어제에 이어서 난독화 리버싱 끝판왕인 강흥수(점제)님의 인터뷰를 이어가보려 한다. 이전 인터뷰를 간략히 이야기하자면 언제, 어떻게 보안을 시작했고 어디를 거쳐 그레이해쉬까지 오게 되었는지에 대해 얘기를 들었었다. 또한, 이전 직장과 그레이해쉬의 솔직힌 비교와 BOB멘토님의 마음을 전하는 인터뷰였다. 오늘은 리버싱과 관련한 이야기와 국내 보안 업계에 대한 이야기, 외국 취업을 꿈꾸는 분들을 위해 좀 더 자세히 이야기해보려 한다.
Q. 리버싱은 대체 어떻게 공부해야 하는가
단순히 대답하기엔 리버싱이 많은걸 포괄하는 개념이기 때문에 말하기 어렵다. 분야별로 예를 들면 C/C++ 코드 분석은 컴파일러가 어떻게 코드를 만드는지 보면서 공부했다. 난독화코드는 그냥 분석하며 배웠고. PE 헤더는 안랩 선배가 가르쳐준건데 Hex 에디터로 실행파일을 만들며 배웠다.
Q. 요즘은 ARM도 있고 X86이 아닌 좀 더 복잡한 프로그램을 리버싱 해야 한다. 한마디로 리버싱하기가 어려워지는 것 같다. 이에 대해서 어떻게 생각하고 배우는 사람의 입장이나 리버싱을 하는 입장에서 어떻게 대처를 해야 할 것 같은가
오히려 쉬워지고 있다고 생각한다. 분석툴도 생기고 디컴파일러도 잘나오고 오토메이션 도구도 많이 생기고...
Q. 리버싱할 때 본인만에 꿀 팁이 있는가
마찬가지로 너무 포괄적인데.. C언어를 열심히 해야한다는 것?
Q. 이 정도까지 리버싱해봤다. 무엇이 있는가
이 것 역시 .. ㅋㅋ 더미다?
Q. 국내와 외국을 비교했을 때 이 부분은 좀 아쉬우니 외국처럼 이런 식으로 바꿔 나갔으면 좋겠다하는 부분이 있는가
국내가 보안분야에서 인력이나 회사들은 기회가 많은 편인 것 같다. 내가 살아본 외국은 캐나다 밖에 없지만 프로그래머 중 보안 분야를 하는 사람들이 많진 않다. 그래서 인턴을 뽑더라도 국내처럼 BoB 준비하는 사람들이나 보안분야 준비하는 사람들과는 다르게 리버싱을 못해본 사람들이 태반이다. 국내는 보안을 공부하는 학생들도 많은 편이고, 보안 회사도 많다. 백신회사만 해도 몇 개야… 외국은 큰 백신이 여러 나라를 아우르고 있지 우리나라처럼 자국 백신이 있는 나라가 그렇게 많지는 않다.
이러한 여건 속에서 아쉬운 점은 보안 분야의 환경은 나쁘지 않지만 임금이 대체적으로 낮고 보안 관련 사고가 났을 때 회사가 지는 책임이 그렇게 크지 않다는 것이다. 제일 좋은건 기업이 자사의 자산을 지키기 위해 예산을 투입하는 것이지만, 그렇지 않더라도 외국처럼 고객 정보가 유출된 경우 민사 소송으로 인해 큰 보상을 하는 케이스가 있어야 회사들이 예산을 투입하는데 우리나라에서 기존에 있었던 사건들을 살펴보면 별 배상 없이 끝났다. 내가 CEO라도 투자 안 할 것 같다.
즉, 사고가 나더라도 ‘몇 백만원, 몇 천만원 정도가 벌금인데 그 벌금 물고 마는 게 낫지.’ 라 생각하게 만드는 상황이 좀 아쉽다. 그거 말고는 뱅킹이나 액티브X 문제 같은 건 많이 알려져 있으니까 딱히 할 말은 없다. 정리하면, 미국과는 비교할 수 없겠지만 보안회사가 이렇게 많은 나라가 많지 않다. 그 점은 좋게 생각한다. 미국 말고 다른 나라보다는 기회는 많지만 좀 힘들다는 것이 아쉽다. 또한 인력은 많지만 관제 같은 일은 너무 힘들고, 임금도 그렇게 좋지 않다. 장단점이 복합적으로 나온다. 장점은 보안회사도 많고 보안에 관심 있는 인력들도 많다는 것이고 단점은 임금이 낮으면서 업무가 힘들고, 그리고 보안 쪽으로 들어가는 예산이 많지 않다는 것이다.
Q. 요즘에는 국내에서 보안을 공부하던 사람이 외국으로 많이 나가서 일을 한다. 외국에 나가서 일을 하고 싶어하는 사람들도 있고. 해외에서 일하는 사람들을 봤을 때 어떤 생각이 드는가
잘하고 있구나 하는 생각이 든다. 좋다.
