어디선가 누구에게 무슨 일이 생기기만 하면 아마도 그가 해킹 했을 거라는 추측을 하도 많이 받아서 “아마도핵”(amadoh4ck)이라는 닉을 갖게 된 그는 널루트 동아리 출신의 정통 해커로 해커스랩에서 프리해킹존과 해킹대회 문제 개발, 보안 강의 등을 담당했다. 취미로 남는 시간에 지문인식과 IDS, 방화벽 개발을 하는 등 빼어난 창의력과 막강한 실력으로 인해 보는 이로 하여금 존경과 경이로움을 갖게 했던 그는 해커스랩 웹사이트 리뉴얼에 즈음하여 해커스랩을 아직도 잊지 않고 기억하고 사랑해 주시는 모든 분들께 인사 올리며 최근 근황을 전한다.
- 본인 소개를 부탁합니다.
안녕하세요. 라온시큐리티 대표 양정규입니다. 제 nick은 amadoh4ck입니다. 지금은 완전 고전 문서가 되어버린 “포멧스트링 자동화 툴의 설계”라는 문서를 처음이자 마지막으로 작성했구요, 해커스랩에는 회사 폐업 전 1년 조금 안되는 기간 동안 근무했습니다. 재직하는 동안에 프리해킹존(F.H.Z) 문제를 제작했고 왕중왕(King of fighters) 해킹 대회 문제도 출제했습니다. 교육센터에서 시스템 해킹 교육을 강의하기도 했구요. ^^ 현재는 라온시큐리티라는 회사를 창업하여 모의해킹, 보안제품 개발/연구 등을 하고 있습니다. 사장이라고 직원들 부려먹기만 하지 않고 직접 모의해킹도 하고 개발도 합니다. ^^
2. 해킹을 처음 시작한 건 언제였는지요? 해킹을 좋아하는 이유는?
해킹을 처음 시작한 것은 대학교 군 제대 후입니다. 제대 후 친한 친구가 워크스테이션실에서 Sun workstation으로 채팅을 하고 있었고, 같이 채팅하다가 wall 명령으로 밥먹으러 가자고 메시지를 보내는 걸 보고 신기해서 공부하다가 해킹쪽을 접하게 되었습니다. 학교 내의 Sun, Windows 등을 대상으로 해킹 공부를 했었고, 졸업 후 프로그램 개발사에 취직을 해서도 해킹의 매력에 빠져 공부를 계속 했습니다.
해킹해서 좋은 점은 재미있는 일을 하면서 돈도 벌 수 있다? 정도 일 것 같네요. 해킹을 좋아하는 이유는 딱히 표현할 말이 없지만 굳이 이야기 하자면 안 풀리던 문제를 해결했을 때의 기쁨 때문에 힘든 과정도 재밌고 즐거운 것 같습니다. 그래서인지 저는 항상 새로운 것을 해킹하는 걸 더 좋아하는 것 같아요. 당구 처음 배우면 잠을 잘 때도 머릿속에 당구공과 길이 그려지는 것 처럼 해킹을 하면 안 풀리던 부분을 계속 생각하게 되고 시도해 볼 만한 아이디어를 모아 놓았다가 다음 날 시도했을 때 성공하면 그 짜릿함이란 해 본 사람만 알 수 있는 만족감인 것 같아요.
3. 해커스랩과 연관된 기억에 남는 인상깊은 에피소드는? 해커스랩은 어떤 곳이었습니까?
해커스랩 하면 제일 먼저 생각나는 에피소드는 덜익은 돼지고기를 먹었던 기억? 대부분이 자취생들이라서 회식을 하면 고기가 금방 동이 났어요. 고기가 익기를 기다렸다 먹으면 몇 점 못 먹겠더라구요. ^^ 그래서 먹었던 덜익은 돼지고기가 아직도 생각납니다. 그 당시 해킹이라는 취미나 일을 가진 사람이 주위에 많지 않았는데 해커스랩은 그런 사람들이 가장 많이 있는 곳이었고, 마음도 잘 맞아서 정말 재미있는 직장생활을 보냈습니다.
