RSA 컨퍼런스가 보안 산업 트랜드 위주라면 블랙햇은 최신 해킹 보안 기술을 선보이는 자리라고 할 수 있다. 해킹 보안의 최신 기술 트랜드를 한 눈에 볼 수 있는 컨퍼런스이기 때문에 비즈니스맨 뿐만 아니라 전세계 시큐리티 리서처, 해커, 정보보안 전문가들이 대거 참석하고 있다.
또한 앱보안, 암호, 디펜스, 포렌식, 하드웨어, ICS, IoT, 멀웨어, 모바일, 네트워크, 펜테스팅, 리스크, 무선 보안과 해킹 등 100개가 넘는 트레이닝 코스가 열렸다.
그는 보안문제가 발생하면 근본원인이 무엇인지 제대로 파악하기 위해 노력하라. 그리고 그 원인에 맞는 본질적 해결책을 제시해야 하고 문제 해결을 위해 혼자가 아닌 연대(연합)해서 대응해야 한다고 강조했다. 그런 가운데 구글 프로젝트 제로팀의 역할과 구글의 'https' 정책 그리고 해커와 연대해 취약점을 개선해 나가는 자신들의 버그바운티의 중요성에 대해 상세히 설명했다.
그의 이번 키노트 주요 내용은 △Tackle the root cause △Pick Milestones& Celebrate △Bild out your coalition으로 요약된다.
◇김승주 교수 "여성 보안임원 늘길...블록체인, 암호화폐에 대한 해커들의 보안검증 시작돼"
그는 "키노트 내용은 문제의 근본 원인을 파악하는데 집중하고 연합해서 대응하라는 메시지였다"며 "그의 메시지는 크게 주목할만한 내용은 아니었다. 그 보다도 전세계에서 가장 큰 보안 컨퍼런스에서 1만명 이상이 운집한 키노트 발표 시간에 여성 발표자가 강연대에 섰다는 점이 인상적이었다. 반면 우리나라를 비춰보면 보안분야에서도 '유리천장'이 존재하지 않나 생각해 본다. 한국에서도 차별없이 보안분야에 두각을 나타내는 여성 임원들이 많아지길 바란다"고 전했다.
그는 또 이번 블랙햇에서 SDL(Security Development Lifecycle) 분야에 관심을 가지고 발표를 듣고 있다.
"위협모델링, 선진국은 상당히 발전...한국도 중요성 인식하고 연구해야"
김 교수는 "미 국방부와 마이크로소프트 등 대기업 들은 2000년대 초반에 이미 모의해킹만으로는 안전한 제품을 만들수 없다고 인식하기 시작했다. 모의해킹은 해커의 개인 역량에 전적으로 의존하고 있기 때문에 해커가 어떤 제품에서 취약점을 찾지 못했다는 것이 그 제품이 안전하다는 것을 의미할 수는 없기 때문이다. 그러므로 개발하려는 제품에 어떤 공격 백터들이 존재하는지 뽑아낼 수 있는 위협모델링 기법부터 설계 및 구현 무결성 검증 방법론, 유지보수 체계들이 종합적으로 갖추어지고 운영돼야 안전한 제품을 개발할 수 있다. 이를 SDL이라고 하며 최근 블랙햇에서는 이와 관련한 발표와 트레이닝이 꽤 늘고있다. 그러나 한국 기업들은 아직 부족하다. 이 분야에 대한 보안기업들의 연구와 기업들의 SDL 도입이 필요하다"고 말했다.
"데프콘, CTF 해킹대회는 많은 대회 중 하나에 불과해...순위보다는 즐겨야"
한편 블랙햇에 이어 개최되는 데프콘과 관련해 이야기가 이어졌다. 김 교수는 "한국은 데프콘에서 CTF 해킹대회만 관심을 가진다. 데프콘은 해킹 대회 이외에도 다양한 대회들이 열린다. 이번에 NSHC(허영일 대표)에서 데프콘 기간에 개최하는 산업제어시스템 해킹 대회 등 국내 해커들이 좀 다양한 분야에 관심을 가지고 참여하길 바란다"며 "그리고 데프콘 CTF는 본선 참가 자체만으로도 대단한 것이다. 그런데 우리는 어느때부턴가 상위권에 들지않으면 문제점을 찾는 등 너무 순위에 신경을 쓰고 있다. 그래서 대회 참가하는 해커들이 부담감을 갖게됐다. 본선에 나가서 즐길 수 있는 분위기를 만들어 주는 것이 필요하다"고 덧붙였다.
★정보보안 대표 미디어 데일리시큐!★