Interview
글로벌 클래스, 시스템 해킹의 대가 Beist님 인터뷰 ①
2017 01 12
  • Facebook
  • Twitter
  • Copy URL

며칠 전, 회사에 출근을 했는데 사장님이 맥주를 마시며 코딩하고 있었다. 저 사람이다!!
회사에서 짬밥이 제일 적은 내가 사장님을 모셔와 앉혀놓고 다짜고짜 인터뷰를 진행했다. 이왕이면 사장님이 곤란해 하길 바라는 마음으로 곤란한 질문들을 생각해내려 애썼다. 페이스북에 이벤트도 걸어 좀 더 곤란한 질문들을 받아봤다. 

닉네임 beist, 이승진이다. 시스템 해킹의 대가이며 국내 해킹하는 사람, 보안을 하고 있는 사람이라면 그의 이름 혹은 닉네임은 들어봤을 것이다. 국내외를 막론하고 다수의 컨퍼런스에서 발표자로 모셔가려 하고 블랙햇에서 스마트TV 해킹과 관련하여 발표도 하셨다. 글로벌 해커 beist 님과의 인터뷰를 진행해보았다.

그와 관련된 한 가지 썰을 풀자면, 필자가 BOB 프로젝트를 할 당시 새벽에 팀원들이랑 프로젝트를 진행하고 있었다. 그 때, 이승진 멘토님이 술을 드시고 들어와 옆에 있던 아주 잠시 쉬고 있던  다른 팀 한명씩 리버싱을 시키며 멘토님은 그 뒤에 앉아 질문하고 물어보고 왜 그렇게 하냐며 따스한 말씀을 전하시기도 했었다. 필자는 취약점 트랙이 아니어서 열심히 하라는 응원의 말씀만 전해주셨지만 다른 취약점 트랙의 친구들은 이 곳에 올 엄두를 못냈다.

큰 키와 동굴같은 목소리, 날카로운 질문으로 BOB 친구들을 공포에 떨게 했던 그 유명한 멘토님이다. 소문에는 BOB 면접시에 정말 무섭고 피하고 싶은 여러 방들 중에 이승진멘토님 방을 꼽지만 이래뵈도 한참 어리고 가장 말단 계급인 필자가 다짜고짜 인터뷰! 라고 해도 받아주시는 천사같으신 분이시다. 더군다나 회사 내에서 자리 위치가 변경되더라도 가장 안좋은 의자, 안좋은 책상과 위치는 항상 사장님의 자리다. 물론, 그 자리에 사장님이 안계셔서 그런 것도 있다. 정말 무서운 분들은 회사에 계신 분들이지 않을까 싶다. 

beist님과의 인터뷰를 영어로 작성하여 널리널리 알리면 더 좋을텐데.... 정말 아쉬운 부분이다.

이미지를 불러오는데 실패했습니다.

이미지를 불러오는데 실패했습니다.

Q. 보안업계에서 일을 어떻게 시작하게 되었고, 하게 된 계기가 있다면 무엇인가

이미지를 불러오는데 실패했습니다.

 보안업계 일을 시작하게 된 계기는 온라인 게임 해킹을 하다가 접하게 되었다.

이미지를 불러오는데 실패했습니다.

Q. 무슨 온라인 게임 이었는가

이미지를 불러오는데 실패했습니다.

 그때 당시에는 머드 게임이 굉장히 비쌌는데 지금 나오는 웬만한 게임보다 훨씬 비쌌다. 가령 1분에20원씩 과금되는 구조였기 때문에 1시간만 해도 1200원이 나왔다. 일정 금액을 부과하고 계속 할 수 있는 정액제도 없었다. 이것이 학생에게는 큰 부담이었기 때문에 어떻게 하면 공짜로 할 수 있을까 방법을 찾고 싶었다. 이땐 이것이 해킹이라고 생각도 못했다.

당연히 컴퓨터를 전혀 몰랐기 때문에 어떻게 해야 할 지 방법을 몰랐었다. 인터넷을 통해 이런 게임이나 데몬들은 TCP/IP 프로토콜을 이용해서 제작 되는 구조라는 것을 알았다. TCP/IP 이용하는 구조는 반드시 IP주소와 포트주소를 가질 수 밖에 없었고 이를 파악했다. 그 이외에는 알 수 있는 것이 없었지만 다행히 IP는 게임에 접속을 할 때 아주 짧게 순간적으로 보였다. 203.xxx.xx…. IP 정보는 확인했지만 포트번호는 전혀 모르는 상태였다. 그 머드 게임은 당시 나우누리라는 나우콤에서 제공되는 PC통신망을 이용하여 옛날 BBS(Bulletin Board System) 접속 메뉴 통해서 접속을 했어야 했다. IP정보는 일단 확보했다 해도 포트번호는 전혀 알 길이 없었다.

“아 이런 프로그램들은 IP와 포트번호가 필요한데 만약 내가 이 IP와 포트번호를 정확히 알고 있으면 나우누리를 통해서 접근하지 않아도 접속할 수 있지 않을까?” 라는 생각이 들었고 이렇게 해서 시도하게 되었다.