그 다음으로 기억나는 것은 King of fighters 대회입니다. 그때 솔라리스 login 의 password 입력부분에 bof 문제였던 걸로 기억하는 데 telnet negotiation 때문에 쉽지 않았던 문제였습니다. 그런데 root666이라는 외국 해커팀이 풀고나서 솔라리스 커널 루트킷을 설치해도 되느냐고 문의를 하더군요. 작업을 하다보면 서버가 재부팅 될 수도 있는 데 해도 되는 지 친절하게 문의까지 해 가면서 루트킷을 설치해서 다른 팀은 가짜 루트만 따도록 했던 기억이 나네요. 그때만 해도 솔라리스 커널 루트킷이 지금처럼 흔하지는 않았던 시절이었습니다.
제가 다니던 (주)해커스랩은 그동안 합법적으로 해킹을 공부할 수 없었던 많은 언더그라운드 해커들을 끄집어 내고, 귀합하게 한 정말 좋은 취지를 가진 회사였고 그 당시 우리나라의 실력자들이 많이 모여 있는 꿈의 직장이었죠. 저도 그때 많이 배웠고 성장했고 좋은 인연들도 많이 만났구요. 지금도 그때가 많이 생각납니다.
4. 보안에 관하여 하고 싶은 이야기가 있다면?
사실 보안은 정말 힘든 직업입니다. 해도해도 끝이 없고, 항상 공부해야 하고, 99% 잘 해도 1% 때문에 욕먹고.. Defensive Security는 정말 힘들고요. 그나마 저는 Offensive Security 쪽이라서 얼마나 다행인 지 모릅니다. 회사 제품도 취약점을 찾아주는 제품을 만들고 있죠. 막는 것보다 뚫는 게 그나마 더 쉬우니깐요. 보안 분야에서 막는 일을 하는 보안 종사자들에게 보안 사고에 대한 책임을 묻는 것은 국가나 기업, 기관에 오히려
악영향을 주는 행위라고 생각해요. 물론 자신의 일을 등안 시 한 것이 명확하다면 책임을 물어야 겠지만요.
점점 막는 일을 하는 보안을 직업으로 꺼려하게 될 거라는 거죠. 요즘 젊은 해커들이 Offensive에 열광하는 이유도 어느 정도는 이런 사회적 분위기에 영향을 받는다고 생각해요. 실력있는 보안 전문가들이 해외로 나가려고 할거구요. 막는 쪽과 뚫는 쪽은 정말 악의적인 목적으로 해킹하는 해커를 힘을 합쳐 막아야 하는 데 서로 경계하게 될 것이고 그렇다 보면 보안은 좋아지지 않겠죠. 윗분들이 해도해도 끝이 없고, 99% 잘해도 1% 때문에 뚫리는 보안의 특성을 바로 인지하고 지속적인 투자와 보안 종사자들을 이해하고 보안한다면 매우 견고한 보안 강국, 보안 회사가 될 거라고 믿어요.
5. 10년 전과 지금과 비교해 보안은 어떻게 달라진 것 같습니까? 향후 전망은?
10년 전과 지금의 보안은 많은 변화가 있었습니다. 일단 가장 큰 변화는 서버의 취약점 위주의 보안에서 pc, 스마트폰, IoT 장비처럼 단말기 취약점 위주의 보안으로 해커들의 관심이 옮겨 갔다는 점인거 같아요. RFID, 자동차 CAN 해킹, Embedded Device 해킹 등 하드웨어 해킹에 관심을 가지는 사람도 많이 늘었구요. 그리고, 해킹 / 보안하는 사람들이 많이 늘어났고 사회에서 해커를 나쁜 시선으로만 바라보던 것도 많이 개선된 것 같습니다. 대기업이나 기관들에서 이제는 해커들을 자체적으로 보유하여 보안에 많은 투자를 하고 있다는 점도 긍정적이라고 생각합니다. 이렇다 보니 향후 보안은 경쟁력있는 해킹 기술을 보유한 회사만 살아남을 수 있다고 봐요. 컨설팅/모의해킹 전문회사는 경쟁력있는 해킹 기술을 습득하기 위해 노력을 게을리 할 수 없게 되고 그런 회사만 경쟁에서 살아 남을 것 같다고 봅니다. 그게 바람직한 방향이구요.
