보안뉴스 2022.07.01
https://url.stealien.com/8ptnh

공급망 공격, 사회적 이슈 악용한 피싱 공격, 가상자산 서비스 관련 해킹
최근엔 블록체인, Web3 등 차세대 분야 보안에 대한 주목도 높아

흔히들 생각하는 ‘교회 오빠’ 이미지는 스마트한 외모에 남친룩이 잘 어울리는 건 기본이요. 지성과 다정함은 옵션으로 따라붙는다. 게다가 소설 ‘데미안’의 책 구절 구절을 다 꾀고 있어 고뇌하는 문학소년의 이미지까지 더해지면 이보다 더 ‘금상첨화(錦上添花)’ 일 수가 없다. 기자가 느낀 스틸리언의 서영일 선임연구원의 모습이다.

2018년 BoB(차세대 보안리더 양성 프로그램 Best of the Best) 수료생 출신인 스틸리언의 서영일 선임연구원은 과학기술정보통신부가 주최하고, 한국인터넷진흥원이 주관한 ‘K-사이버 시큐리티 챌린지 2020’에서 ‘AI 보안의 취약점 자동탐지’ 운영 트랙 부분 1등 장관상을 수상한 실력자다. 인터뷰 처음부터 끝까지 스마트하면서도 겸손한 모습에 스틸리언의 신동휘 CTO가 왜 추천했는지 자동으로 고개가 끄덕여질 정도다. 자 지금부터 스틸리언의 서영일 선임연구원을 만나보자.

1. 직업군에 관한 질문
Q. 업무와 직업과 관련해 본인 소개 좀 부탁드립니다.
스틸리언 연구개발 파트에서 3년차로 근무하고 있는 서영일 선임연구원입니다. 현재 여러 기업의 모의 해킹과 비공개 R&D 연구를 진행하고 있습니다.

Q. 스틸리언에 입사한 이유와 회사 분위기에 대해 말씀해 주신다면?
졸업을 앞두고 한창 이것저것 많이 배우고 싶었던 시기에 스틸리언은 버그바운티로 유명한 실력자가 많았고, 배울 점이 많은 회사라 생각해 입사하게 되었습니다.

자유롭고 편한 분위기입니다. 직급이 모두 같은 수평 조직에다가 맡은 일만 한다면 간섭하지 않는 분위기라 다들 편하게 잘 지내는 것 같습니다. 그리고 평균 연령대가 20대 중반으로, 대부분 또래끼리 모여있어서 서로 이야기가 잘 통하는 것도 장점이라고 생각합니다. 입사 전부터 알고 지내던 지인도 근무하고 있고요. 새로 입사한 직원의 경우 처음에 낯설을 수 있는데, 자유롭고 편안한 분위기라 그런지 대부분 잘 적응하는 편입니다.

회사대표이신 박찬암 대표님은 워낙 바쁘셔서 자주 뵐 수 없지만 주변 사람을 잘 챙겨주십니다. 신동휘 부사장님은 연구소 사람들을 항상 살펴봐 주시고 업무에만 집중할 수 있도록 도와주십니다. 특히, 어려운 일이 있을 때마다 물심양면으로 도와주시는데요. 항상 아껴주셔서 기쁜 마음으로 일하고 있습니다.

Q. 업무에 대한 보람과 고충을 얘기해 주신다면?
보람을 느낄 때는 회사에 의미있는 기여를 하거나 프로젝트를 잘 마무리하고 최종보고를 마쳤을 때 입니다. 반대로 고충이라면 프로젝트의 결과물을 의뢰사에 설득력 있는 방식으로 만드는 것이 가장 큰 어려움입니다. 어떻게 하면 좀 더 의뢰사 입장에서 공감되는 결과물을 만들 수 있을지 항상 고민입니다.

개인적인 고충으론 누구도 압박주진 않았지만 워낙 쟁쟁한 실력자들이 사내에 많다보니 한 때는 쫒아가기 급급한 마음이 있었습니다. 현재는 주변을 의식하기 보단 제 맡은바 업무에 충실하고, 성장하기 위한 노력을 하고 있습니다.

Q. 자신만의 자기 계발법은 무엇인가요?
시간이 헛되지 않도록, 무언가 배우게 되면 항상 요약 노트를 만들고 있습니다. 독서를 할 때 도 마찬가지입니다. 나중에 배운 것이 기억나지 않는다면 요약 노트를 다시 들여다보곤 합니다.

Q. 보안전문가를 꿈꾸는 후배들에게 해주고 싶은 조언은?
조급해하지 않았으면 좋겠습니다. 주변에 천재에 가까운 실력자인 화이트해커를 보면서, 저의 부족한 모습에 불안해하고 심리적으로 쫓기며 힘든 적도 많았는데요. 누구보다 잘하고 앞서는 것보다 결국은 지난 날의 자신이 얼마나 성장했고 앞으로 얼마나 성장할지가 더 중요한 것 같아요. 마음의 여유를 갖고 배움의 과정을 즐겼으면 좋겠습니다(웃음).

