알약人 이야기

[보안뉴스] 이스트시큐리티 시큐리티대응센터(ESRC) 문종현 센터장 인터뷰!

알약5 2022. 6. 29. 11:22

안녕하세요? 이스트시큐리티입니다. 

 

최근 채용을 진행하던 A기업의 인사담당자는 '입사지원서 ○○○입니다.'란 제목의 이메일을 한 통 받았습니다. 모집용 이메일이 별도로 있었지만, 가끔 담당자 연락처를 보고 메일을 보내는 지원자도 있었기에 별 의심 없이 이메일을 열고 첨부파일을 열었던 인사담당자는 이력서의 내용을 한 번 보고는 그냥 닫았습니다. 그런데 얼마 지나지 않아 사내 보안관제를 담당하는 보안 전문 기업에서 해킹 공격을 받은 것 같다며 열어본 이력서 파일을 요청했고, 이를 분석한 뒤 악성파일이 숨겨져서 동작해 PC가 감염됐다고 진단한 후 후속 작업을 진행했습니다. 

 

최근 가장 많은 유형의 해킹 공격인 이메일을 통한 악성파일에 감염될 경우 단순히 삭제하는 것만으로는 해결되지 않습니다. 악성파일이 어떤 경로에서 어떤 행위를 하는지 알 수 없고, 이미 악성 행위를 했는지도 알 수 없기 때문입니다. 이 때문에 우리가 '역공학자'라고 부르는 '리버서(Reverser, Reverse Engineer의 줄임말)'는 악성파일을 거꾸로 분석해 소스코드까지 파악하는 일을 합니다. 그래야만 공격자들의 공격 의도와 목적, 공격 방법 등을 모두 파악할 수 있기 때문입니다. 

 

이스트시큐리티 시큐리티대응센터(ESRC)의 문종현 센터장은 이러한 리버서의 대표 주자 중 한 명입니다. 오늘은 문종현 센터장과 한 언론매체가 '리버서'라는 직무에 대해 심도있게 나눈 대화를 전달드리려고 하는데요. 지금 바로 살펴볼까요?

 

[사진] 이스트시큐리티 시큐리티 대응센터 문종현 센터장 (사진 출처 : 보안뉴스)

문종현 센터장은 악성파일 역공학에 재미를 느껴 혼자 공부를 시작한 이후 약 20여 년 동안 한 분야에만 매달려 왔습니다. 2014년 이스트시큐리티에 입사해 시큐리티대응센터(ESRC)의 설립을 주도했고, 현재 센터장으로 근무하고 있습니다. 

 

비전공자, 흥미로 리버싱을 시작하다

 

문 센터장이 보안과 인연을 맺은 것은 어떤 계기가 있었을까요? 흥미롭게도 문 센터장은 컴퓨터전공이 아닌 전자공학전공이었습니다. 다만 고등학교 시절 컴퓨터를 접한 후 관심을 갖고 다뤘는데, 어느 날 컴퓨터가 멀웨어에 감염돼 사용할 수가 없게 되었습니다. 놀란 마음에 컴퓨터를 들고 한달음에 용산 전자상가를 방문했던 문 센터장은 당시 '바이러스'의 존재를 처음 듣고 스스로 알아보겠다는 다짐을 하게 됩니다. 하지만 인터넷 통신을 통해 관련 정보를 수집하고, 많은 정보를 구하기가 어렵다고 생각해 아예 커뮤니티를 만들어 관심 있는 사람들을 모아 정보를 공유했습니다. 

 

"비전공자로서 이렇게 오랫동안 리버서로서 일을 할 수 있었던 것은 사명감과 호기심 두 가지 때문이었습니다. 사실 보안 범죄나 사고는 언제 발생할지 모르기 때문에 경찰관이나 소방관처럼 사명감이 없으면 대응하기 힘들죠. 주말이나 명절을 가리지 않고, 낮이나 밤이나 사건사고가 발생하면 바로 대응해야 하니까요. 또 이 일에 대한 관심도 중요합니다. 저도 비전공자였지만 보안에 대한 관심이 있었기 때문에 스스로 공부하면서 지금까지 일할 수 있었다고 생각합니다. 지금도 재미있는 건 변함없죠." 

