikol이라는 친구를 만나게 되어 그 학교에 있던 사람들과 'disekt'라는 CTF 팀을 만들게 되었어요. 2011 코드게이트 본선에 출전하여 아마 팀을 아시는 분이 꽤 있을 거에요. 팀원들이 항상 하는 말이 대한민국이 이렇게 해킹대회를 잘 주최하는지 몰랐다며 우리나라를 참 좋아한답니다. 그래서 그런지 팀 모임을 하면 항상 애틀랜타 근처 한식당인 '한일관'이라는 곳에서 갈비탕, 돌솥비빔밥, 불고기 등을 먹죠.
그리고 학교에서 학회 참석에 대한 지원을 아주 잘 해줘서, 올해 6개의 학회를 참석했는데요. 거기서 Tor Project의 director인 Roger Dingledine, UCSB에서 iCTF를 주최하시는 Giovanni Vigna 교수님 등 해킹과 학계에 걸쳐있는 멋진 분들을 많이 만날 수 있어 좋았어요.
미국 해커들과 저의 차이점이라면, 우리나라의 주입식 교육의 문제라고 하나요? 그것 때문인지 저는 해킹 대회가 있고, 문제가 있어서 그 문제를 풀기 위해서 지식을 쌓은 것 같은데 여기 해커들은 자신의 재미를 위해 지식을 쌓은 것이 다른 것 같아요. 물론 대회 문제를 푸는 건 저도 어느 정도 자신이 있지만 기존에 나오던 문제들이 아니라 새로운 스타일이 나오면 항상 팀원들에게 의지한답니다. 재미와 관심사가 우선인 그 부분을 많이 배워야 할 것 같아요.
<교내 해킹대회 H3 참가시 사진>
-가장 자신있는 보안 혹은 해킹분야는 어떤 분야인가요? 또 그 분야를 공부하기 위해서는 어떤 공부와 노력이 필요한가요?
자신 있다기 보다는 가장 좋아하는 분야가 운영체제와 그 위에서 돌아가는 어플리케이션의 취약점 공격입니다. 해킹대회에서 Pwnable 문제나, CVE로 발표되는 실제 취약점들에 대한 공격이 그런 것인데요. 요즘 OS들은 10년 전과 다르게 여러가지 보안 기술들이 적용되어 OS와 그 위에서 각 기술들이 어떻게 동작하는지 정확히 알아야 해킹을 성공할 수 있답니다.
초심자가 접하기엔 벽이 높아 어려워 보이지만, 공부를 하다 보면 공격을 성공한다는 것이 보안 기술을 요리 조리 피해 미로를 탈출하는 그런 쾌감이 있어요. 무조건 열심히 한다는 노력 보다 이 안에 있는 저런 재미를 알아야 잘 할 수 있는 분야가 아닐까라고 생각해요.
-한국 해커들에게 바라는 점과 해커들이 자유롭게 활동할 수 있는 환경 마련을 위해 필요한 것은 어떤 것들이 있을까요?
제가 아는 한국 '해커' 분들은 다들 회사 또는 연구소 등에 적을 두고 계시더라구요. 그런 직업을 갖는 다는 것이 그 자유로움을 많이 제한하는 게 아닌가 싶습니다. 그런 곳에 있으면서 거기서 원하지 않는 연구나 취약점 공개 등을 하면 자신이 위태로워 지기도 하구요.
모두가 다 그런건 아니겠지만, 제가 가장 인상 깊었던 것은 세계적인 해커인 A, G와 2009년 PoC 때 이야기를 나눌 기회가 있었는데, 그 때 저에게 뭘 할거냐는 질문에 제가 미국 학교의 PhD 과정으로 가려 한다고 답하자 A는 자기는 적당한 대학만 나와 하고 싶은 보안 연구를 하며 잘 살고 있는데, 왜 그런데 가서 시간을 보내려 하냐?라고 했고, G는 자기 아버지는 PhD를 받고 대학에 있고, 자기는 고등학교만 나와서 사는데 내가 사는 집이 더 크고 내가 더 즐겁게 산다. 그럼 너는 PhD를 할거냐, 아님 우리처럼 살거냐?라는 대답을 들었습니다.
