2024-03-29 01:20 (금)
[PHD2014] "나는 안티바이러스를 사용하지 않는다"
상태바
[PHD2014] "나는 안티바이러스를 사용하지 않는다"
  • 길민권
  • 승인 2014.05.21 23:16
이 기사를 공유합니다

효도르 야로치킨, PHD2014에서 침입탐지 방법론에 대해 강연
러시아 최대 규모의 해킹·보안 컨퍼런스 및 CTF 해킹대회 PHD(Pasitive Hack Days)가 5월 21~22일 양일간 모스크바 강변에 위치한 Digital October business center에서 개최됐다. 이 자리에서 이번 PHD 발표자인 Fyodor Yarochkin(효도르 야로치킨. 사진)을 만나 인터뷰를 진행했다.
 
그는 현재 타이완에서 해커이자 보안전문가로 활동하고 있으며 아카데미 시니컬(www.sinica.edu.tw)이라는 연구소의 보안위협 리서치랩에서 프로젝트를 진행하고 있다. 그는 주로 침입탐지, 대응, 패킷분석 등의 연구를 진행하면서 타이완 허니팟 프로젝트를 맡고 있다.
 
키르키스탄 출신으로 방콕을 거쳐 타이완에서 보안연구가로 활동하고 있는 효도르는 예전에 싱가포르, 말레이시아, 한국 등 아시아 태평양 지역 국가들의 보안프로젝트도 맡은 바 있다.
 
당시 그는 한국 대형 통신사의 모의해킹 업무를 아웃소싱으로 맡은바 있다고 한다.
 
효도르는 “좀 오래전이라 지금은 아닐거라고 믿지만 당시 그 통신사의 보안은 심각한 수준이었다. 국내 통신사의 스위치 설정파일을 구글에서 검색해  이를 통해 공격할 수 있었고 IP스푸핑 기법을 사용해서도 공격이 가능해 대부분 시스템을 장악할 수 있는 상황이었다. 하지만 그 사실을 담당자에게 전해줘도 그는 믿으려 하지 않았다”고 회상했다.
 
올해 PHD 발표 내용에 대해 물었다. 그는 “침입탐지 방법론에 대해 발표했다. 공격자 IP주소, 도메인 네임, 악성코드 해쉬, 바이너리 실행패턴 등의 데이터를 가지고 해당 IP주소가 탐지되면 공격자로 분류해 자동탐지할 수 있는 방법에 대해 발표했다”며 “허니팟, 샌드박스 등과 멀웨어 정보 제공 업체 데이터 등을 종합해 공격자 데이터를 만들었다”고 설명했다.
 
이 데이터는 오픈소스로 제작돼 누구나 사용할 수 있다. 즉 이 데이터를 이용해 어떻게 사이버 침입을 방지할 수 있는지를 보여준 것이다. 그는 이 주제로 타이완국립대학 박사학위 논문을 준비하고 있다.
 
그가 준비한 데이터는 아래 링크를 통해 누구나 사용할 수 있다.
github.com/fygrave 접속하면 ndf, dnslyzer, hntp 등의 정보를 참고하면 된다. 또 github.com/aol/moloch 필요하다면 누구나 사용해 침입탐지 분석에 활용할 수 있는 것이다.
 
타이완 정보보호 수준은 어떨까. 그는 정부기관의 보안 수준은 낮은 편이며 통신사 등은 여전히 보안보다는 퍼포먼스를 먼저 생각한다고 한다. 보안에 아직 무관심한 편이라는 것이다.
 
타이완의 해킹 커뮤니티는 살아있을까. 그의 설명에 따르면, “타이완에는 ‘CHROOT’라는 유명한 해킹보안 커뮤니티가 활동하고 있다. 대략 3~40명 정도 주축 멤버들이며 나도 멤버중 한명이다. 회원 가입을 하려면 우선 자신이 연구한 결과물을 발표해야 한다”며 “연구를 공개하지 않으면 회원이 될 수 없다. 매월 멤버들은 자신이 연구한 결과물을 발표하며 다른 멤버들과 정보를 공유하고 있다”고 말했다.
 
