수많은 크래커 상대 정공법으론 무리...비켜가는 법이 중요
2008년, 가상화 도입과 보안업체와의 협업 강화 할 것
해커들에게는 ‘해킹할 가치가 있는 것만 해킹을 한다’는 불문율이 있다. 즉 그만큼 유명세를 타는 게임이나 사이트들은 해커들의 표적이 되기 마련이다. 국내 대표적인 온라인 게임인 리니지 서비스 업체 엔씨소프트는 한국뿐 아니라 전세계 온라인 게임시장에서도 유명한 기업이다. 하지만 온라인 게임시장의 아킬레스건이라고 할 수 있는 부분이 바로 보안문제다. 중국 해커들은 한국의 온라인 게임 아이템을 탈취해 돈을 벌려고 혈안이 돼 있다. 그래서 각종 크래킹 공격으로 온라인 게임들을 공격하고 있다. 또 계정탈취나 개인정보를 빼내가기 위해 한국에 대한 전방위적인 공세를 펼치고 있다. 이들의 공격을 어떻게 막을 것인가. 엔씨소프트의 보안총책을 담당하고 있는 김휘강 팀장을 만나 엔씨소프트의 보안 현황과 그에 대한 개인적인 이야기들도 함께 들어봤다.
Interview-김휘강 엔씨소프트 SU정보보안팀 팀장
-1세대 해커로 이름이 나있다. 처음 해킹을 접하게 된 계기가 있다면특이 하게도 일반 PC보다 유닉스를 먼저 사용했다. 과학고를 다니면서 자연스럽게 유닉스를 먼저 접하게 됐다. 고등학교부터 선배들이 해킹 동아리를 결성해 공부했다. 어린 마음에 멋있어 보이고 뭔가 배울 것이 있겠다 싶었다. 뭔가 남들과 다른 부분에서 잘하고 싶은 욕심도 있었다. 그때부터 해킹을 공부했고 카이스트에 입학해서도 해킹동아리에서 활동했다. 그때 임채호 박사님도 뵙게 됐다. 해킹을 공부하면서 고등학교때부터 유닉스를 접했다는 것이 큰 도움이 됐다. 당시 보안사고도 대부분 유닉스 사고였다. 그런 점에서 남들보다 좀 앞섰다고 생각한다.
-대학에서 전공은
대학 전공은 2년 간은 전산학을 전공했다. 그러다 복수전공으로 산업경영학과로 졸업했다. 당시 생각컨대 프로그램만 짜서는 먹고살기 어렵겠다는 생각을 하고 경영을 배우기로 생각했다. 열심히 공부했다. 산업경영으로 학사학위를 받고 산업공학으로 석사과정 통과한 후 현재 박사과정에서 논문만 남은 상태다. 폭넓은 공부를 할 수 있는 시간이었다.
-엔씨소프트와 인연은 언제부터 시작됐나2004년 5월에 입사했다. 그 전에 A3시큐리티컨설팅 대표로도 재직했지만 좀더 큰 회사는 어떻게 운영될까 궁금했고 엔씨소프트의 독특한 보안환경이 다양한 보안경험을 할 수 있는 최적의 조건이라는 생각이 들어 일하게 됐다.
-기업 대표에서 보안팀 팀장으로 일하고 있는데...아직 더 배워야 한다고 생각했다. ‘전에는 사장이었는데...’ 그런 생각하면 일이 안된다. 실제로 와보니 참 많이 배운 것 같다. 컨설팅에서 얻을 수 없는 실체적인 지식을 많이 습득했다고 본다. 보안컨설팅했던 것이 도움이 되는 것은 보안제품을 도입할 때 유리한 조건으로 도입하는 경우가 많다는 것. 보안업체에서 허수로 견적을 올리지 못한다는 점이다. 그런 점에서 컨설팅을 했던 경력도 많이 도움이 되고 있다. 잃은 것이 있다면 대표로 활동할 때보다 인맥형성이 부족하다는 점이다. 매일 일에 파묻혀 살다보니 인맥형성에 신경을 많이 못 쓴 것 같아 아쉬운 점도 있다.
