올해 6월 법인으로 전환하고 본격적인 오펜시브 리서치(Offensive Research. 공격기법 연구) 기업으로 성장시켜 나가고 있는 그레이해쉬(grayhash.com) 이승진 대표를 얼마전 강남 BoB교육센터에서 만나 대화를 나눴다.
 
이승진 대표(사진)는 “회사를 운영한다기 보다는 오펜시브 리서치를 좋아하는 연구원들끼리 모여 리서치 센터를 만들고 싶었다. 돈이야 리서치를 통해 새로운 연구를 발표하고 공격 기술을 통해 비즈니스를 창출할 수 있다고 생각했다. 리서치 노하우가 쌓이다 보면 프로젝트 수주하는데 어려움이 없겠다는 판단에서 시작하게 됐다. 일과 하고 싶은 연구 둘 사이에 갭을 줄일 수 있어 좋고 또 좋아하는 사람들끼리 모여 일하는 것이 즐겁다”고 전했다.
 
‘그레이해쉬’라는 이름으로 연구를 시작한 것은 2년이 됐고 현재 4명의 직원과 함께 연구 활동을 활발히 진행하고 있다. 전직원이 재택근무를 하고 있으며 몸은 떨어져 있지만 소속감은 굉장히 강하다고 강조한다.
 
재택근무의 장단점이 있을 것 같았다. 이 대표는 “재택근무를 하니 직원들 행복감이 높다. 고역스러운 출퇴근 시간이 필요치 않아 시간 활용면에서 좋은 것 같다. 또 자신의 취향에 맞는 시간대에 일 할 수 있다는 점도 긍정적”이라며 반면 “자기 관리가 안되면 어려운 일이다. 아직은 규모가 작아 재택근무가 가능하지만 직원이 많아지면 달라질 수도 있을 것 같다”고 말했다.
 
연구원 채용 기준에 대해서는 가장 중요한 것을 ‘기술력’으로 꼽았다. 인성보다는 기술력이라고 강조했다. 그 다음이 윤리적 마인드, 자기관리 능력 등이며 학벌과 성별은 신경쓰지 않는다. 전형적인 해커 마인드의 회사다.
 
최근 해커들의 등용문도 많아지고 사회적 인식도 많이 바뀐 분위기다. 그는 “해커 입장에서 보면 예전에 비해 많이 좋아졌다. 특히 국내 해커들의 실력이 해외에서도 인정받고 있다. 우리나라 해커들이 블랙햇 등 국제적인 해킹 컨퍼런스에서 발표도 자주하고 글로벌 버그바운티에 제보도 많이 하는 등 국제적 활동이 늘었다. 실력이 많이 향상된 분위기다. 또 BoB같은 시스템은 데프콘 운영자 제프모스도 부러워하는 교육 프로그램이다. 아직 세계적인 해커들에 비하면 부족하지만 어린 친구들이 체계적인 지원을 받으며 성장한다면 몇 년 후 실력적인 면에서도 상당히 올라갈 것으로 기대하고 있다”고 밝혔다.
 
우리나라도 오펜시브 리서치 분야가 성장해야 한다고 그는 강조한다. 그 이유에 대해 “어느 나라를 불문하고 오펜시브 리서치 능력이 강한 나라가 방어능력도 강하다. 공격기술에 능력자를 많이 보유하고 있는 나라들 대부분이 대응하는 방어기술도 다른 나라에 비해 더 많이 발전해 있다는 것을 알아야 한다”며 “공격기법 연구를 기반으로 방어기법도 같이 발전할 수 있다. 공격을 많이 받는 기업일수록 자연스럽게 다양한 방어체계를 구축하게 되는 것을 보면 알 수 있다. 공격기법을 알리는 사람이 많아야 방어능력도 발전한다”고 말했다.
 
그레이해쉬는 어떻게 돈을 벌까. 공격기법 연구만해서 돈을 벌 수 있을까. 이 대표는 “리서치 활동을 통해 여러가지 비즈니스가 창출된다. 또 컨설팅과 트레이닝도 같이 이루어진다. 또 기존 보안솔루션들을 우회할 수 있는 연구도 진행하고 있다. 기존 솔루션들을 보완할 수 있는 솔루션 개발도 준비하고 있어 하반기에 출시 예정”이라며 “가장 주력하는 분야는 제품보안 리서치 업무다. 직원들도 솔루션 리서치 전담, 제품보안 컨설팅 전담, 제품보안 및 트레이닝 전담 등으로 구분돼 있다. 일반적인 모의해킹은 하지 않는다. 틀에 박힌 작업보다는 항상 새로운 과제를 찾아 나선다”고 한다.
 
