check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

[취중진담⑧] 응답하라 1996...문종현, 바이러스와의 조우

보안, 틀에 박히면 안되...미칠 각오 없다면 시작하지마라

길민권 mkgil@dailysecu.com 2013년 12월 20일 금요일
컴퓨터공학, 전산학, 암호학, 정보보호학을 전공하지 않았음에도 우리나라 보안 분야에서는 상당수 비전공자들이 탑클래스의 실력을 인정받고 있다. 그 중 한명이 바로 컴퓨터와 모바일 바이러스와 악성파일 분야에서 독보적 역량을 발휘하고 있는 잉카인터넷 시큐리티대응팀 문종현 팀장이다.
 
취중진담 여덟 번째 주인공은 바로 컴퓨터 바이러스와 악성파일의 달인 문종현 팀장이다. 매일 반복되는 사이버 공격 대응에 여념이 없던 그와 얼마전 어렵사리 인터뷰 자리를 마련했다. 그는 무슨 이유 때문에 바이러스에 미쳐있는 것일까. 그의 광기(狂氣)의 근원은 무엇일까. 이번 취중진담은 주로 기자만 술을 마신 최초의 경우다.

 
-대학에서 공부는 다른 분야를 전공했다고 들었는데요.
네. 고등학교와 대학에서 전기전자를 공부했어요. 엔지니어가 되는게 꿈이었죠. 고등학교를 졸업하고 바로 직장에 취업을 했는데 막상 들어가 보니 40만원 받아가며 매일 청소에 목숨걸고 일 해야 하는 고통의 나날이었죠. 고졸 타이틀 때문에 무시도 많이 당했죠. 그래서 대학을 가야겠다는 결심을 하고 대학에 들어가 계속 전기 분야를 전공했어요.
 
고졸 인생의 처절함을 뼈저리게 경험했기 때문에 대학 1학년 때부터 이 악물고 공부만 했죠. 그래서 학부때 취득한 전기 분야 국가자격증만 10개가 넘고 계속 장학금을 받으며 학교를 다녔죠. 과 선배들은 1학년이 무슨 공부냐며 구박도 많이 했지만 이미 냉혹한 사회생활을 경험해 본 저로서는 실력만이 살길이란 것을 일찍 깨달은거죠. 결국 선배들도 나중에는 자격증 취득하려면 어떻게 해야 하냐며 도움을 청하더군요. 그때는 전기에 미쳐있었던 시절이었죠.
 
-전기에 빠져있었는데 언제 컴퓨터 바이러스와 만나게 됐나요?
1996년 대학 1학년 때에요. 제 인생의 전환점이 된 시기죠. 전기 공부 때문에 컴퓨터가 필요해 용산에서 조립 PC를 무작정 하나 장만했죠. 당연히 컴맹이었구요. 그런데 PC를 며칠 사용하다가 이상하게 작동이 안되는 거에요. 무거운 본체를 들고 용산으로 며칠 쫓아 다니면서 알게 된 것이 바로 바이러스였어요. 제 PC가 도스 바이러스에 감염됐다는 거에요. 1996년 그 바이러스와 처음 조우하면서 제 인생이 서서히 바뀌기 시작했어요.
 
무작정 용산 매장 알바생에게 제 PC를 치료하지 말고 바이러스를 디스켓에 담아 달라고 했어요. 호기심이 발동한거죠. 컴맹이었던 제가 바이러스를 어떻게 분석이나 하겠어요. 그때부터 낮에는 대학에서 전기 공부를 하면서 밤엔 바이러스에 파고들기 시작했어요. 생각은 단순했어요. 누가 이런 바이러스를 만들고 어떤 방식으로 뿌리는지 궁금했어요. 그리고 바이러스 때문에 고생하는 사람이 많을텐데 예방하려면 어떻게 하는거지. 그런 생각에 무작정 피시방에서 알타비스타를 이용해 검색을 하던 중 해외에 바이러스 제작 그룹이 있다는 것을 알게 됐죠. 바이러스를 알려면 호랑이 굴로 들어 가는게 확실하다고 생각한거죠. 폐쇄적인 그룹에 멤버가 되려면 신뢰를 쌓아야 하는데 안되는 영어로 오랜 시간을 투자해 결국 그룹에 들어가게 됐어요. 목적은 하나에요. 그들이 제작하는 바이러스를 국내에 빨리 알려서 막아보자는 거였죠. 그렇게 스파이 활동을 하면서 빼낸 따끈따끈한 바이러스 샘플을 백신 업체에 보내줬어요. 안랩도 초창기라 대응 인력이 많지 않았기 때문에 신속한 업데이트는 어려운 실정이었죠.
 
