중국 베이징 벨루미나 WCTF2016 우승, KISA 버그바운티 누적랭킹도 1위

-우선 우승소감은 어떤가
이번 대회 초청을 받아 PPP팀과 연합해서 같이 재미있는 문제도 풀고 우승도 하게 돼 너무 즐거웠다. 벨루미나 대회 방식은 타 대회에서 볼 수 없는 방식이라 운영상 걱정도 됐지만 클리어하게 잘 마무리돼 다행이고 한국팀이 1, 2위를 차지해 기분이 좋다.
특히 대회를 마치면 참가팀들은 문제 풀이가 많이 궁금하다. 이번 대회는 종료후 세미나를 통해 각 팀들이 직접 문제풀이까지 공개해 궁금점도 해소 할 수 있어 신선했다. 이런 과정을 통해 서로 발전할 수 있는 시간이었다. 상금도 중요하지만 대회에 참가한 해커들 대부분 자기개발 목적이 더 크다. 1등을 하든 꼴찌를 하든 참가팀 모두의 발전에 도움이 되는 대회였다.
-문제와 대회 운영은 어땠나
세계적으로 유명한 팀들이 모두 출전했고 각 팀별로 2문제씩 출제해 총 20문제가 출제됐다. 각 팀마다 팀을 대표할 수 있는 문제를 출제해 문제에 대한 프라이드가 대단했다. 퀄리티도 높았고 다른 대회에서 볼 수 없는 참신하고 어려운 문제들이 많이 출제됐다. 특히 운영상 문제없이 클리어하게 진행된 점이 좋았다. 서버 문제도 없었고 요청사항이 있으면 바로바로 처리되는 등 한국 운영진들의 철저한 준비와 노고에 감사를 전한다.


?대회 종료후 팀원들과 뒷풀이(위). 시상식 장면(아래)
-PPP팀과 연합해서 출전했다. 어찌보면 경쟁팀이라고 할 수 있는데 서로 호흡은 잘 맞았나
언론이나 외부에서 보는 것처럼 서로 경쟁심을 가지고 대회에 임하진 않는다. 서로 친하고 배울 점도 많아 대회를 통해 같이 발전한다고 생각한다. 언론에서 대립구도를 만들지만 두 팀간 분위기는 전혀 그렇지 않다.
또 키리졸브팀은 멤버들이 워낙 개개인의 역량이 뛰어나서 특별히 호흡을 맞출 필요도 없었다. 많은 대회 출전 경험이 있었기 때문이다. 서로 팀원을 배려하고 트러블이 생길만한 행동은 하지 않는 것도 경험을 통해 알게 됐다.
-같은 팀 내에서 내부경쟁도 있을 것 같은데
예전 한국팀들의 문제가 바로 팀내 경쟁으로 인해 더 많은 문제를 풀 수 있었는데 그렇지 못한 사례가 있었다. 팀내에서도 경쟁이 있다. 더 인정을 받고 싶은 심리가 존재한다. 내가 이 문제를 풀었고 더 많은 문제를 풀고 싶은 심리다. 하지만 이런 개인적인 욕심을 버려야 대회에서 팀이 좋은 성적을 낼 수 있다. 지난 데프콘에서는 그런 생각들이 없었다. 개인보다는 팀이 우선이었기 때문에 좋은 성적을 낼 수 있었다. 모두 실력이 검증된 친구들이라 내부 경쟁을 할 필요가 없었다. 자신이 거의 다 푼 문제라도 마무리가 안된다면 과감히 다른 멤버에게 마무리할 수 있도록 넘겨줄 수 있어야 한다. 그래야 팀이 이길 수 있다. 이번 키리졸브팀도 내부 경쟁을 할 필요가 없었다. 자신이 얻은 것 바로 공유하고 서로 같이 문제를 풀어 내는 팀웍이 무엇보다 중요하다. 한국팀들도 이제 이런 부분에 대해 인식하고 있어 앞으로 국제 대회에서 더 좋은 성적을 낼 수 있을 것이라 기대한다.