 

이에 문 센터장은 리버서를 뽑는 기업이나 리버서를 희망하는 학생들 모두 단순히 전공이라서, 혹은 당장 취업을 하기 위한 것보다는 장기적인 관점에서 바라봐야 한다고 조언했습니다. 아울러 교육현장에서도 보안에 대한 태도와 관심 등을 교육해 주기를 바란다고 덧붙였습니다. 

 

악성파일을 역으로 분석하는 역공학자

 

'리버스(Reverse)'는 반전, 즉 거꾸로라는 말입니다. 여기에 '엔지니어링(Engineering)'을 붙여 '역공학(Reverse Engineering)'이라고 하며, 보통 줄여서 '리버싱(Reversing)'이라고 부릅니다. 또한, 역공학자를 '리버스 엔지니어(Reverse Engineer)' 또는 줄여서 '리버서(Reverser)'라고도 합니다. 역공학은 이미 만들어진 소프트웨어를 역으로 분석해 처음의 문서나 설계기법 등의 자료를 얻어내는 것을 말합니다. 

 

"쉽게 말하면, 이미 건설된 아파트를 분석해 설계도를 만드는 것이라고 할 수 있습니다. 보안에서는 악성파일을 역으로 분석해서 프로그램 소스까지 접근하죠. 악성파일을 역공학으로 분석하면 해커가 악성파일을 만든 목적과 공격 방법 등을 알아낼 수 있기 때문에 보안 분야에서 능동적 대응 중의 하나로 꼽히고 있습니다." 

 

주로 안티 멀웨어 기업이나 보안 관제 등에서 리버스 엔지니어링을 하지만, 대기업이나 글로벌 기업에서는 보안팀에 리버서를 두고 외부 공격을 분석하기도 합니다. 하지만 리버스 엔지니어링이 워낙 어려운 탓에 전문가가 많이 없는 것이 현실입니다. 차라리 프로그램을 만드는 게 더 쉽다는 얘기도 나옵니다. 게다가 해커들도 악성코드를 만든 후 리버스 엔지니어링을 하기 힘들도록 다시 역으로 작업하거나 내부 코드를 못 보게 하는 일도 늘고 있어서 더욱 힘든 상황입니다. 

 

그렇다면 리버서들은 어떤 장비를 사용할까요? 대중적으로 사용하는 것은 올리디버거(OllyDbg)나 IDA, 기드라(Ghidra) 등이며, 자체적으로 개발한 툴을 사용하기도 합니다. 샌드박스나 VM 등 가상 프로그램을 이용해 악성파일을 테스트하기도 합니다. 다만 문종현 센터장은 프로그램을 이용한 스킬도 중요하지만 직접 해보면서 공부하는 것이 중요하다고 조언했습니다. 현장에서 프로그램 사용 스킬을 일일이 알려주는 것이 쉽지 않기 때문에 미리 공부하는 것이 중요하다는 것입니다. 이 때문에 본인이 관심을 갖는 게 무엇보다 중요하다고 다시 한번 강조했습니다. 

 

"제가 컴퓨터전공이 아님에도 악성파일이나 멀웨어에 관심을 갖고 혼자 공부한 것, 또 악성파일을 공부하다 북한의 공격들을 분석하게 돼 현자 북한 사이버 공격 전문가로 알려진 것도 결국은 제가 재미있어서, 흥미가 생겨서 공부한 것이 시작점이 됐습니다. 어떤 분야든 마찬가지지만 보안 분야, 특히 리버서는 본인이 흥미를 갖고 하고자 하는 사람이어야만 오랫동안 할 수 있다고 생각합니다. 분명 쉬운 일은 아니지만, 그만큼의 자긍심과 성취감을 주는 직업이니만큼 많은 후배들이 함께 했으면 좋겠습니다." 

 

 

이렇게 오늘은 이스트시큐리티 시큐리티대응센터(ESRC) 문종현 센터장과의 인터뷰를 전해드렸는데요. 리버서로서, 그리고 북한 사이버 공격 전문가로서 이미 많은 국가기관으로부터 인정받아 자문을 해주고 있는 문종현 센터장은 가끔 국가 간 사이버 공격, 보다 정확하게는 북한의 사이버 공격에 대한 경각심이 줄어들어 화가 날 때도 있지만 새로운 악성파일이 발견되면 시간을 가리지 않고 분석하고 보는 천상 '리버서'입니다. 

 

감사합니다.