바이러스를 플로피디스크에 담아 우편으로 보내주면 업체에서도 우편으로 잘 받았다는 회신을 하던 시절이었죠. 하지만 국내에 피해를 주는 바이러스가 아닌 샘플들이라 신속한 업데이트가 안됐죠. 당연히 유포전 제작자에게 받은 바이러스 샘플이니 퍼졌을 리가 없죠. 국내에서는 볼 수 없는 바이러스 정보들이 축적되면서 운영하던 카페 회원이 7만명을 넘어갈 정도였어요. 당시 경찰들도 국내 바이러스 제작자 그룹이었던 CVC(코리아 바이러스 클럽)를 검거하기위해 도움 요청을 많이 해 왔어요. 문종현은 바이러스 제작자다란 오해도 받았죠. 미국 FBI에서도 메일로 경고메일을 보낼 정도였으니까요. 또 해외 바이러스에 대한 업데이트가 잘 안되는 한국 백신과 해외 백신의 탐지성능을 비교하는 내용을 카페에 공개하면서 업체들의 따가운 눈총을 받기도 했죠. 하지만 이용자들이 객관적인 정보를 알 수 있게 한 것에 대해 보람도 있었죠. 그렇게 낮엔 전기 공부를 하면서 밤엔 바이러스 스파이 활동을 계속했죠.
 
-북한 바이러스 개발자와 인연도 있었다고 들었는데 어떻게 된건가요?
군대를 가야할 나이가 됐어요. 교수님은 동경대 대학원에 추천서를 써주겠다며 계속 전기분야 공부를 권유하셨어요. 그런데 공부보다는 빨리 사회에 나가고 싶어 병특을 가게 됐어요. 전자 회사였는데 그곳에서 사장님께 인정을 받아 단순 조립업무가 아닌 컴퓨터 일을 하게 됐죠. 덕분에 회사에서 계속 바이러스 카페를 24시간 운영할 수 있는 시간을 확보했어요.
 
그러던 중 기묘한 사건이 일어났어요. 제가 운영하던 카페는 AVZONE 커뮤니티였죠. 정확히 2001년 8월 8일 오후 7시 경이었어요. 닉네임 ‘바이러스백신제작자’라는 사람이 메신저에 접속해 말을 걸어왔어요. 예전에도 학생들이 바이러스 샘플을 요구하는 일이 많아 장난삼아 대화를 하게 됐는데 알고 보니 북한 미림대학 연구원이라고 하더군요. 그는 자신을 북한 사람이라고 밝히고 바이러스 샘플을 요구했어요. 대가로 10만 달러를 주겠다며 계좌번호를 불러달라고도 하구요. 아직도 그 사람이 말한 내용이 뇌리에 박혀 있어요. “남한은 북한에 대해 잘 모르는구만...미래가 걱정되구려” 물론 바이러스 샘플을 주진 않았지만 뭔가 머리를 한 대 맞은 느낌이었어요.
 
그 사건 이후 사이버전에 대한 관심을 갖게 됐어요. 그 뒤 2009년 7.7 디도스 사건이 터지더군요. 북한은 아마 2000년대 초반부터 각종 해외 바이러스와 악성코드를 수집해 준비를 하고 있었던 것 같아요. 7.7 디도스 사건은 언론에서도 발표됐지만 북한이 아주 치밀하게 준비한 사이버전이라고 생각해요. 그 사람 말 대로 우리는 북한을 모르고 있어요. 정말 철저하게 준비하지 않으면 앞으로 얼마나 큰 사고가 터질지는 아무도 모르는 일이죠. 이후 더욱 해외 바이러스 수집에 열을 올렸어요. 우리는 여전히 우물 안 개구리에요. 정부차원의 적극적인 투자가 필요하다고 생각해요.(아래는 문종현 팀장이 2001년 당시 북한 연구원으로 추정되는 자와 메신저로 대화한 내용이다.)






