화려하다. 국내 최고 해커들이 포진해 있다. 코드게이트 국제해킹방어대회 2013 우승, 국내 최고권위의 KISA 해킹방어대회 2012-2013 연속 우승, DEFCON CTF 21 세계 해킹대회 3위(아시아 최고 성적), 기타 Ahnlab SecurityWave, 가톨릭대 해킹대회, HUST 해킹대회 등 다수 대회 우승, 금융정보보호 논문 공모전 2013 대상. 뿐만 아니라 국정원·국방부 주최 대한민국 화이트햇 경진대회 문제 출제 및 운영, 시큐인사이드 2014 CTF 문제 출제 및 운영, 이외 여러 정부기관 및 기업의 정보보안 자문위원으로 활동 등등.
 
지면에 모두 언급하기도 힘들 정도로 멤버들 개개인이 화려한 경력을 소유한 국내 최고 해킹·보안 무림지존들이 모인 곳. 바로 라온시큐어 소속 보안기술연구팀 ASRT(Advanced Security Research Team)이다. 국내에서 ASRT를 대적할 팀은 사실상 없다. 무적의 팀이다. 이들의 지난 몇 년 간 활동을 기록으로 남기는 의미있는 작업을 시작하고자 한다.
 
ASRT는 2010년 7월 1일 박찬암 팀장이 소프트포럼에 재직할 때 시작된다. 당시 소프트포럼은 회사 내에 해커팀을 만들어서 자유롭게 보안 관련 기술을 연구할 수 있는 팀을 만들고자 했다. 해커들이 매출에 구애받지 않고 순수하게 보안기술을 연구 분석하고 코어기술들을 개발해보자는 취지다. 당시 박찬암 팀장 혼자 시작한 것이다.
 
박 팀장은 “해커들이 안정적인 지원을 받으며 자유롭게 연구할 수 있는 환경을 제공받기란 쉽지 않다. 항상 꿈꿔왔던 더 없이 좋은 제안이라 멤버들을 모집하기 시작했다. 온라인에서 알고 지내던 지인들, 오프라인으로 활동하던 고수들을 찾아 나섰다. 대부분 온·오프에서 활동하며 마음이 맞는 해커들이었다. 구축하고 보니 모두 각자 분야에서 최고 고수들이 모인 팀이 됐다”며 “현재 멤버 7명이 구성될 때까지 1년이 걸렸다”고 말했다.
 
이 팀은 소프트포럼에서 1년 6개월, 다시 라온시큐어로 넘어 오면서 현재 2년 6개월간 활동하고 있다. 기업이 해커들에게 연구환경을 제공하는 것은 순수 연구에만 그치지 않았다. 자연스럽게 매출로 연결된다는 것을 보여준 첫 사례이기도 하다.
 
당시 소프트포럼에는 앱 위변조 방지 솔루션이 없었다. 금융기관에서 니즈가 커지면서 멤버들이 관련 연구에 집중해 최초로 특허도 내고 솔루션의 핵심기술을 구현해 제품화시켜 10억 정도의 매출에 기여한 사례를 보더라도 기업 입장에서는 남는 장사다.
 
라온시큐어로 넘어와서도 각종 외부 프로젝트, 대기업 및 금융기관 프로젝트 그리고 순수 연구활동 결과물로 특허와 제품개발 등을 통해 라온시큐어가 보안기술연구팀에 투자한 연구비 대비 3배 정도의 수익을 선사했다. 기업 입장에서는 해커들에게 순수 연구활동을 지원해 음지의 해커들을 양지로 끌어낸 긍정적인 효과도 크지만 실제 비즈니스 측면에서도 투자대비 몇 배의 이익을 창출할 수 있다는 것을 보여준 것이다. 투자 여력과 마인드가 있는 기업들의 적극적인 투자가 필요하다.
 
