Q. 단도직입적으로 연봉은 얼마인가

 아 J**?

하하하하하하 ㅎㅎ;; 

 그건 비공개라고 해야겠다. 비공개지만 업계 상위 정도는 되는 것 같다.

Q. 그러고보니 왜 닉네임이 beist 인가

원래는 머드게임 닉네임이 한글로 버스트였는데 bust나 burst라는 ID는 이미 다른 사람이 선점을 했었다. 그래서 스펠링을 한 두 개만 바꾸면서 없는 아이디를 찾아보니까 beist는 아무도 안 쓰고 있었다. 그때는 영어에 대한 지식도 전무해서 그냥 비스트든 버스트든 상관없이 비슷한 단어로만 짓는 게 목표였기 때문에 그래서 beist가 되었다. 결국 원래 어원은 머드게임 닉네임이 burst였었다.

Q. 아이를 낳게 되면 아이도 해킹 공부 시키실 것인가

 해킹? 우리 아이? IT가 먹고 사는데 지장이 없고 좋은 직업이라고 생각이 들지만 이거를 꼭 시켜야 된다기 보다는 아이가 원하는 것을 하게 할 생각이다.

Q. 왜 맨날 모자를 쓰고 다니는 건가

 일단 내가 반곱슬이어서 아침에 모자 없이 생활하려면 드라이를 해야 된다. 게다가 머리도 한 달에 한 번씩 잘라야 하는데 도저히 그건 귀찮고 머리를 두 세 달에 한 번 자른다. 결국 모자를쓰는 이유는 머리 관리하는 시간이 아까워서다. 또는 그냥 게을러서다. 좋게 말하면 시간이 아까워서 시간관리이고 나쁘게 말하면 게을러서다. 모자는 머리 감고 바로 쓰고 나오면 땡이니까. 시간 그게 하루에 10분만 쓴다고 쳐도 일주일이면 50분이고 1년이면 엄청 나다.

Q. 좋아하는 책은?

 알코올, 그 치명적 유혹이라는 책이다. 경험에 대한 표현이 굉장히 섬세한 책이라고 생각한다. 술을 좋아하는 것과는 관련 없이, 논픽션을 좋아하는 사람들에게 추천한다.

Q. 이건.. 질문자가 유추될 수도 있겠다. 졸업은 언제 할 것인가

 아 K** 교수님? 졸업은 빨리 하는 것이 목표다. 다만 스타트업이다 보니까 학교 갈 시간이 많이 나지 않아서 잠시 휴학 중이다. 하지만 최대한 빨리 졸업하고 학위를 취득하는 것이 목표이다.

Q. 박사과정인가

 석/박사 통합과정이다. 

Q. 2010년에 해외에서 4개월 정도 시간을 보냈다고 들었다, 어떤 생활을 했는가

 군복무를 마치고 나서, 미국 뉴욕에 놀러갔다. 뉴욕이 좋아서 간 것은 아니었고 친한 해커 친구인 adc가 그쪽에 살았기 때문이다. adc와 집을 하나 렌트해서 같이 여러 많은 일들을 했다. 우선, RECon 컨퍼런스를 참관하기 위해 뉴욕에서 캐나다 퀘벡까지 갔었다. 처음에는 컨퍼런스 참관만 하려고 갔었는데, 알고 보니 행사장에서 HP ZDI에서 해킹 대회를 열고 있었다. 일반적인 CTF는 아니었고 HP 직원들이 직접 발견한 Adobe 제품의 크래쉬 10개 정도를 참가자들에게 나눠주고, 참가자는 해당 크래쉬들이 익스플로잇 가능한지 증명하는 대회였다. 하나를 증명할 때마다 $2,000 상금이 있었다. 