Q. 외국 취업을 꿈꾸는 것은 사실 좀 막연하다. 이런 분들과 함께 외국에서 일하고 싶어하는 분들에게 해줄 수 있는 말이 무엇이 있겠는가
일단 언어를 열심히 공부를 하는 것. 생각보다 업무에서는 언어가 그렇게 큰 장벽이 되지 않는다. 왜냐하면 업무 관련 용어들은 다 익숙한 것이기 때문에 오히려 업무보다 업무 외적인 일에 언어가 장벽이 될 수 있다. 예를 들어 외국에 가면 집을 구하지 않는가? 회사에서 집을 1차적으로 구해주겠지만 그 다음은 자기가 살 집을 직접 정해야 한다. 간혹 회사에서 그러한 일을 도와주는 사람을 붙여주기도 한다. 하지만 집도 그렇고, 차도 그렇고, 세금문제도 그렇고 그런 사적인 것들은 힘들 수 있다. 예를들어 차를 살 때 할부가 있을 수 있는데 할부라는 단어 자체도 평소에 쓸 일이 없는 단어지만 새로 배워야 한다는 것이다. 주로 그럴 때 언어가 장벽이 될 수 있다. 그래도 가서 하다 보면 다 하게 된다. 잘 준비하고 반대로 언어가 안 된다고 너무 걱정하지 않아도 된다. 어쨌든 외국 가면 좋다.
Q. 캐나다 MS에서 일했을 때 동양인들은 많았는가
동양인들 많았다. 일단 보안 분야가 아닌 다른 분야는 인도랑 동유럽이 많다. 왜냐하면 레드먼드에 있는 본사로 가기 전에 미국 비자가 1년에 한번 풀린다. 그걸 기다리며 벤쿠버에 있는 사람들이 많다. 캐나다는 상시 비자가 나오고 미국은 1년에 한번 나온다. 그래서 애초에 미국인은 거의 없다. 이렇게 미국 가려고 기다리고 있는 인원들이 있고 그냥 거기서 일하는 인원들이 있는데, 거기서 일하는 인원 기준으로는 유학 와서 정착한 중국분들이 1/4쯤 되는 것 같다. 그리고 미국에 들어가려고 기다리고 있는 사람들은 동유럽이나 아니면 중국인이다. 그리고 안티바이러스 쪽은 트렌드 마이크로 연구소가 필리핀에 있어서 보안분야 안티 바이러스 쪽은 필리핀 사람이 많다. 이 것도 부러운 점인데 어느 회사를 가던지 백신업계 사람들은 필리핀이 많으니까 서로 엄청 끌어 준다.
Q. 여러 나라의 다양한 사람들이 모였다. 그럼 서로 잘 지내는지
잘 지낸다.
Q. 국가별로 막.. 그런 건 없나?
서로 자기나라 욕하기 바쁘다. 필리핀 애들하고 거의 배틀한다. '(필리핀)우리나라 가면 교통 신호 위반해서 잡히잖아? 그럼 돈 주면 바로 그 자리에서 풀려난다'. 뭐 이런 느낌의 배틀이다.
Q. 국내 보안업계가 나아가야 할 방향은 뭐라고 생각하는가. 보충하자면 보안 하는 사람들의 입지가 좀 더 굳힐 수 있게 대우나 환경적인 면에서 좀 더 좋게끔, 바뀌길 바라는 방향은 무엇이라 생각하는가
보안 업계가 나아가야 할 방향은 그냥 사건 터졌을 때 벌금이나 민사나 빵빵 터져서 보안 예산이 많아졌으면 하는 바람이다. 민사 소송액도 펑펑 터지고 ㅎㅎ..사실 말이 그렇다는 거지 사고 안터지고 미리 예방할 수 있도록 보안 예산이 많아졌으면 하는 바람이다.
Q. APT 분석 해본 적이 있는가
있다.
Q. 가장 심각하다고 생각되어지는 APT는 무엇인가.
다 거기서 거기다.
Q. 그럼 계속 분석하다 보면 패턴이라는 것이 보인다는 것인가
쓰는 트릭 같은 건 팀 별로 보인다. 왜냐하면 분석하는 입장에서는 다 볼 수 있지만 걔네는 서로 못 본다. 그러니까 중국으로 추정되는 해커 그룹이 쓰는 기법이랑 북한으로 추정되는 애들이 쓰는 기법이랑 많이 다르다. 코드도 많이 다르다.
Q. 북한에서 공격이 많이 오는가
북한코드는 윈도우 디펜더에서는 많이 감지되진 않는다. 왜냐하면 주 타겟이 한국이나 일본, 중국이 많았기 때문에, 센서 자체를 많이 트리거하지는 않는다. 많진 않지만 심심찮게 감지된다. 그 북한이 제작한 익스플로잇과 악성코드는 그레이해쉬 트레이닝에서 함께 분석을 하고 있다.
