싱가포르에서 4월 24일부터 27일까지 SyScan 2012가 개최됐다. 24일~25일은 트레이닝 클래스가 열렸고 실제 테크니컬 해커 컨퍼런스는 26~27일 양일간 싱가포르 Swissotel Merchant Court에서 개최됐다. 26일 발표에서 가장 관심을 끈 발표는 바로 한국의 해커 BEISTLAB의 이승진(Beist)씨와 라이언(Ryan MacArthur)이 공동연구해 발표한 내용이었다. 이 자리에 참가한 해외 해커 150여 명은 유심히 한국의 상황을 알기 위해 집중하는 모습을 보였다.
 
이번에 처음 해외에서 영어로 연구발표를 진행한 이승진씨와 현장 인터뷰를 진행했다. 해외 컨퍼런스에서 영어로 연구발표를 하고 질문을 받고 자신의 생각을 이야기하는 모습을 보며 국내 해커들도 하루빨리 영어의 장벽을 깨고 세계로 진출하길 희망해 본다. 다음은 Beist 이승진씨와 발표직후 진행한 간략한 인터뷰 내용이다.
 
우선 발표 내용에 대한 간략한 내용을 물어봤다. 그는 “한국의 정부나 기업에서 매우 비싼 돈을 들여 외산 제품을 많이 사용하고 있다. 하지만 그런 제품들은 한국 상황에서는 잘 작동하지 않는다. 예를 들어 한국에 진출한 외산 제품들의 경우 PDF는 파싱해서 악성코드를 검사하지만 한국 정부와 기업에서 가장 널리 사용하고 있는 HWP(한글워드프로세스)에 대해서는 검사하지 않고 있다”며 “한국 상황에서 HWP 등이 많이 사용되는데도 외산 제품들은 제대로 점검을 못하고 있다. 이에 대한 경각심을 주기 위해 발표를 하게 됐다”고 밝혔다.
 
특히 Beist와 라이언은 “한글이 APT 공격에 사용될 수 있다. 한글 소프트웨어는 모든 한국 공공기관에서 사용중인 문서작성 프로그램”이라며 “공격자가 이 취약점을 악용하면 해당 문서를 전달받은 사람이 문서를 열어보는 순간 PC가 장악당할 수 있는 취약점이다. 한 대의 PC를 장악한 이후 공격자는 해당 정부기관이나 기업의 모든 시스템을 장악할 수 있는 상황”이라고 경고했다.
 
그는 또 “한글은 한국 공공기관에서 무조건 사용하는 프로그램이다. 한국의 공공기관을 공격하기 위한 최적의 조건을 갖춘 프로그램이라고 할 수 있다. 이번에 한글과 관련 5개 이상의 많은 취약점을 발견했다”며 “이러한 취약점을 악용하면 한국의 공공기관 내부 시스템은 공격자에 의해 장악당할 수 있다. 한글의 취약점을 국내 해커만 연구한다고 생각하면 안된다. 한국 국가 기관의 시스템을 공격하기 위해 해외 다른 해커들도 한글의 취약점을 연구하고 있다는 것을 알아야 한다”고 강조했다.
 
하지만 BEIST와 라이언은 이번에 발견한 한글 0DAY(제로데이)의 구체적인 내용을 시스캔에서 공개하지는 않았다. 다만 이 취약점을 이용해 특정 소프트웨어를 사용하는 기관이 어떻게 APT 공격에 장악당할 수 있는지를 발견한 0DAY 취약점을 이용해 데모를 진행했다.  
 
또 한글 이외에도 한국에서만 고유하게 사용되는 곰플레이어, 알집 등과 같은 프로그램에 대해 외산 보안제품들이 제대로 검사를 못하고 있다는 것이다. 이에 대한 보안대책마련이 중요하다는 것을 강조했다.  
 