놀러간 입장이기도 하고, 준비도 없이 대회를 하는 것은 부담이었기 때문에 나는 관심이 없었다. 그런데 어느 순간 adc가 대회를 참가하고 있는 것이다. 처음엔 ‘조금 하다가 말겠지’라고 생각했는데, 몇 시간 있다가 하나를 풀어서 상금을 타낸 것이다. 당시 나는 롤러스케이터즈라는 CTF 팀에서 adc와 함께 활동했는데 나름 리더 역할을 맡고 있었다. 나도 뭔가를 해야 하지 않나 생각하고 대회를 참가하기 시작했다. 컨퍼런스 참관은 이제 물 건너가고 대회만 하게 된 셈이다. 결국, 내가 2개를 풀고, 또 다른 롤러스케이터즈 멤버인 oxff가 2개, adc가 풀은 1개, 이렇게 총 5개를 풀어 상금 $10,000를 획득했다.

상금보다도 좋았던 것은, 우리 팀이 1등을 했다는 것이다. 2등 팀에는 그 유명한 알렉스 소티로프도 포함돼있었는데 우리가 그 팀을 이겼다는 것이 신기하기도 하고 재밌었다.

뉴욕에 머물렀을 때 어울렸던 해커들은 여러 명이 있는데 알렉스 소티로프와 디노 다이 조비와도 종종 어울렸다. 소티로프는 Rogue MD5 등 많은 업적을 내놓은 천재 해커 중에 한명인데, 신기했던 점은 성인이 돼서야 미국으로 왔는데 (원래는 동유럽 국가 출신) 영어를 엄청나게 잘하는 것이다. 그전까지는 영어를 몰랐었다고 한다. 너무 잘해서 이게 정상인지 다른 미국인 친구한테 물어보니 ‘미국 네이티브보다 더 영어를 잘하는 이상한 케이스’라고 들었다. 역시 천재는 뭔가 다르구나, 라고 생각했다. 

또 다른 유명한 해커들도 많이 만났다. 미국 의회에서 증언을 했던 전설의 L0pht 팀의 멤버도 만나고, 재밌는 경험을 많이 하였다. 

Q. 왜 데프콘 본선만 가면 꼴찌를 하거나 하위권을 차지하는가

 매우 창피하다. 데프콘 같은 행사를 가면 친구들이 너무 많다. 자연스럽게 술모임으로 빠지게 돼서 정작 대회는 제대로 치룰 수가 없다. 사실, 개인적으로는 우승 목표를 삼고 본선에 간 적은 없다. 친구들 만나는게 더 기대돼서 가는 경우가 대부분이다. 나에게 대회는 부가적인 것이고, 일차 목표는 네트워크이다. 그래서 본선에서는 항상 성적이 안 좋았다. 그래도 예선에서는 1등을 해본 적도 있다. 

아, 이왕 데프콘 얘기가 나온 김에, 에피소드를 하나 소개하겠다. 대회는 즐기러 가는 것이 목표지만, 한번은 우리도 우승해야겠다는 생각이 든 적이 있다. 그때가 아마 2011년도인가 2012년도 였을 것이다. 롤러스케이터즈는 멤버가 항상 적다. 가장 적었을 때는 2명이고, 많았을 때는 4명 정도이다. 당시에 본선 진출 자격은 획득했지만, 소수 멤버로 본선에서 우승하기에는 어렵다는 것을 알고 있었다. 그래서 본선 전에 작당모의(?)를 했다. 

본선 전까지, 각자 제로데이를 준비 해오자고, 그래서 제로데이를 이용해서 다른 팀들을 해킹하거나 운영 서버를 전부 해킹해서 플래그를 전부 빼온 후, 1등을 차지하자고. 그래서 나는 다른 팀들을 해킹하기 위해 와이어샤크 제로데이를 준비해 갔었고 (스노트 취약점도 발견해서 준비해갔지만 Crash만 가능했었다.) adc는 freebsd 커널 제로데이를 찾아서 준비해왔다. 

당시 모든 팀의 서버는 freebsd jail 환경이었다. 즉, adc가 준비해온 제로데이를 이용하면 이건 말할 것도 없이 무조건 대회에서 우승할 수 있는 상황이었기 때문에 내가 준비해온 와이어샤크 제로데이는 사용할 필요도 없었다. 제로데이를 쓴 것을 들키지 않기 위해 대회 첫날에는 조용히 있었다. 둘째 날부터 본격적으로 제로데이를 쓰면서 다른 팀들의 서버까지 해킹을 하고 flag를 가져와서 등록을 했다. 순위는 수직상승.

