“공격이 최선의 방어다.”
모의 공격을 통해 사이버 보안 시스템의 취약점을 찾아내고 대책을 마련하는 사람들. 19명의 최정예 화이트 해커로 구성된 LG CNS RED팀은 금융·유통·제조·공공 등 다양한 고객사의 시스템에서 640건 이상의 취약점을 점검하며 레퍼런스를 축적해 나가고 있다.
LG CNS의 기술블로그 ‘DX Lounge’는 최근 자사(自社) RED팀의 이진욱 총괄, 김종훈 선임, 정효찬 사원과의 인터뷰 기사를 실었다. LG CNS의 화이트 해커들이 들려주는 보안 이야기를 요약·정리했다.
-RED팀이란?
“RED팀은 모의 군사 훈련 시 ‘적군’을 뜻한다. 개발자분들이 만든 서비스가 정말 안전한지, 적군의 마음으로 공격해서 취약점을 찾아야 하기 때문에 붙여진 이름이다. LG CNS RED팀은 고객사의 시스템에 취약점이 없는지 공격자 관점에서 직접 해킹을 해보고, 취약점에 대한 개선 방안을 제공한다. 사전에 보안 취약점을 발견해 선제적으로 대응할 수 있는 Threat Hunting(선제적 위협 식별 시스템) 서비스도 준비하고 있다.”
-RED팀만의 업무 특징이 있다면?
“외부의 해킹, 침입, 도난으로부터 회사의 자산을 보호하는 것이 모든 보안 조직의 목적이다. 보안 관제팀은 들어오는 공격을 탐지·예방하고, 클라우드 보안팀은 클라우드 위주로 인프라·정책·보안 관련 업무를 진행한다. RED팀은 화이트 해커로서 만들어진 서비스가 얼마나 안전할지 역으로 공격자의 입장에서 점검하는 업무를 수행한다. 작은 틈이라도 비집고 들어올 여지를 남기지 않도록 업무에 있어서는 더 집요하게 임한다. 기술적인 방법은 악의적인 목적의 블랙 해커와 비슷하나, 공격 목적은 정반대라고 보면 된다.”
-RED팀의 역량을 압축해 설명한다면?
“RED팀에는 차세대 사이버 보안 리더 양성을 위한 ‘BOB(Best of Best, 보안 윤리 교육 및 사이버 보안을 교육하는 차세대 보안 리더 양성) 프로그램’ ‘K쉴드(K-Shield, 한국인터넷진흥원에서 진행하는 사이버 보안 전문가 양성 목적의 침해 사고 예방·대응기술 전문 교육과정)’ 등을 통해 체계적으로 보안 전문 역량을 확보하신 분들이 있다. 또 해외 버그 바운티(Bug Bounty, 기업의 서비스·소프트웨어·IT 인프라를 해킹해 보안 취약점을 발견해 ‘최초’ 신고한 연구원에게 포상금 및 기타 보상을 지급하는 크라우드소싱 기반 침투 테스트) 프로그램에 지속적으로 참여해 취약점을 찾아낸 분들도 있다. 보안 전문가로서 KISA(한국인터넷진흥원)나 고객사 대상으로 교육을 하거나, 보안 자문 활동을 하는 보안 정예 요원들이 모여 있는 팀이다.”
-보안 전문가의 길을 택한 이유는?
“처음에는 LG CNS에 개발자로 입사했다. 당시 제가 개발한 서비스들 또한 보안 점검을 받았다. 그때 만든 서비스가 이렇게 취약한지 몰랐고, 보안이 정말 중요하다는 생각이 들었다. 보안에 대한 관심이 커지다 보니 자연스레 보안 전문가라는 직업에 흥미가 생겼다. 그리고 다른 사람이 개발한 프로그램을 직접 해킹 보는 것, 짜릿하고 재밌었다. (웃음) 그래서 보안 쪽으로 길을 바꾸게 됐다.”(이진욱)
“2012년에 <유령>이라는 드라마를 접했다. 그때 (드라마에서) 컴퓨터에 무언가를 ‘따닥’ 입력하면, 보안이 뚫리는 장면이 멋있어 보였다. 그래서 보안 동아리에 들어가게 됐고, 지금까지 화이트 해커로 일을 하고 있다.”(김종훈)
“동아리 활동을 하면서 보안에 관심을 가졌다. LG CNS는 클라우드, AI, 스마트팩토리, 스마트시티 등 다양한 분야의 사업을 하고 있다. 그만큼 다채로운 점검 경험을 할 수 있을 것 같아 지원했다.”(정효찬)
-RED팀이 되기 위해 필요한 역량은?
