Interview
아! 기다리고 기다리던 박세준님 인터뷰 ①
2017 05 15
  • Facebook
  • Twitter
  • Copy URL

아 기다리고 기다리던 드디어 그의 인터뷰가 왔다. 씨어리(Theori), 카네기 멜런(Carnegie Mellon), PPP, PPP … PPP 하면 떠오르는 그분, 박세준 님이시다. Brian! 약 한 두어 달 전 인터뷰를 하고 나서 이후 내부 사정상 이제서야 올리는 점에 죄송합니다. 하지만 늦어진 만큼, 기다리신 만큼 재미있는 이야기를 많이 들고 왔다. 재미있게 봐주었으면 좋겠다. 

 

이미지를 불러오는데 실패했습니다.

이미지를 불러오는데 실패했습니다.

Q. 여태껏 있었던 일이나 해왔던 일에 대해 연혁느낌으로 말해달라. 예를들어 컴퓨터는 왜 시작하게 되었고 보안 공부는 어떻게 시작했는지 계기와 가장 처음 해킹한 것이 무엇인지, 여태껏 해왔던 보안 프로젝트 중 가장 흥미로웠던 해킹에 대해 말해달라

이미지를 불러오는데 실패했습니다.

어렸을때부터 게임을 많이 좋아했다보니 자연스럽게 컴퓨터를 많이 접하게 됐다. 보안은 따로 이쪽을 공부해야지라고 마음먹고 한 것은 아니지만 하던 게임들과 메신져 등을 리버싱하고 해킹하다 보니 어느샌가 보안과 밀접한 기술을 습득해 있었다.

하지만 어떤 특정한 목표를 위해서 어떻게 해야한다는 감이나 요령은 있었지만 왜 그렇게 해야만 하는지는 인지하지 못했었다. 대학에 와서 알고리즘, 운영체제 등 컴퓨터 과학의 기초와 관련한 여러 분야를 공부하다 보니 내가 해왔던게 어떻게 실행되는지 이해되기 시작했고 처음으로 “배움의 즐거움”이라는걸 몸소 체험했다.

흥미로웠던 프로젝트들은 많은데 다 얘기는 못해서 아쉽다. 한가지만 골라보자면 미국 정부 과제의 일환으로 CFI (Control Flow Integrity) 기술을 윈도우와 리눅스, 차후에 BSD 커널까지 적용할 수 있도록 구현했던 프로젝트였다. 그때가 2012년쯤 이었는데 CFI에 관련된 논문들이 우후죽순 나오기도 전이었고 Microsoft에서 CFG (Control Flow Guard)라는 CFI의 절반에 해당되는 기술을 적용하기 훨씬 이전의 연구라서 의미가 깊었다. 

이미지를 불러오는데 실패했습니다.

Q. 널루트와 관련해서 재미있었던 에피소드를 말씀해달라

이미지를 불러오는데 실패했습니다.

널루트와 인연은 지원까지만 했었기 때문에 딱히 재미있던 에피소드는 없다. 처음에 CTF와 보안에 발을 들였을 때 많은걸 배우고 싶어서 국내에서 유명하던 널루트 팀에 지원했다. 거의 1년이나 걸리는 사뭇 입사시험 느낌의 프로세스를 마치고 “인적평가”만 남겨둔 상황이었는데 PPP를 만들게 되면서 널루트에는 입단을 하지 않았다.

이미지를 불러오는데 실패했습니다.

Q. PPP를 만들게 된 계기를 말해달라

이미지를 불러오는데 실패했습니다.

아까 말한대로 더 많은것을 잘하는 사람들에게 배우고 싶은 마음으로 팀에 들어가기 위해 준비를 하다보니 실력이 조금씩 늘게되었다. 그 당시 이 얘기를 들은 연구실 지도교수님이 “왜 굳이 멀리 있는 팀을 들어가려고 해? 그냥 너가 여기서 만들어서 이끄는건 어때?” 라고 제안하셨다. 그래서 “전 아직 모르는것도, 못하는것도 많은데 제가 어떻게 리드를 하죠” 라고 걱정스레 말씀드렸더니 “야, 원래 처음부터 잘하는 사람이 어딨어. 그냥 시작하고 봐” 라며 쿨하게 대답하셨다. 이 일이 계기가 되어 PPP를 만들어야겠다는 생각을 했었다.

