[BN미팅] 시큐아이 박사홍 프로가 뽑은 최근 보안이슈 TOP 3

다크웹 유통 정보 활용한 비인가 접근, 기업 타깃 APT 공격 및 랜섬웨어, 국가지원 해킹
BEC 공격 주목...깃허브 리포지터리에 위치한 소스코드 내 민감정보 찾아 공격에 활용
국내 클라우드 기반 서비스 증가...클라우드 환경 보안 강화해야

[보안뉴스 김경애 기자] 인터뷰 내내 고요한 아침 호수 같은 표정으로 있다가도 가끔씩 옅은 미소를 보이는 구간이 있다. 바로 가수 엠씨더맥스(M.C the MAX)와 펌프 얘기할 때다.

▲시큐아이 박사홍 프로[사진=시큐아이]

기자 : “좋아하는 노래 있어요?”
박사홍 프로 : “엠씨더맥스 노래 좋아해요.”

기자 : “어? 저 돈데...(기자가 더 신남) 무슨 곡 좋아해요?
박사홍 프로 : “엠씨더맥스 노랜 다 좋아해요.

기자: “그 중에서도 어떤 곡이요?(궁금해서 안절부절) 전 ‘해바라기도 가끔 목이 아프죠’ 좋아하는데...”

묻지도 않는 말에 흥이나 덥석 대답부터 하는 기자에 차분히 응대한다.

박사홍 프로: ‘어디에도’라는 곡이요.

엠씨더맥스가 활동할 당시 태어나지도 않았던 박사홍 프로는 앳된 소년 이미지와 반대로 1990년대 감성의 아이콘이었다. 1990년대 후반 ‘까딱까딱’ 손놀림이 전부였던 오락실에 센세이션하게 등장한 ‘펌프(PUMP)’는 강렬한 리듬에 맞춰 이리찍고 저리찍고 스텝을 밟으며 화살표를 따라가는 게임이다. ‘펌프’를 안다는 것만으로도 신기한 주변의 시선에 ‘고수 레벨 ’임을 당당히 밝힌 그는 생각만으로도 즐거운지 표정이 환해졌다.

라떼 시절을 연상케 하는 옛 감성의 노래를 즐겨듣고 펌프를 좋아하는 시큐아이 박사홍 프로는 차세대 보안리더 양성프로그램(BoB) 7기 보안제품개발트랙과 함께 삼성 청년 소프트웨어 아카데미(SSAFY) 1기를 수료하며, 정보보안 전문가의 길에 접어들었다. 그는 육군해킹방어대회 장려상(2018. 03.), SSAFY 삼성전자 대표이사 우수상(2019. 11.), 실시간 최신 악성코드 및 침해진단 서비스 제공 방법(10-2018-010048, 단체) 특허를 보유한 쟁쟁한 실력자다.

현재 시큐아이에서 신규 위협 동향을 파악하고 취약점을 분석하며, 네트워크 보안 제품 Snort 시그니처를 개발하고 있다. 이에 본지는 시큐아이 박사홍 프로와의 인터뷰를 통해 최근 보안이슈와 보안기술 트렌드에 대해 들어봤다.

1. 직업군에 관한 질문 영역
업무와 직업과 관련해 본인 소개를 부탁드립니다.
안녕하세요. 시큐아이 위협분석그룹에서 근무하고 있는 박사홍입니다. 현재 시큐아이 위협분석그룹에서는 악성코드 분석, 시그니처 개발, 그리고 다양한 분석결과를 제시하는 STIC 등이 있는데요. 그 중에서도 저는 매일 발생하는 취약점 확인과 함께 보안위협 동향을 살펴보고 분석하는 업무를 담당합니다. 어떤 취약점이 가장 이슈가 되고 있는지 파악하고, 실제로 해당 취약점이 네트워크를 통해 공격이 가능한지 또는 어떻게 공격하는지 파악해 방화벽과 IPS(침입탐지 시스템)에 들어갈 시그니처를 개발하고 있습니다.

보안 분야 입문 과정과 계기가 궁금합니다.
중학교 3학년 때, 담임 선생님께서 장래희망에 관한 숙제를 내주셨던 적이 기억나는데요. 그 당시 컴퓨터로 이것저것 하는 것을 좋아했지만, 막상 어떤 직업을 가져야 할 지는 몰랐었어요. 그때 컴퓨터 관련 직업을 살펴보던 중 ‘보안전문가’라는 직업이 눈에 확 들어왔습니다. 누군가의 공격을 막는다는 것이 멋있어 보였고, ‘해킹’이라는 단어가 보안 분야로 몸담게 만든 마법 같은 단어가 된 것 같습니다.

시큐아이에 입사한 계기는 무엇인가요?
삼성 청년 소프트웨어 아카데미(SSAFY) 교육과정을 진행하면서 삼성그룹에 입사하고 싶다는 생각이 들었습니다. 아무래도 공부해왔던 분야가 보안이라 개발보다는 보안 분야로 직업을 갖고 싶었어요. 삼성 계열사 중 정보보안 전문기업인 시큐아이를 알게 됐고, 꼭 입사하고 싶은 마음이 들었던 것 같습니다.

