[중국 베이징] 한국 POC SECURITY와 중국 대표 보안기업 Qihoo360이 공동주최한 ‘벨루미나 베이징 WCTF2016’이 지난 6월 3일 막을 내렸다. CTF 대회 최종 결과는 ‘KeyResolve’(이하 키리졸브)팀이 최종 우승을 차지해 5만달러의 상금을 차지했다. 키리졸브팀은 미국 카네기멜론대학 PPP팀 멤버 3명과 한국의 DEFKOR팀 이종호(라온시큐어), 이정훈(삼성 SDS) 등이 참가한 연합팀이다. 이 팀은 현존 자타가 공인하는 세계 최강 팀이라 할 수 있다. 데프콘 본선에서도 1, 2위를 다투는 팀이다. 특히 라온시큐어 이종호씨는 한국 해커들 가운데 최고의 에이스중 한 명이다. 데일리시큐는 국가 대표 해커 이종호(Hellsonic. 사진)씨와 현장에서 인터뷰를 진행했다.
 
-우선 우승소감은 어떤가
이번 대회 초청을 받아 PPP팀과 연합해서 같이 재미있는 문제도 풀고 우승도 하게 돼 너무 즐거웠다. 벨루미나 대회 방식은 타 대회에서 볼 수 없는 방식이라 운영상 걱정도 됐지만 클리어하게 잘 마무리돼 다행이고 한국팀이 1, 2위를 차지해 기분이 좋다.
특히 대회를 마치면 참가팀들은 문제 풀이가 많이 궁금하다. 이번 대회는 종료후 세미나를 통해 각 팀들이 직접 문제풀이까지 공개해 궁금점도 해소 할 수 있어 신선했다. 이런 과정을 통해 서로 발전할 수 있는 시간이었다. 상금도 중요하지만 대회에 참가한 해커들 대부분 자기개발 목적이 더 크다. 1등을 하든 꼴찌를 하든 참가팀 모두의 발전에 도움이 되는 대회였다. 
 
-문제와 대회 운영은 어땠나
세계적으로 유명한 팀들이 모두 출전했고 각 팀별로 2문제씩 출제해 총 20문제가 출제됐다. 각 팀마다 팀을 대표할 수 있는 문제를 출제해 문제에 대한 프라이드가 대단했다. 퀄리티도 높았고 다른 대회에서 볼 수 없는 참신하고 어려운 문제들이 많이 출제됐다. 특히 운영상 문제없이 클리어하게 진행된 점이 좋았다. 서버 문제도 없었고 요청사항이 있으면 바로바로 처리되는 등 한국 운영진들의 철저한 준비와 노고에 감사를 전한다.

 
-PPP팀과 연합해서 출전했다. 어찌보면 경쟁팀이라고 할 수 있는데 서로 호흡은 잘 맞았나
언론이나 외부에서 보는 것처럼 서로 경쟁심을 가지고 대회에 임하진 않는다. 서로 친하고 배울 점도 많아 대회를 통해 같이 발전한다고 생각한다. 언론에서 대립구도를 만들지만 두 팀간 분위기는 전혀 그렇지 않다.
또 키리졸브팀은 멤버들이 워낙 개개인의 역량이 뛰어나서 특별히 호흡을 맞출 필요도 없었다. 많은 대회 출전 경험이 있었기 때문이다. 서로 팀원을 배려하고 트러블이 생길만한 행동은 하지 않는 것도 경험을 통해 알게 됐다.
 
-같은 팀 내에서 내부경쟁도 있을 것 같은데
예전 한국팀들의 문제가 바로 팀내 경쟁으로 인해 더 많은 문제를 풀 수 있었는데 그렇지 못한 사례가 있었다. 팀내에서도 경쟁이 있다. 더 인정을 받고 싶은 심리가 존재한다. 내가 이 문제를 풀었고 더 많은 문제를 풀고 싶은 심리다. 하지만 이런 개인적인 욕심을 버려야 대회에서 팀이 좋은 성적을 낼 수 있다. 지난 데프콘에서는 그런 생각들이 없었다. 개인보다는 팀이 우선이었기 때문에 좋은 성적을 낼 수 있었다. 모두 실력이 검증된 친구들이라 내부 경쟁을 할 필요가 없었다. 자신이 거의 다 푼 문제라도 마무리가 안된다면 과감히 다른 멤버에게 마무리할 수 있도록 넘겨줄 수 있어야 한다. 그래야 팀이 이길 수 있다. 이번 키리졸브팀도 내부 경쟁을 할 필요가 없었다. 자신이 얻은 것 바로 공유하고 서로 같이 문제를 풀어 내는 팀웍이 무엇보다 중요하다. 한국팀들도 이제 이런 부분에 대해 인식하고 있어 앞으로 국제 대회에서 더 좋은 성적을 낼 수 있을 것이라 기대한다.
 