당연히 당시에는 프로그래밍 능력이 없었기 때문에 포트번호 1번부터 65535까지 다 일일이 손으로 접속을 시도해봐야겠다고 생각했다. 8000번대인가, 그 대역쯤에 갔을 때 접속이 되었다. 당연히 나우누리를 거쳐서 들어간 것이 아니라 내가 직접 들어간 것이기 때문에 나에게 과금 할 수 있는 방법이 없었다. 이것이 처음 해킹이라고 부르기는 좀 어렵지만 뭔가를 우회했다는 느낌을 처음 받았었다.

더불어, “아, 이거 되게 재밌다.” 그러면서 이런 장난 같은 거 하지 말고 내가 컴퓨터를 제대로 공부하고 정말로 해킹에 대해서 공부를 해봐야겠다라는 생각을 했다. 그래서 고등학교 들어갈 시기가 2000년도였는데 2000년도부터 C언어, 리눅스 같은 책을 사서 공부하기 시작했다. 당시에는 보안업계 인터넷 커뮤니티가 크지 않았기 때문에 어느 정도 활동을 열심히 하면서 문서 같은 것을 작성하고 다른 사람들과 지식을 공유하면 이름을 금방 알릴 수 있었다.

이미지를 불러오는데 실패했습니다.

Q. 블로그가 한참 유행하던 시기였는가

이미지를 불러오는데 실패했습니다.

 그때는 블로그가 없었다. 블로그 없었고 여전히 BBS 같은게 유행했었고 IRC, 당시에는 해커스랩 IRC에 보안에 관심 있어 하는 사람들이 거의 다 모여있었기 때문에 그 IRC를 통해서 활동을 했었다. 그러다 2000년 8월경에 사이버 리서치라는 청담동 소재 보안 회사에서 연락이 왔다. 회사에서 인턴으로 한 번 일해볼 생각이 없겠느냐 하고 스카우트 제의가 오게 되면서 일하게 되었고 그때부터 보안업계 들어와 지금까지 하고 있다.

이미지를 불러오는데 실패했습니다.

Q. 그러면 그 이후에 거기서 일을 하시다가 군대로 간 것인가

이미지를 불러오는데 실패했습니다.

 2000년도 보안업계에 들어오고 그 후에 다른 회사를 여기저기 옮겨 다니면서 계속 연구원 생활을 했었다. 그러다가 2006년도에 군 복무를 해야 했기 때문에 정보 사령부에 입대하게 되었다. 연구원으로 병역 의무를 수행하게 되었고 나 같은 경우는 물리적으로나 체력적으로 단련하는 일 보다는 컴퓨터 보안기술에 대해서 연구를 했었다. 그때 당시 있던 부대가 사이버사령부로 편입이 되었다. 그리고 난 후, 2010년도에 사이버사령부 소속으로 제대를 하게 되었다. 군에서 어떤 일을 했는지 구체적으로 밝히는 것은 조금 부담된다. 다만, 댓글 부대 소속은 아니었다.

이미지를 불러오는데 실패했습니다.

Q. 그 이후로 그레이해쉬가 만들어진건가

이미지를 불러오는데 실패했습니다.

 그 이후로는 복학해서 2012년 가을학기 정도에 졸업을 했다. 졸업한 후에는 프리랜서 생활을 했는데 일이 많이 들어오기 시작했다. 하지만 어떤 업무들은 프리랜서로서 수행하기에는 약간 벅찬 규모가 있는 일이었기 때문에 사람을 모아 법인을 만들어야지 이러한 일들도 받을 수 있다라고 생각했다. 법인을 만들기 전에는 사람 수가 필요했기 때문에 주변에 아는 사람들하고 팀을 이뤄서 프로젝트를 했다. 그러다가 2013년에 몽이 형이 들어왔고, 법인은 2014년도에 만들어졌다. 

이미지를 불러오는데 실패했습니다.

Q. 결국에는 회사가 만들어진 계기가 프리랜서로 일하시다가 점점 일이 많아지고 혼자서 하는 것 보다는 같이 하는 게 더 괜찮을 거 같아서 만들게 된 것이군요

이미지를 불러오는데 실패했습니다.

 그렇다. 그래서 2014년도에 정식 법인을 만들게 되었다.

이미지를 불러오는데 실패했습니다.

Q. 여러 해킹 중에서 웹 해킹도 있고 하드웨어 해킹도 있고 종류가 여러 가지인데 그 중에서 시스템 해킹을 하게 된 이유가 있는가

이미지를 불러오는데 실패했습니다.

 일단 정확히 얘기하면 웹 해킹부터 시작했다. 그래서 지금은 절판되었지만 고등학교 1학년 때 ‘웹 해킹의 진수’라는 책도 만들어서 판매한 적이 있다. 웹해킹으로 시작하다가 네트워크 해킹도 공부하게 되었고 당시에 해커스랩이나 이런 사이트에서 문제를 풀기 위해서는 시스템 해킹 공부를 했어야 했다. 공부를 하다 보니 시스템 해킹 분야가 적성이 맞는 것 같아서 그 이후로 꾸준히 공부했다.

이미지를 불러오는데 실패했습니다.

Q. 시스템 해킹, 이것이 매력이다! 무엇이라 생각하는가

이미지를 불러오는데 실패했습니다.