 
-보안 분야로 완전 전향한 것은 언제부턴가요?
병특 생활이 끝나면서 고민을 했죠. 몇몇 보안업체에서 러브콜이 왔어요. 지금까지 해왔던 전기 엔지니어의 꿈을 접고 취미생활로 했던 보안 분야로 가야할지 고민이 많이 됐죠. 결국 대학 4학년 1학기를 수료하고 지오트라는 신생 보안업체에서 시큐리티 대응센터장으로 일하게 됐어요. 모두 미쳤다고 말렸어요. 인생의 전환점이었죠. 보안을 해야겠다고 결심하게 한 것은 바로 북한 사람과의 대화였어요. 내가 미친 듯이 좋아하는 일이고 또 보람된 일을 하자는 생각에서였죠. 지오트에서 정말 열심히 일했어요. 회사에서 숙식하면서 엄청난 양의 바이러스 샘플을 수집하고 연구하는데 정말 혼신을 다했어요.
 
-잉카인터넷으로 옮긴 이유는 무엇인가요?
지오트 경영상황이 어려워지면서 회의감에 좀 빠졌던 시기가 있었어요. 그때 한 여자를 알게 되요. 바로 지금 제 아내죠. 구로에 있는 잉카인터넷에 미팅을 갔는데 여자친구 회사가 근처인거에요. 그래서 잉카 대표님도 적극 지원해주신다고 약속하셨고 여자친구와도 가깝게 지낼 수 있어 잉카인터넷으로 둥지를 옮긴거죠. 2006년 4월이에요. 잉카 생활이 벌써 7년째네요.
 
-잉카에 있을 때 7.7 디도스 공격을 분석했을텐데 어땠어요?
7.7이라기 보다는 정확힌 7.4 디도스 공격이에요. 당시 7월 5일 퇴근 시간 무렵에 고객사에서 계속 미국 아마존으로 트래픽을 날린다는 연락이 왔어요. 그때 악성코드 샘플을 확인했는데 이틀 뒤 7.7 디도스가 터지면서 한국 사이트들이 공격을 받기 시작했죠. 미국을 공격한 악성코드와 동일했어요. 공격은 7월 4일날 시작된거에요. 미국 독립기념일이죠. 당시 공격에 이용된 좀비 PC들은 대부분 한국 PC들이었어요. 그들은 전혀 새로운 공격 기법을 사용한거에요. 정상 솔루션을 변조해 악성코드를 뿌려 좀비 PC를 확보한거죠. 이 영역은 관제영역이 아니에요. 기존 드라이브바이다운로드 공격은 관제에 걸려요. 그래서 그들은 관제 영역을 벗어난 공격방법을 찾아냈고 이를 이용해 좀비 PC를 만들어 공격한거에요.
 
-북한은 계속 공격방법을 진화시키고 있다는 말씀이군요.
네. 그들은 사이버전만 준비하는 전문가 집단이 있어요. 전문적인 전술훈련을 하고 있고 침투조, 정찰조로 구분해 계속해서 새로운 침투방식을 개발해 내고 있어요. 금전적 이익을 위한 사이버범죄와는 차원이 다른 거죠.
이후 3.20, 농협, 중앙일보, 6.25 공격들을 보면 국내 언론사, 금융사, 정부기관을 대상으로 지속적으로 공격을 하고 있어요. 6.25사이버전도 한국의 알 수 없는 조직인 어나니머스가 우리민족끼리, 노동신문 등을 12시에 공격하겠다고 선전포고하자 그들이 10시에 청와대 등 국내 주요 사이트를 선제공격 한 거에요.
 
