보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

화이트해커들이 말하는 “실패는 성공의 어머니”

입력 : 2024-05-28 22:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
보안 프로젝트, 폰투온 실패기 등 해커로서 겪은 실패와 배움 공유

[보안뉴스 박은주 기자] 실패를 경험한 적 없는 화이트해커(이하 해커)가 있을까? 완벽한 보안은 존재하지 않고, 보안에는 정답이 없는 난제가 즐비하다. 야속하게도 노력과 결과는 비례하지 않아, 긴 시간을 들여도 취약점을 찾지 못하는 경우가 비일비재하다. 다만, 해커들은 포기하지 않고 실패를 딛고 일어나는 과정을 배우며 실력을 키워가고 있다. 같은 실패를 겪지 않도록 경험을 공유하는 자리가 티오리가 개최한 닷핵(.Hack) 콘퍼런스에서 마련됐다.

[이미지=gettyimagesbank]


닷햇 콘퍼런스 ‘Lessons Learned’ 세션에서는 5명의 연사가 해커로서 겪어온 실패를 이야기하고, 그를 통해 어떤 배움을 얻었는지 공유하는 시간을 가졌다.

보안 프로젝트 운영 실패 요인: 관리와 운영 능력 부족, 불분명한 목표 설정
BoB(차세대 보안리더 양성 프로그램) 12기를 수료한 최성민 해커는 ‘유닉스 계열 OS 취약점 탐지법’에 관한 실패 사례를 공유했다. 운영체제(OS)에 존재하는 유사한 시스템에서 비슷한 특징을 가진 취약점 연구를 진행했다. 약 15주 동안 60여개 취약점과 공격표면를 분석했지만, 유의미하다고 판단되는 건 3개뿐이었다. 그마저도 유사한 취약점이 발견된 확률이 저조했다고 밝히며 연구 실패 사례를 공유했다.

최 해커는 ‘프로젝트 매니지먼트 경험 부족’을 실패의 가장 큰 원인이라고 말했다. 그는 “프로젝트를 어느 정도 진행하다 보니, 목표가 명확하지 않다는 걸 알았다”며 “프로젝트를 진행할 때 컨설팅과 매니지먼트의 중요성을 깨달았다”고 말했다. 프로젝트 경험이 있는 컨설턴트에게 조언을 구하고, 명확한 목표 설정이 필요하다고 강조했다. 최 해커는 “이러한 실패를 경험한 덕분에 앞으로 보안 프로젝트를 진행하는 데 좋은 결정을 내릴 수 있게 됐다”며 “실패에 대한 두려움을 떨치고, 허들이 높아도 마음껏 시도해 봐야 한다”고 전했다.

실전 해킹으로의 첫걸음, VirtualBox 폰투온 실패기
PK시큐리티 이진헌 연구원은 IT 기술과 제품의 취약점을 찾아내는 폰투온(Pwn2Own)에 처음 출전하며 실패한 경험을 이야기했다. 당시 CTF(Capture The Flag) 이외에 실전 경험이 전무한 이 연구원은 “이 필드에서 살아남을 수 있는지 시험해 볼 기회”라는 생각으로 폰투온에 출전했다. 유일하게 오픈소스를 사용하는 VirtualBox(버츄얼박스) 소프트웨어에서 취약점을 분석했고, 끝내 Heap Overflow로부터 취약점을 찾아냈지만, 폰투온 대회 기간을 넘겨 첫 실전 경험은 실패로 끝났다. 이 연구원은 당시 실패를 리버싱(Reverse Engineering) 했다고 표현하며 실패 요인으로 △해킹 아이디어 부족 △컴퓨터 공학 지식 부족 등을 꼽았다.

그는 “과거로 돌아간다면 폰투온은 미리미리 준비하고, 평소 취약점에 대한 아이디어 도출 방법과 컴퓨터 공학 공부를 열심히 할 것”이라며 “기간이 정해진 CTF와 달리 기약 없는 취약점 찾기에 마음을 다잡을 방법도 찾아야 한다”고 말했다.

일확천금을 노린 버그바운티에서 ‘코드 점검’을 배우다
2022년 글로벌 암호화폐 브릿지인 웜홀(Wormhole)에서 해킹으로 3억 2,000만달러(약 4,353억)를 탈취당하는 사건이 벌어졌다. 당시 웜홀은 취약점을 제보해 달라는 제안과 함께 역대 최대 금액인 1,000만달러를 버그바운티 상금으로 제시했다. 김윤호 해커 역시 보안에 대한 소명과 ‘일확천금’을 꿈꾸며 버그 헌팅에 도전했다. 이더리움, 솔라나, 니어, 코스모스 체인 등 체인별 노드의 소스코드를 분석하며 3개월 동안 약 50가지의 공격 시나리오를 세웠지만, 취약점을 발견하지 못했다. 그는 “수많은 공격 시나리오를 세우면서 관련 소스끼리 정보를 연결하는 방식으로 블록체인 브릿지에 대한 기본 개념을 공부했다”며 “덕분에 소스코드를 점검하는 기반을 다지게 됐다”고 밝혔다. 김 해커는 “고난도 취약점이더라도 일단 도전해 보면, 어떤 인사이트든 얻을 수 있다”고 전했다.

▲닷햇 콘퍼런스 Lessons Learned 세션 현장[사진=보안뉴스]


카이스트 전기 및 전자공학부 윤인수 교수는 학과 학생들과 함께 1년 안에 유명 보안학회 4곳에 논문을 게재하는 것을 목표로 세웠지만, 1편의 논문만 게재한 경험을 통해 ‘장기계획 설정과 시간 배분’의 중요성을 강조했다. 연구과제를 세우고 과정을 수립하기까지 전략적인 접근법을 ‘Low Hanging Fruit, High Hanging Fruit’에 비유해 설명했다. 윤 교수는 “난이도가 높아 접근성 및 연구가 활발하지 않은 문제와 접근성이 좋고 쉽게 발견할 수 있는 보안 문제 특징에 맞게 시간을 배분하는 것이 중요하다”고 설명했다. “계획이 미뤄지더라도, 예상 기간보다 얼마나 더 시간이 소요되는지 확인해야 한다”며 “실패를 통해 연구과제에 따른 시간 배분을 할 수 있게 됐다”고 밝혔다.

또한, PK시큐리티 김용진 대표는 Microsoft Teams 폰투온에 도전했지만, 실패한 경험을 공유하며 “취약점을 찾을 때는 통찰력과 인내심을 요한다”며 “이를 발판 삼아 해킹을 더 잘할 수 있는 마음을 가지게 됐다”고 설명했다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)