 사실, 개인적으로는 시스템 해킹을 특별히 더 좋아하는 건 아니다. 시스템 해킹을 모르면 모의해킹 업무를 아예 못하는 경우가 대부분이기 때문에 관심을 갖게 된 것이다. 굳이 매력포인트를 찾는다면 개인적으로 굉장히 좋아하고 재미있어 하는 웹 해킹 같은 경우는 약간 블라인드 환경에서 추측이나 상상력을 동원해야 할 일이 많다면 시스템 해킹은 그런 추측 같은 게 필요 없이 논리적으로 이해할 수 있기 때문에 그런 면에서 더 매력적이다.

이미지를 불러오는데 실패했습니다.

Q. 아까 잘하는 거랑 좋아하는 거랑 별개라고 말했다. 그럼 좋아하는 해킹 분야는 무엇인가

이미지를 불러오는데 실패했습니다.

  좋아하는 해킹은 꼼수로 할 수 있는 해킹들

이미지를 불러오는데 실패했습니다.

Q. 꼼수? 예를 들면?

이미지를 불러오는데 실패했습니다.

 예를 들어 실제 모의해킹 업무를 진행할 때 많이 발생하는데, 어려운 방법으로도 해결할 수 있지만 어려운 방법 쓰지 않고 간단한 아이디어만으로 고생하지 않고 목적을 달성할 수 있는 그런 해킹이다.

이미지를 불러오는데 실패했습니다.

Q. 간단하게 풀어낼 수 있는?

이미지를 불러오는데 실패했습니다.

 그렇다. 왜냐면 어려운 해킹도 나름대로 재미있지만 그거를 습득하고 구현하기 위해서는 시간이 많이 걸리기 때문이다. 그리고 공부하는 것은 싫기 때문에 쉽게 할 수 있는 것이 좋다.

이미지를 불러오는데 실패했습니다.

Q. 여태까지 해킹하면서 가장 재미 있었던 Best 3?

이미지를 불러오는데 실패했습니다.

 워낙 모의해킹 진단이나 그런 것들을 많이 해서 사례를 말하기가 어려운 것이 있다. 군대에 있을 때 얘기는 당연히 말을 못하고, 사업상 하는 모의해킹도 NDA(기밀 유지 협약서, Non Disclosure Agreement)가 걸려있으니까 말을 못한다.

이미지를 불러오는데 실패했습니다.

Q. 그럼 이 질문은 안녕~... 시스템 해킹이 기본이라고 했다. 그럼 많은 친구들이 기본적으로 공부를 해야 한다고 생각하실거고, 시스템 해킹 공부에 도움이 될만한 팁이 있는가? 처음에 시스템 해킹을 어떻게 공부했는지 경험자로써 팁이나 조언을 말해달라

이미지를 불러오는데 실패했습니다.

 시스템 해킹을 가장 빠르고 효율적으로 배울 수 있는 것은 워게임 문제를 풀어보는 것이다. 다만 전 세계로 따진다면 워게임 개수가 워낙 많기 때문에 적절한 워게임을 잘 선정해서 하는 게 중요하다. 어떤 워게임 같은 경우에는 문제의 질이 상대적으로 떨어질 수도 있다. 누구에게나 시간은 공평하게 있으니까 주어진 시간 내에 빨리 배우려면 좋은 사이트를 선정해서 풀어보는 것이 좋다.

이미지를 불러오는데 실패했습니다.

Q. 이 사이트는 정말 괜찮은거 같다?

이미지를 불러오는데 실패했습니다.

 시스템 해킹 공부했을 때 가장 도움이 많이 되었던 사이트는 ‘overthewire’라는 워게임 사이트였고 요즘 트렌드에 맞는지는 모르겠지만 당시 기준으로는 괜찮은 문제들이 많았다. . 그리고 개인적으로 풀어보지는 못했지만 'pwnable.kr'도 굉장히 좋은 사이트라고 얘기를 들었다.

이미지를 불러오는데 실패했습니다.

Q. 방법을 알면서도 잘하기는 쉽지 않다. 잘할 수 있는 팁은?

이미지를 불러오는데 실패했습니다.

 우선 여러 학생들을 많이 봐왔는데, 시스템 해킹이든 웹 해킹이든 실력이 향상되느냐 안되느냐의 결정적인 차이는 뭔가 막히는 게 있을 때 답에 자꾸 의존하는 사람들은 실력 발전이 없다. 답을 보고 나면 자기도 충분히 풀 수 있었을 것이다 라고 생각하지만 답이 없이 푸는 것과 답을 보고 나서 이해하는 것은 천지 차이이기 때문이다. 만약에 며칠이고 몇 주일이고 막혔던 문제가 결국엔 자기 스스로의 힘으로 풀어내고 이런 경험이 많이 쌓이면 실력뿐만 아니라 그 사람은 멘탈, 자신감도 높아진다. 

특히 해킹 같은 경우 멘탈이 굉장히 중요하다. 그 이유는 특정 프로그램에서 취약점을 찾을 때, 취약점이 반드시 있다고 보장되는 것이 아니기 때문이다. 내가 아무리 슈퍼 잘하는 해커라고 해도 내가 여기서 반드시 취약점을 찾을 수 있다 라는 보장을 할 수 없다. 그렇기 때문에 멘탈 문제가 가장 중요하다.

