Home > 전체기사

[BN미팅] 시큐레터 양승환 팀장이 꼽은 2022년 상반기 보안이슈 TOP 5

  |  입력 : 2022-06-28 18:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
보안이슈 TOP 5 : 사이버전쟁, 이메일 보안위협, 北 사이버공격, 메신저 취약점 공격, 공급망 공격
최근 보안위협은 이메일을 이용한 악성코드 유포...모의해킹 등 보안교육 수시로 실천해야


[보안뉴스 기획취재팀] 누군가 새로운 사람을 만난다는 건 참 설레는 일이다. 더군다나 궁금했던 사람이라면 더욱 그렇다. 늘 깊은 바닷속 심해층에만 존재할 것만 같은 신비로운 인어공주처럼 그동안 언론에 잘 공개되지 않은 보안전문가를 만난다는 건 더 없이 기쁘고 흥분된다. 아미에게 BTS가 있다면 기자에게는 보안전문가들이 있다. 기자에겐 그만큼 특별한 존재들이다. 그들만의 리그 속 이야기는 언제 들어도 흥미롭다. 그들만의 생각을 엿볼 수 있다는건 기자라는 직업의 특권이자 혜택이다. 잘 드러나지 않지만 늘 존재하는 그림자처럼 보안전문가의 존재와 보안 이야기는 비밀스럽다 못해 떨림 그 자체다.

▲[BN미팅]의 첫 번째 주인공 시큐레터 양승환 팀장[사진=보안뉴스]


떨림과 설렘을 가득 안고 [BN미팅]에서 만나볼 그 첫 번째 주인공은 바로 시큐레터 기술연구소 분석팀의 양승환 팀장이다. 이 바닥에서 소위 ‘영재’라는 소리 들으며 어려서부터 발을 디딘 정보보안 전문가와 달리 그는 26세 늦깎이로 입문했다. 하지만 늦바람이 무섭다 했던가. 이미 시큐레터에선 없어서는 안 될 ‘존재감 갑’으로 불리며, 팀원 5명을 자유방임으로 이끌고 있는 팀장이다. 이미 ‘응용 프로그램의 실행 흐름 변경을 통한 비실행 파일의 악성탐지 방법 및 장치에 대한 특허(특허 등록번호10-2393795)’를 보유한 베테랑이다. 지금부터 그의 보안이야기를 들어보자.

1. 직업군에 관한 질문
Q. 본인 소개 좀 부탁드립니다
제가 인터뷰가 처음이라 어색해서...(세상 어색한 표정으로 등장) 시큐레터 분석팀에서 팀장직을 맡고 있는 양승환입니다. 이전에는 정보보안 교육기관에서 보안 강의 업무를 맡았고요. 현재 시큐레터에서 5년째 근무하고 있습니다.

Q. 악성코드 분석가가 된 계기가 궁금합니다(왜 악성코드 분석가가 되었나요).
어렸을 때 ‘해커즈’라는 영화를 보고 해킹(정보보안)이라는 것을 처음 알았습니다. 성인이 돼서야 정보보안 분야로 일할 수 있는 기회가 있다는 것을 알았고, 보안 교육센터에서 정규과정을 수강했습니다. 정규과정 중 악성코드 분석 수업을 듣고 마음속에서 ‘이거다’하는 생각을 하고 분석가의 길로 들어서게 되었습니다.

“인터넷 속의 인터넷 다크웹. 우린 그곳에서 만났죠.
그 곳엔 엄청난 해커들이 많았는데, 영웅은 ‘MRX’
누구도 그의 출신지와 신원을 알지 못했고
어떤 시스템이든 해킹을 할 수 있는 그는
해커들 사이에서 슈퍼히어로 불리죠. 전 그처럼 되고 싶었어요.”
-영화 해커스의 주인공 벤자민의 대사 중에서-


Q. 악성코드 분석가가 되기 위해 어떤 준비와 노력을 기울였나요?
정규 과정 후에는 인터넷에서 구할 수 있는 알려진 악성코드 샘플을 찾아 다운받거나 교육센터의 도움을 받아 야생의 악성코드 샘플을 구해 분석해서 분석 리포트를 만들면서 분석 스킬과 문서화 스킬을 향상시키는데 집중했습니다.

Q. 수많은 보안기업 중 시큐레터에 입사한 이유는 무엇인가요?
악성코드 분석가를 준비하는 중에 발견한 ‘한글 파일을 이용한 MBR 파괴형 악성코드’를 분석하면서 ‘악성코드 분석’에 대한 생각이 많이 바뀌게 되었어요. 그동안 악성 실행 파일 분석에 집중했다면 이후부터는 문서형 파일을 중점으로 샘플 수집과 분석에 몰두했죠. 그러던 중에 다행히(^^;;) 시큐레터에 입사할 기회가 주어졌고 제가 생각했던 방향과 업무가 맞는다는 생각을 하게 됐습니다. 더욱이 회사 업무에 있어 가장 필요한 문서를 대상으로 악성 파일을 진단한다는 회사의 방향과 일치하는 게 많았죠. 취약점 개발을 위한 분석이 아닌, 취약점 진단을 위한 분석 기술과 방법이 큰 매력으로 다가왔다고 할까요.