이미지를 불러오는데 실패했습니다.

Q. PPP 설립을 제안한 교수님에 대해 말씀해달라

이미지를 불러오는데 실패했습니다.

학부시절과 석사시절 지도교수님을 맡아주신 David Brumley 교수님이다. 완전 쌩 미국인인데 한국사람처럼(?) 불같은 성격의 소유자다. 어린 나이에 교수가 되어 binary program analysis 쪽에서는 둘째가라면 서러운 엘리트이고, 흔히 ‘학생보다 더 열심히 하는’ 열의 넘치는 교수님이라 힘들었다. 얼마전 DARPA가 주최한 CGC (Cyber Grand Challenge)에서 우승한 팀/회사의 CEO이기도 하다. 같은 지도교수님 아래에서 석사/박사 과정을 하신 차상길 형은 지금 카이스트 교수님으로 계신다. 유독 그때 랩에 한국사람들이 많았는데 한참 부족한 나를 다들 많이 도와주셨다. 조금더 덧붙이자면 당시 랩실에 한국인은 나를 포함하여 4명이나 되었다

이미지를 불러오는데 실패했습니다.

Q. CTF를 혼자서나 혹은 다른 팀과 같이 해본 적이 있는가. 그 때 경험을 얘기해달라

이미지를 불러오는데 실패했습니다.

이전에 말했던데로 널루트 “시험”을 볼 때 마지막 관문으로 내부 CTF가 있었는데 그때는 개인전이라 혼자 했었고 운좋게 우승을 했었다. 또 최근에는 항상 경쟁팀으로 지내던 PPP와 DEFKOR를 콜라보를 해서 KeyResolve라는 한미연합팀으로 Belluminar를 나가서 우승하기도 했다. 각자의 플레이 스타일 등을 처음봐서 신기하기도 했고 한 팀으로서 같이 머리 맞대고 문제를 풀어나가는게 재밌기도 했다.

이미지를 불러오는데 실패했습니다.

이미지를 불러오는데 실패했습니다.

이미지를 불러오는데 실패했습니다.

아 그 얘기 들었다. 당시 벨루미나 CTF에서 KeyResolve는 거의 학살 수준이었다고 들은 것 같다.

이미지를 불러오는데 실패했습니다.

Q. 미국에서 카프리카 보안회사를 창업했었다. 어떻게 창업을 생각하게 되었는가

이미지를 불러오는데 실패했습니다.

학부시절 Lockheed Martin에서 PPP 친구들과 같이 여름 인턴을 한 적이 있었는데 그 때 매니져로 있던 아저씨(?)가 다같이 창업해보는건 어떻겠냐고 제안해서 시작하게 되었다. 사실 개인적으로도 동아리에서 더 나아가서 같이 회사를 차리고 싶다는 마음이 있었던지라 큰 고민하지 않았다.

이미지를 불러오는데 실패했습니다.

Q. 카프리카 사업이 어땠다고 보는가. 객관적으로 주관적으로 두 가지 관점에서 말씀해달라

이미지를 불러오는데 실패했습니다.

객관적으로 봤을때는 아주 큰 성공은 못했지만 결과적으로 회사원들 월급 및 보너스 다 주고도 net positive로 exit한 스타트업이므로 실패는 아니지 않았나 싶다. 주관적으로는 사업을 하는 4년 내내 우여곡절이 너무 많아서 감정적으로 많이 지친것도 사실이다. 하지만 큰 기업에서는 절대 배울 수 없는 값진 경험들을 몸소 체험할 수 있었던 기회였고 무엇보다 엄청나게 자유로운 생활이 가장 좋았다.

이미지를 불러오는데 실패했습니다.

Q. 카프리카에서 했던 사업이 무엇이었는가

이미지를 불러오는데 실패했습니다.

