“공격이 최선의 방어다.” 사이버 보안에서는 모의 공격을 통해 취약점을 찾아내고, 신속히 보완책을 마련하는 것이 가장 훌륭한 방어일 수 있습니다. 19명의 최정예 화이트 해커로 구성된 LG CNS RED팀은 금융·유통·제조·공공 등 다양한 고객사의 시스템에서 640건 이상의 취약점을 점검하며 레퍼런스를 축적해 나가고 있는데요.

DX 전문가를 만나보는 IT생네컷 여섯 번째 주인공은 절대 뚫리지 않는 방패를 만드는 RED팀의 이진욱 총괄, 김종훈 선임, 정효찬 사원입니다. LG CNS의 화이트 해커들이 들려주는 보안 이야기, 함께 들어볼까요?
 

• Q.RED팀이란?

• 🟡 김종훈 선임: RED팀은 모의 군사 훈련 시 ‘적군’을 뜻합니다. 개발자분들이 만든 서비스가 정말 안전한지, 적군의 마음으로 공격해서 취약점을 찾아야 하기 때문에 붙여진 이름인데요.

  🔴 이진욱 총괄: LG CNS RED팀은 고객사의 시스템에 취약점이 없는지 공격자 관점에서 직접 해킹을 해보고, 취약점에 대한 개선 방안을 제공합니다. 또한 웹/모바일/클라우드/loT 등 다양한 환경에 대한 보안 점검을 진행하고 있으며, 최근에는 사전에 보안 취약점을 발견해 선제적으로 대응할 수 있는 Threat Hunting(선제적 위협 식별 시스템) 서비스도 준비하고 있습니다.
   

• Q. RED팀만의 업무 특징이 있다면?

• 🔴 이진욱 총괄: 외부의 해킹, 침입, 도난으로부터 회사의 자산을 보호하는 것이 모든 보안 조직의 목적인데요.

  🟡 김종훈 선임: 보안 관제팀은 들어오는 공격을 탐지/예방하고, 클라우드 보안팀은 클라우드 위주로 인프라/정책/보안 관련 업무를 진행합니다. RED팀은 화이트 해커로서 만들어진 서비스가 얼마나 안전할지 역으로 공격자의 입장에서 점검하는 업무를 수행합니다.

  🟢 정효찬 사원: 작은 틈이라도 비집고 들어올 여지를 남기지 않도록 업무에 있어서는 더 집요하게 임하고자 합니다. 기술적인 방법은 악의적인 목적의 블랙 해커와 비슷하나, 공격 목적은 정반대라고 보시면 될 것 같습니다.
   

• Q. RED팀의 역량을 압축해 설명한다면?

• 🔴 이진욱 총괄: RED팀에는 차세대 사이버 보안 리더 양성을 위한 ‘BOB(Best of Best, 프로젝트, 보안 윤리 교육 및 사이버 보안을 교육하는 차세대 보안 리더 양성) 프로그램’, ‘K쉴드(K-Shield, 한국인터넷진흥원에서 진행하는 사이버 보안 전문가 양성 목적의 침해 사고 예방·대응기술 전문 교육과정)’ 등을 통해 체계적으로 보안 전문 역량을 확보하신 분들이 있습니다. 또한 해외 버그 바운티(Bug Bounty, 기업의 서비스, 소프트웨어, IT 인프라를 해킹해 보안 취약점을 발견해 ‘최초’ 신고한 연구원에게 포상금 및 기타 보상을 지급하는 크라우드소싱 기반 침투 테스트) 프로그램에 지속적으로 참여해 취약점을 찾아낸 분들도 계시고요. 보안 전문가로서 KISA(한국인터넷진흥원)나 고객사 대상으로 교육을 하거나, 보안 자문 활동을 하는 보안 정예 요원들이 모여 있는 팀입니다.
   

• Q. RED팀이 되기 위해 필요한 역량은?

• 🔴 이진욱 총괄: 애플리케이션, 인프라 환경 등 보호 대상을 깊이 이해하려는 노력이 중요합니다. 또한 개발 언어, 클라우드와 같은 새로운 인프라 환경이나 해킹 기술에 즉각적으로 반응하고, 공격 기법에 대해 연구하는 것 또한 중요한 역량이라고 생각합니다.