해커들은 그들만의 마인드와 언어가 존재한다. 이를 회사 경영진과 직원들이 이해하지 못하면 이런 팀을 운영하기란 불가능하다. 그 중간자적 역할을 누군가 잘 해줘야 가능한 일이다. 이를 제대로 하지 못해 팀이 와해된 경우도 있다. ASRT에서 이 일을 성공적으로 수행하고 있는 자가 바로 박찬암 팀장이다.
 
박 팀장은 “회사와 해커팀간 중간 커뮤니케이션 역할을 맡았다. 서로 언어를 소통시켜 줘야 한다. 회사는 해커들의 생각과 패턴을 이해 해 줘야 하고 조급하게 성과를 재촉해서는 안된다”며 “해커팀이 해킹 전문성을 가지고 회사 내부에 도움을 주는 것이 실제로 많다. 매출에 직접적인 영향을 주는 경우도 많다. 각 팀원들이 자신이 하고 싶은 연구를 자유롭게 하는 과정에서 나온 결과물들을 상업화시켜 수익을 내게 만드는 것도 팀장의 역할이다. 팀원들에게는 자유롭게 연구만 할 수 있는 환경을, 회사에는 수익을 내는데 도움이 될 수 있도록 하는 것이 팀장 역할”이라고 설명했다.

 
라온시큐어 보안기술연구팀(ls-al.org) ASRT 멤버 구성은 총 7명이다. 박찬암 팀장을 비롯해 신동휘, 박종섭, 김우현, 이종호, 이정훈, 고기완 연구원 등이다.
 
박찬암 팀장은 인하대학교 컴퓨터 기술 연구 클럽 NewHeart 초대 회장으로 국내 최고 해커 반열에 올라있는 유명인사다. 고교시절부터 해킹 대회를 석권하고 대학에서도 각종 국내 해킹대회 정상에 오른바 있으며 해외에서도 세계 최고 해킹대회인 데프콘 CTF 본선에 연속 3회 진출, 2013년 데프콘 CTF에서는 ASRT 멤버들과 함께 아시아팀 최고 성적인 3위에 입상, Hack In The Box CTF 세계 해킹대회 우승 및 각종 국제 대회 본선에 진출하는 등 정점에 있는 인물이다.
 
신동휘 선임은 KISA와 삼성SDS를 거쳐 보안기술연구팀에 합류했다. 현재 차세대 보안리더 양성 프로그램 BoB 멘토, 호서전문대 사이버해킹보안과 겸임교수, 강남대 컴퓨터공학과 외부강사로 활동하고 있다. 물론 각종 국내 해킹대회 우승 경험과 국제 해킹대회 참가 경력이 화려하다. 공중파를 통해서도 해킹과 보안관련 TV프로그램에 다수 출연한 바 있다.
 
박종섭 연구원도 KISA 해킹방어대회 우승, 시큐인사이드 해킹대회 2위, 데프콘 CTF 본선 3위, 러시아, 프랑스 등에서 개최된 국제 해킹대회 본선 진출과 각종 해킹대회 문제 출제 및 대회 운영을 맡은 바 있는 실력파다.
 
김우현 연구원도 2013년 데프콘 CTF에 참가해 3위를 차지했고 코드게이트 국제 해킹방어대회 1위, IBM에서 후원하고 미국 컴퓨터 학회인 ACM에서 개최하는 권위있는 대학생 프로그래밍 대회인 ACM-ICPC 월드 파이널 대회에 참가하는 등 쟁쟁한 실력을 갖추고 있다.
 
이종호 연구원도 각종 해킹대회 수상경력만 봐도 실력의 깊이를 알 수 있다. 아르고스 해킹 페스티벌 1위, KISA hdcon 해킹방어대회 1위, Ahnlab Security Wave 1위, 코드게이트 국제해킹방어대회 1위, 시큐인사이드 해킹대회 2위, 데프콘 CTF 3위 등 화려한 수상경력을 갖고 있으며 코드게이트, 화이트햇 콘테스트, 시큐인사이드 해킹대회 문제출제와 운영을 맡은 바 있다. 이외 다수 모의해킹과 자문활동도 해 오고 있다.
 