 크게 세 가지로 나뉘는데

첫번째는 맨 처음 시도했던 하드웨어 기반 안드로이드 기기 보안 솔루션이었다. 기존 백신은 알고리즘이 아무리 뛰어나고 시그니쳐 DB가 아무리 방대해도 백신이 돌아가고 있는 운영체제 (OS) 자체가 잠식되면 아무 쓸모가 없어진다. 이는 백도어가 있어도 없다고 허위 신고를 하면 되기 때문이다. 그래서 잘 때 충전하면서 동시에 recovery mode에서 잠들어있는 운영체제와 시스템을 밖에서부터 검증하자는게 아이디어였다. 그때 마침 BYOD (Bring your own device) 열풍이 불던 때라 보안 불안증을 가지고 있던 엔터프라이즈 고객들은 환영했지만 해당 제품을 실현하기 위해 의존하던 OEM이 재정적 문제를 겪으면서 팀들을 잘라내가기 시작했는데 우리랑 작업하던 팀이 통째로 날라가서 프로젝트가 무산되어버렸다.

두번째는 회사 창립시부터 끝날때까지 계속 하던 주력 사업인데 DARPA와 같은 국가 기관 연구개발 과제를 진행하는 것이었다. 그 중 규모가 가장 크고 유명한건 단연 CGC였지만 평소에 쉽게 할 수 없는 연구들을 돈받으면서 할 수 있다는게 매력적이었다.

세번째는 꽤나 성공적으로 exit하게 도와준 Tachyon (타키온)이라는 제품이다. 안드로이드 기기들을 대량으로 프로비저닝할 수 있는 솔루션이다. BYOD에 이어 각 회사에서 일명 “회사폰”을 지급하는 경우가 많았는데 이 때 기본 앱, 바탕화면 부터 보안 설정까지 회사폰에 대한 갖가지 설정을 해서 지급해야하는데 알바생을 고용하여 일일히 수작업으로 진행하고 있었다. 애플에서는 해당 기능을 자동으로 할 수 있는 툴을 지급했지만 안드로이드 진영에는 그에 맞설게 없었는데 이 때문에 엔터프라이즈 시장에서 밀리는 여파가 생긴 부분을 우리가 만든 자동화 솔루션으로 대항할 수 있었다. 해당 솔루션은 삼성에 매각되었다.

이미지를 불러오는데 실패했습니다.

Q. 다른 나라도 많은데 왜 한국지사인가.

이미지를 불러오는데 실패했습니다.

우선 가족과 여자친구가 한국에 있고 ㅎㅎ 한국에 보안쪽으로 특출난 인재가 적지 않다. 또한, 국내에 있는 고객사들과도 좀 더 활발한 교류를 할 수 있다는 점을 고려했다. 

이미지를 불러오는데 실패했습니다.

오 많은 이가 박세준님은 모솔이라 예상했다. 컴퓨터랑 연애할 거라는 예상을 깨고ㅋㅋㅋㅋㅋㅋㅋ 죄송합니다.

이미지를 불러오는데 실패했습니다.

Q. 씨어리(thori) 한국지사로 이뤄내고 싶은 목표가 있는가

이미지를 불러오는데 실패했습니다.

한국지사는 시작일 뿐이다. 국내에서 잘한다는 사람들을 다 모으고 나면 ㅎㅎ, 또 새로운 인재들을 영입하기 위해 세계로 뻗어나갈 생각이다. 내 목표는 기술력으로는 아무도 범접할 수 없는 엘리트 집단을 만들어서 기업이나 국가가 가지고 있는 보안 고민을 완전히 해결해 줄 수 있는 유일한 팀으로 거듭나는것이다. … 말하다보니 남의 회사 인터뷰에 이렇게 말해도 되나 싶다.

이미지를 불러오는데 실패했습니다.

다이하드4에 한명씩 죽어나가던 유명한 해커들이 생각나ㄴ...ㅎ... 아니 그냥 그렇습니다.

이미지를 불러오는데 실패했습니다.