  🟡 김종훈 선임: 새로운 서비스가 늘어나면서, 제로데이(Zero Day, 취약점에 대한 패치가 나오지 않은 시점에서 이뤄지는 공격) 공격 시도 또한 증가하고 있습니다. 저희가 잘 모르면, 점검 시 공격 시도를 놓칠 수 있기 때문에 신기술에 대한 두려움 없는 호기심과 집요한 탐구심이 필요하다고 생각합니다.

  🟢 정효찬 사원: RED팀이 되기 위해서는 기술도 중요하지만, 동시에 윤리 의식도 있어야 합니다. 업무상 외부에 유출되면 안 되는 비밀 정보들을 접하는 경우가 많기 때문인데요. ‘나는 화이트 해커다’라는 사명감을 가지고 업무에 임하는 것이 중요하다고 생각합니다.
   

• Q. 가장 기억에 남는 프로젝트는?

• 🔴 이진욱 총괄: 사물 인터넷이 한참 활성화되던 시기, 홈 CCTV 같은 IoT 기기가 해킹을 당해 사생활이 노출되는 사례가 많았습니다. 당시, 홈 IoT 20여 종의 제품을 모의 해킹하는 프로젝트를 수행했는데요. RED팀은 IoT 보안 기술에 대한 꾸준한 연구와 축적된 기술을 가지고 있었기 때문에 프로젝트를 잘 마무리할 수 있었습니다. 일상생활에서 많이 접하는 제품과 관련된 프로젝트다 보니 가장 기억에 남는 것 같습니다.

  🟡 김종훈 선임: 다양한 서비스가 탑재된 솔루션 서비스를 대상으로 점검을 진행한 적이 있습니다. 당시 원격 코드 실행이라는 RCE(Remote Code Execution, 응용 프로그램이 적절한 입력 이스케이프 유효성 검사 없이 쉘 명령을 실행할 때 발생) 공격을 시도했는데요. 이때 제가 날린 공격 구문이 서버에서 올바른 명령어로 인식되더라고요. 만약 외부 공격자가 같은 내용의 공격을 한다면, 서버 접근 권한을 획득할 수 있는 건데요. 그럴 경우, 공격자가 서버 내의 데이터를 전부 가져갈 수 있습니다. 발견하지 못했다면 큰 피해로 이어질 수도 있었던 건이라 가장 기억에 남네요.
   

• Q. 화이트 해커의 꿈을 가진 후배들에게 한마디 한다면?

• 🟢 정효찬 사원: 의견 공유가 제일 중요하다고 생각합니다. 본인이 봤을 때 취약점이 없어 보여도, 다른 각도에서 보면 틈이 있을 수 있거든요. 저 또한 의견을 공유하면서 자극도 받고, 다른 시야를 받아들이면서 성장할 수 있었습니다. 혼자서 공부하는 것도 좋지만 BOB나 동아리와 같은 활동을 하며 다양한 의견을 공유한다면, 성장에 큰 도움이 될 것이라 생각합니다.

  🟡 김종훈 선임: 챗GPT를 활용해 보세요! 단, 해킹이나 공격을 해달라는 게 아닌, 보안 공부를 할 때 챗GPT를 활용해 ‘검색하는 시간을 좀 더 효율적으로 관리하라’는 의미입니다. 예를 들어 “모의 해킹에 필요한 코드가 있는데 200, 404가 아닌 코드만 반환하는 Python 코드(애플리케이션, 소프트웨어 등 모든 유형의 시스템과 원활한 통합이 가능한 플랫폼에 독립적인 대화형 고급 프로그래밍 언어)를 작성해 줘”라는 식으로 말이죠. 추가로 챗GPT가 만든 코드들을 보면서, ‘아, 이런 방식으로도 접근할 수 있구나’ 하며 접근 방식에 대해 스스로 고민해 본다면, 더욱 성장할 수 있을 거라고 생각합니다.

  🔴 이진욱 총괄: 요즘에는 블로그나 유튜브에 양질의 학습자료가 굉장히 많잖아요. 나에게 무엇이 필요한지 스스로 찾아보고 꾸준히 배우려는 자세가 가장 중요하다고 생각합니다. 이게 쉬워 보여도, 열정이 있어야 가능한 일들이거든요. RED팀은 스스로 학습하는 열정을 가진 인재들을 기다리고 있습니다. 많이 지원해 주세요 (웃음)