인터뷰: VTR 연구소, 화이트 해커 송종혁 박사

아우토크립트의 Vehicle Threat Research(VTR) 연구소의 소장을 맡고 있는 송종혁 박사의  인터뷰를 공개합니다! 화이트해킹(white-hat hacking)이 무엇이고, 화이트 해커는 또 어떤 역할인지  알아보시죠 👻

화이트해커랑 일반 해커랑 다른 점은 무엇인가요?

해커라는 말이 부정적인 이미지가 강하지만 사실 해커는 이중적인 의미를 가지고 있는 단어입니다. 해커는 해킹 하는 사람의 의도를 가지고 '화이트해커'랑 '블랙해커'로 나눌 수 있습니다. 예를 들어 어떤 시스템을 해킹해서 취약점을 찾았을 때 블랙해커는 이 취약점을 이용해서 "자신이 얻을 수 있는 물질적인 이익이 무엇일까? "를 생각한다면, 화이트해커는 "이 취약점을 어떻게 개선해서 보안 강도를 높일까?"하고 생각합니다. 저는 후자로 활동하고 있고요 😎

해커가 되기로 한 동기가 있으신가요?

어렸을 때 저는 원래 컴맹이였는데요, 중고등학생 땐  컴퓨터 관련 공부는 워드프로세스 자격증 밖에 모를 정도로 컴퓨터에 대해서 무지했었습니다. 그런 제가 해커에 관심이 가게 된 시작은 중학생 때 인터넷이나 TV에서 해킹 사건 사고들이나 해커들 이야기가 나오는데, 그런걸 보니까 너무 신기하고 재미있어 보였습니다. 어렸을 때 보기에는 해킹을 한다는 거 자체가 굉장히 신기해 보였고, 대체 어떤 원리로 가능한걸까? 어딜 어떻게 침투해서 공격을 한다는 건가? 이런 것들이 굉장히 궁금하고 호기심이 생겼습니다.

그 중에서도 화이트해커를 결정하신 이유가 있으신가요?

음 ㅋㅋ 너무 착하게 말하는 것 같은데, "애초에 남에게 피해를 주면 안된다. 그런 건 나쁜것이다!"라는 생각이 강하게 있어서 블랙해커를 생각을 해본 적은 없습니다. 그리고 블랙해커는 돈을 잘 벌고 화이트해커는 돈을 잘 못번다 라는 편견도 많은데, 그건 아니라고 생각합니다. 요새는 국내외 보안회사들이 기술을 중요시 여기는 추세가 강해지고 있고  화이트해커를 찾는 기업들도 굉장히 많고, 대회도 많이 있고, 버그바운티도 많아서, 화이트해커가 되어도 금전적인 부분은 크게 걱정을 안해도 됩니다 💰

그럼 화이트해커가 하는 일은 무엇인가요?

한 마디로 '보안을 강화하여 으로 안전한 제품'을 만들도록 도와주는 역할이라고 생각하면 됩니다. 보안 전문 기업들을 보며 방어 모드를 개발하는 블루팀, 해킹해서 취약점을 찾는 레드팀이 있습니다. 레드팀 입장에서 보면, 어떤 대상을 공격자 입장에서 직접 해킹을 해보고 취약점이 나오면 이를 잘 보완할 수 있도록 개발팀에 피드백을 해주는 일을 합니다.

해킹 공부를 하고 싶다면 어떻게 하면 될까요?

예전에는 컴퓨터 학원도 없고 보안에 특화된 학과도 없었는데, 요즘에는 그런 학원이나 보안 학과도 많이 생겨서 기회가 많이 생긴 것 같습니다. 고등학생이라면 대학교를 보안 관련 학과에 진학하는 것도 좋을 것 같고, 그 대학교에 보안 동아리가 있다면 가입을 해서 같이 공부하는 것도 좋은 방법인 것 같아요.

또 혼자서 공부하는 방법에는 인터넷에 "워게임" 사이트 그런 곳에 이제 해킹 문제들도 많이 있고 정보들도 많이 있기 때문에 온라인 사이트에서 얻을 수 있는 정보를 통하여 공부하는 것도 좋은 방법이에요. 특히 이제 몇년 전부터 키트리에서 BOB라는 프로그램을 운영하고 있는데, 여기서 해킹과 관련된 전반적인 교육을 운영도 하고 있어 그런 프로그램들을 통해서 배우는 것도 좋은 방법인 것 같습니다.

자동차 보안회사에서 해킹팀이 있다는 것이 독특한데, VTR 연구소에서는 구체적으로 어떤 일을 하시나요?

커넥티드 혹은 자율주행차에 보안을 더 안전하게 하는 방법에는 여러가지가 있지만, 자동차가 출시 되기전에 차량에 미리 해킹을 해보고 보안 취약점이 있는지 확인을 하는게 굉장히 중요하다고 생각이 됩니다.