“애플리케이션, 인프라 환경 등 보호 대상을 깊이 이해하려는 노력이 중요하다. 또한 개발 언어, 클라우드와 같은 새로운 인프라 환경이나 해킹 기술에 즉각적으로 반응하고, 공격 기법에 대해 연구하는 것 또한 중요한 역량이라고 생각한다.
새로운 서비스가 늘어나면서 제로데이(Zero Day, 취약점에 대한 패치가 나오지 않은 시점에서 이뤄지는 공격) 공격 시도 또한 증가하고 있다. 우리가 잘 모르면, 점검 시 공격 시도를 놓칠 수 있기 때문에 신기술에 대한 두려움 없는 호기심과 집요한 탐구심이 필요하다고 생각한다.
RED팀이 되기 위해서는 기술도 중요하지만, 동시에 윤리 의식도 있어야 한다. 업무상 외부에 유출되면 안 되는 비밀 정보들을 접하는 경우가 많기 때문이다. ‘나는 화이트 해커다’라는 사명감을 가지고 업무에 임하는 것이 중요하다고 생각한다.“
-회사가 RED팀을 적극 육성하는 이유는?
“LG CNS에서 진행하고 있는 수많은 프로젝트는 모두 해킹과 같은 나쁜 의도의 공격으로부터 지켜져야 한다. RED팀은 실제 해커와 유사한 방법으로 직접 시스템 공격을 해보면서, 실제로 발생 가능한 문제점을 사전에 찾아내는 데 특화된 기술을 가지고 있다. LG CNS가 구축한 서비스를 고객에게 더 안전하게 제공하기 위해서는 저희와 같은 화이트 해커가 꼭 필요하다.
입사하고 얼마 지나지 않아 미국의 ‘블랙햇(BlackHat, 정보 보안 분야 리서치, 개발 및 트렌드에 대한 최신 정보를 제공하는 행사) 컨퍼런스’에 다녀온 적이 있다. 이때 회사에서 RED팀 육성에 지원을 아끼지 않는다고 느꼈던 것 같다. 국제적인 동향 파악은 물론, 각 분야의 전문가들과 지식을 공유하며 시야를 넓힐 수 있었다.“
-기억에 남는 실제 해킹 사례가 있다면?
“작년 블랙햇 컨퍼런스에서도 소개가 됐던 사례다. 미국 최대 송유관 관리 기업이 랜섬웨어 공격을 받아 5일 동안 시스템이 마비되는 초유의 사태가 벌어진 적이 있다. 이로 인해 수많은 가정과 자동차에 연료가 공급되지 않아 국가 전체가 큰 혼란에 빠졌었다. 국가 핵심 기반 시설이 사이버 공격에 당했을 때, 얼마나 큰 피해가 발생할 수 있는지 잘 보여주는 사례라고 생각한다.”(이진욱)
“약 40만 세대의 아파트 월패드가 해킹된 사건이 있었다. 해커는 공유기를 통해 아파트 거실에 설치된 월패드의 내부망을 해킹했다. 이로 인해 여러 사람의 사생활이 유출될 뻔했다. 해킹의 위협이 비단 기업 시스템에 국한된 이야기가 아니라, 우리 일상에서도 일어날 수 있다는 경각심을 일깨워 준 사례라고 생각한다.”(정효찬)
-일상생활에서 해킹을 예방하는 팁이 있다면?
“워낙 다양한 해킹 사례들을 접하다 보니 의심이 많아지는 것 같다. 메일에 첨부된 링크나 첨부파일은 바로 열지 않고, 미리 검사를 진행한다. 검사를 위한 팁을 드리자면 ‘Virus total’이라는 사이트에 URL 또는 실행 파일을 올려보면 악성 사이트, 악성코드 여부를 검사할 수 있다. 안전한 사이트인지 확인할 수 있고, 첨부 문서의 악성코드 여부도 확인해 볼 수도 있다.”(이진욱)
“서비스 이용 전 회원가입을 할 때, 모바일 접근 권한이나 수집 동의를 꼼꼼히 읽어본다. 보안 솔루션이나 백신을 설치한다고 해서 다 능사가 아니기 때문이다. 모바일 수집 권한이나 목적이 모호하면 보안 취약점이 있을 것 같다는 생각이 들어 웬만하면 사용하지 않으려 한다.”(김종훈)
“가장 확실한 보안은 ‘물리 보안’이라고 생각한다. 그러다 보니 비밀번호도 노트북에 저장하지 않고, 노트에 작성해 놓는다. 물론 집에 도둑이 와서 그 비밀번호를 훔쳐 간다면 모르겠지만, 적어도 그게 아니라면 가장 안전한 방법이라고 생각한다.”(정효찬)
-가장 기억에 남는 프로젝트는?