-엔씨소프트에서 보안이 일반 기업 보안과 다른 점이 있다면
엔씨에서 보안업무는 일반기업과 사뭇 다르다. 시스템 점검. 취약점 점검 등의 업무는 비슷할 것이다. 다른 점이 있다면 한국에만 국한된 업무가 아니고 글로벌 9개 지사에 대한 보안업무도 함께 진행하고 있다는 점이다. 글로벌 사무소도 보안을 본사 보안팀에서 통제하고 있다.
초기 입사하면서 각 사무소마다 보안솔루션 도입과 취약점 점검을 직접가서 진행했다. 또 매년 정기적으로 1년에 한번은 각 사무소로 보안팀 인력이 직접가서 3~4명 정도가 1조를 이뤄 보안점검을 한다. 글로벌하게 일한다는 점이 특징이다. 팀원들도 대부분 영어나 일본어 등을 잘한다. 현재 글로벌 사무소가 중국2곳(상해·북경), 일본(오사카·동경), 미국(오스틴), 유럽(독일), 대만, 태국 등지에 있다. 미국은 LA에도 있다. 총 9개소다.
글로벌 사무소는 대부분 현지인들이다. 문화가 다른 국가들끼리 협업을 해야 하는 상황이 자주 발생한다. 나라마다 특징이 있다. 대만은 협업이 잘되는 편이고 일본도 오더에 잘 따라준다. 미국은 자존심 강해서 문화적 갭이 좀 있는 듯하다. 하지만 보안팀이 권한을 가졌다는 이유로 고압적으로 접근하면 정착에 실패하는 것을 봤다. 그 친구들에게도 무조건 도와준다는 개념으로 접근해 보안의 중요성을 인식시켰다. 지금은 진심이 전달돼 협업이 잘 이루어지고 있다. 보안은 서비스가 늘어날수록 끝도 없이 계속되는 것이다.
또 하나 일반 기업과 다른 점은 게임 봇을 차단하는데 신경을 많이 쓴다. 봇이 자동으로 돌아다니면서 사냥을 하는 것이다. 원래 해킹툴은 아니지만 회사차원에서는 리스크가 큰 소프트웨어다. 일반적인 유저들이 누릴 수 있는 게임환경을 저해한다는 차원에서 차단하고 있다.
또 엔씨에서 보안은 최우선 선결과제다. 오픈되는 웹서비스들이 한 줄이라도 변경되면 모두 보안점검을 실시하고 이를 통과해야만 온라인에 올라갈 수 있도록 시스템화 돼 있다.
-실무 보안책임자로 일하면서 느낀 점이 있다면
처음 정착기에 운이 따랐다. 보안팀에 입사하면서 위기를 극복하는 역할에 투입되었다. 당시 유저계정도용 시도가 많아서 문제가 됐다. 불법으로 타인 계정을 알아내 아이템을 탈취하려는 행위들이다. 계정도용을 막기 위해 여러 서비스를 도입했었다. 2006년 초만 해도 감염 1~3위의 바이러스·웜·트로이목마들 대부분이 리니지 패스워드 스틸러가 가장 많았다. 특히 보통 4~6월경 MS에서 크리티컬한 취약점이 발표된다. 그때가 악성코드들이 범람하는 시기다. 그래서 필수적인 보안패치를 설치하지 않으면 게임시작을 못하게 했다. 또 모바일 OTP(NC OTP)도 그때 시도했다. 휴대폰에서 원타임 패스워드를 받아 인증을 하도록 했고 핸드폰 세대가 아닌 나이드신 유저들을 위해 PC등록서비스도 실시했다. 자신이 주로 사용하는 3~4대 PC를 사전등록하고 접속시 해당 PC가 아니면 서비스 사용을 제한한 것이다. 그러한 시스템을 적용하면서 상당부분 회사의 보안관련 고민을 해결했다고 본다. 그런점들이 인정을 받은 것 같다. 편안한 회사에 가서 보안업무를 했다면 그러한 협조는 없었을 것이다. 마침 위기상황을 잘 극복하면서 보안팀이 탄력을 받았다고 본다.
-보안업무에서 가장 중요하다고 생각하는 부분이 있다면
초기에는 사원들에게 보안상 협조를 구할 때도 직접 문구를 작성했다. 혹시라도 고압적인 문구로 나가면 될 일도 안되기 때문이다. 특히 일반기업도 아니고 게임업체는 사업 특성상 직원들이 자유로움 그 자체다. 그래서 보안은 이를 통제하고 관리하는 일이기 때문에 조심스럽게 접근했다. 그래서 대인관계에 대해 더욱 노력했고 항상 직원들에게 겸손하고 먼저 경청하려는 자세로 임했다. 보안팀은 수비수 인생이다. 보안팀이 롱런하기 위해서는 현업 관계자들과 싸워서는 힘들다는 것을 알고 있다. 개발자와도 서로 가려운 부분 긁어주고 공생하는 관계를 잘 유지하려고 노력하고 있다.