다시 돌아가서 자기가 며칠이고 몇 주고 해결하지 못했던 문제들을 해결하는 친구들은 여러 방면으로 자신감도 많이 쌓이고 이러한 생각도 많이 반영되는 것 같다.

이미지를 불러오는데 실패했습니다.

Q. 듣기로는 해킹을 잘하려면 포기도 할 줄도 알아야 한다고 들었다. 그런 말에 대해서는 어떻게 생각하는가. 좀 더 부가적인 설명을 드리자면 어떤 한 부분에서 취약점이 있을 것 같다 했을 때 이 부분을 계속 파고드는 게 아니라 포기하고 다른 부분에서 취약점을 찾을 수 있는 그런 포기를 말하는 것이다.

이미지를 불러오는데 실패했습니다.

정확하게는 내가 봐야 할 부분이 어디여야 하는지 이것을 빠르게 잡아채고 한정하는 것이 중요하다. 가령 내가 하나의 프로그램을 공략을 할 때 한 부분에 존재하는 어택 포인트가 여러 가지 있을 수 있다. 그 여러 개가 있다는 걸 파악하지 못하고 하나만 선택을 하였는데, 마침 그 부분의 코드는 100% 안전할 수도 있다. 결국. 여기서 취약점이 안 나온다 싶으면 다른 어택 포인트들로 넘어가는 것도 중요하다.

이미지를 불러오는데 실패했습니다.

Q. 그럼 다른 어택 포인트로 넘어가야 할 때가 언제라고 생각하는가. 아 이 부분은 좀 포기하고 다른 부분을 살펴봐야겠다 했던 적이 있을 것이다. 혹은 하다 보니 이 부분에는 취약점이 없을 거 같다라는 그런 느낌이 들 때가 있을 텐데 그런 느낌이 들 때가 언제인가

이미지를 불러오는데 실패했습니다.

 그런 포인트는 다행히도 아직까지 없었다. 왜냐하면 아까 말한 대로 프로그램에는 어택 포인트가 굉장히 많이 존재하기 때문이다. 그리고 요즘 프로그램들은 규모가 커서 해커들이 볼 수 있는 영역들이 굉장히 많다. 특히나 복잡하고 규모가 있는 프로그램일수록 버그가 나올 확률이 높다. 가령 A라는 부분에서 취약점이 안 나왔어도 빨리 B로 돌아가서 찾고 C로 돌아서서 찾고 이렇게 했었을 때 안 나왔던 경우는 없었다. 나뿐만이 아니라 어느 정도 실력이 있는 해커들이 하는 해킹은 규모가 있는 프로그램이 대부분이라 취약점이 나올 수 밖에 없다. 더불어 프로그램의 복잡도가 증가하면 프로그래머들이 실수할 확률이 높다.

이미지를 불러오는데 실패했습니다.

Q. 외국 컨퍼런스를 많아 가보셨을 거라 생각된다. 국내 컨퍼런스와 외국 컨퍼런스를 비교해서 이러한 점은 괜찮다 싶은 것이 있는가. 예를 들면 블랙햇, 데프콘은 국내와 비교하여 어떻게 다르다고 생각하는가

이미지를 불러오는데 실패했습니다.

 우선 개인적으로는 블랙햇이나 데프콘처럼 엄청나게 큰 행사는 별로 선호하지 않는 편이다. 이것은 개인적인 성향인데 사람들이 너무 많이 몰리는 곳을 별로 안 좋아해서 큰 행사는 안 좋아한다. 가령 Syscan 이라던지 Breakpoint 라던지 이런 작은 규모의 컨퍼런스를 선호하는 편이다.

국내랑 굳이 비교를 하자면 아무래도 국내 같은 경우에는 어쩔 수 없는 문제지만 정부에서 지원을 하는 경우가 많이 있기 때문에 의전 같은 불필요한 행사가 많다. 그럼에도 불구하고 국내 컨퍼런스가 열린다는 것은 긍정적으로 보고 있는 편이다. 그런 컨퍼런스들이 많이 생겼기 때문에 어린 친구들도 보안이라는 분야에 대해서 쉽게 접할 수 있고 많은 인력들을 양성하는데 계기가 되었다고 보고 있다.

다만 아쉬운 점은 외국 컨퍼런스 같은 경우에는 약간 해커지향적이라고 해야 되나, 발표 같은 것이 대부분 해커들이 관심 있어할 만한 내용들이 많이 있다. 아무래도 해외 기술 컨퍼런스 같은 경우도 기술 발표의 개수가 국내 컨퍼런스 보다는 많이 있다. 그러니까 비율적으로 따진다면 하루 이틀 열리는 컨퍼런스라도 기술적으로 특화된 내용들이 좀 더 많기 때문에 기술적인 것을 좋아하는 해커들에게는 좀 더 메리트가 있지 않을까 생각된다. 물론 국내 같은 경우 보안 관련된 규제 내용이 많이 있는데 그런 것들이 필요 없다 라는 것은 아니다. 하지만 기술적인 것을 좋아하는 해커들이 참석할 수 있는 컨퍼런스가 조금 적다라는 것은 살짝 아쉽다.