문제는 셋째 날이었다. 8명이 앉을 수 있는 테이블에 3~4명만 앉아 있고 맥주나 마시고 있는데 스코어는 계속 올라가고 있으니 운영진에서 뭔가 눈치를 챈 것이다. 결국 제로데이를 쓴 것이 걸리게 됐고 중간에 대회가 중단되기도 했다. 우리 팀을 탈락시켜야 한다는 등의 운영팀에서 나오기 시작했고 분위기가 좋지 않았다. 최종적으로는, 우리가 어떻게 다른 서버들을 해킹했는지 알려주지도 않고, 더 이상 대회도 참가 안하는 방향으로 해서 대회가 종료됐다. 

물론 운영팀의 부정적인 반응은 이해가 가지만 분명히 룰에는 ‘제로데이를 사용하면 안된다.’라는 명시가 없었다. (현재는 룰이 생겼다.) 한가지 해커들의 우정(?)을 느낄 수 있던 것은, 운영팀이 우리를 실격 시키려고 할 때, 다른 팀의 psifertex라는 유명 해커가 ‘이건 해킹 대회고, 룰에 제로데이를 사용하면 안된다는 명시도 없었으므로 롤러스케이터즈의 실격은 부당하다’라고 얘기를 해준 것이다.

Q. 해외에서 스카웃 제의도 많이 오지 않는가

 스카웃이라기보다는, 인터뷰 제의가 많이 왔었지만, 회사가 유명해지면서 이제는 거의 없다. 이전에는 해외 유명 기업에서도 인터뷰 제의가 많이 왔다. 횟수로 따지면 50번은 되는 것 같다. 신기했던 것은, 유럽의 중소 규모 보안 회사로부터 CSO 제의를 받은 적도 있었다.

Q. 해킹할 때 행복한가

 해킹하면 잡생각이 안 나서 좋다. 숙취가 심할 때 해킹을 하면 잠시동안 고통을 잊을 수 있어서 좋다.

Q. 해킹할 때 듣는 노동요가 있는가

 음악을 잘 안 듣지만 가끔씩 듣는 노래는 있다. Junior Boys의 “In the morning”이라는 노래다. 

Q.  IDA 등 유명 툴들을 잘 활용하려면?

 나는 툴 사용법을 잘 모른다. 그래서 툴을 잘 사용하는 사람들이 부럽다.

Q. 해킹만으로 평생 먹고 살 수 있다고 생각하는가

 실력에 따라서 다르다고 본다. 실력만 좋으면 평생 먹고 살 수 있다.

Q. 실력이 어느 정도 밑받침되어야 한다고 생각하는가

 기준을 좀 찾기 어렵다. 근데 해킹뿐만 아니라 프로그래밍도 마찬가지로 실력만 있으면 정년 채우고 퇴직할 수 있는 분들이 계시니까 해킹이라고 특별히 다를 건 없을 거 같다.

Q.  다른 직종의 종사자인 와이프가 보안 업계를 이해해 줄지 궁금하다.

 일단 다른 분야의 종사자가 이해 할 수 있는지 없는지는 사람에 대한 문제가 더 크지 직업은 별로 문제가 안될 것 같다. 우리 회사 같은 경우는 스타트업이라고 볼 수 있는데, 모든 스타트업 회사들은 대부분 굉장히 바쁘다. 우리 와이프는 바쁜 남편을 이해해주는 편이긴 하다. 그리고, 출퇴근이 어느 정도 보장된 보안 직종도 다른 회사엔 많이 있는데 그런 경우라면 전혀 문제가 없을 것 같다. 

Q. CTF 쉬운 거를 풀다가 어느 정도 일정 수준이 되어서 다른 워게임 문제를 풀려는데 막상 풀려고 하니 너무 어려운 거다. 문제 풀기에는 너무 어렵고 어떻게 공부를 해야 하나 고민하는 친구가 있다. 이런 고민을 하는 친구에게 해주고 싶은 말이 있는가

그건 레벨업 하는 단계이기 때문에 오히려 그걸 역으로 생각해서 아 나도 이제 실력을 상승시킬 수 있는 기회가 왔구나라고 생각하면 좋을 거 같다. 결국, 벽에 부딪쳤을 때 그걸 해결하면 실력이 올라갈 것이다. 그렇게 긍정적으로 생각하고 도전할 수 밖에 없을 거 같다.