-데프콘 본선에 AI도 출전한다고 하는데
이번에 지난해 우승으로 자동출전하게 됐다. 본선에 AI팀도 한 팀 출전한다. '사이버그랜드챌린지(CGC)'를 통해 올라온 사이버팀이다. 향후 AI가 자동으로 취약점을 찾아내고 공격도 할 수 있고 방어도 할 수 있는 시대가 올 것이다. 하지만 아직은 AI가 데프콘 본선 문제를 참가팀들 처럼 풀어내기는 쉽지 않은 수준이라고 생각한다. 데프콘 운영진도 AI 기준으로 문제를 내겠다고 공지했지만 아직 인간을 넘어설 수준은 아니라고 본다.

 
-해킹 공부는 언제부터 시작했나
중학교시절부터 게임핵 관련 커뮤니티에서 활동했다. 그때는 해킹공부를 지금처럼 할 수 있는 환경이 아니었다. 혼자 삽질하면서 배웠다. 검색을 해도 제대로 나오는 정보도 없었기 때문이다. 지금은 검색만 하면 많은 자료들을 인터넷에서 찾을 수 있어 배우는 속도도 빠르다.
고등학생 때부터 해킹대회에 참가했다. 처음에는 한 문제도 풀지 못했다. 다른 팀들이 올린 문제 풀이를 보고 배워나갔다. 워게임도 계속 참여하며 실력을 쌓아갔다.
지금 환경은 과거에 비해 비교도 할 수 없다. 가장 중요한 것은 이 분야에 재미를 느껴야 한다. 해킹 공부를 해서 돈을 벌고 좋은 직장을 찾겠다는 목표 보다는 그냥 재미있어야 한다. 이 분야 공부를 하는 것이 재미있어 계속 하다 보니 지금의 위치에 와 있게 됐다. 그 점이 가장 중요하다고 생각한다.
 
-취약점 찾는 연구도 활발히 하고 있다고 들었다
KISA에서 운영하는 버그바운티 누적랭킹 1위다. 공부하는 과정에서 찾은 취약점들을 KISA 버그바운티에 신고한 것이다. 다양한 소프트웨어를 공부하고 보다 넓은 분야를 연구하는데 나온 결과라고 생각한다.
 
-라온시큐어에서 근무한지 얼마나 됐나. 해커로서 회사 생활이 힘들 수도 있을 것 같은데
2012년부터 라온시큐어에 근무했다. 4년이 넘었다. 해커들은 중요한 연구에 빠지면 매일 밤을 새기도 하고 낮과 밤이 바뀌는 경우가 많다. 회사 출근이 힘든 상황이 될 수 있다. 회사와 해커가 추구하는 것이 다를 수 있다. 회사는 돈을 버는 조직이고 해커는 돈을 벌기 위해 연구한다기 보다는 그냥 하고 싶은 연구를 하는 것이다.
이런 부분에 대해 라온시큐어가 이해를 잘 해주고 배려해 준다. 회사에서는 주로 연구활동을 하고 결과물을 내부에 공유한다. 개인적인 연구 이외에 회사 제품에 대한 테스트도 하고 취약점을 찾아 알려주기도 한다. 해커만이 낼 수 있는 아이디어를 내기도 하고 내부 세미나를 통해 제품개발시 주의할 점을 공유하고 있다. 라온시큐어는 대기업도 아니고 자본이 부족한 중소기업에서 이런 배려를 해 주고 있다는 점에 감사한다. 그 전에 같이 근무했던 선배들이 이런 문화를 만드는데 일조한 덕분이다.
특히 기업에서 해커팀을 운영하기 위해서는 회사 내부 매니저의 역할이 중요하다. 자유롭게 연구할 수 있는 환경을 만들어주고 좋은 결과물이 나오든 그렇지 않든 해커를 믿어주는 것이 중요하다. 좋은 결과물이 나오지 않았다고 해서 시간을 허비하고 놀았다고 생각해 버리면 해커는 그 회사에 근무할 수 없다.
그리고 요즘 해커들이 창업을 많이 하는데 아직은 창업보다는 하고 싶은 연구에 몰두하고 싶다. 무언가 목표를 정하고 해 나간다기 보다는 재미있는 연구를 계속 해 나가고 싶은 마음이다. 하고 싶은 연구를 계속 하는 것이 꿈이다.
 
