“공격이 최선의 방어다.” 사이버 보안에서는 모의 공격을 통해 취약점을 찾아내고, 신속히 보완책을 마련하는 것이 가장 훌륭한 방어일 수 있습니다. 19명의 최정예 화이트 해커로 구성된 LG CNS RED팀은 금융·유통·제조·공공 등 다양한 고객사의 시스템에서 640건 이상의 취약점을 점검하며 레퍼런스를 축적해 나가고 있는데요.
DX 전문가를 만나보는 IT생네컷 여섯 번째 주인공은 절대 뚫리지 않는 방패를 만드는 RED팀의 이진욱 총괄, 김종훈 선임, 정효찬 사원입니다. LG CNS의 화이트 해커들이 들려주는 보안 이야기, 함께 들어볼까요?
#1. 첫 번째 컷: RED팀
Q. RED팀이란?
🟡 김종훈 선임: RED팀은 모의 군사 훈련 시 ‘적군’을 뜻합니다. 개발자분들이 만든 서비스가 정말 안전한지, 적군의 마음으로 공격해서 취약점을 찾아야 하기 때문에 붙여진 이름인데요.
🔴 이진욱 총괄: LG CNS RED팀은 고객사의 시스템에 취약점이 없는지 공격자 관점에서 직접 해킹을 해보고, 취약점에 대한 개선 방안을 제공합니다. 또한 웹/모바일/클라우드/loT 등 다양한 환경에 대한 보안 점검을 진행하고 있으며, 최근에는 사전에 보안 취약점을 발견해 선제적으로 대응할 수 있는 Threat Hunting(선제적 위협 식별 시스템) 서비스도 준비하고 있습니다.
Q. RED팀만의 업무 특징이 있다면?
🔴 이진욱 총괄: 외부의 해킹, 침입, 도난으로부터 회사의 자산을 보호하는 것이 모든 보안 조직의 목적인데요.
🟡 김종훈 선임: 보안 관제팀은 들어오는 공격을 탐지/예방하고, 클라우드 보안팀은 클라우드 위주로 인프라/정책/보안 관련 업무를 진행합니다. RED팀은 화이트 해커로서 만들어진 서비스가 얼마나 안전할지 역으로 공격자의 입장에서 점검하는 업무를 수행합니다.
🟢 정효찬 사원: 작은 틈이라도 비집고 들어올 여지를 남기지 않도록 업무에 있어서는 더 집요하게 임하고자 합니다. 기술적인 방법은 악의적인 목적의 블랙 해커와 비슷하나, 공격 목적은 정반대라고 보시면 될 것 같습니다.
Q. RED팀의 역량을 압축해 설명한다면?
🔴 이진욱 총괄: RED팀에는 차세대 사이버 보안 리더 양성을 위한 ‘BOB(Best of Best, 프로젝트, 보안 윤리 교육 및 사이버 보안을 교육하는 차세대 보안 리더 양성) 프로그램’, ‘K쉴드(K-Shield, 한국인터넷진흥원에서 진행하는 사이버 보안 전문가 양성 목적의 침해 사고 예방·대응기술 전문 교육과정)’ 등을 통해 체계적으로 보안 전문 역량을 확보하신 분들이 있습니다. 또한 해외 버그 바운티(Bug Bounty, 기업의 서비스, 소프트웨어, IT 인프라를 해킹해 보안 취약점을 발견해 ‘최초’ 신고한 연구원에게 포상금 및 기타 보상을 지급하는 크라우드소싱 기반 침투 테스트) 프로그램에 지속적으로 참여해 취약점을 찾아낸 분들도 계시고요. 보안 전문가로서 KISA(한국인터넷진흥원)나 고객사 대상으로 교육을 하거나, 보안 자문 활동을 하는 보안 정예 요원들이 모여 있는 팀입니다.