Q. 트위터 프로필 사진은 몇 년 전에 찍은건가

 그게 아마 10년 전쯤 됐을 거다. 10년 전쯤.

Q. 비슷한 질문으로 리즈 시절에 턱선이 살아있었는데 턱선과 실력을 맞바꿨다는 소문이 있는데 사실인가. 아니라면 그 턱선은 언제쯤 다시 볼 수 있는지 알려달라

 그건 사실이 아니고 그때가 지금보다 더 잘했다. ㅎㅎㅎ

Q. BOB 면접 때는 만나면 죽음이라는 말이 있다. 평소에는 어떤가

 천사 같다.

Q. 어느 정도 천사 같다고 생각하는가

 인격적으로 훌륭하다.

Q. 직원 분들 중에 애사심이 뛰어난 분은 누구라고 생각하는가

 나

형님은 당연하시죠

 애사심은 모두가 뛰어나지만 그래도 두 번째로 합류한 몽이형이 뛰어나지 않을까 생각된다.

Q. 몽님과 싸우면 누가 이기는가

 아무래도 내가 이기지 않을까. 몽 형은 허약하고 병이 많은 사람이다.

Q. 만약에 여자 아이를 만약에 낳게 된다면 나중에 준우(몽님 아드님)랑 혼인 시킬 생각이 있으신가

 나이 차이가 많이 나서 안돼.

 ㅋㅋㅋㅋㅋㅋㅋㅋ

Q. 그렇다면 사돈으로서 강흥수 멘토님과 정구홍 멘토님, 둘 중 누가 더 좋은가

 금수저인 점제님을 선호하겠다.

Q. 몽님도 좋지 않은가

 금수저는 아니지만 나름 자수성가했다. 그래도 금수저를 이길 수는 없다.

Q. 국내에도 친하신 해커분들이 많으시지만 외국에도 친한 해커분들이 무척이나 많으신 것 같다. 언급하신 분들 외에 친한 외국 해커분들도 소개해달라

 이상하게도 해외 해커들 중에 나를 좋아해주는 사람들이 많다. 아무래도 CTF를 오랫동안 했고, 나름대로 활약도 좋았던 이유도 있었겠지만, 한국 출신의 해커는 많이 만나보지 못했을테니 뭔가 좀 신기해하는 것 같다. 친한 해커들은 자동차 해커 듀오인 찰리 밀러와 크리스 발라섹, 마이크로소프트 개발자들에게 윈도우 커널 트레이닝을 해주는 알렉스 이오네스쿠, 애플 전문가 스테판 에써, MSRC 선정 1위의 리서처 제임스 포셔, 여러 업적을 쌓아가고 있는 타르제이 (커널풀이라는 닉네임으로 더 잘 알려져 있다), 패딩 오라클 공격을 통한 버그를 발견한 훌리아노, 삼성에서 보안 기술자로 일하고 있는 필립과 토라, 개구쟁이 스웨덴 해커 칼리만 등등이 있다. 한 사람 한 사람 보다 자세하게 소개해주고 싶지만, 분량이 너무 길어지기 때문에 나중에 따로 기회가 된다면 소개하겠다.

Q. BOB 얘기로 넘어가서 BOB 멘토를 1기 때부터 했었다. 즉, 1기때부터 5기때까지 계속 봐왔을 텐데 BOB 프로그램이 좋다는 것은 형님도 어느 정도 같은 생각이실 것 같다. 그렇다면 학생들에게 아쉬운 점이라던가 혹은 갈수록 괜찮아지고 있다라는 점이 있는가

