2024-03-28 18:20 (목)
[인터뷰] 오정욱 MS 보안연구원 “해외 글로벌 기업에서 해커로 생존하려면”
상태바
[인터뷰] 오정욱 MS 보안연구원 “해외 글로벌 기업에서 해커로 생존하려면”
  • 길민권
  • 승인 2016.07.17 17:45
이 기사를 공유합니다

“자신의 꿈과 능력에 맞춰 주변 환경을 변화시켜 나갈 수 있어야”

지난 7월 11일부터 12일까지 고려대학교 인촌기념관에서 화이트해커연합HARU가 운영한 SECUINSIDE 2016(시큐인사이드 2016)이 600여 명의 해킹 보안 관계자들이 참석한 가운데 성황리에 개최됐다.
 
데일리시큐는 이날 주요 스피커로 참석한 오정욱 미국 마이크로소프트(MS. 사진) 본사 보안연구원과 발표 직후 인터뷰 시간을 가졌다. 지난해 ‘김치콘 2015’에서 만난 이후 1년 만이다. 그는 이번에 ‘Reverse-engineering DUBNIUM’란 주제로 발표를 진행했지만 발표내용은 민감한 부분이 있어 인터뷰 내용에서 제외키로 하고 최근 근황과 해외 생활 등에 대해 편한 대화시간을 가졌다.
 
오정욱(닉네임 Matt) 연구원은 ‘김치콘’을 최초 기획하고 준비한 운영자다. 또 한국의 대표적인 보안정보 공유 커뮤니티 버그트럭(BugTruck)을 처음 만든 장본인이기도 하다. 그래서 해커들 사이에서 명망이 높고 글로벌 기업에서 보안연구원으로 근무하면서 기술적 능력도 인정받고 있는 인물이다. 특히 그의 새로운 시도들은 멀리 있는 한국 해커들에게 신선한 자극을 주고 도전의식을 잃지 않게 만들고 있다. 그리고 그는 어느덧 미국생활 13년째를 맞이하고 있다.
 
◇“제로데이가 실제 현실에 어떤 위협 주는지 연구하고 방어”  
오 연구원은 “HP에서 지난해 3월 MS 시큐리티 리서치 그룹으로 복귀했다. 현실 세계에 직접적인 영향을 주고 있는 위협을 연구하고 이를 미리 예방하기 위한 연구를 하고 있다. 어떤 제로데이 취약점들이 있고 이것들이 현실 세계에 실제 어떤 위협을 줄 수 있는지 연구해 예방책을 마련하는 업무”라고 최근 연구 활동에 대해 설명했다.
 
특히 그는 “윈도우 보안생태계의 약한 고리가 바로 ‘플래시’다. 지난해 어도비 플래시 관련 제로데이가 20개가 넘게 발견됐다. 아마 아직 공개되지 않은 제로데이도 많을 것이다. 이 제로데이 익스플로잇들을 레벨별로 MS 여러 연구원과 함께 분석하고 어도비에게 전달해 줬다. 어도비가 아직 이런 연구에 대해 부족한 부분이 있기 때문에 MS에서 분석한 내용을 전달해 주고 패치가 나올 수 있도록 협조해 주고 있다”고 말했다. 이외에도 그는 최신 보안동향 분석과 각종 시큐리티 리서치 업무도 함께 하고 있다.
 
하지만 그도 한때 슬럼프에 빠졌다고 말한다. “보안분야에서 진정으로 어떤 기여를 하고 있는지 항상 생각하며 연구에 임한다. 한때 슬럼프에 빠진 적도 있다. 보안업무를 열심히 하고 있지만 사고가 계속 터지는 것을 보면서 내가 과연 어떤 기여를 하고 있나 회의가 들 때가 있었다”며 “하지만 취약점을 연구해 패치를 만들고 공격자들이 사용하는 패턴을 분석해 공격 과정을 막아내고 그럼 다시 공격자들은 새로운 코드와 방법을 찾아낸다. 악성 해커들에게 새로운 장벽을 계속해서 만들어 냄으로써 그들에게 지속적으로 어려움을 가하는 것이 보안연구자의 역할이라고 생각하게 됐다”고 전했다.

 

 

 

 


시큐인사이드 2016에서 발표하고 있는 오정욱 연구원
 
◇해외 글로벌 기업에 취업하려는 한국 해커들에게 전하고 싶은 말
한편 최근 국내 유명 해커가 해외 글로벌 기업에 스카우트돼 한국 생활을 접고 미국으로 건너가는 사례도 있고 앞으로 해외로 눈을 돌리는 보안전문가와 해커들이 많을 것으로 보여 그에게 해외 기업 근무에 대해 물었다. 어떤 어려움이 있었고 어떻게 극복했을까.
 
오정욱 연구원은 “미국생활은 13년이 지났지만 사실 지금도 힘겨움의 연속이다. 한국 회사 생활도 물론 어려움이 있겠지만 여기서와는 다른 차원의 전투적인 생활이 이어진다. 가장 힘든 점은 내가 하고 싶은 일을 지속적으로 할 수 없도록 기업 환경이 바뀔 때다”라며 “미국 기업은 수시로 환경이 바뀌고 기업 정책이 바뀌면서 내가 하던 업무도 바뀌고 같이 일하는 팀과 사람도 바뀐다. 그 과정에서 내가 원하던 업무가 바뀔 수도 있고 사라질 수도 있고 심지어 순식간에 해고통지를 받을 수도 있다”고 말했다. 즉 그 사람의 기술적 능력이 마음에 들어 스카우트해 왔지만 회사 정책이나 매니저가 교체되면 황당한 상황이 발생할 수도 있다는 것이다.
 