최근 오펜시브 리서치에 대한 기업과 기관들의 요청이 늘고 있다. 특히 제품보안 의뢰가 많다. 설계단계보다는 제조단계에 투입된다. 제품 출시 전에 보안검증을 하기 위해서다. 또 출시된 이후에도 컨설팅을 받기도 한다. 주로 모바일 분야와 임베디드 시스템들이 오펜시브 리서치를 원하고 있다.
 
예를 들어, 모바일 기기 제조사와 통신사 등이다. 모바일 기기에 대한 검증 의뢰나 통신사에서 고객들에게 제공하는 앱들에 대한 검증, 시스템에어컨에 대한 검증, 기간 사업망에 사용되는 스카다시스템 등 오펜시브 리서치 의뢰는 더욱 다양해 지고 있다. 정부기관에서도 자신들이 사용하는 소프트웨어에 대한 검증 의뢰도 늘고 있는 분위기다.
 
이 대표는 “한국도 이제 오펜시브 리서치 영역이 비즈니스로 막 열리는 시점이라고 생각한다. 앞으로 더 커질 전망이다. 하지만 궁극적으로는 리서치 활동과 솔루션 개발해서 잘먹고 잘살기 위해서가 아니다. 안정적인 수익구조가 만들어지면 정말 우리가 하고 싶은 연구분야들에 직원들 각자가 매진하고 싶을 뿐이다. 하드웨어 연구를 해 보고 싶은 연구원도 있고 다른 사람이 찾지 못하는 버그 유형을 찾아 보고 싶은 연구원도 있다. 그렇게 하고 싶은 분야에 대해 연구를 하다보면 또 자연스럽게 비즈니스와 연결될 수 있다고 생각한다”고 밝혔다. 즉 돈을 벌기 위해 연구를 하는 것이 아니라 연구를 하기 위해 돈을 번다는 것.
 
경쟁자들이 많아지면 오펜시브 리서치 영역도 다른 보안분야처럼 저가경쟁에 시달리지 않을까 내심 걱정이 되기도 했다. 그는 “실력만 있다면 리서치 사업 추천하고 싶다. 하지만 정말 실력이 좋아야 한다. 혼자서는 안되고 최고 기술력을 가진 인력들이 함께 해야 한다. 그런 면에서 진입장벽이 높다”고 전했다.
 
국내에서 오펜시브 리서치 능력자들은 몇 명 정도 될까. 하이레벨 실력파들은 대략 20명 내외로 보고 있다. 하지만 여러가지 교육여건이 좋아지면서 그 수는 더 늘어날 것으로 예상된다. 하고 싶은 연구를 하면서 돈도 번다는 것. 매력적이다. 하지만 그에 걸 맞는 수준을 갖추지 않으면 시장에서 도태될 수밖에 없다는 것.
 
이 대표는 후배들에게 이렇게 당부한다. “공부 정말 열심히 해야 한다. 남들도 쉽게 할 수 있는 것 말고 남들이 못하는 연구를 해야 한다. 남들이 어려워하는 분야에 도전해 보길 바란다. 그리고 글로벌 역량을 키워야 한다. 특히 언어능력”이라며 “오펜시브 리서치 사업을 하고 싶다면 사업을 시작하기 전에 우선 일반 보안업체에 2~3년 정도 일 해보길 권장한다. 보안분야 생태계도 알아야 하고 고생도 좀 해 봐야 한다. 연구자 커리어도 쌓아야 한다. 연구결과 많이 발표하고 국내 뿐 아니라 해외에도 발표해 자신의 커리어를 쌓은 후에 사업을 시작해도 늦지 않다”고 조언했다.
 
그리고 현업 담당자들의 연구 니즈에 대한 정부의 지원도 필요하다고 덧붙였다. “현업에서도 오펜시브 리서치를 하고 싶어 하는 분들이 의외로 많다. 하지만 지원책이 없다. 미국은 기업 연구원들이 연구하고 싶은 리서치 분야를 정부에 제안하면 정부가 리서치 비용을 지원해주는 제도도 있다. 그를 통해 좋은 결과물들이 많이 나온다. 현업의 경험이 묻어나기 때문에 더 좋은 결과가 나오기도 한다. 지금처럼 학생들 위주의 BoB 시스템도 필요하지만 현업에 있는 분들의 연구 니즈도 충족시켜 줄 수 있는 제도도 꼭 필요하다”고 강조했다.
 
국내에서 본격 오펜시브 리서치 회사를 운영하는 곳은 현재 그레이해쉬를 비롯해 2~3곳 정도에 그치고 있다.  기업들의 니즈가 커지고 있는 만큼 실력있는 연구가들이 얼마나 많이 수면위로 올라오느냐가 관건이다.  
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com