Q. 악성코드 분석가로서 고충에 대해 얘기해 주신다면?
악성코드 분석가 인력 자체가 많지 않기 때문에 분석가를 만나기가 희귀한 포켓몬 만나는 것 만큼 어렵다는 것도 고충이라면 고충일 수 있을 것 같습니다.

Q. 악성코드 분석 업무와 관련해 가장 필요한 것은 무엇인가요?
가장 필요한 건 인력입니다. 그리고 사람을 더 충원하기 위해 필요한 건 아마 보안에 대한 투자가 아닐까 싶어요.

Q. 악성코드 분석가를 꿈꾸는 후배들에게 해주고 싶은 조언은?
분석 기술도 중요하지만 무엇을 위해 분석하는지 목적을 고민해보면 좋을 것 같아요. 저도 처음 분석을 시작할 당시 분석 기술 자체에만 몰두했었는데 지금에 와서 돌이켜보면 분석을 통해 무엇을 할 것인가가 중요하지 않나 싶습니다. 예를 들면, 분석해서 탐지할 수 있는 시그니처를 만들어 보거나, 악성코드의 행동을 분석해서 어떻게 대응할 수 있을지 고민해 보거나, 분석한 악성코드의 특징을 찾아 머신러닝에 활용하는 등이요. 그래야 본인의 커리어를 만드는데 도움이 됩니다.

▲악성코드를 분석할 때는 날카로운 카리스마가 느껴지는 양승환 팀장[사진=보안뉴스]


2. 본론으로 들어가 보안이슈에 관한 질문
Q. 최근 보안이슈에 대해 말씀해 주신다면?
시큐레터에서 분석한 보안 동향에 따르면 악성코드 공격이 54.1%로 가장 높은 비중을 차지해요. 악성코드 공격의 침해 유형으론 75%가 이메일을 통해 유포되고 있죠. 이메일 내 악성코드 위장기술로는 첨부문서 형태가 54.1%로 가장 많아요. 그 중에서도 제가 주로 접하는 보안이슈는 업무 특성상 문서를 포함한 비실행 파일을 이용한 악성코드 위협 이슈들입니다. 특히, 이러한 악성코드는 이메일을 통해 주로 유포하기 때문에 이메일을 이용한 악성코드 유포가 최근 많이 탐지되고 있어요.

Q. 주로 발견되는 악성코드 유형과 어떤 공격에 사용되는지 설명해 주신다면?
최근에는 매크로 같이 간단하게 대량으로 제작해서 유포할 수 있는 유형이 많이 보이고 있어요. 문서형 악성파일은 악성코드 본체를 전달하기 위한 페이로드 역할을 수행하는데, 공격자들이 매크로 보안 알림 해제하는 방법을 친절하게 문서 안에 넣어서 설명해 주기도 합니다.

Q. 보안사고를 겪은 기업에서 나타나는 공통적인 문제점은 무엇인가요?
이메일을 통해 유포되는 공격 유형은 대부분 사람을 속이기 위한 다양한 방법을 사용합니다. 이 때문에 사람의 심리를 악용하는 사회공학적 기법으로 당하는 경우가 많습니다.

“학교에서 단체로 견학 왔었는데 식당에서 지갑을 잃어버렸어요.
저번에도 지갑을 잃어버려서...저희 아빠가 어떻게 나오실지 짐작 될거에요
또 다시 뭔가를 분실하면요...아빠가 어떤 존재인지 모르실거에요”
-사회공학적 기법으로 방문자 패찰을 걸고 유로폴에 접근한
영화 해커스 주인공 벤자민의 대사 중에서-


Q. 악성코드 유포를 비롯한 보안이슈와 관련해 기업에 당부하고 싶은 점은 무엇인가요?
기업 내부에서 이메일 보안 위협을 점검하기 위해 기간을 정해두고 이메일 모의해킹 테스트를 진행합니다. 그때는 임직원들이 테스트한다는 사실을 인지하고 있어 테스트에 걸리는 경우가 적어요. 하지만 그때일 뿐 수시로 이메일 모의해킹 테스트를 수행해서 임직원이 항시 이메일을 열 때 주의를 기울일 수 있도록 하는 보안인식 교육이 필요합니다. 물론 이런 테스트를 수시로 할 수 있도록 보안예산이 더욱 확충돼야 하지만요.

Q. 분석한 악성코드와 관련해 개인과 기업에서 주의할 점은 무엇인가요?
이메일 첨부문서를 볼 때 주의가 필요합니다. 저희도 문서형 악성코드를 탐지하기 위해 진단 알고리즘 지속적으로 업데이트하지만 세상에 100% 완벽한 보안은 없듯이 구멍은 존재하거든요. 그런 구멍을 뚫고 들어올 때 무엇보다 필요한 것은 사용자들의 각별한 주의죠.