-보안 컨설팅 경력이 많이 도움이 됐을 텐데A3시절 컨설턴트로 제직할 때 보안조직이 실패하는 모습들을 많이 봐 왔다. 대부분 실패가 바로 칼을 가지고 있다고 해서 이를 마구 휘두르는데서 발생했다. 칼 자루를 휘두르면 어쩔 수 없이 따라오지만 결국 불만이 터지게 마련이다. 칼 자루는 그냥 가지고 있고 직원들에게 협조를 구하고 업무에 도움을 주는 것이 보안이라고 설득해 나가는 것이 중요하다. 실패모델들을 보면 대부분 보안담당자가 문서규정만 신경쓰고 통제만 하려고 드는 경우다. 통제만 생각하면 앞에서는 따라도 뒤에서는 욕한다. 그러면 진정한 보안이 될 수 없다.
-능력있는 보안담당자가 되기 위해 어떤 능력이 필요할까
커뮤니케이션 능력이 중요하다. 기술적인 면은 똑똑한 팀원들이 커버하면 된다. 보안팀장은 보안팀의 얼굴이다. 평소에 다른 팀장들과 의사소통을 충분히 해놓지 않으면 문제가 생긴다. 커뮤니케이션 스킬이 필요하다. 단방향 통신은 반발이 발생한다. 부서별로 미리 만나서 이야기하고 공지하고 항상 부드럽게 처리하도록 노력해야 한다. 부드럽게 해도 공격적으로 반응하는 사람들이 있다. 그래서 보안담당자는 때론 둔감하고 낯이 두꺼워야한다. 물론 무능하다는 소리 듣지 않으려면 기술적인 부분도 간과해서는 안된다.
-현재 보안팀 구성과 인력충원은
첫 입사시에는 보안팀이 3명이었지만 올해는 총 16명까지 늘었다. 충원시 면접은 직접 본다. 아마 대부분 기업들이 보안회사 경력이 있는지를 볼 것이다. 보안은 긴박한 업무가 많다. 출근 다음날부터 적응해야 살아남을 수 있다. 바로 취약점 점검하고 네트워크에 대한 전반적인 지식이 필요하다. 특히나 보안컨설팅 능력과 커뮤니케이션 능력이 있는 사람은 일순위다. 한편 대학을 갓 졸업한 신선한 새내기들도 뽑는다. 대학 동아리 활동이나 프로젝트 경험, 학원 경험 등을 감안해 선별한다. 현재 16명중 신입은 5명 정도다.
특히 여러 분야에 두리뭉실 실력이 있는 것보다 해당 분야에서 가장 뛰어난 실력자를 선호한다. 예를 들어 메모리 해킹에서 최고다, 모의해킹분야에서 최고다, 리버스 엔지니어링에서 최고다 등등 그 분야에서 최고의 실력자를 원한다. 하나 잘하는 사람은 대부분 다른 것도 잘하는 것을 봐왔다. 팀 연령은 72년생에서 80년생까지 다양하다.
-올해 보안업무에서 고생했던 점이 있다면2004년 조직이 처음 생길때 회사에서 보안예산을 엄청 책정했다. 회사의 경제적 여유도 있었지만 CEO의 보안에 대한 관심이 컸다. 그래서 입사하자마자 3개년 마스터플랜을 수립하고 2005년에는 안티 디도스 장비를 도입했다. 모 회사 제품으로 다른 기능을 꺼두고 디도스 방지기능만 사용하고 있다. 퍼포먼스가 좋은 편이다. 디도스 공격에 대해 항상 신경을 쓰고 있다. 또 고생했던 부분은 기술적인 것은 밤새 일하면 해결이 된다. 그것보다 지난해 명의도용 소송건으로 대응하는 것이 힘들었다. 또 내부에서 정보유출사고도 있었다. 개발자들이 이직시 게임 개발 정보유출을 한 것이다. 기술적인 것보다 그러한 일들에 대응하는 것이 힘들다. 최우선은 재발을 막는 것이다. 서버 등 네트워크 장비를 컨트롤 하는 것은 쉽다. 어려운 것은 4~5000대에 달하는 직원 PC에 대한 보안이 힘들다. 매체제어 솔루션을 올해도입했다. USB로 데이터를 카피할 때는 승인받은 사람만 가능하도록 하는 등 개인적으로 사용하는 저장매체를 기술적으로 막는 방법을 도입했다. 블루투스 장비도 데이터 통신이 되기 때문에 다 차단했다. 최근 매체제어솔루션이 많이 등장하고 있다. 하지만 너무 많은 기능을 넣어서 윈도우와 충돌이 발생하는 등 오히려 업무에 지장을 주는 경우도 있다.