근데 대한민국에선 그렇게 적이 없이 살기가 힘든 것 같아요. 외국에서 몇 달 간의 컨설팅과 프리랜서로 일하면서 생활비와 개인 여비를 충분히 벌 수 있지만, 대한민국에선 어디에 가도 '석사 학위 이상인 자 또는 4년 이상 경력자' 와 같은 문구가 있어 많이 제한이 되지 않나 싶습니다.
사회경험이 적은 저의 짧은 생각이겠지만, 자유롭지 못한 환경이 해커들 만의 문제도, 제도만의 문제도 아닌 사회의 문제에서 발생된 게 아닌가 싶어요.
-해외 컨퍼런스나 취약점 발표에 영어 때문에 고민을 많이 하는 것 같은데 어떻게 극복해야 할까요?
영어와는 문법 구조가 다른 한국어를 20년 넘게 써 오면 영어는 극복하기 참 힘든 것 같아요.
저도 처음 왔을 때 전화로 컨퍼런스를 하거나 프로젝트 담당자에게 연구 결과 발표를 하는 것이 정말 힘들었어요. 그래도, 조금씩 익숙해지니 잔기술들이 많이 늘어서 이제 그런게 두렵지는 않아요. 그래서 영어를 극복하기보다, 외국인들을 많이 접하고 자신감을 갖는 것이 해답이 아닐까 싶습니다.
-해커가 되고 싶은 후배들이 많습니다. 그 후배들에게 해주고 싶은 말이 있다면?
원래 해킹이라는 뜻은 컴퓨터로 권한을 탈취하는 것이 아니라 재미있고 유익한 문제를 푸는 일에서 나온 것이에요. 하루 종일 어떤 것에 대해 연구를 하는걸 'hack all day' 라고 표현하기도 한답니다. 그런 것처럼, 해킹이라는걸 공부하려 하지 말고, 자기가 재미있다고 생각되는 점을 찾고 그 재미를 쫓는 자세가 중요한 것 같습니다.
제가 아주 뛰어나진 않습니다만, 후배분들이 적어도 저보다 잘 하려면 엄청난 노력이 필요할 거에요. 그 노력을 들일 수 있는 재미를 찾아 보길 바랍니다.
그리고 해킹은 위험한 기술이기도 하니, 그것을 탐구하는데 목적을 둬야 하지 사용하는데 목적을 두면 아주 위험합니다. 어디서 본 구절인데, 남들과 다른 세번째 눈을 가졌다면, 그 눈을 감는 법 부터 배우라는 말이 있어요. 자신의 기술을 세상에 유용하게 사용할 수 있도록 가꾸는 것이 중요하다고 생각합니다.
-아시겠지만 한국에서 올해들어 대형 보안사고들이 줄을 이었습니다. 학생이지만 기업들 보안상황에 대해 지적할 만한 부분이 있다면?
기업들의 보안에 대한 의식이 중요하지 않나 싶어요. 회사에서 개인정보 유출 사고가 일어나면, 그 대응이 사용자들에게 사과공지를 하고, 비밀번호를 변경하라는 것만 하면 별 문제가 없는 것이 현실이에요. 그런 구조에서 기업이 보안에 돈을 투자할 이유가 뭘까를 고민 해 보면 보안 사고를 까다롭게 생각할 수 있는 장인정신과 같은 의식이 필요하다고 봅니다.
-향후 10년 계획을 듣고 싶네요. 또 보안분야에 활동한다면 어떤 일을 하고 싶은가요?
지금 생각하고 있는 계획은 제 지도교수님(Prof. Wenke Lee)과 같은 일을 하는 사람이 되고 싶어요. 현재 12명의 박사과정 학생을 지도하시면서 회사 2개를 운영하고 계시는데, 학교에서 학생들을 가르치고 연구를 하며 그 연구 결과로 회사를 만들어 그 기술을 바로 세상에 적용시키는 모습이 참 멋지더라구요. 그렇게 되려면 10년 동안 아주 열심히 살아야 할 것 같습니다.
[데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
