Home > 전체기사

[bnTV] 정부 10만명 보안인력 양성!! ‘화이트해커’ 되는 법 A to Z

  |  입력 : 2022-09-30 17:06
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
우리나라 화이트해커들, ‘데프콘 CTF 30’ 우승팀 참여...세계 최고 무대에서 최고 실력 보여줘
화이트해커 되려면? 국·영·수와 컴퓨터 공부는 기본, 윤리관과 사명감 갖춰야
기업 내부에 모의해킹 인력 보유하는 경우 많아져...실력 갖춘 화이트해커, 높은 몸값으로 스카웃



■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 17화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사

□ 권준 국장 지난 8월에 기쁜 소식이 있었어요. 우리나라 화이트해커들이 아마 세계 최고 권위의 해킹 대회로 알려져 있죠, ‘DEF CON CTF 30’에서 우리나라 해커들이 연합팀으로 들어간 팀이 우승을 하고 별도의 한국팀이 3위를 차지하는 등 세계 최고의 실력을 나타낸 거잖아요. 아마 그럼으로써 화이트해커에 대한 관심이 커지고 있는 것 같은데 이번 대회 소식 접하고 이사님은 어떤 느낌이 드셨어요?

■ 곽경주 이사 당연한 것 아닌가 (웃음)

□ 권준 국장 역시..!

■ 곽경주 이사 이것이 이제는 새삼스럽지도 않고 우리나라에 워낙 뛰어난 해커들이 많죠. (티오리) 박세준 대표도 마찬가지고.

□ 권준 국장 우리나라 실력이 역시 최고인 것이죠. 얼마 전에 화제 속에 끝난 ‘이상한 변호사 우영우’에서도 해커가 등장하잖아요. 그 친구가 공교롭게 해킹(방어)대회나 우승 실력을 보유하기도 했더라고요.

■ 곽경주 이사 아, 그렇군요.

□ 권준 국장 그래서 이것이 참 동전의 양면이다. 화이트해커가 되거나 정말 삐끗하면 그냥 범죄자로 전락할 수도 있다?

■ 곽경주 이사 범죄자가 되는 것이죠.

□ 권준 국장 사실 화이트 해커가 되려고 그러면 어떤 준비를 해야되는지 잘 모르는 경우가 많은데, 이사님이 보시기에는 어떤 준비가 필요할지?

▲[곽경주의 다크웹 인사이드] 17화 시작 화면[이미지=보안뉴스]


[보안전문가, 화이트해커가 되는 길]
■ 곽경주 이사 당연히 국·영·수 잘 하셔야 되고요(웃음). 그리고 보안 쪽도 마찬가지고, IT 쪽도 마찬가지고 대부분 발 빠른 소식들이나 정보가 영어로 많이 나오고.

□ 권준 국장 영어 실력을 갖춰야 되는 것이 맞고...

■ 곽경주 이사 영어는 잘해야 되고, 수학은 잘해야 되는 것이 (해커가 되려면) 암호학이나 이런 것들을 해야 하는데 암호학은 결국에 베이스가 수학이거든요. 인터넷을 사용할 때 많은 것들이 지금 암호학을 기반으로 설계가 돼 있어요.

□ 권준 국장 화이트해커 한다고 코딩 공부하고 보안 스킬만 공부하려고 하지, 사실 “나 그러면 국·영·수 안해도 돼” (대부분) 이런 것인데...

■ 곽경주 이사 천재들이 있긴 합니다(웃음). 학교 때 공부 못하고 공부 진짜 지지리 안하고 그랬어도 지금 세계적인 해커가 돼있는 사람들도 많거든요.

결국에는 컴퓨터를 잘해야죠. 컴퓨터 안에서도 여러 가지 분야가 있겠지만 전반적으로 다 할 줄 알아야 실력 있는 해커가 되는 것입니다. 예를 들어서 우리가 사용하고 있는 ‘윈도우’라든가 ‘리눅스’라든가 다양한 운영체제가 있는데 그 운영체제의 기본 구조를 잘 알고 있어야지 해킹을 할 수 있거든요. 그리고 ‘데이터베이스(Database)’가 있죠. 공격자들이 현실에서 일어나는, 저희 콘텐츠 보면 공격자들이 실제로 어디를 공격하는지에 대한 내용들이 많이 나올 텐데, 그것과 유사하게 선의의 목적을 가지고 일을 하는 것이 보안전문가들, 그리고 화이트해커들인데 똑같은 거예요. 거기도 Database 잘 알아야 되고.