이미지를 불러오는데 실패했습니다.

Q. 국내에서 이 정도 컨퍼런스는 기술적인 내용들이 많이 나온다. 괜찮다라고 생각되는 컨퍼런스는?

이미지를 불러오는데 실패했습니다.

국내에서는 아무래도 3개의 대표 컨퍼런스를 뽑을 수 밖에 없겠는데, 코드게이트, 시큐인사이드, PoC이다. 내가 리뷰 보드로 참여했었던 김치콘도 매우 좋은 행사이지만 invite only이기 때문에 초청장이 있어야만 참여할 수 있다.

이미지를 불러오는데 실패했습니다.

Q. 월드 클래스 해커 3명은? 기술과 실력으로 봤을 때 말해달라

이미지를 불러오는데 실패했습니다.

 내가 세상의 모든 해커를 다 알지는 못하기도 하고, 기술력을 순수하게 평가하기는 어렵지만 그래도 3명을 꼽아본다면 순위 상관없이 먼저 코멕스. 코맥스는 미국 친구로 브라운대학교인가 나왔고 iOS jailbreakme를 예전에 만들었었던 그 친구다. pwn2own 이런 데서도 입상을 많이 했다. 개인적인 친분은 없지만 굉장히 잘 하는 것 같고 주변 해커들한테 들었을 때도 굉장히 뛰어나다라는 얘기를 많이 들었다. 또한, 당시 코멕스로 인하여 iOS JB scene의 역량 강화가 엄청나게 됐었다.

다음은, 닉네임은 ADC. 이름은 알렉스인데 개인적으로 굉장히 친한 해커이고 마찬가지로 미국 사람이다. 개인적인 친분 때문에 뽑은 것은 아니고 개인적으로 많이 친하기 때문에 옆에서 해킹해왔던 것을 많이 보게 되었다. 알렉스는 컴퓨터를 할 때 집중력이 아주 어마무시하다. 그래서 많은 감탄을 했었다.

마지막 한 명은 마크 다우, 그 유명한 The art of software security assessment를 쓴 사람이다. 그가 지금까지 보여준 퍼포먼스는 대단하다. 메이저 취약점들을 수십개 이상 발견해냈고 새로운 버그 클래스를 만들어내기도 했다. 무엇보다도, 이 친구는 현재 Azimuth라는 보안 회사의 CEO인데, 경영을 하면서도 여전히 탑 클래스의 해킹 수준을 보이고 있다는 점이다. 이 부분에 대해서 무한한 존경을 갖고 있다. 나같은 경우는 예전보다는 해킹을 할 수 있는 시간이 줄어들어서 최신 트렌드를 따라 잡기에도 버거운 상황이다. 다만 라이징 스타를 언급해야 한다면 당연히 두말할 것 없이 로키(lokihardt)다. 라이징 스타들 중에서 로키하드티에 버금갈만한 업적을 내고 있는 친구들은 찾아보기 어렵다. 로키는 이미 명실공히 세계 정상급의 해커이지만 몇 년 후에는 지금보다 훨씬 더 유명해지고 좋은 경력을 많이 쌓을 수 있지 않을까 생각한다.

이외에도 앞에 말한 3명과 버금가거나 그 이상일 수도 있지만 내가 개인적으로 같이 연구했다거나 자세하게 뭘 했는지 알 수 없기 때문에 포함시키지 못했다, 다만 이처럼 실력있는 해커들이 굉장히 많이 있다. 그리고 해커 세계에서는 잘하는 해커들일수록 로우 프로파일인 경우가 꽤 있다. 로우 프로파일은 자기를 잘 안 드러내려고 하는 사람들, 알리지 않고 싶어하는 사람들. 그런 사람들 중에도 정말 괴물 같은 해커들이 있다. 그런 사람들은 내가 알 길이 없고 하니까 더 잘하는 사람들이 많이 있을 수 있다.

이미지를 불러오는데 실패했습니다.

Q. 지오핫과 로키 두 분 다 친분이 있는 걸로 알고 있다. 그들의 명성이 아닌 옆에서 봤을 때 누가 더 잘한다고 생각되는가

이미지를 불러오는데 실패했습니다.

 해킹만으로만 보면 로키가 더 잘하는 거 같은데 IT나 전자 기기, 장비 전반적으로 본다면 지오핫이 더 경험이 풍부하지 않을까라는 생각이 든다.

이미지를 불러오는데 실패했습니다.

Q. 며칠 전 언더 쪽에서 유명하신 분이 누구시냐고 물었더니 beist가 나왔다. 언더 쪽에서 무슨 일을 했었는가

이미지를 불러오는데 실패했습니다.

 아니다. 우리 때는 언더그라운드가 나쁜 짓을 하는 사람들을 지칭하는 것이 아니고 보안 직군 중에서도 관제라든지 관리를 한다든지 이런 일이 아니라 나처럼 기술적으로 파고드는 사람들을 언더그라운드 해커라고 불렸다.