Q. 씨어리는 어떤 기업이 되도록 만들 것인가. 카프리카 사업 경험을 바탕으로 이렇게 운영하고 싶다 위주로 말해달라

이미지를 불러오는데 실패했습니다.

위에 연결해서 말하면 연구자 혹은 엔지니어가 주인공이 되는 회사를 꿈꾼다. 물론, 다른 부서의 영향력이나 중요도를 낮다고 생각하는게 아니다. 이전 사업을 생각해보면 그리고 지금 회사를 봐도 오히려 영업이나 마케팅과 같은 다른 부서들이 회사의 존속을 결정짓는데는 더 중요하면 중요했지 반대는 아니다. 내가 말하는 연구자, 엔지니어가 중심인 회사는 우리 같은 기술자들이 눈치보지 않고 기술 발전과 연구 개발에 온전히 집중할 수 있도록 노력하는 회사다.

이미지를 불러오는데 실패했습니다.

Q. 씨어리 한국지사를 설립하고 지금 한창 바쁠 때인데 어떻게 되어가고 있는지 말해달라.

이미지를 불러오는데 실패했습니다.

 2월에 시작했고, 첫 몇 주의 적응기를 보낸 뒤 미국에서 수주 받은 일을 한국팀과 나누어서 진행하느라 꽤 바빴다. 그런데 내가 원체 영업사원....으로서는 실력이 없어서 국내 일을 아직 많이 수주해오지 못해 4월 한달간은 할 일이 없었다.... 그래서 남은 한달 동안 각 연구원들의 자기계발과 실력증진을 위해 사내 자율연구를 실시했다. 아직 한국에서는 많이들 보지 않은 애플 쪽 취약점 분석과 브라우저 취약점 분석 실력을 다졌다.

그레이해쉬가 한국에서 그러하듯, 미국에선 우리가 가만히 있어도 의뢰가 자주 들어온다. 하지만 모든 일을 다 작업할 맨파워가 없기 때문에 그 중에서 골라서하기 일수다. 국내에선 아직 우리와 일해본 회사나 기관이 거의 없기 때문에 아직 여기저기 발을 들여보려고 시도 중이다. 실무자분들은 협업해보고 싶어하는데 보통 책임자 급에서 “우리와 일해본적 없다”는 이유로 시작도 못해본 경험이 적지 않다. 이 부분은 내가 더 발전하고 노력해야하는 부분이라고 생각한다.

이미지를 불러오는데 실패했습니다.

Q. 왜 다시 스타트업인가

이미지를 불러오는데 실패했습니다.

Freedom. 쉴땐 쉬고 할땐 정신없이 하는 내 페이스에 맞춰서 일할 수 있는 자유도를 포기하기 어려웠다. 또한, 회사의 방향과 비전을 좀더 같이 일하는 사람들끼리 조율하고 맞춰나갈 수 있다는 점이 매력이다. 

이미지를 불러오는데 실패했습니다.

grayhash도 쉴땐 쉬고 일할 땐 일하잖아요? ㅋㅋㅋㅋ 그레이해쉬에 들어오는 건 어떠세요 ㅎ

이미지를 불러오는데 실패했습니다.

Q. 외국에서 창업한 경험은 어떤가. 창업하기 좋은 환경인가. 지원은 많았는가. 정책은 어떤가

이미지를 불러오는데 실패했습니다.

창업은 사실 이번까지 두번 밖에 해보지 않아서 잘 모르겠다. 근데 요즘 자료들을 찾아보면 한국에서 창업하는데 지원을 훨씬 많이 해주고 편한것 같다. 우리는 보통 자급자족으로 버텨왔기 때문에 딱히 지원을 받진 않았다. 찾아보면 의외로 있을지도.

이미지를 불러오는데 실패했습니다.

Q. 해외 취업을 원하는 학생들에게 외국 보안 업계 환경을 반영하여 말해달라

이미지를 불러오는데 실패했습니다.

보안 인력은 세계적으로 부족한 상황이기 때문에 해외 취업이 그렇게 어렵다고 보진 않는다. 하지만 미국은 최근 새로운 정권 등의 여파로 전반적으로 조금 더 어려워진건 사실이다. 실력만 있다면 해외든 국내든 좋은 조건으로 취업하는건 무리가 아니라고 본다.