 학생들한테 아쉬운 점 보다는 BOB에 아쉬운 점이 있다. 1기 때부터 멘토를 해오면서 BOB에 애정도 많고 관심도 많이 있지만 BOB에 좀 아쉬운 점은 1기 같은 경우에는 60명 정도로 시작을 했었는데 계속 규모를 키우다 보니까 한 기수에 100명이 넘어가게 되었다. 물론 이 것이 KITRI가 원하던 방향이 아니었고 위의 정부 지침이 그랬기 때문에 따를 수 밖에 없는 것은 알고 있다. 하지만 단순히 많은 사람을 받는다고 해서 실력 있는 해커가 비율적으로 더 생겨나는 것은 아니기 때문에 오히려 적은 학생들을 대상으로 양질의 교육을 더 많이 하는 것이 더 좋지 않을까라는 생각이 든다. 그래서 인원이 자꾸 늘어나는 것에 대해서는 약간은 아쉽고, 오히려 가능성이 있고 열심히 하는 친구들한테 더 신경을 많이 쓸 수 있고 양질의 교육을 줄 수 있는 구조였으면 좋겠다.

Q. BOB에 들어오려는 친구들이 많은데 그런 친구들에게 해주고 싶은 조언이 있는가

 우선 BOB에서 뽑히고 싶다면 어떻게 해야 뽑힐 수 있는지 스스로를 잘 파악해봐야 할 것 같다.무엇보다도 정보보안에 관심이 있어 하는 친구들이 굉장히 많기 때문에 지원자도 굉장히 많다. 자기가 뽑히고 싶다면 먼저 면접하는 사람 입장에서 생각했을 때 어떻게 해야 자기를 돋보일 수 있을 것인지 일단 그게 중요할 것 같다.

가장 좋은 방법이라면 아무래도 해킹 분야에서 활동과 공부를 많이 했다는 것을 보여줄 수 있는 포트폴리오가 있으면 가장 좋다고 본다. 뭐 대회라든지, 굳이 대회가 아니더라도 블로그 이런 것이 잘 되어있으니까 해킹 쪽으로 관심 있고 열심히 활동한다면 충분히 이름을 쉽게 알릴 수 있다.

그런 것들로 활약하면 좋을 것 같고 무엇보다도 윤리적인 것이 무척 중요하다. 어린 나이에는 누구나 실수할 수 있지만 절대로 불법적인 일을 저질러서는 안 된다

Q. 실력도 어느 정도 갖춘 친구가 불법적인 일에 가담했다거나 혹은 잘 감췄다고 하더라도 결국에는 다 밝혀지게 되어 있다. 만약 그런 친구들이 BOB에 와서 면접을 본다면 어떻게 될 것 같은가

 그런 케이스는 합격할 확률이 거의 희박하다고 볼 수 있다. 결국, 불법적인 일은 절대 하면 안 된다.

Q. 어린 친구들이 BOB 프로그램에 많이 들어온다. 확실히 beist님이 공부했을 때와 비교하여 엄청 좋은 환경 아닌가.

 엄청 좋다.

Q. 그 친구들에게 BOB를 어떻게 잘 활용했으면 좋겠는지 조언해달라.

우선 내가 봤을 때 BOB에서 학생들이 제일 많이 이용해야 될 것은 주변 환경이다. BOB에 들어왔으면 주변 사람들한테 암묵적으로 공식적인 동의를 받았다는 것이다. 내가 보안 공부를 진짜 열심히 할 것이다라는 그런 것에 대해서 동의를 받았다는 것이다. 가령, 집에서 혼자 학교 공부도 안하고 컴퓨터만 하고 있으면 주변의 시선이 별로 안 좋을 것이다. 하지만 이제는 내가 공식적으로 BOB 프로그램을 활동하면서 당당하게 컴퓨터로 보안 공부를 할 수 있는 거니까 그걸 이용해서 일단 열심히 하는 것이 가장 좋고 중요한 거 같다.

그리고 무엇보다 가장 좋은 부분은 BOB 프로그램이 학생들간의 수준 차이가 많이 있지만 자기랑 비슷한 실력을 가진 또래 친구들을 분명히 만날 수 있다는 것이다. 그런 사람들과 선의의 경쟁, 그런 게 있으면 좋다. 자극을 받을 수 있으니까. 그런 것 자체가 좋은 계기인 것 같다.

Q. 선의의 경쟁. 결국에는 둘 다 열심히 하는 것?

 그렇다.