그리고 특히 ‘네트워크(Network)’를 잘 알아야 됩니다. 예를 들어서 해킹 당했을 때, ‘BGP’ 해킹 이런 얘기하잖아요. 이런 것을 이해할 수 있어야 돼요. BGP가 뭐고 ‘라우터(Router)’는 뭐고, 이것이 어떤 식으로 Router가 경로가 바뀌는 것인지 그것을 머릿속에서 굴릴 수 있어야 되고. 그리고 우리가 서로 이메일 주고 받고 메신저를 하는데, 그 근간에는 어떤 기술들이 사용되고 있는지를 이해하려면 이런 컴퓨터의 기본적인 내용들을 다 알고 계셔야 되죠.

아, 그리고 마지막으로 빼먹은 것이 있는데, 결국 윤리의식, 윤리적으로 바르게 자란 아이들이 범죄의 길로 빠지지 않습니다. 지금 유명한 해커들, 국내에서 활동하는 많은 해커들이 그런 범죄자에 대한 오퍼를 받아요. 그런 것에 빠져들지 않으려면 윤리적으로 바르게 자라야 된다는 것이죠.

일단 겁이 많아야 됩니다(웃음). 학생들 수준의 눈높이에 맞는 그런 윤리의식들, 법에 대한 얘기들 이런 것들을 해주면 좋지 않을까 싶습니다.

[화이트해커, 곽경주]
□ 권준 국장 이사님은 그러면 처음에 어떤 분야 쪽에 관심을 가지셔서 이렇게 보안전문가로?

■ 곽경주 이사 저도 처음에는 모의해킹 쪽이었죠. 모의해킹해서 ‘Web Hacking’ 이런 것이라든가 ‘Database’ 이런 쪽에 관심이 있었는데요. 근데 애초에는 (보안 분야에) 별로 관심이 크게 없었어요(웃음).

그냥 “컴퓨터 잘해야지, 개발자 해야지.”
그렇게 (공부를) 하다가 대학교 동아리 내에 서버 관리를 하다보니까 중국 쪽 해커들이 많이 공격이 들어오더라고요. 그것을 이제 대응하고 조치하다보니까 자연스럽게 보안 쪽으로 넘어왔어요.

그리고 처음 시작할 때는 사명감 같은 것이 있었어요. 약간 좀 아재(?) 같은 말인데 저는 한 때는 경찰이 되고 싶었고, 군인이 되고 싶었고, 국정원 같은 곳에 가고 싶었거든요. 그런 것 자체가 나라를 지킬 수 있고, 주변 사람들을 지킬 수 있고, 그런 것에 관심이 많았었기 때문에요. “그러다가 자연스럽게 정보보호를 택했다”라고 보시면 될 것 같습니다.

[다양한 보안 분야 직업군]
□ 권준 국장 그럼 아까 잠깐 말씀하셨지만 모의해킹 분야도 있고 그 다음에 요즘 사이버수사관 쪽도 많고요. (보안 분야에) 어떤 직업군들이 있는지 간단히 한번 소개를 해주시고, 화이트해커의 역할에 대해서 설명을 해주신다면요?

■ 곽경주 이사 보안 분야 직업군에 대해서 ‘NIST’의 Cybersecurity Workforce Framework라는 문서가 있어요. 이것을 보시면 보안 분야의 직업군을 총망라해서 아주 체계적으로 정리를 해놨어요. 번역은 안 돼 있습니다. 제가 번역을 한번 해보고 싶었는데 양이 너무 방대하다 보니... 저 예전에 책 하나 번역하다가 죽을 뻔해 가지고, 번역 일은 더 이상 하지 않습니다.

자료를 보면은 일단
운영을 하는 사람이 있고
그 다음에 분석,
그 다음에 수사하는 Investigate(조사)하는 그런 쪽이 있고,
그 다음에 보안 개발,
그 다음에 보안 쪽 architecture(구성) 설계 전체적인 큰 그림을 설계하는,
그런 직업군들로 나누어져 있는데요.

각각의 큰 카테고리도 여러 개의 세부 직업으로 나누어져요. 그래서 분석이라고 하면 코드 분석도 있고 사고 분석도 있고... 여기서는 이제 사고 분석이랑 수사를 나눠놨어요. 저희는 Incident Response라고 하는데요. 사고에 대한 조사를 하는 민간 쪽의 용역이 있고, 그 다음에 수사 관점 수사기관들이나 경찰이나 이런 쪽에서 하는 관점이 조금 다르거든요.