이미지를 불러오는데 실패했습니다.

Q. BOB를 어떻게 생각하는가. BOB 멘토의 입장과 객관적인 입장에서 봐달라

이미지를 불러오는데 실패했습니다.

세계 어디에서도 찾을 수 없는 정말 좋은 프로그램이다. 해외에서도 벤치마킹을 해가서 비슷한 프로그램을 구축할 정도니까. 난 사실 멘토단에 이름을 올리고 있긴 하지만 상주하시는 다른 멘토님들에 비하면 큰 도움이 못되었다. 가끔 한국에 갔을때 특강을 하거나 메신져를 통해 상담해주는 것이 전부다. 실제로 프로그램을 구상하시고 현실화 시키시는 분들은 따로 있다. 존경받아 마땅하다고 생각한다.

객관적인 입장으로 보자면 BOB는 꼭 필요한 프로그램이라고 생각한다. 앞으로는 더 중요해질 것이고. 다만, 단지 스펙에 한 줄을 더 얹기 위해 지원하는 사람이 있다면 얻어가는것도 딱 그정도일 것이라는 점은 말해두고 싶다. 모든것이 그러하듯 자신이 원하는 만큼 열의를 붓는 만큼 얻어가게 되어있다. 국내 최고 멘토들과 시설, 교육과정을 얻을 수 있는 기회가 있다면 200% 누리고 갔으면 좋겠다.

이미지를 불러오는데 실패했습니다.

Q. BOB멘토 활동을 하면서 이 부분은 괜찮았다고 생각하는 점이 있는가

이미지를 불러오는데 실패했습니다.

센터의 연구원님들과 멘토님들의 끊임 없는 관심과 지원이다. 졸업을 했어도 재학을 하고 있어도 누군가 도움을 요청하면 자기 일처럼 발벗고 나서는 분들을 보며 많이 돕지 못한 내가 부끄러울 정도다.

이미지를 불러오는데 실패했습니다.

Q. BOB 학생들이 잘 따라와주나. BOB 학생들의 칭찬할 점이 있는가

이미지를 불러오는데 실패했습니다.

그렇다. 다들 총명하기도 하지만 무엇보다 BOB 학생들의 장점을 하나 꼽으라면 나는 고민없이 “열심”을 말할것 같다. 다들 정말 무서울정도로 열심히 한다. 매번 그 모습들을 보며 내 자신을 반성한다..ㅋㅋ 휴..

이미지를 불러오는데 실패했습니다.

Q. 반대로 BOB 학생들에게 아쉬운 점이 있는가. BOB 학생들에게 해주고 싶은 말을 해달라.

이미지를 불러오는데 실패했습니다.

프로젝트에 크게 관여는 못했지만, 기회가 되면 연구 주제들은 꼭 한번씩 훑어본다. 다양한 연구주제들이 매년 나오지만 한가지 개인적으로 아쉬운게 있다면 뭔가 창의적이거나 도전적인것을 본 기억이 없다는것 정도? ‘와 이건 정말 새롭다’ 또는 ‘와 이건 진짜 어렵겠는데’ 라고 생각이 꽂힌 주제가 없었던것 같다. 이는 물론 한정된 시간 내에서 결과를 도출해야하는 제도의 한계점이기도 하지만 언젠가는 미친척 상상도 못할 아이디어를 내고 성공하는 모습을 기대해본다.

이미지를 불러오는데 실패했습니다.

오 그거 완전 멋지네요

이미지를 불러오는데 실패했습니다.

Q. 해킹을 잘 한다는 것이 무엇일까

이미지를 불러오는데 실패했습니다.

타겟에 대한 이해도가 원작자보다 높다는 것이라 생각한다. 

이미지를 불러오는데 실패했습니다.

Q. 해킹에도 여러 종류가 있다. 어느 해킹이 가장 재미있고 잘하는 해킹이 무엇이라 생각하는지 알려달라. 

이미지를 불러오는데 실패했습니다.