-보안담당자가 유념해야할 것이 있다면
올해 깨달은 것이 있다. 기업보안 문화도 일깨우고 기술적인것 막기 위해 정책수립이 중요하다는 것이다. 또 최고의 기업보안은 '좋은 회사를 만드는 것'이다. 그런 의미에서 '최고의 보안은 인사보안'이 아닐까 생각한다. 이직율이 20%대 이상이면 정보유출 막지 못한다. 회사의 전반적인 문화가 좋지 않으면 정보유출이 발생하기 마련이다.
그리고 보안레벨을 설정하는 일도 중요하다. 해커들 상위1~2%는 대부분 우회경로를 찾아낸다. 개발자도 마찬가지다. 대부분 우회기술을 알고 있다. 허점을 알고 있는 것이다. 따라서 이들을 막기 위한 수준의 보안레벨을 설정하면 일반직원들은 업무하기 참 힘들다. 그래서 업무효율을 높여야할 때와 보안을 강화해야 할 때를 구분해 그 필요에 따라 보안레벨을 설정해 유연하게 관리하고 있다. 이슈에 따라 강도 조율을 해나가고 있다.
-내년에는 어떤 유형의 공격이 예상되나
내년에도 악성코드 공격은 여전할 것이다. 윈도우 보안 취약점 발표와 맞물려 공격이 있을 것이다. 게임과 은행사이트에 치명적인 패스워드와 공인인증서를 동시에 빼내가는 백도어 같은 경우도 모두 제작지가 중국이다. 모두 아이디와 패스워드를 수집해서 금전노리는 것이다. 게임의 경우에는 아이템이 돈이 된다. 극단적인 예로 희소성이 높은 아이템은 칼한자루가 시가 300만 원이다. 이러한 유혹이 있는 한 공격은 계속될 것이다.
이를 막는 방법에서 정공법은 소모적이다. 백신업체가 하는 업무처럼 보안팀에서 악성코드가 발생했을 때 이를 1시간 안에 대응하겠다고하면 끝이 없다. 먼저 지치게 된다. 몇 만명 이상의 크래커들이 공격을 하는데 이를 일 개 보안팀이 일일이 막아낸다는 것은 무리다. 가장 효과적인 방법은 근본적으로 비켜가는 방법이다. 고객PC에 보안패치를 제공해 주거나 엔씨에서 고객들에게 제공해 준 것처럼 NCOTP, PC등록서비스와 같이 계정도용을 막을 수 있는 솔루션으로 방어해 내야 한다.
여러 게임업체들을 대상으로 DDoS 공격이 계속 발생하고 있다. 중국 해커들의 입장에서는 한국 업체들에게 DDoS를 걸겠다고 협박을 하면 돈을 주는 곳도 있다는 것을 알았기 때문에 공격시도가 계속 있을 것이다. 이러한 점은 ISP와 공조되면 막을 수 있다고 생각한다. 즉 직접 공격을 막지 말고 비키는 것이 나을 수 있다. KISA와 ISP에 공조하여 현재 IP로 들어오는 공격을 다른 블랙홀 IP로 우회시키거나 서비스에 대해 여러 개의 분산 IP를 구축해 공격량을 분산시켜야 한다.
