권석철
[CBS 라디오 '시사자키 정관용입니다'〕
■ 방 송 : FM 98.1 (18:00~20:00)
■ 방송일 : 2011년 6월 20일 (월) 오후 7시 30분
■ 진 행 : 정관용 (한림국제대학원대학교 교수)
■ 출 연 : 큐브피아 권석철 대표 ▶정관용> 시사자키 3부 시작합니다. 오늘은 컴퓨터 해킹 부분에 대한 이야기인데요. 최근에 농협 전산망 장애, 온라인 쇼핑몰이나 또 국가정보망 해킹 등등 IT 안보, 보안에 대한 관심이 참 높아져 있지요. 그래서 좀 특별히 모신 분입니다. 한때 안철수 교수와 나란히 백신업체 하우리의 대표로서 국내 최고 보안전문가로 떠올랐던 분이였지요. 그런데 사업 실패로 우리한테서 좀 잊혀졌던 분입니다. 이번에 독특한 방식의 보안업체, 큐브피아를 설립해서 우리 앞으로 다시 돌아오셨는데요, 권석철 대표, 스튜디오에 나오셨습니다, 어서 오십시오.
▷권석철> 안녕하세요?
▶정관용> 방금 전에 제가 앞에 조금 소개했으니까, 옛날 이야기, 좀 가슴 아프겠지만, 잠깐 좀 돌아갔다 가지요. 백신개발업체 하우리, 그쪽 분야를 전문으로 하시는 분들은 금방 아시겠습니다만, 다른 분들은 좀 생소하실 수도 있는데, 안철수 연구소 V3에 버금가는 뭘 하나를 개발하셨지요, 그때?
▷권석철> 예, 바이러스 백신 중에 바이로봇이라는 작품이 있었는데요. 지금도 많이 사용을 하고 계신데요, 그 제품을 만들었던 회사가 하우리였습니다.
▶정관용> 아, 그게 몇 년도에 만들었던 거지요?
▷권석철> 98년도 3월에 설립되었고요.
▶정관용> 그래서 바이로봇은 지금도 쓰이고 있고?
▷권석철> 예, 지금도 많이 사용을 하고 계신 걸로 알고 있습니다.
2003년 인터넷 대란 보안책으로 유명해져▶정관용> 그리고 그 당시에 뭔가 큰 대란 났을 때 바이로봇이 아주 주가가 확 올라갔었지요?
▷권석철> 예, 2003년도 1월 25일날 인터넷 대란이 났었는데요, 그때 저희가 슬래머(Slmmer)라는 바이러스에 대한 대책을 글쎄요, 아마도 세계 최초로 저희가 대책을 한 것 같아요. 그래서 그걸로 인해서 세상에 좀 많이 알려졌고, 주가가 많이 올라갔던 걸로 저도 기억을 하고 있습니다.
▶정관용> 2003년. 그러다가 어쨌든 사업에 실패하셨어요.
▷권석철> 예, 그렇습니다.
▶정관용> 언제 접으셨지요, 그러면?
▷권석철> 저는 2005년 3월에 대표이사를 그만뒀고요, 그리고 그 이후에 이제 여러 가지 법적인 문제라든가 책임을 지고, 제가 다시 보안업계를 떠나려고 했는데 어쩌다보니까 다시 돌아오게 됐습니다.
▶정관용> 언제 다시 돌아오시게 됐습니까?
▷권석철> 돌아온 것은 2008년도쯤에 제가 돌아왔고요. 그리고 여러 가지 좀 준비를 해서, 몇몇 기업에 있다가 다시 큐브피아라는 회사를 만들게 됐습니다.
▶정관용> 큐브피아를 설립하신 것은?
▷권석철> 작년에, 작년 9월이거든요. 그러니까 2010년 9월이라고 말씀드릴 수 있습니다.
▶정관용> 얼마 안 되었네요? 아직 1년도 채 안 되었습니다?
▷권석철> 예.
▶정관용> 전체 직원은 지금 몇 명 정도 됩니까?
▷권석철> 한 20명 정도 됩니다.
▶정관용> 20명? 그런데 곧바로 본론에 들어가서 제가 아까 소개한 대로 기업체로부터 의뢰를 받아서, 돈을 받아서, 그 기업체를 해킹한다. 맞나요?
▷권석철> 예, 맞습니다.
경영진과의 비밀계약 후 실제 해킹 실시 ▶정관용> 조금 자세히 설명해주세요, 어떻게 하는 건지.