이미지를 불러오는데 실패했습니다. 용어의 느낌이 달라진 거군요

이미지를 불러오는데 실패했습니다. 그렇다.

이미지를 불러오는데 실패했습니다.

Q. 그럼 월드 클래스 3명에 이어서 비슷한 질문 중에 띠오리(Theori)가 한국 지사를 만들었다. 솔직한 느낌을 말해달라

이미지를 불러오는데 실패했습니다.

 우선 솔직히 말하면 좋은 마음과 나쁜 마음이 공존하고 있다. 좋은 마음은, Theori의 창업자인 세준이와 앤드류는 내 결혼식에도 왔을 정도로 친분이 있는데 그 친구들이 사업을 한국으로 확장한다는 거 자체가 비즈니스를 잘하고 있구나라는 생각과 실력 있는 보안 회사가 여러 군데 많이 진출하는 게 좋으니까 그런 면에서는 되게 좋게 보고 있다. 그리고 그런 실력 있는 보안 회사들이 국내에도 많이 생겨야지 보안업계 생태계도 선 순환으로 돌아간다고 믿고 있기 때문에 그런 면에서는 환영하고 있다.

걱정하는 점은 그레이해쉬와 띠오리가 사업분야가 거의 같다. 거의 같기 때문에 아무래도 경쟁회사라고 볼 수 있다. 만약 사업분야가 완전히 같더라도 실력이 뒤쳐지지 않는다면 큰 염려를 안 할 테지만 알다시피 띠오리의 그 두 명은 굉장히 실력이 뛰어난 친구들이기 때문에 긴장을 한다는 측면에서 걱정하고 있다.

이미지를 불러오는데 실패했습니다.

Q. 띠오리 말고 라이벌이라고 생각하는 국내 회사가 있는가

이미지를 불러오는데 실패했습니다.

 사업 분야가 완벽하게 겹치는 데는 사실 많이 없다. 라이벌이라 표현하기 보다는… 좋은 회사들은 여럿 있다. 그 유명한 유동훈 소장이 있는 아이넷캅, 국내 중소 보안 업체 중에서 압도적으로 해외 비지니스를 잘하고 있는 NSHC, 젊은 해커들이 많이 있는 블랙펄 등등이 있다.

이미지를 불러오는데 실패했습니다.

Q. 아까 해킹을 잘 할 수 있는 팁에서 멘탈이 중요하다고 하셨는데, 기술적인 부분에서는 시스템 해킹이 가장 중요하다고 보는가

이미지를 불러오는데 실패했습니다.

 요즘은 시스템 해킹은 특별한 게 아니라 우리처럼 기술적인 모의해킹을 하고 싶다고 한다면 시스템 해킹은 필수니까 해야 하는 것이다. 그리고 무엇보다 멘탈도 중요하다고 말했지만 워낙 공부할 것이 많기 때문에 공부를 하는데 필요한 절대적인 시간이 필요하다. 아무튼 노력을 많이 해야 한다.

이미지를 불러오는데 실패했습니다.

Q. 일상적인 부분은?

이미지를 불러오는데 실패했습니다.

 공부를 하고 사람들이 흔히 물어보는 것이 어떻게 하면 해킹을 잘 할 수 있냐? 어떻게 하면 창의적으로 해킹할 수 있냐? 라고 많이 물어보는데 개인적으로는 해킹은 창의력이 아주 필요한 분야는 아니라고 생각이 든다. 시스템 해킹을 예로 든다면 인간이 만들어낸 코드에서 결함을 찾고 인간이 만들어낸 환경에서 익스플로잇 방법을 개발해내고 하는 것이기 때문이다. 만약 자연과학이라면 창의적인 것이 중요할 수도 있겠지만 이거는 그냥 기술적인 것을 공부하면 누구나 다 할 수 있다. 그러니까 자기가 배운 것을 얼마나 잘 써먹느냐의 문제지 남들과는 다른 기발한 창의력이 필요한 분야는 아니라는 생각이 든다. 결국 해킹은 배운 것을 어떻게 활용하느냐의 문제인 것이지 활용을 잘한다는 것을 보고 창의력이 좋다라고 표현할 수는 없는 거니까. 자기가 배운 것을 잘 써먹는 게 가장 중요하다.

이미지를 불러오는데 실패했습니다.

Q. 그레이해쉬로 넘어가서, 그레이해쉬에서 어떤 일을 하는지 얘기해달라

이미지를 불러오는데 실패했습니다.

 크게 세가지가 있는데 첫 번째로는 고객들이 그레이해쉬한테 모의해킹 업무를 의뢰하는 것이다. 대부분의 고객들은 각자 자신들만의 서비스나 제품을 갖고 있다. 그 제품이 순수 소프트웨어일 수도 있고 아니면 임베디드 장비라던지, 하드웨어라던지. 제품의 형태는 다양할 수 있다. 이러한 각 제품에서 보안 결함이 있는지 진단하고 어떻게 하면 고칠 수 있는지, 어떻게 하면 좀 더 좋은 보안 디자인을 할 수 있는지 제시하는 컨설팅 업무가 첫 번째다. 