Q. 이렇게 트레이닝을.. 그럼 언제 그 트레이닝은 열리는가
12월 5일에 열린다.
Q. APT에 대해 경각심을 가져야할까?
일반인은 필요 없다.
Q. 일반인은 필요 없고, 그럼 회사에서 일하는 사람들은 어떠한가
회사는 많이 타겟이 된다. 그 회사 자체가 타겟이 된다. ‘우리 회사에 뭐하러 하겠어’ 싶어도 타겟이 된다. 어떤 식으로 하냐면 중국 팀이 대만의 하드웨어 제조 업체를 해킹 했다. 그래서 인증서를 빼낸 후 그 인증서로 자기의 악성코드를 싸이닝(signing)했다. 백신에서는 싸이닝 된 코드는 진단 하지 않는다. 백신 우회를 그런 식으로 했었다. 그거 말고도 랜섬웨어 같이 돈을 뜯어내기 위해서도 회사가 공격의 대상이 된다. 몇몇 무리들은 그렇게 지속적으로 노려서 랜섬웨어 감염을 시킨 다음에 돈을 뜯어낸다. 그런 건 조심해야 한다.
Q. 한국에서 자사 제품을 안전하게 하려고 열심히 노력하는 기업들이 많다. 그렇게 노력하는 기업들이 어떤 식으로 해야 더 잘 안전할 수 있는지, 외주 컨설팅 발주 시에 고려해야 할 점은 무엇이 있다고 생각하는가
그건 모르겠다. 사실, 내가 대답할 만한 것은 아닌 것 같다. 그냥 뻔한 얘기이다. 그 업체가 얼마나 어려운 일을 수행할 역량이 되는지와 그 업체의 인력은 어떻게 되는지 이런 것 같다. 컨설팅을 많이 해본 입장도 아니라서 대답하기 애매하다.
Q. 그 회사가 어려운 일을 수행할 있는지에 대한 역량이나 인력으로 어떻게 판단할 수 있는가. 예를 들어 어떤 업체에게 맡겨야할 것 같다면 그 회사에 무엇을 물어볼 것 같은가
의뢰를 하며 이야기를 나눠보면 기술력이 대체로 보일 것 같다.
Q. 그러면 조금 얘기를 달리해서 자기네 회사 제품을 안전하게 하고자 하는 사람이 있을 것이다. 반면, 전혀 관심이 없는 사람도 있을 것이다. 그럼 전혀 관심없는 사람들이 어떻게 하면 관심을 갖게 할 수 있을 것 같은가
안 좋은 방법으로, 사건이 많이 터지면 관심을 가질 것 같다. 근데 이미 많이 터지지 않았나? 벌금이랑 민사소송 빵빵 터지면 관심을 가질 것이다.
Q. 역시 뭔가 돈이 나가면 하하..
당연한 거다. 회사 운영을 하는 입장에서 보면 돈 안 드는 일에 없는 손해를 막기 위해서 돈을 쓸 필요는 없다. 만약 리스크가 생기면 관심을 가질 것이다. 해킹을 당해도 우리 회사는 손해배상 말고는 손해 될 게 없다고 한다면 관심을 안 두는 거다. 하지만 대기업은 좀 다르다. 삼성처럼 갤럭시 차기 모델 설계도가 나가거나 반도체 설계도가 유출되거나 그러면 엄청난 손해다. 그런 데에는 배상 문제가 아니어도 리스크가 있으니까 관심을 갖는 거라고 생각된다. 한마디로 벌금이든 혹은 회사의 차기 제품에 대한 정보든지 간에 리스크가 있으면 관심을 가질 것 같다.
Q. 해외 취업을 계획하고 있는 사람들한테 해주고 싶은 말은 무엇이 있는가
성공하시길 기원한다.
Q. ㅋㅋㅋㅋ 팁은?
경력이 있으면 제일 좋다. 외국 오게 되면 깃허브 같은 곳에 오픈 소스를 운영해서 내 코드를 보여주거나 분석 문서를 보여줘도 괜찮겠다. 물론 영어로 준비하면 좋다. 당연한 거지만
Q. 혹시 본인을 빼다 박은 툴을 만들 생각이 있으신가
재미없는 툴???
Q. 마지막으로 그레이해쉬 사장님께 이 자리를 빌려 하고 싶은 말이 있다면 무엇을 말하고 싶은가
내 돈...
인터뷰 내용을 정리하는 동안 글에서 뿜어져 나오는 강흥수(점제)님의 목소리는 문서에서 음성지원되는 줄 알았다. 정말로 글을 읽고 있으면 실제로 말씀을 해주시는 것 같았다. 올리기 전에 다시 한번 읽어ㅂ...ㅇ..zZZ..이런! 꿀보이스!. 역시 장난아니시다.
이렇게 따로 시간을 내주어 질문에 답변 해주시고 더불어 검열까지 완벽하게 해주신 강흥수(점제)님께 진심으로 감사드립니다.
꽃 길만 걸으시기 바랍니다.