-지금의 이종호에게 고마운 사람이 있다면
많은 분들이 있지만, 아버님의 영향이 컸다. 컴퓨터공학을 전공하신 아버님 덕분에 어려서부터 컴퓨터와 자연스럽게 친해질 수 있었다. 또 2008년 비스트랩 해킹콘테스트에서 처음 상을 받았다. 그때 시상식에서 당시 카이스트 장영진형을 알게 됐다. 이후 많은 것을 알려주고 과제도 내 주고 일주일에 한번씩 워게임도 풀게 하고 당시 저에게는 스승과 같은 존재였다. 해킹의 첫 걸음을 떼게 해준 고마운 분이다. 이 형과 같이 지난 데프콘 본선에서 우승까지 할 수 있어 너무 기쁜 순간이었다.
 
다음은 해커 이종호(Hellsonic)의 이력이다. 이력을 보면 그가 왜 한국의 에이스 해커인지를 알 수 있다.
-학교: 고려대학교 정보보호대학원
-소속: 라온시큐어 보안기술연구팀
◇해킹대회 수상경력(연도별)
-2016년
Belluminar WCTF 2016 Beijing / 1위
SECCON CTF 2015 Tokyo Final / 1위
 
-2015년
SECCON CTF 2014 Tokyo Final / 1위
DEFCON CTF 2015 Las Vegas / 1위
HITCON CTF 2015 Taipei Final / 1위
한국인터넷진흥원 우수취약점 신고 표창 2015
 
-2014년
DEFCON CTF 2014 Las Vegas / 본선
KISA HDCON 2014 / 3위
카톨릭대 CAT HolyShield 2014 / 1위
HUST Hacking Festival 2014 / 1위
한글과컴퓨터 취약점신고 감사패 2014
한국인터넷진흥원 우수취약점 신고 표창 2014
 
-2013년
코드게이트(Codegate) 2013 국제해킹방어대회 / 1위
KISA HDCON 2013 해킹방어대회 / 1위
Secuinside 2013 국제해킹방어대회 / 2위
DEFCON CTF 2013 Las Vegas  / 3위
HUST Hacking Festival 2013 / 1위
카톨릭대 CAT HolyShield 2013 / 2위
 
-2012년
B10S JFF Season 2 / 1위
Ahnlab Security Wave 2012 / 1위
카톨릭대 CAT HolyShield 2012 / 1위
HUST Hacking Festival 2012 / 1위
KISA HDCON 2012 해킹방어대회 / 1위
 
-2011년
HUST Hacking Festival 2011 / 2위
카톨릭대 CAT HolyShield 2011 / 1위
 
-2010년
카톨릭대 CAT HolyShield 2010 / 2위
Argos Hacking Festival 2010 / 1위
 
-2009년
안철수연구소 V스쿨 6기 해킹대회 / 1위
Argos Hacking Festival 2009 / 2위
4회 정보보호올림피아드 / 2위
2009 순천향대학교 청소년 정보보호 페스티벌 / 2위
 
-2008년
Beistlab Hacking Contest JFF 2008 / 3위
동명대학교 해킹 챔피언십 2008 / 3위
 
◇대회 문제출제/운영/기타 사항
2014 화이트햇 콘테스트 / 2014. 11
Secuinside 2014 국제해킹방어대회 / 2014. 07
2013 화이트햇 콘테스트 / 2013. 08
코드게이트(Codegate) 2012 국제해킹방어대회 / 2012. 04
Cyber Warfare ISEC 2011 해킹방어대회 / 2011. 08
코드게이트(Codegate) 2011 국제해킹방어대회 / 2011. 04
Cyber Warfare ISEC 2010 해킹방어대회 / 2010. 11
2013 청와대 업무보고 발표
"해킹 맛보기" 저자
차세대 보안리더 양성 프로그램(Best of the Best) 멘토
 
★정보보안 대표 미디어 데일리시큐!★
 
<중국 베이징=데일리시큐 길민권 기자> mkgil@dailysecu.com