보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사 > 인터뷰

[대한민국 차세대 화이트해커 열전-3] Hype Boy들이 말하는 “보안 잘하는 방법은...”

입력 : 2023-12-11 15:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
Hype Boy팀 5인 인터뷰 : 김동욱, 문시우, 문형일, 이진헌, 채하늘
보안 잘하는 4가지 방법은 ‘기본기, 버티기, 유연과 고집 그리고 행복’


[보안뉴스 박은주 기자] ‘Hype Boy(하입보이)’라 하면 아이돌 그룹 뉴진스(NewJeans)의 노래가 떠오른다. 하입보이는 멋진·트렌디한 소년이라는 뜻이다. 이번 [대한민국 차세대 화이트해커 열전]에서는 보안 분야 하입보이들을 만나봤다. 바로 세계 최고 권위의 해킹대회 ‘DEFCON CTF’에서 종합 4위를 기록한 ‘Hype Boy’팀 해커들이다. 그중 김동욱, 문시우, 문형일, 이진헌, 채하늘(이름 가나다순) 해커의 이야기를 듣고 ‘보안 잘하는 방법’을 알아봤다.

▲(위 왼쪽부터) 채하늘, 문형일 (아래 왼쪽부터) 김동욱, 문시우, 이진헌 해커[사진=보안뉴스]


보안은 기본에서 시작한다
다섯 해커 모두는 화이트해커라면 ‘윤리의식’을 갖춰야 한다고 말한다. 지난 5월 알라딘 전자책을 해킹한 16세 범인을 예로 들며 “우리(화이트해커)가 대회에 나가는 것처럼 해킹을 즐겁고 바른 용도로 사용할 수 있었을 텐데, 범죄로 빠진 것이 안타깝다”고 전했다. 해커로서 전문성을 기르기 이전에 도덕적인 원칙을 가지고 책임감 있게 행동할 줄 알아야 화이트해커가 될 수 있다는 것. 이밖에도 기초지식 학습과 끈기, 꾸준함을 꼽았다.

이진헌 : 컴퓨터와 해킹에 대한 기본 지식을 충분히 쌓아야 해요. 영어를 배울 때 단어부터 차근히 외우는 것처럼, 시스템 해킹을 배우려면 C언어부터 시작해야죠.

김동욱 : 고등학생 때부터 해킹대회만 참가한 사람과 대학생이 돼서 컴퓨터 사이언스를 공부한 사람을 비교해 보면, 컴퓨터 사이언스부터 공부한 사람이 장차 더 실력 있는 해커로 성장할 것이라고 생각해요. 기본기를 쌓지 않은 사람은 흥미가 오래가지 않거든요.

기초 지식을 탄탄하게 다졌다면 끊임없이 쏟아지는 기술을 ‘배우려는 자세’를 가지고 ‘끈기’ 있게 물고 늘어져야 한다는 설명이다. 또한, 이 모든 것을 뒷받침하는 ‘체력’이 중요하다고 입을 모아 강조했다.

해커는 ‘버티기’ 달인이다
특정 시스템이나 서비스에서 취약점을 찾아내기까지는 최대 1년 혹은 그 이상이 걸린다. 보안 전문기업도 약 1년 단위로 보안 프로젝트를 진행한다. 그 시간 동안 시스템을 파헤치고, 데이터를 분석하고, 오류를 찾아낸다. 끝내 취약점을 발견할 때 느끼는 ‘짜릿함’이 ‘화이트해커로 일하는 맛’이라고 말한다.

그러나 시간과 노력을 들였음에도 취약점을 발견하지 못하기도 한다. 취약점을 발견하지 못했을 땐 속상하고, 허탈함을 느끼기도 한다고. 다만, 해커로서 익혀온 데이터와 지식 기반에서 탐구하는 과정을 즐기고 잘할 수 있다는 자신감을 가져야 좌절하지 않고 보안을 계속할 수 있다고 말한다.

또 해커가 견뎌야 하는 것 중에는 ‘졸음’이 있다. 해커의 올림픽이라 불리는 ‘DEFCON CTF’ 해킹대회는 3일 연속으로 쉼 없이 진행된다. 72시간 동안 더 많은 취약점을 찾아 문제를 해결해야 높은 점수를 얻는 방식이다.