이정훈 연구원은 올해 약관 20살에 불과하지만 수려한 실력을 갖고 있다. 전국정보과학올림피아드 우승, 정보보호 페스티벌 우승, 가톨릭대 CAT HolyShield 해킹대회 우승, HUST 해킹 페스티벌 우승, ARGOS 해킹 페스티벌 우승, KISA 해킹방어대회 우승, 시큐인사이드 국제해킹대회 준우승, 데프콘 CTF 3위, 코드게이트 국제해킹대회 우승 등 실력으로는 누구에게도 뒤지지 않는 최강의 실력을 갖추고 있다.
 
고기완 연구원 또한 19살 나이에 불과하지만 해킹 실력은 누구에게도 뒤지지 않는다. KISA 해킹방어대회 우승, 시큐인사이드 2위, 코드게이크 해킹방어대회 우승, HolyShield 해킹대회 우승, 중고생 정보보호올림피아드 우승, 청소년 화이트해커 경진대회 은상 등 화려한 수상경력을 갖고 있다. 또 리버스엔지니어링 워게임 사이트 reversing.kr 운영자이기도 하다.

 
이처럼 ASRT 멤버들의 실력은 혀를 내두를 정도다. 이들의 하루 일과는 어떨까. 박찬암 팀장은 “출근은 오전에 자유롭게 한다. 점심을 같이 먹고 커피를 마신다. 두 시간 정도 자유롭게 대화를 나눈다. 2시 넘어서 자기 연구에 집중하고 야근을 하는 경우는 거의 없다”며 “회사 입장에서는 자칫 딴짓하는 것으로 비쳐질 수 있지만 해커들이 카페에서 자유롭게 떠드는 과정에서 많은 주제들이 편한 분위기에서 논의되고 정보교환도 이루어진다. 잡담을 나누다 보면 다양한 주제가 나온다. 예를 들어 스마트폰 도입 초기에 한국 앱에서 패스워드 정보를 평문으로 저장하고 있다는 주제로 대화를 나눴다. 공개는 못했지만 얼마후 미국 금융 뱅킹앱에서 유사한 문제가 있어 언론에 도보된바 있다. 우리는 팀원들간 대화를 통해 이미 그런 문제가 발생하고 있다는 것을 알고 준비했고 회사 솔루션에 반영도 시킨 바 있다. 자유롭게 커뮤니케이션 할 수 있는 팀 분위기를 만들기 위해 초기에 많이 노력했다”고 설명했다.
 
그는 해커들이 자유로운 분위기에서 연구할 수 있도록 운영되어야 한다고 강조했다. 자신의 경험을 토대로 한 것이다. 좋은 아이디어는 자연스러운 분위기에서 나온다는 것을 그는 경험을 통해 알고 있다. ASRT는 회사와 별개 조직이다. 회사 내에서도 독립된 조직으로 운영된다. 그래야 해커들의 자유로운 연구환경에 지장을 주지 않고 운영될 수 있다. 하지만 ASRT도 예전처럼 자유롭지만은 않은 분위기다.
 
박 팀장은 “초기에는 팀원들의 자유로운 연구활동과 더불어 연구조직 서포터로 연구활동을 진행했지만 최근에는 수익지향적인 팀으로 변화된 분위기라 좀 안타깝다. 회사 사정상 취해진 조치들이라 어쩔 수 없지만 안타깝다”며 “회사에서 이상적인 해커팀을 운영하기 위해서는 중장기적인 투자가 반드시 필요하다. 단기적 성과를 기대하면 해커들은 거부감을 느끼게 된다. 좋은 연구는 단기간에 이루어질 수 없다. 회사에서 중장기적으로 투자할 수 있는 여력과 인내가 필요하다. 장기적인 지원이 가능하고 해커와 경영진간 중간에서 완충할 수 있는 중간자 역할을 할 수 있는 사람이 꼭 필요하다”고 지적했다.
 