분야가 다양하고 취향도 다양하기 때문에 개인적인 관점에서 말하자면 나는 시스템 해킹을 좋아하고 리버싱을 해서 확실히 뭐가 어떻게 돌아가는지 파악해야만 의미있는것을 할 수 있는 류를 선호한다. 하드웨어나 임베디드는 하라면 할 수 있지만 즐겨하진 않는다.

이미지를 불러오는데 실패했습니다.

Q. 여러 분야의 해킹 중 가장 중요하다고 생각하는 것은?


엄마와 아빠 중 더 중요한 사람은?

이미지를 불러오는데 실패했습니다.

엇 물으신거에요?..엄마? 아빠..? ㅎ... 두 분다 중요한데... ㅎ... 

이미지를 불러오는데 실패했습니다.

Q. 자신은 세계에서 어느 정도 위치에 있다고 생각하는가

이미지를 불러오는데 실패했습니다.

 쭈구리는 아니라고 생각한다. 하지만 세상은 넓고 천재는 많다.

이미지를 불러오는데 실패했습니다.

Q. 보안으로 무엇을 꿈꾸는가.

이미지를 불러오는데 실패했습니다.

 언젠가 나와 우리 팀이 연구하고 만든것들이 세계적으로 많은 사람들에게 좋은 영향력을 끼쳤으면 좋겠다. 이렇게 세계정복 

이미지를 불러오는데 실패했습니다.

Q. 보안 세미나를 많이 다니는가

이미지를 불러오는데 실패했습니다.

대회 위주로 다니긴 하는데 세미나나 토크는 안들으므로 다니지 않는다고 하는게 더 가깝다. 발표하러는 간간히 다닌다. 주로 흥미로워 보이는 발표가 있으면 집에서 따로 슬라이드나 영상으로 추려본다.

이미지를 불러오는데 실패했습니다.

Q. 이제 막 보안을 시작하는 어린아이들에게 해주고 싶은 말이 있는가. 조언해달라.

이미지를 불러오는데 실패했습니다.

다른 분야도 마찬가지지만 예전에 비해 보안 공부하기가 훨씬 수월해졌다. 자료가 없어서, 어디서 시작해야할지 몰라서는 이제 더이상 쓸 수 없는 핑계가 되어버렸다. 이것저것 할 수 있는것들은 다양하게 다 해보고 자기에 맞는걸 골라서 정진하는게 좋겠다. 보안이 아닌거 같으면 과감하게 다른 쪽으로 전향하는것도 나쁘지 않다. 모든 사람이 같은걸 할 필요는 없다. 자신이 즐길 수 있는걸 찾아서 하고 행복하면 된거다.

이미지를 불러오는데 실패했습니다.

Q. 계속 공부를 하지만 뭔가 실력이 늘지 않는다고 생각하는 친구들에게 하고 싶은 말이 있는가

이미지를 불러오는데 실패했습니다.

무엇을 공부하고 있고, 왜 공부하고 있는지를 다시한번 생각해봤으면 한다. 실력이 늘지 않는데에는 보통 자기가 아는것 이상의 것을 수용하려고 하지 않기 때문일 확률이 높기 때문이다. “하면된다”는 정말 진리다. 물론 전략적으로 “잘” 하면 효과가 더 크고, 어떤 사람들은 “감”을 타고나서 더 빠르게 할 수 있겠지만. 누구든지 계속 발전하려고 시도한다면 성장하게 되어있다. 물론, 이게 결과적으로 이득인지는 다른 얘기지만 말이다.

이미지를 불러오는데 실패했습니다.

Q. 어떻게 공부하면 좋을 지 테크트리가 있는가

이미지를 불러오는데 실패했습니다.

난 보통 새로운것을 배울때 DFS (Depth-first search) 기법을 사용한다. 예를들어 X를 공부하는데 Y가 나왔다면 그리고 그걸 모른다면 나는 Y를 공부하고 돌아와서 계속 X를 공부한다. 이런식으로 모르는게 나오면 알때까지 계속 타고내려간다. 기초가 탄탄하지 않고는 그 위에 올려진 이론과 기술을 잘 이해할 수 없기 때문이다.

