2024-03-28 20:45 (목)
[POC2014] 조지아공대 이병영 “해커로서 세상에 도움이 되려면”
상태바
[POC2014] 조지아공대 이병영 “해커로서 세상에 도움이 되려면”
  • 길민권
  • 승인 2014.11.07 15:32
이 기사를 공유합니다

“중요 버그를 찾는 것, 타고난 창의력 가진 천재들만 할 수 있는 일 아니다”
제9회 국제 해킹?보안 컨퍼런스 POC2014가 11월 6~7일 서울 양재동 더케이호텔서울 거문고홀에서 개최됐다. 이 자리에서 포항공대에서 석사학위를 마치고 4년 전 미국 조지아공대 박사과정 유학길에 오른 이병영(사진)씨를 만났다. 그는 이번 POC2014 첫 키노트 발표자로 초청받아 2년 만에 한국을 찾게 됐다고 한다.
 
그는 박사과정에서 주요 연구 과제에 대해 “시스템보안에 대해 연구하고 있다. 어떻게 하면 프로그램을 버그없이 돌아가게 하느냐. 또 버그가 있어도 버그없는 것처럼 프로그램이 돌아가게 하느냐 등에 대해 연구하고 있다”고 설명했다.
 
조지아공대 유학생활 4년 차, 여러가지 힘든 점도 있었다고 한다. 우선 초기에는 영어 문제가 가장 컸다고 한다. 영어로 어떤 문제에 대해 상대방을 설득을 해야 하는 상황에서 답답한 점이 많았다는 것. 지금은 어느정도 해소됐지만 언어문제를 가장 힘든 부분으로 꼽았다.
 
현재는 해외 학회에 논문 발표도 활발히 하고 있다. 최근에는 중요한 버그를 찾는 툴을 발표했다. 이 툴을 활용해 GCC컴파일에서 버그를 10개 정도 찾았고 파이어폭스 취약점도 3개를 찾았다. 버그를 찾는 툴이 아니라 버그를 막는 툴이지만 버그를 찾는데도 유용하게 활용될 수 있는 툴이라고 설명한다.
 
유학생활에 비용도 만만치 않게 들어가지 않을까. 그는 “학교에서 지원금은 최저생계비 정도에 불과하다. 부모님께 지원을 받는 학생들도 있지만 컴퓨터 공학을 연구하는 학생들은 방학기간에 3개월 정도 인턴을 할 수 있는 기회가 많다. 인턴비용으로 충분히 생활비를 충당할 수 있다”고 말했다.
 
이병영씨가 인턴생활을 한 기업은 구글, 마이크로소프트 등 글로벌 대기업들이다. 이외 작은 기업들도 학생들이게 이런 기회를 많이 주고 있다고 한다. 인턴들이 한 달에 지급받는 임금은 대략 7000~8000달러 정도 된다.
 
그는 “미국 기업에서 컴퓨터 공학 학생들이 인턴을 할 때는 소위 잡일들을 하는 것이 아니라 실제로 중요한 프로젝트를 맡긴다. 풀타임 직원들이 할 수 없는 프로젝트를 맡기고 인턴기간 안에 결과물을 건내주면 된다”며 “구글 같은 경우는 인턴을 마치면 풀타임으로 갈 수 있다. MS도 마찬가지로 인턴에서 풀타임으로 갈 수 있는 기회를 제공한다. 인턴기간에 충분히 실력을 보여주면 자격증이나 스팩을 보지 않고 채용기회를 주고 있다”고 말했다.
 
또 인턴기간에 느꼈던 점에 대해 “구글에서 인턴을 하면서 느낀 점은 직원들이 정말 열심히 일한다. 아이폰 해킹으로 유명한 지오핫 같은 경우는 외부에서는 자유롭게 보일 수 있지만 실제로 구글에서 생활하는 것을 보면 오전 6시에 출근해서 자정까지 일한다. 복도를 걸어다니면서도 코드를 읽기도 한다. 외부에서는 천재라서 잘한다고 하지만 실제로 엄청난 노력을 하고 있다는 것을 보게 됐다. 천재라서 잘하는 것이 아니라 정말 열심히 노력하고 있는 것이다”라고 소감을 밝혔다.
 
덧붙여 후배들에게 “큰 목표를 가지라고 말하고 싶다. 엄청난 버그를 찾는 것이 타고난 창의력을 가진 천재들만 할 수 있는 일이 아니다. 해외 유명 해커들이 치명적인 버그를 찾는 것은 엄청난 노력과 함께 버그를 찾는 방법을 알고 있기 때문이다. 해킹대회 참여도 중요하다. 이외에 해커로서 세상에 도움이 되려면 사회에서 필요한 분야에 대한 연구를 해야 한다. 보다 임팩트있는 문제에 대해 연구하면 좋을 것 같다. 브라우저, 아이폰, 안드로이드 등등 실생활에서 발생할 수 있는 많은 문제점들에 대한 연구가 더 필요하다. 그리고 해외에서 한 방법들을 따라하기 보다는 새로운 방법을 연구하는 것도 중요하다”며 “현재 한국에서도 실력있는 해커들이 많기 때문에 앞으로 좋은 결과물들이 나올 것이라 믿고 있다”고 전했다.
 
그의 이번 POC2014 발표 제목은 ‘Identifying Memory Corruption Bugs with Compiler Instrumentations’다. 발표 내용에 대해 그는 “퍼징을 통해서 취약점을 찾을 때 단순히 디버거를 붙여서 문제를 분석하려고하면 여러가지로 한계점이 있다. 때문에 요즘 보안 분야에서는 컴파일러 인스트루먼테이션을 통해서 이러한 문제를 해결한다. 즉 컴파일 과정에서 실행 과정을 모니터하기 위한 추가 코드들을 삽입해 버그가 발생했을 때 즉시 리포트하며, 버그가 발생한 원인도 더 분석하기 쉽도록 알려주는 기능도 들어가 있다”고 설명했다.
 
또 “이러한 기술들을 이용해 use-after-free 버그를 더 잘 찾을 수 있고, 또한 bad casting이라 불리는 버그 또한 더 잘 찾을 수 있다. 그리고 이러한 결과들을 기반으로 현재는 프로그램이 버그가 있더라도 버그가 마치 없는 것처럼 정상적으로 동작하는 부분들을 연구하고 있다”고 밝혔다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★