닫기
닫기

[알쓸新JOB] 나는 매일 해킹한다, 스마트 기기를 – 오펜시브 리서처

2017.11.07 FacebookTwitterNaver

▲ 새롭게 떠오르는 직업 ‘오펜시브 리서처’

지난 8월 미국 사이버보안 업체인 IO 액티브는 전 세계적으로 대중적인 인기를 끌고 있는 로봇들이 무더기로 해킹 위협에 노출됐다는 보고서를 발간했습니다. 일본 소프트뱅크의 휴머노이드 로봇 페퍼와 나오, 협업 로봇(Cobot)의 대명사인 유니버설 로봇(Universal Robots), 중국 UB테크의 알파 시리즈 등이 포함됐습니다. 외부 해킹 때문에 로봇이 갑자기 인간을 공격한다거나 로봇에 녹음된 오디오와 비디오 정보들이 외부에 유출되는 등의 침해가 가능하다는 얘기입니다. 드론은 이미 오래전부터 해킹으로 인한 정보유출과 재밍(Jamming), 스푸핑(Spoofing) 등의 위협이 지적됐습니다. 2011년 12월 미국의 록히드마틴과 이스라엘이 공동으로 제작한 무인 스텔스 RQ-170이 이란의 영내를 정찰하다가 해킹으로 포획당한 사건이 발생했습니다. 이로 인해 미국의 군사 드론 제조기술이 유출됐으며 실제 몇 년 뒤 중국과 이란에서 RQ-170과 유사한 드론이 제조되는 정황이 포착된 것으로 알려집니다.

보안에 취약한 스마트홈 시대에 필요한 것은?

로봇, 드론뿐이 아닙니다. 아마존 에코, 구글 홈 등 인공지능 스피커나 3D프린터, 자율주행차, 스마트 가전, CCTV 등 대부분의 스마트 기기들이 해킹과 보안 위협에서 자유롭지 못하죠. 사물인터넷(IoT)의 경우 2020년에는 약 300억 개의 사물들이 연결될 것으로 전망되는데 한 곳의 취약점이 IoT 네트워크 전체로 확산될 수도 있다는 우려의 시각도 있습니다. 시장조사 기관 머니 슈퍼마켓이 2,000명을 대상으로 조사한 바에 따르면 4명 중 3명꼴로 스마트홈 시대의 보안에 대해 두려움을 가졌으며 응답자의 절반은 해커가 스마트기기를 통제할 수 있다고 걱정하고 있습니다. 오늘은 오펜시브 리서처이자 그레이 해쉬 대표 이승진 씨를 만나 스마트홈 시대에 떠오르게 되는 직업 ‘오펜시브 리서처’에 대해 깊게 이야기를 나눠봤습니다.

오펜시브 리서처란?

신기술이 나오면 그 첨단성에 열광하지만, 보안 침해의 위험성 역시 동전의 양면처럼 비례해서 증가하고 있습니다. 이제 보안은 사회적, 경제적으로 심지어 세계 평화 관점에서도 매우 중요한 화두가 되고, 그만큼 보안 기술 개발과 대응 전략도 점점 중요해집니다. 그동안 보안 솔루션을 구축하고 침해가 생기면 원인을 파악해 대응하는 방어형 보안 위주였다면 최근에는 패러다임이 조금씩 바뀌고 있습니다. 랜섬웨어 사례에서 보듯 해킹이 수익을 얻는 비즈니스로 진화하면서 해커들의 행위도 조직화, 고도화되고 있기 때문이다. 해킹 기술이 하루가 다르게 발전하고 어디서 취약점이 발견될지 모르는 복잡한 상황에서 더욱 능동적이고 공격적인 보안 대응에 대한 요구가 높아지고 있습니다.

화이트 해커라는 용어는 해킹을 좋은 취지에서 한다는 일반적인 의미를 내포했지만 오펜시브 리서치는 명백히 보안 컨설팅의 업무 영역으로 들어온 개념입니다. 그래서 직업으로도 의미가 있습니다. 2012년, 그레이해쉬를 창업한 당시만 해도 오펜시브 리서치에 대한 인식이 낮았지만 지금은 대기업의 컨설팅 의뢰가 밀려 있을 정도로 ‘핫(Hot)한’ 분야가 되었습니다. 이제 대기업들은 신제품이나 서비스를 출시하기 전에 사전 해킹을 통해 취약점을 파악해내는데 관심을 기울이죠.

“공격 기술을 알아야 방어를 제대로 할 수 있습니다. 구글은 공격 기술에 투자를 많이 하고 있고, 오펜시브 리서치팀을 따로 두고 있기도 합니다. 그런데 아직 우리나라는 여전히 방어형 기술 위주로 보안 시장이 형성돼있죠. 물론 방어형 기술도 매우 중요하지만 보안 대응에서 오펜시브 리서치 비중이 20~30% 정도는 돼야 균형이 맞다고 봅니다. 아직 국내에서 전문 기업이 많지 않습니다. 그런 점에서 매우 잠재성이 큰 영역이기도 하죠. 앞으로 관련 인력이 많이 필요해질 거라고 봅니다.”

해커가 꿈이었던 중학생 소년

▲ 타공판에 차곡히 모은 하드웨어 해킹도구

그레이해쉬가 보안 컨설팅 비즈니스와 함께 보안 교육 사업을 함께 벌이는 이유도 여기에 있습니다. 스마트 기기들이 점점 늘어나는 상황에서 오펜시브 리서치를 요구하는 수요가 늘 수밖에 없다는 판단에서죠. 그레이해쉬 자체로도 인력이 부족해 못하고 있는 사업들이 많습니다.