Q. 1기 때부터 멘토를 해오셨는데 많은 친구들의 여러 프로젝트를 봤을 것 같다. 그 프로젝트 중에 ‘아, 이거 나름 인상 깊었다’ 하는 것이 있는가. 프로젝트의 결과를 떠나서 말이다.

 재미있던 프로젝트도 많이 있었는데 내가 가장 개인적으로 좋아했던 프로젝트는 서울대 최재승이 했던 프로젝트로, 이 친구도 BEST10에 뽑혔었다. 그 친구가 했던 프로젝트가 개인적으로는 마음에 들었다. 그 친구는 BOB 프로젝트를 진행하면서 자동으로 익스플로잇을 할 수 있는 프레임워크를 만들었다. 물론 짧은 기간 동안 했던 프로젝트기도 하고 학생이 진행하는 것이다 보니 완성도가 높지는 않고 약간 프로토 타입 정도였지만 그래도 열정을 볼 수 있었던 프로젝트였다.

Q. 자동으로 익스플로잇 한다고 했는데 머신 러닝 기법도 이용한 그런 것인가

 그게 머신 러닝은 아니고 심볼릭 익스큐션을 사용해서 어떤 값을 입력해야 익스플로잇을 할 수 있는지를 아는 그런 자동화 도구를 만든 것이다

Q. 머신 러닝 얘기가 나와서 말인데, 그레이해쉬 자사 제품인 파이어해쉬도 나중에 자동으로 진행되게 할 것인가

 파이어해쉬는 일단 머신 러닝하고는 관계 없다. 지금은 전혀 관계가 없고 코드를 난독화 해주는 기능만 하고 있다. 당장 우리가 갖고 있는 제품에서 머신 러닝 적용할 만한 건 없는 것 같다.

Q. 그레이해쉬의 파이어해시가 무엇인지도 자세히 애기해달라

 해커들은 소스 코드가 없어도 프로그램을 분석할 수 있다. 분석 과정을 통해 해당 프로그램이 어떻게 작동하는지 파악할 수 있고, 이를 이용해 핵심 알고리즘을 무단 복제할 수도 있게 된다. 또한 취약점을 찾거나 하는 행위도 가능하다. 파이어해쉬는 해커가 역공학을 통한 분석을 할 때 어렵게 만드는 난독화 솔루션이다. 바이너리 기반의 난독화 솔루션이며 현재 안드로이드/iOS 모두 지원하고 있다. 네이티브 레벨뿐만 아니라 자바 레이어도 지원한다. 현재는 모바일과 IoT에 탑재하기 위해 노력 중이다. 특히 IoT 시장은 날이 갈수록 커지고 있는데 보안에 대한 투자가 부족하다. 파이어해쉬 난독화를 통해 IoT 장비들의 보안도 향상되기를 기대하고 있다.

Q. 그러면 이제 일 적인 질문으로 넘어가보겠다. 점제님 인터뷰에서도 나왔던 질문이지만 외국과 비교했을 때 한국 보안 산업의 아쉬운 점이나 나아가야 할 방향이 무엇이라 생각되는가

 아마 점제님 같은 경우에는 대기업들을 위주로 설명해주셨을 거 같고 나는 전세계에 많이 있는우리 같은 중소 보안 기업 위주로 이야기해보겠다. 작은 규모의 회사는 국내에도 많은 보안 업체가 있지만 해외와 비교했을 때는 실력을 가진 보안 업체의 절대적인 숫자가 부족하다. 그래서 이런 기술력 있는 보안업체들이 지속적으로 나와야지 산업도 발전할 수 있다고 본다. 그리고 굳이 한국 보안시장, 세계 보안시장 구분할 필요는 없다고 생각한다. 컴퓨터 보안 쪽에서는 기술력이 갖춰진 회사라면 국내외 가릴 것 없이 비즈니스를 창출할 수 있어야 한다라는 것이 내 생각이다. 또 해외와 비교했을 때 아쉬운 점은 모의해킹 컨설팅 비용이 올라가고는 있지만 해외에 비해서는 아직은 좀 부족한 것 같다.