-보안과 관련해 최근 생각하고 있는 부분이 있다면
예전 보안컨설팅할 때는 두달 정도 프로젝트를 진행하고 나오면 끝이었다. 성심성의껏해도 받는 쪽에서 받아들이지 않으면 효과가 없다. 반면 지금은 내 집을 막는 업무를 하고 있다. 그래서 항상 차선책을 찾으려고 노력한다. 이것이 아니면 다른 방법으로라도 막아야 한다. 컨설팅은 항상 최선의 방법만을 제시한다. 여기서 현실과 약간의 괴리가 발생한다고 본다. 컨설턴트가 하는 말들은 대부분 맞지만 현실적으로 적용할 수 있도록 하는 것이 중요한 것같다. 현업에 있다보니 생각도 현실적으로 바뀐다. 조직에 충격을 최소화하면서 보안을 업그레이드 시킬 수 있는 접점을 찾는 일에 항상 골몰해 있다.
-내년에 해보고 싶은 일들이 있다면
보안과 관련해서는 게임보안 솔루션들이 여러 종류가 있다. 하지만 보안업체는 기술을 가지고 있지만 게임이해도는 떨어진다. 반면 게임 개발자는 게임 이해도 높지만 보안에 대한 이해가 부족하다. 외부 솔루션 도입만으로 안심하고 있으면 보안업체나 게임업체 양쪽다 손해다. 내년부터는 게임 디자인 설계시에 이루어진 연구결과물을 보안업체와 교류할 생각이다. 교류를 통해 발전해 나가야겠다. 협업을 강화해 서로 겉도는 것을 막았으면 한다.
두 번째는 버추얼(가상화) 머신쪽에 관심이 간다. 같은 하드웨어 안에 여러 장비가 올라갈 수 있다. 웹서버가 뚫려도 버추얼 머신만 해킹당하지 리얼서버는 해킹에 안전하다. 복구도 쉽고 피해를 최소화할 수 있어 좋다. 윈도우 쪽에 버추얼을 응용해볼 생각이다. 리얼머신에는 중요한 정보를 보관하고 인터넷 업무 볼 때는 버추얼 머신을 띠우고 작업하면 안전하다. 또 이를 활용하면 업무효율도 높일 수 있을 것이다. 개발 아웃소싱 시에도 버추얼은 안전성을 확보할 수 있어 매력적이다. 이 분야에 대한 사업계획을 수립한 상태다.
-자기 개발을 위해 어떤 투자를 하나
영어공부를 시작했다. 일본어는 조금하는 편이다. 영어는 의사소통에는 불편함 없다. 하지만 깊이 있는 대화를 하기에는 부족하다. 그래서 시간을 쪼개 회화학원도 다닌다. 해외 컨퍼런스 발표나 취약점 발표자료를 교류하려고 해도 영어를 못하면 한국에서 놀게되는 해커로 끝난다. 주요 OS 밴더와 장비개발사 등과 교류하려면 영어를 잘해야 한다. 특히 글로벌 업무를 진행하면서 미묘한 어감 차이가 일에 큰 영향을 미치는 경우를 봐왔다. 부탁할 때 사용할 수 있는 여러 표현중에 문법에는 맞지만 명령조의 말투 등이 있다. 말의 미묘한 차이로 인해 일이 잘되고 못되고 할 수 있기 때문에 언어 공부에 투자를 계속 할 생각이다.
-해커에서 보안담당자로 일하는데 감회는 어떤가
해커로도 살아보고 보안 컨설턴트로도 살아보고 지금은 현업 보안담당자로 살고 있다. 각자 입장을 이해할 수 있을 것 같다. 지나고 보니 그 나이에 맞는 역할이 있는 것 같다. 40살 이상 된 사람이 취약점 찾아서 시큐리티포커스에 발표하는 등 나이들어 그런 활동을 하는 해커들은 잘 없다. 대학 때는 중요한 취약점을 발견해 발표하면 해커들 사회에서도 존경받는다. 그런 것을 즐기는 나이다. 즉 자기 나이에 할 수 있는 것을 최대한 누리고 오는 것이 좋다고 생각한다. 다만 법망 안에서. 국내 해커들중 상위 10%는 월드 클래스 수준이다. 해커들은 나이를 떠나 실력을 보고 따르는 대상을 결정한다. 해커로도 최상의 수준까지 올라간다면 후에 보안업무에서도 상당한 도움이 될 것이다. 최근에는 보안업무 이외에도 개발관련해서 방향을 제시하는 디렉션 업무도 함께 하고 있다. 영역을 넓혀나가고 있다.
길민권 기자
<저작권자: 보안뉴스무단전재-재배포금지>
댓글 없음:
댓글 쓰기