“사물 인터넷이 한참 활성화되던 시기, 홈 CCTV 같은 IoT 기기가 해킹을 당해 사생활이 노출되는 사례가 많았다. 당시, 홈 IoT 20여 종의 제품을 모의 해킹하는 프로젝트를 수행했다. RED팀은 IoT 보안 기술에 대한 꾸준한 연구와 축적된 기술을 가지고 있었기 때문에 프로젝트를 잘 마무리할 수 있었다. 일상생활에서 많이 접하는 제품과 관련된 프로젝트다 보니 가장 기억에 남는 것 같다.”(이진욱)
“다양한 서비스가 탑재된 솔루션 서비스를 대상으로 점검을 진행한 적이 있다. 당시 원격 코드 실행이라는 RCE(Remote Code Execution, 응용 프로그램이 적절한 입력 이스케이프 유효성 검사 없이 쉘 명령을 실행할 때 발생) 공격을 시도했다. 이때 제가 날린 공격 구문이 서버에서 올바른 명령어로 인식됐다. 만약 외부 공격자가 같은 내용의 공격을 한다면, 서버 접근 권한을 획득할 수 있었다. 그럴 경우, 공격자가 서버 내의 데이터를 전부 가져갈 수 있다. 발견하지 못했다면 큰 피해로 이어질 수도 있었다.”(김종훈)
-앞으로 이루고 싶은 목표 또는 활동 계획은?
“블랙햇 컨퍼런스에 저와 비슷한 나이임에도 불구하고 자신의 연구 분야에 대해 자신 있게 발표하시는 분이 있었다. 그 모습이 너무 존경스럽고 부러웠다. 저도 그분처럼 해외 컨퍼런스에서 제 연구 자료를 발표해 보는 게 꿈이다.”(김종훈)
“저는 당당하게 “이 분야는 내가 전문가다”라고 할 수 있는 사람이 되고 싶다. 어디 앞에 서있더라도, 누구를 상대하더라도 이 분야는 나보다 잘하는 사람이 없다고 당당히 말할 수 있는 사람이 되고 싶다.”(정효찬)
-화이트 해커의 꿈을 가진 후배들에게 한마디 한다면?
“요즘에는 블로그나 유튜브에 양질의 학습자료가 굉장히 많다. 나에게 무엇이 필요한지 스스로 찾아보고 꾸준히 배우려는 자세가 가장 중요하다고 생각한다. 쉬워 보여도, 열정이 있어야 가능한 일이다. RED팀은 스스로 학습하는 열정을 가진 인재들을 기다리고 있다.”(이진욱)
“챗GPT를 활용해 보시라! 단, 해킹이나 공격을 해달라는 게 아닌, 보안 공부를 할 때 챗GPT를 활용해 ‘검색하는 시간을 좀 더 효율적으로 관리하라’는 의미다. 예를 들어 ‘모의 해킹에 필요한 코드가 있는데 200, 404가 아닌 코드만 반환하는 Python 코드(애플리케이션, 소프트웨어 등 모든 유형의 시스템과 원활한 통합이 가능한 플랫폼에 독립적인 대화형 고급 프로그래밍 언어)를 작성해 줘’라는 식으로 말이다. 추가로 챗GPT가 만든 코드를 보면서 ‘아, 이런 방식으로도 접근할 수 있구나’하며 접근 방식에 대해 스스로 고민해 본다면 더욱 성장할 수 있을 것이다.”(김종훈)
“의견 공유가 제일 중요하다고 생각한다. 본인이 봤을 때 취약점이 없어 보여도, 다른 각도에서 보면 틈이 있을 수 있다. 저 또한 의견을 공유하면서 자극도 받고, 다른 시야를 받아들이면서 성장할 수 있었다. 혼자서 공부하는 것도 좋지만 BOB나 동아리와 같은 활동을 하며 다양한 의견을 공유한다면, 성장에 큰 도움이 될 것이라 생각한다.”(정효찬)
[정리=김성태 마켓뉴스 기자]