저는 사이버전쟁이라고 생각해요. 7.7 디도스 이후 ‘사이버戰’이란 용어를 처음 사용하기도 했구요. 2007년부터 그들이 사용하는 악성코드의 흐름을 보면 알 수 있죠. 그들만의 특색이 있어요. 예를 들어 코딩에서 우리는 ‘명령’이란 용어를 사용하지만 그들은 ‘지령’이란 용어를 사용하는 등 그 악성코드의 흐름, 계보를 모르면 알 수 없어요. 그 흐름을 모르고 단편적인 악성코드 만으로는 그들의 공격을 이해 못하는거죠. 그리고 그들이 악성파일을 전파하는 스타일, 사용하는 아이콘 등 여러 단서들을 프로파일링해서 공통점을 봐야 보이는거에요. 이제는 코드를 분석하지 않고도 여러 단서를 조합하면 북한의 공격이란 사실을 알 수 있어요. 기술이 아니라 오랜 경험에서 나오는거죠. 지금 한국의 보안전문가들이 북한에 대해 얼마나 알고 대응하고 있을까요. 걱정되는 부분이죠. 최근 공격에는 토르(Tor)나 더미다(Themida) 등을 사용해 추적이나 분석을 못하게 하고 있어요. 그들이 계속 변화하고 있다는 것이 보여요. 흥미롭게 계속 지켜보고 있죠. 일이라고 생각하지 않고 정말 흥미를 가지고 연구하고 있어요. 이를 자동화 하고 싶어하는 기관도 있는데 자동화 보다는 인텔리전스 팀을 구축하고 계보를 역추적해 DB화할 수 있는 사람이 필요해요.
 
-요즘 APT라는 용어가 많이 나오고 막을 수 없다고들 하는데 어떻게 생각해요?
보안에 100%란 없어요. 다 막을 수 있다고 하면 사기꾼이죠. 보안은 ‘보완’이라고 생각해요. 여기를 막으면 저기로 들어오죠. 100% 막지는 못하지만 보완은 할 수 있죠. 피로도는 방어자가 더 크지만 공격자도 피로도가 커지게 해야해요. 그걸 이겨내지 못하고 포기하면 끝장인거죠. 보안을 위해 보완의 연속성을 유지하는 것이 가장 중요해요. 그를 위해 대응팀이 필요한거고 대응팀이란 최전방에 있는 사람들이 얼마나 관심을 가지고 지속적으로 보완하느냐가 관건이죠.
 
보안 시스템도 물론 중요하지만 대응의 핵심은 휴먼이에요. 휴먼을 어떻게 관리하느냐가 핵심이죠. 휴전선에 지뢰가 깔려 있어도 지뢰를 피해 침투하는 적들이 있는 것처럼 그건 사람이 대응해야 하는 거죠.
 
저는 ‘APT’라는 용어를 안써요. 지능형지속위협을 말하는 건데 오래 전부터 공격을 봐 왔지만 모든 공격이 APT는 아니에요. 원래 공격자들은 표적공격을 해요. 이미 일반화 된 공격이죠. 표적공격이기 때문에 공개가 안됐을 뿐이에요. 공격 중에는 지능형이 아닌 것도 많아요. 어리버리한 공격들도 많다는 거죠. 지속적으로 하지 않는 경우도 많아요. 지능적이고 지속적이지 않은 공격들이 많은데 이를 모두 APT라고 정의하는 것은 옳지 않아요. 그래서 저는 표적공격이란 용어를 사용하죠.
 
-표적공격, 어떻게 대응해야 할까요?
공격을 받는 곳들이 대부분 기관이나 기업들이죠. APT 공격은 막기 힘들다고 말하는 담당자는 그 경험을 해 본거에요. 공격자들은 그 심리를 이용해요. 표적공격을 통해 보안담당자들이 겁을 먹게 만들어요. 엄청난 피로도를 쌓게 하는거죠. 이런 불안감을 계속 조성해요. 이런 공포감을 공격자들은 교묘히 이용하죠. 아주 지능적으로 공격을 하다가 그런 공격에만 집중하는 보안담당자의 허를 찌르면서 아주 단순한 공격을 하기도 하죠. 이런 비지능적인 공격에 의외로 당하는 경우가 많아요. 즉 보안담당자는 아주 지능적인 공격만 생각할 것이 아니라 비지능적인 공격도 생각해야 해요. 기본에 충실해야 한다는거죠. 기본 수칙들을 잘 지켜야만 표적공격을 막을 수 있어요. 요즘 너무 고난이도 해킹 방어에만 집중하고 있는 것 같아요.
 