#2. 두 번째 컷: WHITE HACKER
Q. 보안 전문가의 길을 택한 이유는?
🔴 이진욱 총괄: 처음에는 LG CNS에 개발자로 입사했습니다. 당시 제가 개발한 서비스들 또한 보안 점검을 받았었는데요. 그때 제가 만든 서비스가 이렇게 취약한지 몰랐고, 보안이 정말 중요하다는 생각이 들었습니다. 보안에 대한 관심이 커지다 보니 자연스레 보안 전문가라는 직업에 흥미가 생겼습니다. 그리고 다른 사람이 개발한 프로그램을 직접 해킹 보는 것, 짜릿하고 재밌어 보이잖아요 (웃음) 그래서 보안 쪽으로 길을 바꾸게 됐습니다.
🟡 김종훈 선임: 2012년에 <유령>이라는 드라마를 접하게 됐는데요. 그때 (드라마에서) 컴퓨터에 무언가를 ‘따닥’ 입력하면, 보안이 뚫리는 장면이 멋있어 보였습니다. 그래서 보안 동아리에 들어가게 됐고, 지금까지 화이트 해커로 일을 하고 있습니다.
🟢 정효찬 사원: 저도 동아리 활동을 하면서 보안에 관심을 갖게 됐는데요. LG CNS는 클라우드, AI, 스마트팩토리, 스마트시티 등 다양한 분야의 사업을 하고 있잖아요. 그만큼 다채로운 점검 경험을 할 수 있을 것 같아 지원했습니다.
Q. RED팀이 되기 위해 필요한 역량은?
🔴 이진욱 총괄: 애플리케이션, 인프라 환경 등 보호 대상을 깊이 이해하려는 노력이 중요합니다. 또한 개발 언어, 클라우드와 같은 새로운 인프라 환경이나 해킹 기술에 즉각적으로 반응하고, 공격 기법에 대해 연구하는 것 또한 중요한 역량이라고 생각합니다.
🟡 김종훈 선임: 새로운 서비스가 늘어나면서, 제로데이(Zero Day, 취약점에 대한 패치가 나오지 않은 시점에서 이뤄지는 공격) 공격 시도 또한 증가하고 있습니다. 저희가 잘 모르면, 점검 시 공격 시도를 놓칠 수 있기 때문에 신기술에 대한 두려움 없는 호기심과 집요한 탐구심이 필요하다고 생각합니다.
🟢 정효찬 사원: RED팀이 되기 위해서는 기술도 중요하지만, 동시에 윤리 의식도 있어야 합니다. 업무상 외부에 유출되면 안 되는 비밀 정보들을 접하는 경우가 많기 때문인데요. ‘나는 화이트 해커다’라는 사명감을 가지고 업무에 임하는 것이 중요하다고 생각합니다.
Q. LG CNS가 RED팀을 적극 육성하는 이유는?
🔴 이진욱 총괄: LG CNS에서 진행하고 있는 수많은 프로젝트는 모두 해킹과 같은 나쁜 의도의 공격으로부터 지켜져야 합니다. RED팀은 실제 해커와 유사한 방법으로 직접 시스템 공격을 해보면서, 실제로 발생 가능한 문제점을 사전에 찾아내는 데 특화된 기술을 가지고 있습니다. LG CNS가 구축한 서비스를 고객에게 더 안전하게 제공하기 위해서는 저희와 같은 화이트 해커가 꼭 필요합니다.
🟡 김종훈 선임: 저는 입사하고 얼마 지나지 않아 미국의 ‘블랙햇(BlackHat, 정보 보안 분야 리서치, 개발 및 트렌드에 대한 최신 정보를 제공하는 행사) 컨퍼런스’에 다녀왔습니다. 이때 회사에서 RED팀 육성에 지원을 아끼지 않는다고 느꼈던 것 같아요. 국제적인 동향 파악은 물론, 각 분야의 전문가들과 지식을 공유하며 시야를 넓힐 수 있었습니다.