멤버들은 주로 반도체, 텔레콤 등 회사에서 보안담당자들이 많고 보안기업 실무자, 부동산중개사, 학생 등 다양하다고 한다. CHROOT라는 커뮤니티가 바로 타이완에서 유명한 해킹보안 컨퍼런스인 ‘HITCON’을 주최하고 있다.
 
타이완 정부는 해킹 커뮤니티를 어떻게 보고 있을까. 부정적이지는 않다. 정부가 공격을 당하거나 중요 취약점을 멤버가 찾으면 도움도 구하고 일정 댓가도 지불하고 있다. 하지만 좋은 대우는 아니라는 것. 해커들은 가끔 정부의 요청으로 컨설팅이나 보안문제를 해결해 주고 있다고 한다.
 
또 그는 “한국처럼 대만도 보안사고들이 많이 발생한다. 해커들이 대만을 테스트베드로 생각하고 공격에 성공하면 다른 나라 주요 타깃을 공격하는 등 실험적인 공격이 잦다”며 “하지만 나쁜 것만은 아니다. 연구자 입장에서 이런 공격들을 미리 분석해 볼 수 있어 도움이 되고 있다”고 전했다.
 
타이완의 보안담당자 연봉은 어느정도일까. IT나 보안분야 전문가가 다른 분야에 비해 연봉은 높은 편이다. 대략 300만원~500만원 수준이라고 하면서 싱가포르와 한국에 비해서는 높지 않아 불만이라고도 전했다.
 
임금이 낮은 탓에 해외 기업들이 저비용으로 전문가들을 사용하기 위해 R&D 연구소를 타이완에서 운영하는 경우가 많다고 한다. 타이완 해커들에 비해 실력이 우수한 한국 해커들이 향후 해외 기업들의 스카웃 타깃이 될 수도 있겠다는 생각이 들었다.
 
해커와 경찰은 견원지간이다. 타이완도 별반 다르지 않다고 한다. 예를 들면, 백도어를 개발해 오픈한 해커는 정작 자신은 악의적으로 사용하지 않았는데도 다른 해커가 악용했다는 이유로 구속된 경우가 있다고 한다. 하지만 경찰이 해커를 검거하면 다음에 문제가 생길 때 도움을 주겠다는 약속을 하면 봐주는 분위기라고 한다.
 
또 연구활동에 있어 제약도 크다고 한다. 개인정보보호법이 강력해 침입탐지를 이용해 네트워크를 분석하려면 개인 사용자 모두에게 허락을 받아야 한다는 것.
 
그리고 타이완에서도 실력있는 보안전문가 구하기가 어렵다고 한다. 실력 좋은 해커들은 대부분 회사에 소속된 정규직 보다는 프리랜서를 선호한다는 것이다.
 
마지막으로 그가 어떤 안티바이러스를 사용하는지 궁금했다. 그는 “안티바이러스를 사용하지 않는다. 내 PC는 일반인들이 사용하는 OS환경이나 상용오피스 프로그램이 설치돼 있지 않다. 오픈소스를 재컴파일해 사용하고 있다. 또 기능을 최소화하고 컴파일해서 사용하고 있기 때문에 굳이 백신이 필요없다. 백신을 설치하면 특정 부분만 보호할 뿐 전체를 보호할 수 없기 때문이다. 또 안티바이러스를 통해 악성파일이 유입될 수도 있어 사용하지 않는다. 웹서핑은 가상화 시스템만 사용하고 메인 시스템에서는 웹서핑을 하지 않고 있다”고 말했다. 한편 그는 "이런 환경 설정을 하지 못하는 일반인이라면 안티바이러스 사용은 필수적이다"라고 덧붙였다.
 
그는 박사학위를 받은 후 기업에 소속된 정규직원보다는 해킹보안 전문가로 프리랜서 일을 하고 싶다고 전했다.
 
[러시아=모스크바] 데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★