공격 전체를 100으로 보면 실제 APT적인 공격은 아주 적어요. 기관이나 기업들이 요즘 그런 공격에만 초점을 맞춰 대응하려해요. 표적공격이 얼마나 다양하게 이루어지는지를 알아야 해요. 제로데이 공격에만 당하는 것이 아니라 오래된 취약점에도 무수히 당하고 있어요. 제로데이 공격은 어쩔 수 없지만 패치를 안해 당한 공격을 APT 공격에 당했다고 할 수 있을까요. 기본을 놓치면 큰 사고로 이어질 수 있어요. 최신 보안패치도 잘 안되는 기관이 APT 장비를 도입한다고해서 보안이 될까요. 순서가 잘못된거죠. 기본을 강화하는 것이 가장 중요하다고 생각해요. 순서를 지켜 입체적 대응을 해야 해요. 실제 기업에서는 패치 관리 힘들어해요. 하지만 이런 기본적인 것이 안된 상황에 APT 장비도입은 사실 큰 효과를 기대하기 힘들죠.
 
-안티바이러스 무용론까지 대두되고 있는데 어떤 변화가 필요할까요?
백신은 무료다라는 인식이 너무 커서 힘들어요. 보안업체는 경영이 힘들어 고급인력을 못 데려오고 그로인해 좋은 제품이 나오기 힘든 상황의 연속이죠. 재투자, 선순환 구조가 무너지고 있어요. 기업은 좀더 확실한 제품을 만들어 내기 보다는 당장 돈이 필요하니 대충 만들어서 팔아야 하는 상황이죠. 정부는 사고만 터지면 업체 전문가들 민간협동조사단이라고 불러서 사명감, 책임감만 강조해요. 보안기업들이 선순환 구조에 진입할 수 있도록 정부정책에 큰 변화가 필요하다고 봐요.
 
시장의 구조가 경쟁력을 키운다고 생각해요. 경쟁력은 곧 사람인데 국내에 그런 재능있는 인력들이 아주 많아요. 그런 인력들이 이 힘든 보안분야에 관심을 가지고 뛰어들 수 있는 구조가 만들어져야죠. 그럼 인력양성 하지 않아도 자연스럽게 이루어진다고 생각해요.
 
-잉카 시큐리티 대응팀 운영 노하우가 있나요?
자유로움이에요. 자유롭게 일하면서 대응하자는 것이 우리 대응팀 모토에요. 관제는 절대 일어나지 않을 일을 대비하는거죠. 자유롭지 못하면 알아낼 수 없어요. 관제영역을 자유롭고 유연하게 하는거죠. 고객사만 관제하는 것이 아니라 모든 분야에 관심을 가지고 모니터링하고 있어요. 고객사와 전혀 상관없는 모니터링이 아니라 다른 곳에서 발생한 것이 고객사에도 발생할 수 있기 때문이죠. 자유로움이 가장 큰 장점이에요. 틀도 없고 고정적 프로세스도 없어요.
 
제가 제일 앞자리에서 일해요. 팀원들이 제 모니터를 뒤에서 보는거죠. 제가 자유롭게 일 하는 것 보면서 팀원들도 따라할 수 있게 해요. 딴 짖을 하도록 놔둬요. 관제가 틀에 박히면 진정한 관제가 아니에요. 선배가 틀에 박힌 지식을 전수하는 것이 아니라 스스로 경험하고 공부하게 만들어요. 사고는 항상 의외의 곳에서 발생하니까요. 틀에 박히면 그걸 볼 수 없어요.
 
그런데 주입식을 원하는 후배들은 힘들어해요. 제가 알려주기만 하면 그것만 하려고 해요. 그래서는 자신의 발전도 없고 재미도 없잖아요. 하루동안 자유롭게 일했는데 큰 성과가 없어도 즐거워해야 해요. 왜냐하면 그 과정이 중요한거죠. 팀원들과 회의할 때도 이해만 하라고해요. 관심만 가지고 있으면 돼요. 공격자는 항상 새로운 공격을 하는데 우리는 틀에 박혀 있으면 따라갈 수도 없고 예측도 할 수 없어요. 예측이란 것이 별게 아니라 현재 일어나고 있는 것들의 연장선에 있어요. 후배들도 틀에 박히지 말고 자유롭게 관심을 가지고 일하는 것을 즐겼으면 좋겠어요.
 