🟢 정효찬 사원: 신입으로서 RED팀의 점검 히스토리를 열람할 수 있어 정말 좋습니다. 수많은 선배님들이 지금까지 다양한 분야에서 쌓아온 정수와 노하우를 배울 수 있기 때문인데요. 그 외에도 ‘인프런(Inflearn, 프로그래밍/인공지능/개발 등 관련 전문 지식 분야에 대한 교육을 제공하는 웹사이트)’이나 ‘유데미(Udemy, AWS/부트 캠프/Figma/자기 계발 등 전 세계 수강생들을 대상으로 하는 온라인 교육 사이트)’ 같은 유료 강의들을 무료로 들을 수 있도록 지원해 주기 때문에 업무에 필요한 정보를 배워 적극 활용하고 있습니다.
#3. 세 번째 컷: 해킹에 대처하는 법
Q. 기억에 남는 실제 해킹 사례가 있다면?
🔴 이진욱 총괄: 작년 블랙햇 컨퍼런스에서도 소개가 됐던 사례인데요. 미국 최대 송유관 관리 기업이 랜섬웨어 공격을 받아 5일 동안 시스템이 마비되는 초유의 사태가 벌어진 적이 있습니다. 이로 인해 수많은 가정과 자동차에 연료가 공급되지 않아 국가 전체가 큰 혼란에 빠졌었는데요. 국가 핵심 기반 시설이 사이버 공격에 당했을 때, 얼마나 큰 피해가 발생할 수 있는지 잘 보여주는 사례라고 생각합니다.
🟢 정효찬 사원: 약 40만 세대의 아파트 월패드가 해킹된 사건이 있었습니다. 해커는 공유기를 통해 아파트 거실에 설치된 월패드의 내부망을 해킹했는데요. 이로 인해 여러 사람의 사생활이 유출될 뻔했습니다. 해킹의 위협이 비단 기업 시스템에 국한된 이야기가 아니라, 우리 일상에서도 일어날 수 있다는 경각심을 일깨워 준 사례라고 생각합니다.
Q. 보안 전문가로서 습관, 일상생활에서 해킹을 예방하는 팁이 있다면?
🔴 이진욱 총괄: 워낙 다양한 해킹 사례들을 접하다 보니 의심이 많아지는 것 같아요. 메일에 첨부된 링크나 첨부파일은 바로 열지 않고, 미리 검사를 진행합니다. 검사를 위한 팁을 드리자면 ‘Virus total’이라는 사이트에 URL 또는 실행 파일을 올려보면 악성 사이트, 악성코드 여부를 검사할 수 있는데요. 안전한 사이트인지 확인할 수 있고, 첨부 문서의 악성코드 여부도 확인해 볼 수도 있습니다.
🟡 김종훈 선임: 저는 서비스 이용 전 회원가입을 할 때, 모바일 접근 권한이나 수집 동의를 꼼꼼히 읽어봅니다. 보안 솔루션이나 백신을 설치한다고 해서 다 능사가 아니기 때문인데요. 모바일 수집 권한이나 목적이 모호하면 보안 취약점이 있을 것 같다는 생각이 들어 웬만하면 사용하지 않으려 합니다.
🟢 정효찬 사원: 가장 확실한 보안은 ‘물리 보안’이라고 생각합니다. 그러다 보니 비밀번호도 노트북에 저장하지 않고, 노트에 작성해 놓습니다. 물론 저희 집에 도둑이 와서 그 비밀번호를 훔쳐 간다면 모르겠지만, 적어도 그게 아니라면 가장 안전한 방법이라고 생각합니다.
Q. 가장 기억에 남는 프로젝트는?
🔴 이진욱 총괄: 사물 인터넷이 한참 활성화되던 시기, 홈 CCTV 같은 IoT 기기가 해킹을 당해 사생활이 노출되는 사례가 많았습니다. 당시, 홈 IoT 20여 종의 제품을 모의 해킹하는 프로젝트를 수행했는데요. RED팀은 IoT 보안 기술에 대한 꾸준한 연구와 축적된 기술을 가지고 있었기 때문에 프로젝트를 잘 마무리할 수 있었습니다. 일상생활에서 많이 접하는 제품과 관련된 프로젝트다 보니 가장 기억에 남는 것 같습니다.