보안이 하나의 솔루션으로 다 해결되는 게 아닌 것 같이, 해킹 방법도 여러가지가 있어, 다양한 해킹전략을 활용하여 테스팅을 진행하고 있습니다. 침투테스트가 있고, 대량의 악성 메시지를 전송하는 퍼징 테스트, 알려진 취약점들이 있는지 스캐닝 해보는 테스트 등등이 있습니다. 테스팅을 하고 취약점이 발견된다면 패치할 수 있도록 가이드를 합니다.

가장 방어하기 어려운 해킹방법은 무엇인가요?

해킹 수범이 더 교묘해지고 다양해진다고 해도 도 보안 사고가 가장 많이 나는 곳은 사람의 심리를 이용해서 공격하는 소셜 해킹이라고 생각합니다. 피싱 메일이라 링크도 일부러 사람의 심리를 이용해서 누르게끔 접근을 많이 하고요. 예를 들어, 최근에 코로나19 때문에 마스크 품귀 현상이 일어났을 때 마스크 구입 링크를 이메일을 보내다든지... 😷 혹은 회사 메일로 회사 동료인 척하고 메일을 보낸다든지... 이렇게 메일을 링크랑 같이 보내면 이제 클릭을 할 수 밖에 없는 경우가 많이 있습니다. 사람의 심리를 이용해서 공격하는 경우가 기술적으로 단순하지만 방어하기가 굉장히 어렵습니다.

앞으로 예상하는 해킹의 방향이 무엇인가요?

좀 뜬금없는 소리지만... 테슬라 주가가 많이 올랐잖아요? 이렇게 자율주행 자동차 쪽으로 사람들의 관심이 쏠리고 있고, 자동차도 점점 진화하고 있다는 건 다들 느끼고 있을 겁니다. 개인적으로 저는 자동차와 스마트폰은 이제 동일하다고 봅니다. 스마트폰에 있는 사진, 연락처, 카톡 같은 것도 이제 차에서 다 다를 수 있고요. 심지어 차가 더 많은 정보를 가지고 있습니다. 블랙박스 영상이나 차 주행 기록 등이 있기 때문입니다. 그리고 차는 생명과 직결되는 이동 수단이기 때문에 자율주행 필요한 센서나 운전에 필요한 중앙 제어 장치 같은 장치들에 대한 보안 강화도 더 중요해질 것 같다고 생각합니다.

차량 해킹 사례가 생긴다면 어떤 상황이 발생될 수 있나요?

최근 자동차들은 모두 다양한 방법으로 외부 네트워크, 외부 기기들과 연결을 할 수 있습니다. 따라서, 그러한 부분에 취약점이 존재하고 그 취약점을 이용해 내부까지 침투할 수 있다면, 공격자는 원격에서 자동차를 조종할 수 있는 상황도 발생할 수 있습니다. 실제로 2015년에 Defcon 컨퍼런스에서 자동차를 원격에서 조종하는 공격이 발표되기도 했습니다. 즉, 최악의 경우는 공격자가 자동차를 원격에서 완전히 컨트롤 할 수도 있다는 것입니다.. 이렇게 된다면 인명손실을 유도할 수 도 있습니다. 스마트폰이 해킹 공격을 당했을 경우는 주로 개인정보 탈취나 금전적인 손해가 일반적이었다면, 차량 해킹은 인명 손실을 가져올 수도 있고, 운전자 뿐만 아니라 길 위의 보행자의 목숨과 직결되기 때문에 자동차에서의 해킹은 더욱 심각한 상황이 생길 수 있습니다.

마지막으로... 해커를 꿈꾸는 사람들에게 조언 한마디?

점점 세상 기술이 발전되고 있잖아요? 예전에는 비밀번호만 쳐서 핸드폰을 열었는데 요새는 지문, 홍채, 얼굴인식까지 사용되고 있고... 또 그러한 생체에 인증정보가 결제까지 사용되고 있습니다. 그리고 가전제품이나 자동차들도 점점 기능이 많이 추가돼서 스마트폰처럼 되고 있고요.

오히려 해커의 기술은 끝이 없다고 생각합니다. 지금도 계속해서 새로운 기술이 창출되고 있고, 해커는 그 새로운 기술에 맞춰 연구를 해야 기술의 취약점과 공격도 파악할 수 있다고 생각합니다. 저 역시도 아직도 공부를 하고 있고요.

보안이 발전되고 고도화되고 있는 만큼 보안인식도 그리고 해커의 인식도 높아져야 한다고 생각하고 있습니다.  화이팅!


위 인터뷰는 아우토크립트 "전기차한잔"채널을 위해 진행된 인터뷰 + post-인터뷰 기반으로 작성된 콘텐츠 입니다! 전기차+SDV 보안에 관심이 있으시면 구독해주세요 👍🏻 VTR연구소에 함께 하고 싶으시면? 아우토크립트 리크루팅 페이지에서 찾아주세요!