Q. 국내의 기업이나 기관에서 사업을 많이 하실 텐데 일반적으로 공개 경쟁 입찰제를 이용한다고 알고 있다. 많은 이들이 대부분 최저가 입찰을 많이 노리는데 기술력이 강한 그레이해쉬에서 사업을 따는 노하우나 최저가를 맞추는 방법이 있다면 말해달라

 우리는 경쟁 입찰은 잘 안 들어가고 고객들이 먼저 우리들을 찾아와서 일을 주는 경우가 대부분이라 일을 어떻게 하면 경쟁에서 이기고 따낸다 이런 거는 잘 모른다. 결국, 국가 기관에 공개 입찰 이런 것에 안 들어가도 우리의 기술력을 알아보고 찾아와주시는 고객들이 있다. 그래서 그런 경쟁 입찰 시스템을 굳이 얘기해야 된다기 보다는 실력이 있고 그것을 잘 알릴 수 있다면 굳이 거기서 경쟁할 필요가 있겠느냐라는 생각이다. 다른 방법도 얼마든지 있다. 다만 저가 경쟁에 대해서는 나도 들어본 바도 있고 몇 번 경험해 본적도 있는데 그 부분에 대해서는 정말 고쳐져야 된다라고 생각한다.

Q. 왜 보안 컨설팅 비용이 늘어나야 된다고 생각되는가

 내가 언급하고 싶은 것은, 실력이 있는 업체가 늘어나야 한다는 것이다. 우리나라는 컨설팅 비용이 낮다고 많이들 얘기하는데, 실력이 있고 준비된 업체를 낮은 가격에 고용할 수는 없다. 따라서, 정당한 비용을 요구할 수 있는 자격을 가진 업체가 많이 늘어나야 한다. 그럼으로써 건전한 생태계를 이룰 수 있으면 좋겠다는 말이다. 저가 경쟁 등의 방식이 아닌.

Q. 그럼 최저가 입찰이 아니라 어떠한 방법으로 기업을 평가하는 것이 좋을지. 발주하는 사람들, 즉 갑의 입장인 사람들에게 국내 기업 및 기관에 대한 쓴 소리를 해달라.

 각 기업에서 보안 프로젝트를 발주하는 사람들이 있는데 발주를 하는 것 자체는 전혀 문제가 없고 좋은 거다. 자체적으로 해결하기에는 시간이 부족하다거나 등의 이유가 있다면 당연히 외부에 컨설팅 회사에 맡겨서 도움을 받는 것이 바람직하다고 본다. 다만 그런 보안 프로젝트를 발주 할 때는 발주하는 사람 스스로들이 어느 정도 역량을 갖춰야지 제대로 된 컨설팅을 받을 수 있다.

일단 첫 번째로 만약에 발주 역량이 안 된다면 업체 선정에서부터 문제가 발생할 수 있다. 예를 들어 A업체, B업체가 있는데 알고 보니 A업체가 실력 있는 업체였는데 그걸 평가할 수 있는 안목이 없어서 B업체를 선정한다든지. 그러면 보안 생태계에도 문제지만 결국에는 자사에 피해를 입히는 것이다. 일단 안목을 기르는 게 가장 중요하다고 본다.

두 번째로는 이건 해외에서 이런 구조로 가는 경우가 많이 있는데 국내 같은 경우에는 너무 단발성인 프로젝트가 많다. 단발성 프로젝트가 갖고 있는 장점도 있지만 보안이라는 것은 한번 보고 모든 문제를 고칠 수 없기 때문에 이를 중/장기적으로 생각을 하고 발주를 해야 된다. 그런 것에 대한 로드맵이 잘 없는 거 같다. 늦기 전에 로드맵이 필요하지 않을까 생각을 한다.

