세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사 > 인터뷰
[인터뷰] 세계적인 사이버공방대회 락드 실즈의 수장, 라인 오티스
  |  입력 : 2018-10-31 09:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
제주 ‘사이버공격방어대회 및 사이버보안 컨퍼런스’ 기술 협조 파트너로 참가
락드 실즈, 2007년 발생한 대대적인 공격으로부터 나온 대회...시작은 미약
참가자도 배우고 운영진도 배우는 행사...국제적 파트너십이 보안의 힘


[보안뉴스 문가용 기자] 세계적으로 손꼽히는 규모의 사이버공방대회 중에 유럽의 CCD COE가 주관하는 락드 실즈(Locked Shields)라는 것이 있다. 매년 봄에 열리며, 올해는 20여개 팀, 1천여 명이 참가했다고 한다. 이 행사를 운영하는 인물 중에 라인 오티스(Rain Ottis) 에스토니아 공과대학 교수가 있다. 현재 제주도에서 열리고 있는 ‘사이버공격방어대회 및 사이버보안 컨퍼런스’ 참관자 및 기술 협조 파트너로 참가하고 있기에 잠시 자리를 함께 했다.

▲ 락드 실드의 수장 라인 오티스 에스토니아 공과대학 교수[사진=보안뉴스]


보안뉴스 : 1년 단위로 세계적인 공격 및 방어 전문가 1천여 명을 아우르는 대회를 주관한다는 게 절대 쉽지 않을 것이다. 그런 대회는 어떻게 기획됐는가?

오티스 : 이런 대형 프로젝트를 시작하려면 ‘해야만 한다’ 혹은 ‘반드시 필요하다’라는 동기가 필요하다. 그냥 되지 않는다. 에스토니아의 경우 2007년 전 국가적인 사이버 공격을 받은 바 있다. 온 나라가 마비되는 사태가 벌어졌다. 그 충격으로 온 나라가 '더 방어를 잘 해야 한다'는 생각을 갖게 됐다. 그리고 바로 2008년, 작은 규모의 첫 락드 실즈가 개최됐다.

사실 락드 실즈는 경쟁 대회 개념이 아니다. 1등을 뽑고, 순서대로 줄을 세워 상을 주기 위해 연 행사가 아닌 것이다. 이 행사에 참여해 여러 문제를 풀고 공격 시나리오에 대처해가면서 자신의 취약점을 파악하고, 대회가 끝난 후 계속해서 그 취약점을 개선해나가게 하는 데에 진정한 목적이 있다. 그 목적을 이해한다면 락드 실즈가 기술적인 부분에만 집중하지 않는 이유를 이해할 수 있을 것이다.

보안뉴스 : 해킹하고 방어하는 대회가 아닌가?

오티스 : 크게 세 가지 부분으로 구성되어 있다. 기술적인 건 그 중 하나일 뿐이다. 하나는 내부적으로 ‘소프트 스킬(soft skill)’이라고 하는데, 사람들과 어떻게 대화하고, 팀을 어떻게 관리하며, 매체 인터뷰를 어떻게 진행하고 상급자에게 제출하는 보고서를 어떤 식으로 작성하는지를 보는 것이다.

기술에 특화된 전문가들은 ‘사람을 대하는 스킬’에서 결여된 모습을 보일 때가 있는데, 이는 공격자들에게는 좋은 틈새가 되기도 하지만 조직적인 결정을 내릴 때나 분위기를 만들어 보안을 강화해야 할 때 제 역할을 하지 못하게 한다. 또 다른 하나는 ‘전략적 게임(Strategic Game)’이라고 부르는데, 정책을 제안하고 전략을 만드는 부분이다. 이 세 가지의 균형을 고르게 잡는 게 락드 실즈 운영자들의 몫이다.

보안뉴스 : 균형을 잡는 게, 말이 쉽지 실제로 실행하려면 많은 고충이 예상된다. 운영 팀(화이트 팀이라고 부른다)의 수장으로서 가장 어려운 점은 무엇인가?

오티스 : 처음에는 ‘자원’을 확보하는 게 어려웠다. ‘락드 실즈 핸드북’이라는 게 없었으니, 어떤 행사를 어떤 식으로 구성해나가야 할지 아무도 모를 수밖에 없었다. 그래서 군대에서 하는 공방 훈련 등을 많이 참고했다. 군 워크숍의 틀과 내용에서 많은 도움을 받았다. 사람을 모으는 건, 운이 좋았다고 본다. 필요한 인재를 찾는다는 건 늘 힘든 일이다. 게다가 에스토니아는 인구가 적은 나라다.