-데프콘 본선에 AI도 출전한다고 하는데
이번에 지난해 우승으로 자동출전하게 됐다. 본선에 AI팀도 한 팀 출전한다. '사이버그랜드챌린지(CGC)'를 통해 올라온 사이버팀이다. 향후 AI가 자동으로 취약점을 찾아내고 공격도 할 수 있고 방어도 할 수 있는 시대가 올 것이다. 하지만 아직은 AI가 데프콘 본선 문제를 참가팀들 처럼 풀어내기는 쉽지 않은 수준이라고 생각한다. 데프콘 운영진도 AI 기준으로 문제를 내겠다고 공지했지만 아직 인간을 넘어설 수준은 아니라고 본다.

-해킹 공부는 언제부터 시작했나
중학교시절부터 게임핵 관련 커뮤니티에서 활동했다. 그때는 해킹공부를 지금처럼 할 수 있는 환경이 아니었다. 혼자 삽질하면서 배웠다. 검색을 해도 제대로 나오는 정보도 없었기 때문이다. 지금은 검색만 하면 많은 자료들을 인터넷에서 찾을 수 있어 배우는 속도도 빠르다.
고등학생 때부터 해킹대회에 참가했다. 처음에는 한 문제도 풀지 못했다. 다른 팀들이 올린 문제 풀이를 보고 배워나갔다. 워게임도 계속 참여하며 실력을 쌓아갔다.
지금 환경은 과거에 비해 비교도 할 수 없다. 가장 중요한 것은 이 분야에 재미를 느껴야 한다. 해킹 공부를 해서 돈을 벌고 좋은 직장을 찾겠다는 목표 보다는 그냥 재미있어야 한다. 이 분야 공부를 하는 것이 재미있어 계속 하다 보니 지금의 위치에 와 있게 됐다. 그 점이 가장 중요하다고 생각한다.
-취약점 찾는 연구도 활발히 하고 있다고 들었다
KISA에서 운영하는 버그바운티 누적랭킹 1위다. 공부하는 과정에서 찾은 취약점들을 KISA 버그바운티에 신고한 것이다. 다양한 소프트웨어를 공부하고 보다 넓은 분야를 연구하는데 나온 결과라고 생각한다.
-라온시큐어에서 근무한지 얼마나 됐나. 해커로서 회사 생활이 힘들 수도 있을 것 같은데
2012년부터 라온시큐어에 근무했다. 4년이 넘었다. 해커들은 중요한 연구에 빠지면 매일 밤을 새기도 하고 낮과 밤이 바뀌는 경우가 많다. 회사 출근이 힘든 상황이 될 수 있다. 회사와 해커가 추구하는 것이 다를 수 있다. 회사는 돈을 버는 조직이고 해커는 돈을 벌기 위해 연구한다기 보다는 그냥 하고 싶은 연구를 하는 것이다.
이런 부분에 대해 라온시큐어가 이해를 잘 해주고 배려해 준다. 회사에서는 주로 연구활동을 하고 결과물을 내부에 공유한다. 개인적인 연구 이외에 회사 제품에 대한 테스트도 하고 취약점을 찾아 알려주기도 한다. 해커만이 낼 수 있는 아이디어를 내기도 하고 내부 세미나를 통해 제품개발시 주의할 점을 공유하고 있다. 라온시큐어는 대기업도 아니고 자본이 부족한 중소기업에서 이런 배려를 해 주고 있다는 점에 감사한다. 그 전에 같이 근무했던 선배들이 이런 문화를 만드는데 일조한 덕분이다.
특히 기업에서 해커팀을 운영하기 위해서는 회사 내부 매니저의 역할이 중요하다. 자유롭게 연구할 수 있는 환경을 만들어주고 좋은 결과물이 나오든 그렇지 않든 해커를 믿어주는 것이 중요하다. 좋은 결과물이 나오지 않았다고 해서 시간을 허비하고 놀았다고 생각해 버리면 해커는 그 회사에 근무할 수 없다.
그리고 요즘 해커들이 창업을 많이 하는데 아직은 창업보다는 하고 싶은 연구에 몰두하고 싶다. 무언가 목표를 정하고 해 나간다기 보다는 재미있는 연구를 계속 해 나가고 싶은 마음이다. 하고 싶은 연구를 계속 하는 것이 꿈이다.