2. 본론으로 들어가 보안이슈에 관한 질문
Q. 최근 보안이슈에 대해 설명해 주신다면?
가상자산 이슈, 피싱 공격, 랜섬웨어 공격이 주를 이루는 것으로 보입니다. 가상 자산 이슈의 경우 클레이스왑의 가상자산 피해 규모가 몇십억 단위로 피해가 컸습니다. 피싱 공격은 공문서 위조, 코로나19 관련 메일을 발송해 피싱 사이트로 연결해 피해를 입힙니다. 사회적 이슈를 악용한 공격은 여전히 유효한 취약점입니다. 랜섬웨어 공격은 여전히 많이 발생하고 있습니다. 패치가 발표된 취약점을 악용하거나, 사용자를 현혹해 시스템 권한을 탈취하곤 합니다.

스틸리언에서 주목하는 보안이슈는 MS 취약점, 팻맨 취약점, 디램 로우해머 취약점 등으로 스틸리언에서 카드뉴스를 통해 소개하고 있습니다.

기술적으로는 보안이 고도화 되고 있는 상황이라 공격자는 사회적 공학기법인 사람을 통해 진입점을 찾으려고 합니다. 전통적인 취약점과 크게 다르지 않은데요. 과거 사례에도 있었던 취약점이 아키텍처만 바뀌어 그대로 적용돼 지금까지 이어져 오고 있습니다.

Q. 하반기 주목되는 보안이슈를 꼽아주신다면?
첫째, 공급망 공격입니다. 토요타 자동차 생산 공장이 중단된 사례를 보듯 기업을 대상으로 한 표적공격이 계속 이뤄지고 있어 주목되는 이슈입니다.

둘째, 사회적 이슈를 악용한 피싱 공격입니다. 피싱 공격은 그동안 꾸준히 이뤄져 왔는데요. 피해 사례도 지속적으로 발생하고 있어 주요 이슈로 꼽았습니다.

셋째, 가상 자산 서비스와 관련한 해킹 공격인데요. 클레이스왑 등 가상자산 서비스 사례와 같이 가상 자산 서비스는 피해를 입을 경우, 피해 규모가 막대하기 때문에 선택했습니다.

Q. 최근 보안 위협과 기술 트렌드에 대해 설명해 주신다면?
최근엔 블록체인, Web3 등 차세대 분야 보안에 대한 주목도가 높은 것 같습니다. 특히 De-Fi에서 자금 무단 이체 등이 일어나 여러 피해가 발생하고 있는데요. 버그 바운티 포상금도 상당한데, 바운티 포상금이 크다는 것은 그만큼 가치있는 취약점이고 주목할만한 분야라는 것에 대한 반증이라고 생각합니다.

3. 분위기 전환, 지극히 개인적인 질문
Q. 최근 스트레스와 자기 관리는 어떻게 하나요?
최근 가장 큰 스트레스는 수면 문제입니다. 날씨가 덥고 비가 와서 그런지 원하는 때에 잠들기가 어렵네요. 자려고 마음먹은 시간에는 최대한 아무것도 안 하거나 자기 전에 책을 잠시 보거나 하는 방법으로 해결하려고 노력 중입니다. 스트레스 받을 때는 메모장에 최대한 내가 느끼고 있는 감정을 정리하려고 하는 편입니다. 그러다보면 스트레스의 원인이 무엇인지, 어떻게 하면 해결할 수 있는지 막연했던 스트레스의 실체를 알게 되면서 마음이 안정되곤 합니다. 종이에 뭔가 쓰는 행위로 어느 정도 스트레스가 해소가 되기도 합니다.

Q. 요즘 듣는 곡은?
‘체리필터’의 ‘오리날다’를 듣고 있습니다. 좋아하는 야구선수인 이대호 선수의 등장 곡인데 가사가 좋아서 여러번 듣고 있습니다. 올해가 그 선수를 볼 수 있는 마지막 해여서 그런지 이 곡이 더 마음에 와닿습니다.

Q. 좋아하는 연예인은?
가수이자 배우인 아이유를 좋아합니다. 공식 팬클럽 ‘유애나 5기’이기도 합니다. 하하하!

Q. 가장 감명 깊게 본 영화나 공연 등은 무엇이며, 어떤 점이 감명 깊었나요?
브래드피트 주연, 베넷 밀러 감독의 2011년 미국 영화 ‘머니볼’입니다. 야구라는 스포츠를 통계학적 접근하면서 남들이 알지 못하는 숨겨진 가치를 찾아 성과를 이뤄내는 모습이 감명 깊었습니다.

Q. 추천하고 싶은 책과 추천 이유는 무엇인가요?
헤르만 헤세의 ‘데미안’을 추천합니다. 주인공이 절대 선의 영역에서 벗어나 자기 자신의 자아를 찾아가는 과정을 보면서 자기 자신에 대해 고민해보게 되는 좋은 책입니다.

“내가 하고 싶은 일을 하고,
내가 하고 싶은 일을 믿고,
내가 믿는 일을 위해 노력하면,
그것은 어느 순간 내 것이 된다.”

–데미안 中에서-