이미지를 불러오는데 실패했습니다.

Q. 해킹을 잘 할 수 있는 팁이 무엇이 있을까. 본인만의 팁을 마음가짐과 기술적진 부분 두 가지로 구분해서 알려달라.

이미지를 불러오는데 실패했습니다.

보안은 어느 분야보다 더 빨리 많이 바뀌는 분야다. 자기만족하지 말고 끊임없이 배우고 발전해야한다. 안그러면 “내가 한때는 말야~”하는 퇴물이 되어버린다.

이미지를 불러오는데 실패했습니다.

Q. 아무래도 기업을 운영하다 보면 이런 점은 정말 다르구나 싶은 클라이언트의 성향이 있는가

이미지를 불러오는데 실패했습니다.

해외 클라이언트가 조금 더 오픈되어있다고 생각한다. 예를 들어, 국내 고객사 취약점 점검을 하게 되면 그 플랫폼이나 소프트웨어에 대한 소스코드는 아예 못받는다고 보면 된다. 블랙박스로 하는 일이 허다하다. 최근에 우리가 컴퓨터에 돌아가는 창문을 만드는 미국의 M모사와 일을 했을때에 운영체제와 브라우저의 소스코드에 대한 액세스가 있었다. 한가지 버전뿐 만이 아니라 shipping하는 모든 플랫폼에 해당하는 branch들과 심지어 아직 공개적으로 릴리즈 되지 않은 빌드까지 말이다. 물론 기업으로서 지적재산권을 보호하는것은 중요하다. 하지만 맡긴 일을 더 효율적으로 할 수 있도록 프로세스를 만드는것도 일을 맡겼다면 신뢰하는것도 중요하다고 생각한다

이미지를 불러오는데 실패했습니다.

Q. 국내 보안에서 아쉽다고 생각하는 부분이 있는가

이미지를 불러오는데 실패했습니다.

위에서 언급했듯이 조금 “사전 경험 유무” 바탕으로 일을 주는 경향이 있다. 그래서 새로운 기업 입장에서는 특히 컨설팅 업무가 진입 장벽이 높은것 같다. 혹은 그냥 내가 영업에 소질이 없나..ㅎ;

이미지를 불러오는데 실패했습니다.

Q. 국내에서는 생산비용에서 가장 줄이기 쉬운 부분이 보안이라고 생각하는 기업이 많다. 이와 비교해서 해외 클라이언트들은 보안을 어떻게 생각하고 있다고 보는가

이미지를 불러오는데 실패했습니다.

해외 큰 기업들은 현재 보안에 엄청난 투자를 하고 있고, 보안 인력을 늘리고 팀을 키우기 위해서 소위 “blank check(백지수표)” 를 허락한다. 앞으로 보안은 더더욱 중요해질것이다. 그게 프라이버시가 중요한 SNS 매체가 되었던 인명으로 바로 연결되는 자율 주행차 OEM이 되었던 말이다.

이미지를 불러오는데 실패했습니다.

Q. 그레이해쉬에 대해 어떻게 생각하는가

이미지를 불러오는데 실패했습니다.

사업적으로 봤을때 롤 모델이다. 연구원들이 하나같이 실력이 좋고, 잘 어울리고, 즐겁게 연구한다. 더불어 적어도 밖에서 보면 돈도 잘 버는거 같다.

이미지를 불러오는데 실패했습니다.

Q. 우리의 사업 분야가 어떻게 보면 비슷하다고 생각된다. 이에 대해 어떻게 생각하는가

이미지를 불러오는데 실패했습니다.

아무래도 두 회사 모두 컨설팅을 기반으로 운영되는 회사다 보니 그럴 수 있다고 생각한다. 하지만 앞으로 방향을 봤을때는 분명 각자가 유니크함을 띄는 길을 걷고 있을거라고 본다.

이미지를 불러오는데 실패했습니다.

Q. 그레이해쉬 외에 비슷하다고 생각되는 기업이 있는가

이미지를 불러오는데 실패했습니다.