-지금의 이종호에게 고마운 사람이 있다면
많은 분들이 있지만, 아버님의 영향이 컸다. 컴퓨터공학을 전공하신 아버님 덕분에 어려서부터 컴퓨터와 자연스럽게 친해질 수 있었다. 또 2008년 비스트랩 해킹콘테스트에서 처음 상을 받았다. 그때 시상식에서 당시 카이스트 장영진형을 알게 됐다. 이후 많은 것을 알려주고 과제도 내 주고 일주일에 한번씩 워게임도 풀게 하고 당시 저에게는 스승과 같은 존재였다. 해킹의 첫 걸음을 떼게 해준 고마운 분이다. 이 형과 같이 지난 데프콘 본선에서 우승까지 할 수 있어 너무 기쁜 순간이었다.
다음은 해커 이종호(Hellsonic)의 이력이다. 이력을 보면 그가 왜 한국의 에이스 해커인지를 알 수 있다.
-학교: 고려대학교 정보보호대학원
-소속: 라온시큐어 보안기술연구팀
◇해킹대회 수상경력(연도별)
-2016년
Belluminar WCTF 2016 Beijing / 1위
SECCON CTF 2015 Tokyo Final / 1위
-2015년
SECCON CTF 2014 Tokyo Final / 1위
DEFCON CTF 2015 Las Vegas / 1위
HITCON CTF 2015 Taipei Final / 1위
한국인터넷진흥원 우수취약점 신고 표창 2015
-2014년
DEFCON CTF 2014 Las Vegas / 본선
KISA HDCON 2014 / 3위
카톨릭대 CAT HolyShield 2014 / 1위
HUST Hacking Festival 2014 / 1위
한글과컴퓨터 취약점신고 감사패 2014
한국인터넷진흥원 우수취약점 신고 표창 2014
-2013년
코드게이트(Codegate) 2013 국제해킹방어대회 / 1위
KISA HDCON 2013 해킹방어대회 / 1위
Secuinside 2013 국제해킹방어대회 / 2위
DEFCON CTF 2013 Las Vegas / 3위
HUST Hacking Festival 2013 / 1위
카톨릭대 CAT HolyShield 2013 / 2위
-2012년
B10S JFF Season 2 / 1위
Ahnlab Security Wave 2012 / 1위
카톨릭대 CAT HolyShield 2012 / 1위
HUST Hacking Festival 2012 / 1위
KISA HDCON 2012 해킹방어대회 / 1위
-2011년
HUST Hacking Festival 2011 / 2위
카톨릭대 CAT HolyShield 2011 / 1위
-2010년
카톨릭대 CAT HolyShield 2010 / 2위
Argos Hacking Festival 2010 / 1위
-2009년
안철수연구소 V스쿨 6기 해킹대회 / 1위
Argos Hacking Festival 2009 / 2위
4회 정보보호올림피아드 / 2위
2009 순천향대학교 청소년 정보보호 페스티벌 / 2위
-2008년
Beistlab Hacking Contest JFF 2008 / 3위
동명대학교 해킹 챔피언십 2008 / 3위
◇대회 문제출제/운영/기타 사항
2014 화이트햇 콘테스트 / 2014. 11
Secuinside 2014 국제해킹방어대회 / 2014. 07
2013 화이트햇 콘테스트 / 2013. 08
코드게이트(Codegate) 2012 국제해킹방어대회 / 2012. 04
Cyber Warfare ISEC 2011 해킹방어대회 / 2011. 08
코드게이트(Codegate) 2011 국제해킹방어대회 / 2011. 04
Cyber Warfare ISEC 2010 해킹방어대회 / 2010. 11
2013 청와대 업무보고 발표
"해킹 맛보기" 저자
차세대 보안리더 양성 프로그램(Best of the Best) 멘토
★정보보안 대표 미디어 데일리시큐!★
<중국 베이징=데일리시큐 길민권 기자> mkgil@dailysecu.com
저작권자 © 데일리시큐 무단전재 및 재배포 금지