6. 해킹을 하거나 정보보안 관심있는 후배에게 들려주고 싶은 말씀은?
현재 해킹을 하고 있는 동료들은 특별히 할 이야기가 없어요. 너무 잘 하고 있기 때문에.. 해킹이나 보안이 아닌 다른 분야에서도 해당되는 이야기인데 인기있는 분야에 편승해서 흔들리는 갈대가 되지 않았으면 좋겠어요. 요즘 해킹대회, 버그헌팅/버그바운티, 리버스엔지니어링 등의 분야가 인기있는 분야이고 컨설팅 요청사항에 해킹대회 입상자가 포함되어 있어야 한다고 할 정도로 사회의 분위기가 해킹대회 = 실력자로 몰아가고 있는 듯 해요. 하지만, 모든 사람이 이 분야에 있어서 뛰어나게 될 수는 없다고 보고 모든 사람이 이것만 향해 간다면 보안은 무너진다고 봐요. 예전에 제품 BMT를 갔다가 고객이 예전 회사에서 모의해킹 했던 저를 알아보고 반가와 했고 그 믿음으로 BMT에서도 좋은 점수에 영향을 받은 적이 있었어요. 결국 자신이 열정을 가지고 최선을 다해 모의해킹을 즐기며 한다면 주위에서 믿음을 주고 실력을 인정해 주는 것이라 생각해요. 열심히 자신이 재미있고 즐거운 일에 자신의 시간을 썼으면 해요. 그리고 그 소신대로 밀어 붙이세요.
7. 그밖에 하고 싶은 말씀이나 앞으로 바라는 점은?
해커스랩이 회사가 폐업한 이후에도 이렇게 많은 사람들의 향수와 기억속에 남아 있고 다시 리뉴얼해서 기쁩니다. 제가 많은 보탬은 드리지 못하지만 항상 응원하고 있고 해커스랩에 근무했다는 것에 대해 자부심을 느낍니다. ^^ 저는 앞으로도 제 회사에서, 제 가정에서, 제 위치에서 제가 할 수 있는 최선을 다 할 것입니다.
이 글을 읽는 모든 분들도 그랬으면 좋겠네요.
저희 회사는 “즐겁게 해킹하자”라는 의미로 “라온”이라는 사명을 썼습니다. “라온”이 순 우리말로 “즐거운, 재미있는”이라는 뜻이 있거든요. 모의해킹을 주로 수행하고 웹, 모바일, IoT 등의 분야를 대상으로 합니다.
현재 11명 직원을 둔 작은 회사에요.
그리고, 안드로이드 앱 취약점 자동 점검 도구를 개발해서 판매하고 있어요. 작년에 출시해서 3개 사이트에 납품을 했습니다. 올해에는 아이폰 앱 취약점 자동 점검 도구를 개발하고 있구요. 모의해킹을 통해서 필요한 툴들을 개발해서 솔루션으로 만드는 일을 좋아라 한답니다. 회사 설립 초기에 삼성전자와 안드로이드 쪽 일을 많이 했었구요. 그러다 보니 안드로이드 단말의 취약점을 2개 정도 발견해서 구글에 리포팅했고 보안 버그로 받아들여져서 홈페이지에도 실렸던 적이 있습니다. 적다 보니 별로 자랑할 게 없네요. ^^
앞으로 자주 뵙겠습니다. 많이 지켜봐 주십시오! 감사합니다!
사이트 부활하느라 고생이 많았네