또 박 팀장은 “순수연구에 몰두해 있는 팀원에게는 회사 일을 안 시키려고 노력한다. 연구에 맥이 끊어진다는 것을 알기 때문이다. 최고 수준의 연구성과를 낼 수 있는 시기가 있다. 계속 연구의 맥이 이어질 수 있도록 최대한 배려해 줘야 한다. 그 맥이 이어지면 계속해서 다른 결과물들도 나오게 돼 있다. 회사에서도 이 부분에 대한 인내가 필요하다”고 당부했다.
 
해커팀이 제대로 운영되고 투자하기 위해서는 우선 보안시장이 성숙해야 한다. 해외 글로벌 기업들 처럼 최고의 해커팀을 운영하고 싶겠지만 열악한 보안 시장 탓에 장기적인 투자가 힘든 것이 현실이다.
 
박 팀장은 “ASRT는 최고의 멤버들이다. 국내 뿐만 아니라 글로벌에서도 경쟁력이 있는 수준이다. 최고의 멤버들을 장기적으로 서포터하고 유지시켜 줄 수 있는 국내 시장 환경이 필요할 것 같다. 최고의 인력들이 자유롭게 연구할 수 있는 환경을 만들어 줄 수 있다면 투자한 몇 배의 성과를 기업이 누릴 수 있다. 우리 멤버들이 그것을 보여주고 있다. 아직은 현실적인 장벽이 존재해 안타까운 부분이 있지만 앞으로 더 좋아 질 것이라 희망한다”고 밝혔다.
 
기업에서 해커팀을 운영하기 위해서는 중장기적으로 지원해 줄 수 있는 자본적인 역량과 해커 문화를 이해해 줄 수 있는 경영진이 있어야 한다. 이 두가지 조건이 없으면 해커팀을 운영하려고 들면 안된다. 오히려 해커들에게 더 큰 실망감을 줄 수 있다. 또 해커들의 야생성이 사라지지 않도록 자유로운 분위기를 담보해 준다면 생각지도 못한 아웃풋이 나올 수 있다. 회사 제품과 기술력에 직접적인 도움을 줄 수 있고 회사 이미지 형성에도 도움이 된다. 기업들의 적극적인 참여가 필요하다.
 
한편 ASRT 멤버들은 제로데이 연구에서도 독보적이다. IE, 자바 등 글로벌 취약점 리포트 뿐만 아니라 국내 프로그램들의 다양한 취약점을 발견하고 벤더와 기관에 제보해 오고 있다. 세계적으로 파급력이 큰 JAVA, Linux Kernel, Internet Explorer, Google Chrome 등의 보안 취약성 발견 및 패치에 관여했으며 국내 한컴오피스 hwp 취약점, 통신사 위치추적 관련 취약점, 티스토어 취약점, T-Money 무한충전 취약점, 스마트월렛 취약점, 곰플레이어 취약점 등 많은 취약점을 발견하고 패치가 이루어질 수 있도록 제보해 왔다.
 
이 부분에 대해서도 박 팀장은 “제로데이 취약점을 찾는 것은 ASRT 멤버들의 메인 잡이 아니다. 국내 취약점은 KISA에 신고하고 해외 취약점은 각 벤더나 ZDI 등에 판매도 한다”며 “글로벌 취약점은 사실 사이버 무기의 일종이다. 국내에는 판매할 곳이 없다. 우리가 판매한 제로데이 취약점들은 엄청난 무기가 될 수 있다. 선진국들은 이를 활용해 사이버 파워를 키워간다. 우리도 해외 취약점 부분을 수용할 수 있는 환경이 조성되길 바란다”고 덧붙였다.
 