두 번째로는 해킹보안 기술에 대해서 교육하는 트레이닝 사업이 있다. 이 트레이닝 사업에서는 시스템 해킹부터 하드웨어 해킹까지 여러 분야를 다루고 있으며 리버스 엔지니어링 및 악성코드 분석도 다루고 있다. 그리고 특히 작년부터 하드웨어 해킹과 관련된 트레이닝을 확장하는데 많이 노력하고 있고 올해 같은 경우에는 예년보다 더 트레이닝 사업이 강화될 것 같다.

마지막으로는 보안과 관련된 제품개발, 파이어해쉬. 지금은 파이어해쉬 하나밖에 없지만 앞으로도 보안과 관련된 제품들을 개발할 생각이 있다. 작년 한해 같은 경우에는 글로벌로 진출하기 위해서 여러 가지 노력을 했었고 아마 올해에는 전세계 많은 기업들과 일을 할 수 있게 된 기반을 닦아놓지 않았나 생각이 든다. 실제로 해외에서도 많은 컨설팅 의뢰가 들어오고 있으며 앞으로 외국에서의 사업이 좀 더 확장될 것 같다. 현재 일본과 두바이쪽에서 일을 추진 중이다. 두바이에서는 comae.io라는 기업과 파트너쉽을 맺어서 비지니스를 만들어 가고 있다. comae.io는 Matthieu Suiche라는 유명 해커가 만든 두번째 회사이다. (첫번째 회사는 매각했다.) 우리와 잘 맞는 회사인 것 같다.

이미지를 불러오는데 실패했습니다.

Q. 트레이닝에서는 어떤 분야를 조금 더 강화하실 생각인가

이미지를 불러오는데 실패했습니다.

 하드웨어 해킹 분야에서 커리큘럼이 좀 더 확장할 생각이다. 그리고 가능하다면 국내에서만 교육하는 것이 아니라 글로벌로 진출해서 교육하는 것도 생각하고 있다.

이미지를 불러오는데 실패했습니다.

Q. 그러면 본인의 강의는 언제 할 것 같은가

이미지를 불러오는데 실패했습니다.

 강의는 최대한 많이 하고 싶지만 사업을 진행하다 보니 시간이 생각보다 안 나서 계속 늦춰지고 있다. 기회만 된다면 열어서 빨리 진행하고 싶다. 아직까지 정해진 일정은 없다.

이미지를 불러오는데 실패했습니다.

Q. 무기한 보류, 아직까지 정해진 일정은 없지만 빨리 학생들을 만나고 싶다.

이미지를 불러오는데 실패했습니다.

 그렇다! 그렇다!

이미지를 불러오는데 실패했습니다.

Q. 그러면 본인이 그레이해쉬에서 하는 일은 무엇인가

이미지를 불러오는데 실패했습니다.

 그레이해쉬에서의 역할은 컨설팅 비즈니스를 지속적으로 만들려고 노력하고 있고 그레이해쉬를 국내/외 홍보하는 역할도 많이 하고 있다. 컨퍼런스 발표라던지, 컨퍼런스 자문 위원을 통해서 여러 가지 활동을 하기도 한다. 또 글로벌로 진출할 수 있도록 해외 사업을 확장하기 위해 노력하고 있다. 외에도 컨설팅 사업에서 실제 투입되어 해킹을 진행하고 있다.

이미지를 불러오는데 실패했습니다.

Q. 형님은 실제로 해킹을 했었던 분이시다. 아무래도 사업보다는 해킹을 하고 싶지 않은가

이미지를 불러오는데 실패했습니다.

 해킹은 지금도 하고 있지만 더 많이 하고 싶다는 측면에서?

이미지를 불러오는데 실패했습니다.

Q. 그렇다. 대표의 일이 있는 반면에 해커로서의 일. 두 개를 한꺼번에 하기에는 시간이 너무 부족할 것 같다. 그러니까 해킹에 대해서 하고 싶은 마음이 있으실 것 같은데 그런 면에서는 어떻게 생각하는가

이미지를 불러오는데 실패했습니다.

 그레이해쉬가 법인으로 만들어진 지가 이제 2년 반 정도 되어간다. 개인적으로 영업이나 회사 경영을 하는 것 보다는 해커로서의 업무가 더 맞는 것 같다. 다만 회사 내에서 그런 업무를 수행할 수 있는 사람이 없기 때문에 내가 그 역할을 수행하고 있다.

이미지를 불러오는데 실패했습니다.

Q. 만약에 그런 역할을 할 수 있는 사람이 생긴다면 본인은 해킹을 더 하고 싶은 마음이 들 것 같다.

이미지를 불러오는데 실패했습니다.

 그렇다.

이미지를 불러오는데 실패했습니다.

Q. 본인이 만든 회사지만 그레이해쉬의 장단점을 가감 없이 말하자면?

이미지를 불러오는데 실패했습니다.

 최대의 장점은 실력 있는 해커들이 많이 있다. 우리가 가장 내세울 수 있는 부분인 것 같고 다른 평균적인 회사들 보다는 자유로운 분위기라는 것이 있을 수 있을 것 같다. 더불어 연구원들이 도전할 만한 주제의 난이도가 있는 컨설팅 사업들을 많이 하고 있다. 그런 점에서 메리트가 있을 것 같다.