문시우 : 졸음을 이겨내려 커피도 마시고, 세수도 하면서 집중력을 끌어올리기 위해 노력했죠. 잠들면 다음 날 고통스러울 저와 팀원을 생각하면서 버텼어요.

문형일 : 대회에는 갖은 변수가 있는데, 참관객들 때문에 집중력이 흩어지기도 했어요. 졸음을 참고 문제를 보고 있으면 누군가 기웃거리고, 사진을 찍는다고 모니터 쪽으로 손이 쑥 들어오기도 하고요.

더불어 데프콘 특성상 다양한 분야의 문제 풀이가 요구된다. 역할에 따른 인원 배분도 대회를 이끌어가는 데 중요한 요소다. 데프콘은 팀원 수에 제한이 없어 50명, 100명이 한 팀으로 참가하기도 한다. 분야별로 인원을 나누고, 돌아가며 휴식을 취할 수 있기 때문이다. 그러나 Hype Boy 팀은 ‘편하게 소통하며 즐길 수 있는 팀’을 만들기 위해 총 14명 소수정예로 팀을 꾸렸다.

채하늘 : 인원이 많은 팀은 시간을 정해 교대로 잠을 자요. 또, 문제를 풀 때 저희 팀 3~4배 넘는 인원이 달라붙죠. 사람이 부족해 힘들기도 했지만, ‘나 아니면 안 된다’는 마음으로 대회에 임했어요.

하입보이 팀은 2023 DEFCON CTF 4위에 만족하면서도 아쉬움이 남는다고 전했다. 더불어 다가올 대회를 기약한다고 전했다.

유연하게, 때로는 고집 있게
김동욱, 문시우, 문형일, 이진헌, 채하늘 해커는 각자 보안전문가로 일하며 리버스 엔지니어링, 포너블, 웹해킹, 시스템 해킹 등의 전문분야가 있다. 동시에 다른 영역의 문제도 해결할 수 있는 유연함을 가졌다.

김동욱 : 회사에서는 시스템 해킹을, 대회에서는 리버스 엔지니어링을 맡았어요. 실제로 시스템 해킹을 하려면 리버싱을 통해 프로그램을 분석하고, 설계를 이해하는 게 필요하거든요.

이처럼 화이트해커는 분야를 막론하고 문제를 해결해야 하는 상황이 빈번하게 벌어진다. 처한 상황에 따라 문제를 유연하게 해결할 수 있는 것이 바로 보안을 잘하는 방법이다.

한편, 야구선수가 정확한 포구를 위해 야구 글러브를 손에 맞게 길들이는 것처럼, 해커도 익숙한 컴퓨터를 사용하고 자신의 편의에 맞게 프로그램 길들이기를 고집한다.

이진헌 : 해커도 장비를 타요. 특히 속도가 중요한 해킹대회 때는 더 민감하죠. 저는 대회에 참가하면 해외라도 노트북이랑 키보드는 꼭 가져가요.

문시우 : 해킹할 때 사용하는 ‘IDA Pro’ 등 여러 프로그램이 있는데요. 프로그램의 설정값이 달라지면 불편해요. 단축키나, 프로그램 테마, 특히 폰트도 해킹하는데 영향을 미치거든요.

사소해 보이는 고집 또한 해킹의 효율을 높이기 위함이다.

해커만의 행복
화이트해커의 일은 대개 티 나지 않는다. 시스템이나 서비스에 영향을 끼지 않으며, 안전을 유지하는 업무이기 때문이다. 그래서 보안은 ‘잘해야 본전’이라는 말이 따른다. 그러나 해커들의 초점은 공격자보다 먼저 발견했다는 측면에 맞춰져 있다.

채하늘 : 아무도 모른다 해도, 취약점을 찾아 패치하고, 위협 하나를 막았다는 자체가 뿌듯해요.

문형일 : 이 취약점이 노출됐다면, 이로 인해 개인정보나 데이터가 유출돼 피해를 봤겠죠? 그런 위험을 예방할 수 있어서 좋아요.

김동욱 : 오펜시브 시큐리티(Offensive Security)는 쉽게 말해 블랙 해커처럼 해킹을 시도하는 거잖아요. 다만 이를 통해 시스템을 보호하고 사용자의 안전을 유지하는 데 기여한다는 점이 뿌듯하고 자긍심을 가지게 돼요.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)