락드 실즈가 어느 정도 궤도에 오른 후에는 ‘인적 요소’가 가장 어려웠다. 운영 팀은 현재 200여 명으로 구성되어 있는데 국적도 다양하다. 그러니 언어에서부터 오해가 쌓이는 일도 생기고, 누군가에게는 업무가 지나치게 몰리기도 하면서 ‘번아웃’ 되는 경우도 발생했다. 그래서 핵심적인 역할들을 분리해내기 시작했다. 독립적으로 움직일 수 있도록 한 것이다. 그리고 그 역할들을 여러 가지 고려 사항을 바탕으로 배분했다. 이 부분은 정답이 없다. 아직도 예측하기 힘든 변수들을 만나고, 고민하여 대처한다.

그 다음으로 어려운 건 참가자들에게 최대한 현실적이면서도 실용적인 과제를 주는 것이다. 매년 중심이 되는 시나리오를 하나 선정해, 그걸 위주로 여러 가지 공격과 방어를 해나갈 수 있도록 하는데, ‘현실적’으로 만드는 게 간단하지 않다.

보안뉴스 : 현실적인 과제라는 게 무엇인가?

오티스 : 예를 들어 참가자들이 다뤄야 할 시스템을 항상 최신 버전으로 준비하지 않는 것이다. 물론 소프트웨어와 OS를 최신 버전으로 유지하는 건 중요하다. 기기도 이왕이면 최신 기기를 사용하는 것이 안전하다. 하지만 늘 하드웨어와 소프트웨어를 새 것으로 유지하는 조직이 얼마나 되겠는가? 업데이트를 소홀히 여기는 게 일반 사용자들의 현실인데 말이다.

그렇다고 윈도우XP 환경에서 시나리오를 구성할 수만도 없다. 모바일 메신저들이 유행한다고 이메일을 배제할 수도 없다. 실제 환경에서 실제로 사용되는 기기들과 소프트웨어를 환경 속에 녹여내는 것이 중요하다. 그래서 항상 기업들을 만나 이야기를 나누며 현재 일반인들이 '평균적으로' 어떤 환경에 있는가를 이해하려고 한다.

물론 매해 대회를 기획하는 우리 내부의 레드 팀은 공격 기술을 꾸준히 업데이트해야 한다. 그래야 운영진에게 조언과 제안을 할 수 있고, 그래야 실용적인 프로그램을 만들 수 있다. 현실성과 첨단성 모두를 잡는 게 이 행사가 추구하는 균형이다.

보안뉴스 : 이렇게 일이 많은데, 자기계발은 어떻게 하는가? 운영자가 계발되지 않으면 행사도 제자리걸음일 수밖에 없는데 말이다.

오티스 : 배움은 ‘참가하는 데’서 나온다. 이 대회를 준비하는 것 자체가 학습이다. 레드 팀에게서 새로운 기술에 대한 내용을 전달 받고, 그 기술을 대회 프로그램 속에 녹여내는 과정에서 다양한 파트너와 전문가들의 조언을 이해해가는 것이 그냥 저절로 되지 않는다. 또한, 한국으로 와 이렇게 국보연의 사이버공방대회에 참관하는 것도 락드 실즈를 돌아보게 하고, 새로운 아이디어 창출에도 도움이 된다.

락드 실즈는 참가자만이 아니라 운영자들에게도 배움의 장이 된다. 보안 관련 행사를 수년 째 준비하면서 보안에 대한 지식이 쌓이지 않는다면, 그 운영자는 사실 아무 것도 하지 않은 것이다.

보안뉴스 : 이야기를 처음으로 돌려서, 그렇다면 락드 실즈는 2007년 대대적인 공격을 받았던 에스토니아에 어떤 도움이 되었나?

오티스 : 상당히 많은 에스토니아 사람들이 락드 실즈에 참가했다. 최소한의 보안 지식을 모두가 얻었을 것이라고 희망한다. 하지만 이는 실제 위기 상황에서 증명될 일이고, 아직까지는 우리의 기대감일 뿐이다.

좀 더 실질적으로 도움이 되는 걸 꼽자면, 락드 실즈가 운영진과 참가자 모두 ‘국제적’이라는 것이다. 무슨 말이냐면, 다른 나라의 기관 및 전문가들과 이 훈련을 거듭하기 때문에 실제 상황에서 공조할 수 있는 바탕이 굳건해진다는 뜻이다. 2007년 사태와 같은 일이 다시 벌어졌을 때, 혼자 싸우지 않아도 된다. 많은 친구를 얻었다. 사이버전이라는 새로운 현실 앞에 자유로운 국가는 하나도 없다. 사이버 보안을 같이 할 수 있는 파트너의 수가 힘이다.

3줄 요약
1. 락드 실즈, 대대적인 사이버 공격으로 인한 피해로부터 시작됨
2. 인적 요소가 운영에서 가장 어려운 요소. 그 다음은 첨단성과 실질성의 균형 맞추기
3. 락드 실즈의 가장 큰 수혜는 많은 친구를 얻었다는 것

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)