단점으로는 아무래도 스타트업 회사이기도 하고 무엇보다도 회사를 운영하는 경영진의 영향도 있는 부분인데 회사 같지 않은 회사. 뭔가 체계가 안 잡힌 것 같다. 그런 면에서는 많이 부족함을 느끼고 있다. 또 다른 단점은 컨설팅 업무를 수행하는 사람들이 일이 너무 많아서 업무에 대한 스트레스가 좀 있을 수 있다.

이미지를 불러오는데 실패했습니다.

Q. 자유로운 분위기라고 말했었다. 회사 처음 온 날 책상 위에는 맥주 한 캔과 노트북... 심지어 낮이었는데.. 너무 신기했다.

이미지를 불러오는데 실패했습니다.

 그렇다. 아무래도 어떤 사람에게는 안 좋은 부분일 수도 있는데 자기 역량과 자기 업무만 성실하게 잘 한다면 그 어떤 회사보다도 더 자유롭다. ㅎㅎ

이미지를 불러오는데 실패했습니다.

Q. 2017년이 되었다. 올해 바라는 그레이해쉬는?

이미지를 불러오는데 실패했습니다.

 항상 가장 큰 바람으로 지금도 이미 다른 회사에 비하면 많이 있지만 올해 더 계속적으로 실력 있는 사람들을 영입할 수 있었으면 좋겠다. 이것이 첫 번째 바람이고 두 번째로는 국내 비즈니스도 물론 재미있고 할 것이 많지만 해외로도 많이 진출을 하고 싶다. 개인적으로 생각하기엔 그레이해쉬는 이미 다른 나라들에도 많이 알려졌다. 그래도 더욱 더 유명해졌으면 좋겠고, 그래서 해외 유명 기업들하고도 co-work을 할 수 있는 기회가 많아졌으면 좋겠다.

이미지를 불러오는데 실패했습니다.

Q. 글로벌로 나아가기 위해서 그레이해쉬가 뭔가를 해야겠다, 기술적인 것은 일단은 기본으로 깔아두고 무엇이 더 필요하다고 생각되는가

이미지를 불러오는데 실패했습니다.

 우선 우리회사 같은 경우는 기술적인 면에서는 세계 유명 보안 업체한테도 뒤지지 않는다고 생각하기 때문에 기술적인 부분은 충분히 준비가 됐다. 하지만 다른 업체에 비해서 부족한 점은 약간 영업 마인드라던지 아니면 마케팅적으로 좀 많이 부족하다고 느낀다. 단순히 마케팅이나 영업만 잘한다고 성공할 수 있는 것은 아니지만, 이런 것들도 대비하고 신경을 써야 글로벌적으로 활발하게 일을 할 수 있지 않을까라는 생각이 든다.

이미지를 불러오는데 실패했습니다.

Q. 개인적인 질문으로 넘어가보겠다. 자신의 외모가 그레이해쉬에서 몇 순위라고 생각하는가

이미지를 불러오는데 실패했습니다.

 1순위. 키는 내가 제일 큰 거 알지?

Q. 일주일에 몇 번 정도 그런 생각을 하는가이미지를 불러오는데 실패했습니다.

사무실 올 때마다 한다.이미지를 불러오는데 실패했습니다.

이미지를 불러오는데 실패했습니다.

Q. beist님이 크신지 점제님이 크신가

이미지를 불러오는데 실패했습니다.

 내가 0.몇 cm 크다.

이미지를 불러오는데 실패했습니다.

Q. 본인은 몽님보다 잘생겼다라고 말했다. 몽님은 어느정도라고 생각하는가

이미지를 불러오는데 실패했습니다.

 동안으로는 제일 동안인데 뱃살이 너무 많이 나왔다. 몸에 비해서 

이미지를 불러오는데 실패했습니다.

Q. 몽님과 점제님 기준으로 더 낫다고 생각되어지는 것이 무엇이 있는가

이미지를 불러오는데 실패했습니다.

 내가 더 어리다 

이미지를 불러오는데 실패했습니다.

Q. 성격적인 부분은?

이미지를 불러오는데 실패했습니다.

 내가 제일 괴팍하다. 

음ㅎㅎ ... 인터뷰를 빨리 끝내고 이 분한테서 빨리 멀어져야 겠..ㄷ이미지를 불러오는데 실패했습니다.

이미지를 불러오는데 실패했습니다.

Q. 본인 자리에는 항상 맥주가 있다. 맥주를 마시면서 해킹하는 느낌이 어떤가

이미지를 불러오는데 실패했습니다.

맥주 마시면서 일하는 거는 솔직히 얘기하면 좋지 않다고 본다. 근데 워낙 술을 좋아하고 일단 근무 환경이 자유롭다보니 마시면서 하기도 하고 그냥 올려놓기도 한다. 그래도 맥주를 마실 땐 마시더라도 업무 할 때는 안 마시는 것이 개인적으로는 좋다고 본다. 덧붙이자면 그래도 일할 때는 안 마시고 집중해서 한다. 단지 올려놓는 것 뿐이다.

이미지를 불러오는데 실패했습니다.

유성경 yuopboy@grayhash.com