Q. 악성코드 분석가로서 가장 기억에 남는 악성코드와 보안이슈는 무엇인가요?
저는 개인적으로 ‘한글 파일을 이용한 MBR 파괴형 악성코드’ 사례가 가장 기억에 남아요. 처음 공들여 분석했던 문서 취약점이기도 했고, 그때부터 악성코드 분석에 대한 시야가 달라졌거든요.

Q. 2022년 올해 상반기 보안이슈 TOP 5를 꼽아주신다면?

1. 국가간 사이버전쟁
2. 이메일 보안위협
3. 북한의 사이버공격
4. 메신저를 이용한 취약점 공격
5. 공급망 공격


첫 번째 보안이슈로는 우크라이나 전쟁에서 보듯 국가 간의 사이버(정보) 전쟁이 대두되고 있다는 점입니다. 두 번째, 이메일을 통한 보안위협 증가는 항시 있는 보안이슈입니다. 그만큼 공격자의 성공 확률이 높고, 반대로 사용자 입장에서는 쉽게 넘어가 악성코드 감염 등의 피해를 입게 되죠. 세 번째는 정보탈취 등 조금씩 고도화되고 계속 변화되는 북한발 보안위협입니다. 네 번째는 메신저 기반의 보안위협 증가를 꼽을 수 있습니다. 그 이유는 재택근무가 활성화되고, 포스트 코로나에 접어들어서도 원격 업무 문화가 계속 유지되고 있기 때문이죠. 이때 업무 협업을 위해 메신저를 주로 사용하는데, 이 과정에서 메신저를 이용한 취약점이 대두되고 있습니다. 마지막으로 공급망 공격도 지속적으로 발생하고 있어 기업에서는 항시 주의가 필요합니다.

3. 분위기 전환용 지극히 개인적인 질문
Q. 스트레스 관리 및 자기 관리는 어떻게 하나요?
예능 프로그램 보는걸 좋아합니다. 보고 웃으면서 스트레스를 해소하는 편입니다. 이를테면 ‘놀면 뭐하니?’에서 유재석님과 미주님의 티키타카하는 케미가 너무 재밌더라고요.

Q. 가장 좋아하는 가수와 노래는요?
딱히 좋아하는 가수와 노래를 정해놓지는 않습니다. 그냥 그때그때 좋은 노래를 찾아 듣는 편입니다.

Q. 취미는 무엇인가요?
요새 캠핑이 유행이라지요 ㅎㅎ 초록초록을 보며 힐링하는 걸 좋아합니다.

Q. 가장 감명 깊게 본 영화는 무엇인가요?
조금 오래된 영화이긴 한데요. 맷 데이먼이랑 지금은 고인이 되신 로빈 윌리엄스 주연의 ‘굿 윌 헌팅’이라는 영화입니다.

Q. 롤모델에 대해 말씀해 주신다면?
제가 속해 있는 시큐레터 기술연구소를 총괄하고 계시는 이승원 CTO님입니다. 이승원 CTO님은 그간 안랩 ASEC 분석팀 수석연구원으로, 삼성전자 반도체부문(DS) DIT 센터 IT 보안관제 총괄로 악성코드 분석 분야에서 오랫동안 일해오신 전문가이십니다. 특히, 저희 회사의 코어 기술, 리버스 엔지니어링을 오랫동안 연구해 오셨고 업계에서 ‘보안 분석가의 교과서’로 평가받는 리버스 엔지니어링 분석진단 전문서 ‘리버싱 핵심원리(2012)’의 저자이기도 하십니다. 저도 이승원 CTO님처럼 악성코드 분석 분야에서 오랫동안 전문성을 쌓아서 제가 축적한 기술을 세상에 널리 공유하고 회사 성장에도 기여할 수 있는 실력자가 되고 싶습니다.

인터뷰를 마치고...
인터뷰 전 이리저리 찾아 헤맨 끝에 사진 한 장을 발견해 유심히 들여다봤다. 사진 속 첫인상은 통통 튀는 개구쟁이일 것 같다는 혼자만의 착각과 달리 그는 매우 섬세하고 차분했다. 더욱이 보안에 관련된 몇 가지 질문에선 날카로운 표정과 함께 데스노트 주인공(?)을 연상케 하는 ‘카리스마’와 ‘아우라’가 나오기도 했다.

인터뷰 내내 부끄러워하면서도 꼼꼼함과 신중한 면모로 기자를 대했던 그는 택시가 잘 안 잡힌다며 오래전부터 몸에 밴 듯한 배려심으로 기자를 손수 판교역까지 태워다 줬다. 평소 팀원들에게 어떻게 대하는지, 어떻게 팀을 이끄는지 궁금하다는 기자에게 “팀원들이 하고 싶은 게 있다고 하면 다 해보라고 한다”고 본인은 웃으며 ‘방치’라는 표현을 썼다. 하지만 팀원을 믿고 기다려주는 그의 모습에서 차세대 리더로서의 강직함과 신뢰감을 느낄 수 있었다. “화면에 비춰진 유재석님의 인성이 좋아요. 부럽습니다. ” 그의 말이 귓가에 맴돌았다.

[기획취재팀(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 6
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)