국내에선 블랙펄이 제일 근접하지 않을까 싶다. 하지만 이 역시도 컨설팅 쪽만 봤을 경우고, 각 회사마다 강점과 약점이 분명 존재하고, 각자의 색깔이 있다고 생각한다.

이미지를 불러오는데 실패했습니다.

Q. 브라우저 제로데이 특강과 관련해서 발표한 후 곧 바로 비슷한 악성코드가 풀렸다. 이에 대해 어떻게 생각하는가. 비슷하게 본인의 익스플로잇이 악성코드에 이용되는 것에 대해 어떻게 생각하는가

이미지를 불러오는데 실패했습니다.

강의나 발표에서 소개한 코드는 우리 회사 github과 블로그를 통해 오픈소스 했다. 이를 그대로 가져다가 복붙한 Exploit Kit(EK) 들이 있었는데 한동안 그것 때문에 Microsoft와 몇몇 백신 업체에서 연락이 왔었다. 일단 우리가 구할 수 있는 EK들을 분석했을 때 실제 1차원적으로 쉘코드만 바꾸고 실제로 익스를 다음 체인으로 연결하는 것들은 없었다. 한 마디로 컴퓨터를 장악하는데는 사용할 수 없었다. 이런 건 사실 양날의 검이라고 생각한다. 악용하는 사람들이 무서워서 기술을 전파하는 것을 멈출 수는 없지 않은가. 분명 화이트햇에게도 도움이 되는 자료일 거라고 생각한다.  

이미지를 불러오는데 실패했습니다.

Q. 국내 버그바운티 제도에 대해서는 어떻게 생각하는가

이미지를 불러오는데 실패했습니다.

국내 버그바운티는 참여해본적이 없어서 모르겠다. 들은 바로는 KISA에서 중심적으로 관리를 하고 기업들이 스폰서를 하는 형식으로 알고 있다. 국가기관에서 관련 프로그램을 운영하는것은 정말 좋은 일이지만 분명히 한계점이 있고 해외처럼 각 기업들이 자발적으로 프로그램을 운영했으면 하는 바람이 있다. 아니면 hackerone 같은 공용 플랫폼을 이용하되 회사별로 더 투명하고 빠른 커뮤니케이션이 가능하면 좋을듯 싶다.

이미지를 불러오는데 실패했습니다.

Q. 국내외 해킹대회의 수준 대해서 어떻게 생각하는가

이미지를 불러오는데 실패했습니다.

 저마다의 장단점이 있다. 그리고 모두 운영진에 따라서 그때그때 수준이 매우 차이가 난다.

이미지를 불러오는데 실패했습니다.

Q. 이번 데프콘은 재밌었는가

이미지를 불러오는데 실패했습니다.

예선전을 말하는거라면 나름 재미있게 했다. DEFKOR를 비롯한 세계적으로 잘하는 팀들과 대회에서 치열하게 경쟁하는건 항상 즐겁다.

이미지를 불러오는데 실패했습니다.

Q. 이승진님과 몽님중에 누가 더 잘생겼다고 생각하는가

이미지를 불러오는데 실패했습니다.

얼굴로 비교하자면 loki 미만 잡 아닌가 하는 생각이 든다..

승진이형과 몽이형 둘 다 아름다운 아내분들을 만나서 잘 살고 있고, 둘 다 심할정도의 동안이라 둘다 어느정도 승리한 삶을 살고 있는게 아닐까 하는 생각이다. ㅋㅋ 승진이형이 키가 좀 더 크니까 점수를 더 주고 싶지만, 몽이형에게는 귀여움이 흘러넘치는 준우가 있으므로 우열을 가리기 어렵다. 결론은 loki가 승자.

이미지를 불러오는데 실패했습니다.

 

2부에서 이어집니다. 

=> 아! 기다리고 기다리던 박세준님 인터뷰 ①

아! 기다리고 기다리던 박세준님 인터뷰 ②

아! 기다리고 기다리던 박세준님 인터뷰 ③

유성경 yuopboy@grayhash.com