-후배들에게 하고 싶은 말이 있다면?
보안 일을 직업으로 생각하면 그만둬야 해요. 면접을 볼 때도 항상 말하죠. 어렵고 스트레스 받고 반복적인 일이다. 이를 즐길 수 없다면 하지말라고 말해요. 또 주말이나 연휴, 크리스마스에 근무할 수 있느냐 물어봐요. 면접 때는 할 수 있다고 하지만 막상 실제 그런 상황이 닥치면 모두 힘들어하죠. 즉 이 분야에 자신이 관심과 즐길 수 있는 마인드가 돼 있어야 해요. 누가 시켜서 해야 하는 일이라면 너무 힘든 일이죠. 일종의 ‘똘기’가 있어야 하죠.
 
또 자기 관리가 철저해야 해요. 일주일 정도는 철야 할 수 있는 체력이 필요해요. 공격은 계속 되는데 하루 일하고 쉬고 다음날 오면 맥이 끊어져 일에 연결이 안되요. 공격의 흐름을 못 쫓아가면 대응이 안돼요.
 
그리고 포기하지 않으면 언젠간 인정받게 돼요. 미친 듯이 즐기면서 재미있게 일 하다보면 자기도 모르는 사이에 어느 위치에 와 있어요. 이것은 누가 시켜서 할 수 있는 일이 아니에요. 관심의 차이죠. 틀에 박혀 누가 시키는 일만 하는 것은 너무 슬픈 청춘이죠. 미친 듯이 해서 뿌리를 내려야 해요. 보안 업무 하다보면 3년 안에 무조건 슬럼프가 와요. 그럴 때마다 뛰쳐나가면 계속 철새 생활의 연속이죠. 어디를 가든 그 틀에서 자유롭게 움직이고 즐겁게 일하길 바래요. 물론 기업들도 그런 환경을 만들어줘야죠. 보안기업 대표들의 마인드가 제일 중요한 것 같아요.
 
-앞으로 뭘 하고 싶으세요?
저는 꿈에서도 관제를 해요. 미친거죠. 집에서도 혼자 아내와 아이들이 잠자리에 들면 혼자 철야할 때가 있어요. 누가 시켜서 하는 것이 아니죠. 혼자 훈련을 하는거에요. 회사에서도 자유롭게 일할 수 있도록 지원을 많이 해주세요. 자유롭게 즐기면서 보람을 느끼며 사명감을 가지고 일하고 있어요.
 
이 분야에 벌써 17년이 됐네요. 사이버공격은 변화하고 있어요. 공격은 더욱 과감해지고 있는 반면 방어는 위축되고 있어요. 우리도 더욱 과감해 져야 한다고 생각해요. 그래서 건강이 허락하는 한 앞으로도 더욱 치열하고 시끄럽게 이 일을 할거에요. 특히 북한의 사이버전 전문대응 조직이 필요하다는데 공감하고 있기 때문에 그들의 위협을 전문적으로 연구하고 프로파일링할 수 있는 분야에서 계속 일하고 싶어요. 보안은 숨기면 해결이 안되요. 제 역량 한에서 최대한 공개하고 전령사 역할을 계속 해 나갈 거에요. 보안에 비전공자가 이런 위치까지 갈 수 있구나란 것을 후배들에게 보여줄 수 있는 롤모델이 됐으면 좋겠어요.
 
그의 열정은 혀를 내두를 정도다. 혼자 철야 대응 연습을 집에서 한다고 한다. 팀장이면 뒷 자리에서 거들먹 거리며 후배들 부려먹을 만도 한데 그는 제일 앞 자리에서 어떻게 일하는 지를 몸소 보여주고 있단다. 매일 새벽 수영으로 몸을 단련하고 가족에게도 충실하면서 회사 업무는 칼같이 마무리하는 그를 보면서 정말 광기를 느낀다. 플라톤은 "신에 의해서 주어진 것 중에서 광기는 좋은 것 중에서도 가장 좋은 것"이라고 말했다. 정부에서 보안인력 양성을 이야기하지만 문종현 팀장과 같은 인력을 과연 양성이란 틀 안에서 양성할 수 있을까.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
관련기사
목록