지난 9월 말에는 10명 소수정예로 스마트 자동차 해킹 트레이닝 과정을 진행했습니다. 스마트카 공격 기법에 관심 있는 현업 전문가와 연구소, 대학원 랩실 연구자들이 모여 스마트카에 주로 쓰이는 CAN(Controller Area Network) 통신을 이해하고 CANbus 해킹을 직접 실습하면서 내용을 익혔습니다. 2015년부터 자동차 보안 컨설팅을 진행하면서 얻은 경험이 교육의 근간이 되었고, 아시아권에서는 처음으로 자동차 관련 오펜시브 교육 과정이라는 것이 이 대표의 설명입니다.

이 대표가 화이트 해킹을 업으로 삼는 전문가가 된 것은 그의 이력을 보면 매우 자연스럽습니다. 어릴 적 해커스라는 할리우드 영화를 보고 막연하게 해커가 되고 싶다는 꿈을 품었던 이 대표는 중학생 시절 생애 첫 해킹에 성공합니다. 당시 1시간에 1,200원 하던 PC방 비용을 내기가 부담스러워 요리조리 PC를 건드려보다 결국에 해낸 것입니다. 어린 날의 치기였고 그게 해킹인지도 몰랐지만 자신감이 붙었으며, 동시에 동기부여가 됐습니다. 결국 인생의 진로를 정하는 중요한 계기가 된 것이죠.

중3 겨울방학 때 갖게 된 PC로 책을 보며 해킹을 연구한 이 대표는 고등학교 시절 해킹대회에 나가 우승을 하면서 날개를 달게 됩니다. 정보고등학교에 다니면서 산학협력 첫 사례로 보안 기업에 취업한 것은 당시 교내에서 큰 화제가 되기도 했죠. 대학에 입학해서도, 심지어 군대에서도 이 대표의 보안 커리어는 단절되지 않았습니다. 입대 즈음에 국방부로부터 사이버사령부 복무를 먼저 제안받았기 때문입니다. 화이트 해킹 분야에서 이 대표의 경력은 화려합니다. 2006년 아시아에서는 처음으로 데프콘 본선 진출권을 따냈고, 2013년에는 세계 최대 해킹보안 콘퍼런스인 ‘블랙햇’에서 유명 제조사 스마트TV의 취약점을 발표해 주목을 받았습니다. 애플 iOS의 제로데이 취약점도 여러 차례 발견해 보고한 바 있습니다.

“개인적으로 운이 많이 따른 것도 있습니다. 그리고 보안 분야는 인터넷 커뮤니티가 잘 돼 있거든요. 조금만 실력이 있고 괜찮은 활동 문서를 공개하면 먼저 연락이 오는 경우가 많아요. 저도 거기서 여러 가지 기회를 얻은 셈입니다.”

필연과 우연이 어우려져 창업한 그레이해쉬는 소위 ‘잘 나가는’ 기업입니다. 4명으로 시작해 현재 12명으로 늘어났으며 지난 9월까지 올린 매출이 19억 원으로 올해 말까지 1인당 2억 원 안팎의 매출을 찍을 것으로 예상합니다. 보안 인력이 대체로 잘 나가지만 오펜시브 리서치를 수행하는 인력은 더욱 귀하기 때문에 프로젝트 단가가 높은 것이 비결입니다. 투자하겠다는 곳도 많았지만 단 한 번도 투자를 받은 적이 없습니다. 필요가 없었기 때문이죠.

화이트 해킹이 평생 직업이 되다

이 대표는 오펜시브 리서치 업무가 향후 10~20년은 매우 유망한 직무라고 확신하고 있습니다. 그래서 직업으로도 적극적으로 추천합니다. 컴퓨터 공학 전공자로 과정을 열심히 이수한 경우라면 6개월 정도의 추가 교육으로 얼마든지 오펜시브 리서처로 시작할 수 있다고 조언합니다.

“2010년부터 정부에서 보안 인력 양성을 위해 진행하고 있는 BoB(Best of Best)라는 프로그램에 들어오는 것도 좋습니다. 연간 100명의 인력을 뽑는데 올해는 1000명 이상이 지원할 정도로 인기가 좋아요. 저 역시 매년 멘토로 참여하고 있지만 베스트10에 들어가면 특기자 전형 등 대학 진학을 비롯해 여러가지 기회가 열립니다. 물론 오펜시브 리서치 쪽만 하는 것은 아니지만 보안 분야 전반을 이해하고 스킬을 향상시킬 수 있는 좋은 계기죠.”

하지만 정신적 스트레스는 꽤 있는 편이라고 전했습니다. 멀쩡해 보이는 제품에서 취약점을 발견해야 한다는 부담감이 클 수밖에 없기 때문이죠. 또 하루가 다르게 새로운 기술과 기기들이 나오기 때문에 안주하지 말고 늘 공부해야 한다는 피곤함도 있습니다. 하지만 이만큼 사회적인 의미와 직업으로서의 비전, 장기 발전 가능성을 함께 갖춘 분야도 별로 없다고 생각합니다.

다만 한 가지 주문은 있습니다. 의사나 변호사를 선호하는 것이 정부 지원 때문이 아닌 것처럼 보안이나 SW 분야도 직업의 가치를 사회적으로 인정받도록 하는 것이 필요하다는 것입니다. 이를 위해서는 정부 차원의 인력 양성이나 자금 지원보다는 오히려 인건비를 현실화하고 단가를 높이는 것이 훨씬 더 현실적이고 효과적인 방안이라고 지적합니다.

 

FacebookTwitterNaver