이외에도 각종 보안 감사, 컨설팅, 연구 프로젝트에 참여했다. KB국민은행, 삼성전자, 한국인터넷진흥원(KISA), 한국전자통신연구원(ETRI) 등을 대상으로 각종 프로젝트를 수행했으며 대검찰청, 법무연수원, 육군사관학교, 사이버사령부, 한국은행, 한국전자통신연구원(ETRI), 국가기관, 대학교 등에서 발표와 강의를 진행하고 있다. 특히 지난해 청와대에서 대통령에게 화이트해커 관련 발표도 할 만큼 대표적인 해커팀으로 롤모델이 되고 있다.
 
박 팀장은 “4년 반 동안 ASRT 멤버들과 국내외 해킹대회에 참여하고 좋은 성적도 내고 며칠 밤 새가며 해킹대회도 운영해 온 것을 생각하면 정말 즐겁고 행복한 시간이었다. 특히 청와대에서 대통령 업무보고에 2번이나 우리 멤버가 참가해 직접 화이트 해커 대표로 발표 한 것은 말할 수 없이 뿌듯함을 느낀다. 이런 활동들이 궁극적으로는 해커들에게 투자한 기업에 직간접적으로 돌아간다고 생각한다”고 소감을 밝혔다.
 
또 “모 은행 부행장에게 다른 곳에서 찾지 못한 치명적인 취약점을 발표해 그들을 이해시키고 은행 안전성에 크게 기여해 인정을 받았던 적도 있다. 이럴 때마다 해커들이 사회에 기여할 수 있는 방법이 이런 것이구나란 것을 느끼며 존재감을 느낀다. 보안담당자나 해커들은 사이버상에서 몸을 고쳐주는 의사와 같다. 귀중한 업무를 하고 있다는 자부심을 느껴야 한다”며 “후배들도 이런 귀중한 업무를 담당하는 사람으로서 철저한 프로의식을 갖길 바란다. 해커로서 책임감 없는 행동을 하면 안된다”고 당부했다.
 
박 팀장은 ASRT 멤버들에 대한 자부심이 대단하다. 세계 어디에 내놔도 손색없는 최고 레벨의 팀과 함께 같이 일하고 있다는 것에 행복감이 충만하다.
 
그는 “후에 사업을 해서 돈을 많이 벌게 되면 정말 내가 생각하는 이상적인 해커팀을 운영하고 싶은 것이 꿈이다. 또 어떤 분야든 상위그룹들은 좋은 대우를 받는다. 하지만 중간계층도 평균 이상의 좋은 대우를 받을 수 있도록 하는데 기여하고 싶다. 해킹과 보안 분야 전문가들이 대우 받을 수 있는 사회구조를 만드는데 기여하고 싶은 것이 꿈이다”라며 “지금도 실력있는 해커들이 기업에서 문서작업이나 하고 있고 월급도 제대로 못 받고 있는 경우가 있다. 후에 기업을 한다면 실력있는 해커들이 자유롭게 연구할 수 있는 기업을 운영할 것”이라고 포부를 밝혔다.
 
마지막으로 팀원들에게 한마디 전했다. “ASRT 멤버들과 함께 했던 일들을 행복한 추억으로 간직하고 싶다. 모두들 인생의 행복했던 한 페이지로 기억되길 바란다. 어떤 형태로든 잘 돼서 지원해 줄 수 있는 사람이 되겠다”며 “올해 2014 데프콘 CTF에서도 즐겁게 대회에 참가해 보자”고 전했다. 라온시큐어 ASRT는 올해도 데프콘 본선에 참가한다. 오늘밤 9시 그들은 데프콘 2014 CTF 본선 참가를 위해 미국행 비행기에 몸을 싣는다. 건투를 빈다. 세상은 조금씩 변하고 있다. 그들에게 긍정적인 변화들일 것이다. 보안시장이 좀더 성숙해 지면 해커팀을 지원하는 기업도 더 늘어날 것이다. 국내 해커팀의 롤모델이 되고 있는 라온시큐어 보안기술연구팀과 멤버들에게 박수를 보낸다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com