그 다음에 언어 분석도 있습니다. 각 언어 중국어, 러시아어 각 언어별로 분석을 하는 언어 전문가들이 있고, 이제 다른 또 큰 분야로는 ‘모의해킹’이죠. 현업에서는 Red Team이라고도 많이 부르는데, 방어하는 쪽은 Blue Team, 그 다음에 공격하는 쪽은 Red Team. 그래서 Red Team도 큰 분야를 차지하고 있죠. 공격자의 관점에서 대응책을 마련해주는 그런 분야도 있습니다.

□ 권준 국장 화이트해커의 역할이 주로 그런 Red Team 역할을 한다고 보면 되는 것이죠?

■ 곽경주 이사 Red Team도 있고 코드 분석 같은 것도 있죠. 그리고 관제시장 전체로 봤을 때는 Blue Team이 인력이 훨씬 많고 그리고 보안 회사들 민간 회사 같은 경우에는 보안 개발을 하시는 분도 많죠.

[모의해킹의 중요성]
□ 권준 국장 기업에서 모의해킹이 계속 중요해지고 있는 것 같아요. 청소년들도 아마 그런 역할들을 하는 것들을 꿈꾸는 경우가 많은 것 같은데요. 기업 내 모의해킹이 얼마나 중요한 것인지 어떤 절차를 거쳐서 수행이 되는 것인지 간단하게 한번 소개를 해주신다면?

■ 곽경주 이사 일단 모의해킹 인력을 기업 내부에서 보유하고 있는 기업들이 국내 기업은 그렇게 흔하지는 않습니다. (모의해킹) 점점 중요하죠. 왜냐하면 외부 업체에게만 의존을 하게 되면 모든 것이 전부 의존적이고요. 그리고 그 (외부) 업체들은 한 회사만 모니터링해주고 케어를 해주는 것이 아니기 때문이죠,

최근에는 스타트업들 중에 ‘유니콘’들 많아졌잖아요? 금융 쪽 관련된 핀테크 사업들도 있고, 그런 곳들은 내부적으로 유명한 해커를 모셔서 Red Team을 운영하기도 하거든요. 그래서 이런 식으로 시대의 흐름 자체가 지금 Red Team을 자체적으로 꾸려가지고 내부적으로 어느 정도 (보안) 수준까지 올리려고 하는 그런 노력들을 많이 보이고 있고요.

요즘 보면 Red Team이랑 Blue Team이 서로 공방전을 하거든요. 내부 자체적으로 외부 업체도 같이 껴서 하기도 하는데 그것을 ‘Purple Teaming’이라고 해요. Blue Team은 얼마나 잘 막는지 Red Team은 얼마나 잘 공격을 하는지 공방전을 통해 점검하는 것이죠.

[화이트해커의 윤리관]
□ 권준 국장 다시 윤리 이야기로 돌아갈 수밖에 없는데요. 기업에서 이런 역할을 하는 담당자든 외부에서 보안업무를 하는 담당자든, 사실 이런 것들이 범죄의 유혹이라든가 돈의 유혹에 되게 약할 수밖에 없잖아요. 정말 윤리관과 함께 지켜야 될 원칙이 있어야 될 것 같아요. 그런 부분에 대해서 몇 가지만 소개를 해주신다면?

■ 곽경주 이사 해킹을 공부하다 보면 자기의 능력을 과시하고 싶은 때가 있어요. 그런데 그럴 때가 이제 “인생의 기로에 서 있다”라는 말을 해주고 싶네요, 과시욕이 지나치다보면 해서는 안 되는 일들을 하게 되죠. 이런 것(불법 해킹)들을 순방향으로 돌리기 위한 많은 Framework들이 있어요.

CTF 대회 이런 곳 나가보는 것이고, 이런 곳 나가면 이제 또 겸손을 또 배우거든요. 실력자인데 알고 보니까 경찰이에요.
“헉 큰일났다.” (웃음)
“난리 치면 안 되겠다.” 이런 생각이 드는 거죠.

□ 권준 국장 대회들을 적극적으로 활용을 해서 자기의 능력을 좀 과시하고... 어우, 좋잖아요. 대회에서 우승도 하면 자기의 점수도 올라가고요. 대회라든가 이런 정보들을 많이 찾아서 “정말 끝없이 도전해 봐라”는 점을 되게 많이 강조하고 싶네요.

■ 곽경주 이사 (무엇보다도) 사명감. 내가 왜 이 분야를 하고 싶어 하는 것인지, 그런 것들에 대해서 진지하게 한번 생각해 보시는 게 중요한 것 같아요.

□ 권준 국장 오늘도 좋은 말씀해 주셔서 정말 큰 도움이 될 것 같습니다. 너무나 감사합니다. 방송 마치겠습니다.

■ 곽경주 이사 나쁜 짓 하시면 안 됩니다! (웃음) 감사합니다.
[권준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)