회사 분위기는 어떤가요?
시큐아이는 자율 출퇴근 제도라 출퇴근 시간을 스스로 관리해요. 이 때문에 출근 시간이 여유로운 게 큰 장점입니다. 사내 분위기도 자유로워 업무하면서 다양한 분들과 협업할 수 있습니다. 시그니처 성능 개선을 위해 엔진 팀과 회의를 하거나, 악성코드 분석으로 나타나는 C2(명령제어) 통신을 추적하고 시그니처를 개발하면서 다양한 분야를 배울 수 있는 게 큰 장점입니다.

시큐아이에 입사하려면 어떤 자질과 능력을 보유해야 하나요?
시큐아이는 방화벽과 침입방지시스템, 그리고 다양한 네트워크 제품이 있어 네트워크 지식은 기본입니다. 그리고 끊임없이 발생하는 취약점에 대한 이해와 분석 능력도 필요합니다. 신입 공채로 지원하신다면, OPIC과 소프트웨어 역량 테스트를 위한 알고리즘 지식도 필수입니다.

2. 보안이슈에 관한 질문 영역
Q. 최근 보안이슈와 주목되는 보안이슈 TOP 3를 꼽아주신다면?
1. 다크웹 유통 정보를 활용한 비인가 접근
2. 기업 대상 APT 및 랜섬웨어 공격
3. 국제정세 불안 속 사이버 스파이 행위 및 국가지원 해킹 공격 지속

특히, 특정 기업을 대상으로 하는 타깃 공격과 랜섬웨어가 최근 가장 큰 보안위협이라고 볼 수 있습니다. 기업의 소스코드, 고객 정보 등 다양한 정보가 유출되고 있는데요. 이러한 보안 위협은 패치되지 않은 소프트웨어를 사용하거나 이메일을 통해 악성코드에 감염되어 발생합니다. 쉽게 발견하기 어려워 기업들의 각별한 주의가 필요합니다. 또한, 중요 정보가 유출되고 기업의 데이터가 암호화된다면 더 큰 피해가 발생할 수 있습니다.

최근 관심 있게 보고 있는 보안 위협에 대해 설명해 주신다면?
최근 관심 있는 보안 위협은 ‘Business E-mail Compromise(BEC)’입니다. BEC는 과거부터 지금까지 지속적으로 발생하는 보안위협인데요. 기업의 정보를 유출하기 위해 사회공학적 기법을 이용하게 되는데, 공개된 이메일 계정을 이용해 누군가를 사칭하거나 깃허브(Github) 리포지터리(Repository)에 위치한 소스코드 내 존재하는 민감정보를 찾아 공격에 활용하고 있습니다.

지금까지 보안전문가로 일하면서 가장 기억에 남는 보안사고는 무엇인가요?
Log4j 취약점이 발생했을 때, 새벽에 시그니처 긴급 업데이트를 진행했던 기억이 납니다. 국내외 가릴 것 없이 가장 많이 사용되고 있는 프로그램이라 그만큼 이슈가 됐는데요. 그 이후로도 계속해서 버전별로 취약점이 발표됐고, 방화벽과 IPS를 우회하기 위해 다양한 형태의 공격이 발생했습니다. 지금까지도 Log4j를 악용한 공격이 탐지되고 있습니다.

보안위협과 관련해 보안담당자에게 전하고 싶은 메시지는 무엇인가요?
해외에서는 클라우드 기반 서비스가 활성화되면서 이를 노린 APT 공격이 증가하고 있어요. 국내에서도 클라우드 기반 서비스가 증가하고 있어 클라우드 환경의 보안을 한 번 더 점검해야 합니다.

3. 분위기 전환, 개인적인 질문 영역
좋아하는 색깔은 무엇인가요?
빨간색을 좋아합니다.

좋아하는 연예인은?
영화배우 제이슨 스타뎀(Jason Statham)을 좋아합니다. 액션 씬이 멋있어요.

취미는 무엇인가요?
최근 넷플릭스나 TV 드라마가 정말 재밌는 게 많아서 자주 보고 있어요. 운동 겸해 오락실에 가서 펌프를 하기도 합니다.

가장 감명 깊게 본 영화는 무엇이며, 그 이유는?
다이하드4가 가장 기억에 남았던 것 같습니다. 이 영화를 본지 너무 오래된 것 같은데요. 교통, 통신, 금융 분야 등 다양한 곳을 해킹해 마비시키고, 이를 막아내는 장면들이 기억에 남는 것 같습니다.

추천하고 싶은 책은 무엇이며, 그 이유는?
박병익, 이강석 저자가 공동 집필한 ‘Reverse Engineering: 역분석 구조와 원리’를 추천합니다. 리버스 엔지니어링에 첫 발을 내딛는다면 이 책을 추천드리고 싶습니다. 리버싱이 어떤 것인지 알 수 있고, 책 두께도 얇아서 실습하면서 쉽게 배울 수 있습니다.
[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)