Q. 보안 업계에서 정부가 해야 할 일, 역할이 무엇이라고 생각하는가

보안 업계로 한정 짓기는 좀 그런 것 같다. 보안 업체들을 지원 해준다든지 스타트업 회사 양성을 위해 노력한다든지 이런 시도들은 좋지만 실력이 밑받침 되지 않는 기업들이 많이 만들어지는 것은 오히려 생태계에 좋지 않다. 그래서 스타트업 회사들한테 몇 천 만원 정부 지원을 해준다든지 아니면 회사들이 과제를 수행할 수 있도록 과제를 많이 만드는 것 보다 차라리 잘하는 기업들이 더 혜택을 많이 받을 수 있도록 그 돈으로 세금 혜택을 하는 것이 좋을 것 같다. 잘하는 기업일수록 더 많은 일을 하고 못하는 기업일수록 더 적은 일을 할 것이다. 정부의 정책이 못하는 기업을 도와주기 보다 잘하는 기업이 더 잘하게 만들어 주고 싶다면 어떻게 해야 할지 많은 고민을 해봤으면 좋겠다.

Q. 사업하시는 분들에게 '이러한 말을 해주고 싶다' 그런 것이 있는가

우선 2년 반 동안 사업을 하면서 느낀 것들에 대한 경험을 공유해보자면 사업이 잘 된다고 느끼거나 혹은 사람이 필요하다고 느낄 때라도, 인력 채용에 대해서는 항상 신중해야 한다. 함부로 회사 규모를 늘려선 안 된다. 왜냐하면 우리 같은 스타트업 같은 데서는 한순간의 잘못된 판단이 회사를 휘청거리게 만들 수도 있다. 이건 우리 보안분야뿐만이 아니라 다른 분야에서도 마찬가지일 것이다. 두 번째로는 경쟁 입찰 제도에서 저가 경쟁을 하는 것은 모두를 위해서 피해야 된다. 그리고 보안 분야에서도, 어떤 분야를 공략하여 비즈니스를 할 것인지 목표를 정확히 만들어야 한다. 마지막으로, 가장 중요한 부분이지만 역량이 되는 사람을 채용하는 데 가장 집중해야 한다.

Q. 그레이해쉬에서 게임 분야 보안 컨설팅을 준비하신다고 들었다. 왜 게임 보안 분야인가

 일단 게임 업계도 보안에 대해서 신경을 많이 쓰고 있고, 보안팀도 많이 있으며 실력 있는 사람도 많다. 근데 속임수를 쓰는 유저가 있는지 없는지, 즉 게임 경제에 영향을 주는 악성 유저를 잡아내는데에 집중을 한다. 대부분의 게임회사는 어뷰징 케이스들을 막기 위해서 노력을 많이 한다. 반면에, 가령 클라이언트 사이드에 취약점이 있다고 한다면 게임 회사가 피해를 입는 게 아니라 클라이언트 개인만 위협에 노출된다. 게임 분야 정도의 큰 사업을 하고 있다면 사회적 책임도 있다고 본다. 게임 경제 뿐만 아니라 게임 이용자들의 보안도 고려해서 신경을 써야 된다. 현재 그레이해쉬에서 게임 해킹에 대해 진행 중인데, 연구가 잘 이루어진다면 게임 회사들에 알려주고 싶다. 이를 통해 보안 강화 작업을 유도하는 것이 목표이다.

Q. 랜섬웨어가 요즘 유행이다. 더불어 주변에 랜섬웨어 걸린 친구들도 되게 많다. 랜섬웨어를 안 걸리기 위한 본인만의 노하우가 있는가

가장 중요한 건 일단 보안 패치. 보안 패치를 항상 최신으로 하는 것이다.

Q. 사업상 메일 같은 거 많이 보지 않는가. 이메일.. 좀 위험하지 않나

이메일은 첨부파일만 조심하면 별로 문제될 건 없다. 마찬가지로 링크도 클릭 안 하면 별 문제 없다. 결국 보안 패치가 우선이다. 그리고 해커들은 아직도 랜섬웨어 공격을 할 때 인터넷 브라우저 익스플로러를 가장 많이 노리고 있다. 따라서 웹 브라우저도 해커가 많이 노리지 않는 크롬을 쓴다든지 하여 보호하는 것도 하나의 팁이라고 할 수 있다.

Q. 점제님 인터뷰에서 사장님께 하고싶은 말 보았는가. 그거에 대한 답변을 해달라.

 허리띠를 졸라매자

Q. 그럼 마지막으로 다른 회사분들에게 하고 싶은 말은

 올해는 최고의 리더가 될 수 있도록 가급적 아무 것도 하지 않겠다.