SyScan에서 발표하게 된 이유는 무엇일까. 그는 “시스캔은 기술적으로 수준 높은 해커 컨퍼런스다. 데이브 아이텔, 찰리밀러 등 세계적으로 유명한 스피커들이 시스캔에서 발표를 했고 많은 해커들이 시스캔을 좋은 컨퍼런스로 인식하고 있다”며 “그래서 시스캔 발표를 목표로 라이언과 함께 지난해 12월부터 연구를 시작했다”고 밝혔다.
 
SyScan은 발표자뿐만 아니라 참관객들도 150여 명에 불과하지만 대부분 해외 보안담당자나 해커들이 참관한다. 국내와는 다른 모습이다. 국내는 대부분 국내 보안담당자나 해커들이 참관하고 있다. 즉 글로벌적으로 관심을 끌만한 발표들이 이루어지지 않고 있다는 점이 시스캔과 큰 차이점이다. 또 등록비가 우리 돈으로 100만원 정도다. 거기에 항공료와 호텔숙박비 등 만만치 않은 비용을 지불하면서 해외 해커들이 시스캔에 참여하고 있다. 그만큼 참가할 만한 가치가 있기 때문이다.  
 
Beist는 이번 발표를 위해 크게 두 가지를 연구했다. 하나는 실제로 한글에서 버그를 찾는 작업이었다. 또 하나는 한글에서 찾아낸 여러 개의 버그를 통해 이를 사용하고 있는 회사나 기관에 어떻게 악용될 수 있는지 발견했다. 이를 위해 6개월 정도 소요됐다고 한다.
 
연구과정에서 가장 힘들었던 점에 대해 그는 “정확한 내용을 발표하기 위해서는 실제 악성코드를 확보해서 분석해야 했다. 하지만 악성코드를 기관이나 보안업체에서 공개하지 않기 때문에 확보하는데 어려웠다. 하지만 확보 이후 실제로 연구를 하게 돼 이번 발표를 잘 진행한 것 같다”고 밝혔다.
 
그에게 한국의 해킹-보안 컨퍼런스들이 발전하기 위해서는 어떤 점들이 개선돼야 할지 물었다. 그는 “얼마전 한국에서 열린 넷섹에서도 언급했지만 국내 해커들이 인터내셔널하게 활동해야 한다. 그러기 위해서는 해외 해커들과 커뮤니케이션 해야 한다. 그러려면 언어의 장벽을 무너뜨려야 한다”며 “한국이나 일본 등 아시아 국가들이 국제 무대에서 커뮤니케이션이 부족한 것 같다. 해외 해커들과 자유롭게 커뮤니케이션을 해야 한다. 특히 보안을 연구하는 사람들은 서로 커뮤니케이션이 중요하다. 국내 컨퍼런스가 우물 안 개구리식에 그치는 것이 바로 해외 해커들과 커뮤니케이션을 두려워하기 때문이다. 우리나라 해커들도 충분히 능력이 있기 때문에 여러 나라 해커들과 커뮤니케이션하고 공동연구도 진행한다면 한국의 컨퍼런스도 해외 해커들이 찾는 컨퍼런스로 성장할 수 있을 것”이라고 말했다.
 
마지막으로 시스캔에서 발표한 소감을 물었다. 그는 “해외에서 영어로 발표하기는 이번이 처음이다. 굉장히 감회가 새롭다”며 “라이언이 먼저 제안해서 해외 발표를 해보자고 말했고 좋은 기회가 될 것 같아 준비했다. 좋은 경험이었고 나 자신이 커리어에도 도움이 된 것 같아 기쁘다”고 소감을 밝혔다.
 
Beist가 라이언과 함께 많은 글로벌 해커들 앞에서 영어로 발표하는 모습을 보면서 쉽지 않은 도전이었음에도 발표내용을 여유롭게 전달하는 모습을 보며 국내 다른 해커들도 해외 컨퍼런스 발표에 도전하고 그들과 교류한다면 지금보다 더욱 발전할 수 있을 것이란 생각이 든다.  
[싱가포르 SyScan 2012  / 데일리시큐=길민권 기자]