그는 이런 상황을 극복하기 위해 “인생도 그렇고 회사도 내 생각대로 돌아가지 않는다. 자신이 원하는 일을 하고 있다고 생각하지만 결국 회사가 원하는 일을 하고 있는 것이다. 여기서 중요한 점은 자신의 꿈과 능력에 맞춰 주변 환경을 변화시켜 나갈 수 있어야 한다”고 강조했다.
 
즉 “예를 들어 내가 연구하고 있는 플래시 보안문제가 얼마나 중요하고 윈도우 OS에 어떤 영향을 미치는지 같이 근무하는 동료와 팀 매니저 그리고 회사에 계속 어필해야 한다. 그래야 내가 하고 싶은 일을 계속 할 수 있고 심지어 더 많은 지원도 받을 수 있게 된다”며 “그래서 너무 기술에만 집중하다 보면 자신의 포지션을 잃어버릴 수 있다. 매니저가 시키는 일만 하면 안된다. 하고 싶은 일과 해야 되는 일에 대해 계속 회사와 커뮤니케이션 해야 한다. 하고 싶은 일이 이런 것인데 이 일이 회사에 어떤 긍정적 영향을 줄 수 있다는 것을 계속 말하고 관철시켜 나가야 한다. 말하지 않으면 절대 내가 하고 싶은 일을 계속 할 수 없다. 실제로 이런 상황을 견디지 못해 의사 상담까지 받는 직원들도 있다. 중요한 포인트다”라고 조언했다.
 
그는 특히 “하고 싶은 일을 계속하고 인정을 받기 위해서는 기술과 성실성 이외에 커뮤니케이션 능력이 절대적으로 필요하고 노력해야 한다. 미국생활 13년 정도되니 요즘은 그런 어려움을 겪고 있는 직원들을 도와주고 있다. 특히 영어가 완벽하지 못한 직원들이 힘겨워 하고 있다. 회사에서도 이런 나의 역할을 긍정적으로 생각하고 있다”며 “기술적 스킬 이외에 랭귀지 스킬, 커뮤니케이션 능력 그리고 가장 중요한 것은 자기가 환경을 바꿔나가겠다는 강한 의지를 갖고 있어야 한다. 어차피 돈 받고 일하는 것 내가 하고 싶은 일을 할 수 있도록 환경을 바꿀 수 있어야 한다”고 강조했다. 그도 처음 미국 생활 2~3년은 그런 문제로 힘겨웠던 시절이 있었다고 한다. 아무리 연봉을 많이 받아도 자존감과 심리적으로 위축되면 버티기 힘들다는 것이다.
 
◇”회사 생활에만 너무 매몰되지 말자”
한편 그럼에도 불구하고 그는 회사 생활에만 너무 매몰되지 말라고 조언한다. “나보다 실력이 부족한 사람이 인정받고 연봉도 더 받는 경우가 많다. 내가 더 잘하는데 나를 광고해 주는 사람은 아무도 없다. 내가 말하고 알려야 한다. 하지만 회사 생활이 세상의 모든 것이라고 생각하면 안된다. 너무 힘들어진다. 개인적으로 회사 업무를 하면서 김치콘도 준비하고 업무 이외 내가 하고 싶은 일에 열중하는 것도 그런 이유다”라고 말한다.  
 
◇김치콘, 적극적이고 자발적인 컨퍼런스 문화 만드는데 기여하길
대화는 김치콘으로 옮겨졌다. 그는 “몇 년 전 처음 한국 컨퍼런스에서 발표를 했는데 깜짝 놀랐다. 질문도 없고 반응도 없었다. 너무 의미가 없어 내가 왜 왔지 후회할 정도였다. 그래서 좀더 적극적이고 활발한 커뮤니케이션이 이루어지는 컨퍼런스가 한국에 있었으면 하는 바람을 가지고 김치콘을 처음 기획하게 됐다. 그런 컨퍼런스에 목말라 하는 해커들도 많아 이루어지게 됐다”며 “카이스트 학생 스탭들과 김용대 교수, 허영일 대표 이외 행사가 성공적으로 개최될 수 있도록 도와주신 모든 분들께 이 자리를 빌어 감사드린다. 김치콘은 중앙 집권적 컨퍼런스, 한 사람에 의해 주도되는 컨퍼런스가 아니라 모두가 스스로 참여하는 컨퍼런스가 되길 바란다. 그래서 이번에 나의 역할은 크게 없었다. 모두 자발적 스탭들이 만들어낸 결과물이다. 정구홍 수석도 회사 일도 바쁠텐데 개인 시간을 투자해 멋진 뱃지도 제작해 줬다. 이렇게 회사 일에만 매몰되지 말고 자신이 하고 싶어 하는 일에서 즐거움을 찾는 것이 필요하다”고 말했다.
 
그리고 그는 “한국 컨퍼런스는 너무 대중적이다. 너무 어려워서 이해할 수 없는 내용들도 발표할 수 있어야 한다. 너무 초보적이고 소프트한 내용들만 발표되는 컨퍼런스들이 많아 아쉬운 부분이 있다”며 “김치콘은 그런 어려운 발표들도 할 수 있고 또 한국에서 자력으로 만든 콘텐츠를 최대한 발표할 수 있도록 자리를 마련해 피드백도 받고 이를 토대로 해외 컨퍼런스에서도 많이 발표할 수 있는 테스트배드가 되길 바란다”고 전했다.
 
한편 오정욱 연구원은 올해 블랙햇(Blackhat) 2016에서 플래시 관련 연구 결과물을 발표한다고 한다. 아직 공개되지 않은 공격자들의 예측하기 어려운 공격시도들을 분석해 공개할 것이라고 밝혔다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com

 

 

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★