🟡 김종훈 선임: 다양한 서비스가 탑재된 솔루션 서비스를 대상으로 점검을 진행한 적이 있습니다. 당시 원격 코드 실행이라는 RCE(Remote Code Execution, 응용 프로그램이 적절한 입력 이스케이프 유효성 검사 없이 쉘 명령을 실행할 때 발생) 공격을 시도했는데요. 이때 제가 날린 공격 구문이 서버에서 올바른 명령어로 인식되더라고요. 만약 외부 공격자가 같은 내용의 공격을 한다면, 서버 접근 권한을 획득할 수 있는 건데요. 그럴 경우, 공격자가 서버 내의 데이터를 전부 가져갈 수 있습니다. 발견하지 못했다면 큰 피해로 이어질 수도 있었던 건이라 가장 기억에 남네요.
#4. 네 번째 컷: Visions
Q. 앞으로 이루고 싶은 목표 또는 활동 계획은?
🟡 김종훈 선임: 블랙햇 컨퍼런스에 저와 비슷한 나이임에도 불구하고 자신의 연구 분야에 대해 자신 있게 발표하시는 분이 있었습니다. 그 모습이 너무 존경스럽고 부럽더라고요. 저도 그분처럼 해외 컨퍼런스에서 제 연구 자료를 발표해 보는 게 꿈입니다.
🟢 정효찬 사원: 저는 당당하게 “이 분야는 내가 전문가다”라고 할 수 있는 사람이 되고 싶습니다. 어디 앞에 서있더라도, 누구를 상대하더라도 이 분야는 나보다 잘하는 사람이 없다고 당당히 말할 수 있는 사람이 되고 싶습니다.
Q. 화이트 해커의 꿈을 가진 후배들에게 한마디 한다면?
🟢 정효찬 사원: 의견 공유가 제일 중요하다고 생각합니다. 본인이 봤을 때 취약점이 없어 보여도, 다른 각도에서 보면 틈이 있을 수 있거든요. 저 또한 의견을 공유하면서 자극도 받고, 다른 시야를 받아들이면서 성장할 수 있었습니다. 혼자서 공부하는 것도 좋지만 BOB나 동아리와 같은 활동을 하며 다양한 의견을 공유한다면, 성장에 큰 도움이 될 것이라 생각합니다.
🟡 김종훈 선임: 챗GPT를 활용해 보세요! 단, 해킹이나 공격을 해달라는 게 아닌, 보안 공부를 할 때 챗GPT를 활용해 ‘검색하는 시간을 좀 더 효율적으로 관리하라’는 의미입니다. 예를 들어 “모의 해킹에 필요한 코드가 있는데 200, 404가 아닌 코드만 반환하는 Python 코드(애플리케이션, 소프트웨어 등 모든 유형의 시스템과 원활한 통합이 가능한 플랫폼에 독립적인 대화형 고급 프로그래밍 언어)를 작성해 줘”라는 식으로 말이죠. 추가로 챗GPT가 만든 코드들을 보면서, ‘아, 이런 방식으로도 접근할 수 있구나’ 하며 접근 방식에 대해 스스로 고민해 본다면, 더욱 성장할 수 있을 거라고 생각합니다.
🔴 이진욱 총괄: 요즘에는 블로그나 유튜브에 양질의 학습자료가 굉장히 많잖아요. 나에게 무엇이 필요한지 스스로 찾아보고 꾸준히 배우려는 자세가 가장 중요하다고 생각합니다. 이게 쉬워 보여도, 열정이 있어야 가능한 일들이거든요. RED팀은 스스로 학습하는 열정을 가진 인재들을 기다리고 있습니다. 많이 지원해 주세요 (웃음)
● <IT생네컷: RED편> 영상으로 확인하고 싶다면?