▷권석철> 예, 저희가 추진하고 있는 사업 중에요, 기업체 경영진들에게 비밀계약을 하고요.
▶정관용> 비밀계약?
▷권석철> 예. 그리고 추진하는 것이 있습니다. 그것을 보통 침투진단 서비스라고 하고 있습니다. 일반적으로는 모의해킹이라는 것을 보안업체들이 많이 하고 있는데, 그것은 말 그대로 모의해킹입니다. 그러니까 모의로, 가짜로 어떤 해킹을 하고, 그걸로 인하여 내부자끼리 검토하는 그런 모델인데, 저희는 실제로, 실제 해킹을 통해서 취약점을 찾아주는 그런 서비스입니다. 특이한 것은...
▶정관용> 그러니까 비밀계약을 할 수밖에 없는 거군요?
▷권석철> 예, 그렇습니다.
▶정관용> 그러니까 비밀계약을 안 하고 그 직원들한테 알려주면 미리 방비를 할 테니까. 방비 전혀 없을 때 한번 해본다, 이런 거군요?
▷권석철> 예, 그렇습니다. 그래서 최고 경영자하고만 제가 계약을 진행하고 있습니다.
▶정관용> 그래서요? 지금 그렇게 의뢰를 한 기업들이 많아요?
▷권석철> 아무래도 처음부터 저희가 계속 그런 프로젝트를 했기 때문에 계속 많이 있는데요, 특히 이번 농협하고 현대캐피탈 이후에 많은 의뢰가 지금 들어오고 있는 상태입니다.
▶정관용> 예, 지금까지 몇 건 정도 그런 것을 하셨어요?
▷권석철> 제가 여태까지 한 것은 한 20건 정도가 되는데요.
▶정관용> 그 기업들은 다 좀 규모가 있는 기업들입니까?
▷권석철> 예, 이름 대면 알만한 기업들입니다. 아마 들으시면 깜짝 놀랄 만한 기업들도 있는데요.
▶정관용> 여기에서 공개할 수는?
▷권석철> 공개를 한다는 것은, 저희가 이제 그 기업과 신뢰성이 있기 때문에.
▶정관용> 그렇지요. 비밀계약까지 한 건데 공개하면 안 되겠지요?
▷권석철> 예, 그렇습니다.
▶정관용> 그렇게 해서 한 20여 군데, 이름만 대면 알 만한 큰 기업으로부터 비밀계약으로 의뢰를 받았다. 그러면 직원들을 동원해서 그 기업의 전산망을 뚫는 거예요?
▷권석철> 예, 맞습니다.
▶정관용> 그래서 결과가 어떻게 나옵니까?
▷권석철> 어, 그 전산망을 뚫으면은, 그들이 갖고 있는 전산망의 취약점을 저희가 찾고요, 그리고 그 취약점들을 해커 입장에서 접근을 하는 겁니다.
▶정관용> 그렇지요.
▷권석철> 해커 입장에서 접근을 한 다음에 그것을 보고서를 만들고요, 그 보고서를 이제 뭐 은행인 경우에는 행장님이나 기업인 경우에는 회장님이나 어떤 CEO분들에게 직접 저희가 그 앞에서 브리핑을 해서 발표를 합니다.
▶정관용> 그러면 일단 뚫어야만 보고서를 낼 수 있네요?
▷권석철> 예, 그렇습니다.
▶정관용> 못 뚫으면 낼 게 없네요?
▷권석철> 못 뚫으면 그렇겠지요.
이름 있는 기업 20곳 보안망 뚫었다▶정관용> 이 회사는 저희가 못 뚫었습니다, 간단하게 그것밖에 못하네요?
▷권석철> 예, 그런데 하여튼 이 20군데 정도 중에 100% 다 문제가 있는 걸로 현재 파악을 했고요.
▶정관용> 20개 기업을 다 뚫었어요, 그러니까?
▷권석철> 예, 그렇습니다.
▶정관용> 아, 그래요? 이름만 대면 알만한 기업인데도?
▷권석철> 예, 그렇습니다.
▶정관용> 지금 어디인지 이름은 밝히지 않으셨습니다만, 금융기관도 있는 것 같고.
▷권석철> 예, 금융기관도 있고, 일반 큰 대기업들도 있고 그렇습니다.
▶정관용> 그런데 그 뚫는 게 그렇게 쉬워요?
▷권석철> 아무래도 그러한 기업들만이 아니라 전반적으로 해킹이라는 것이 어떤 보안은 나름대로 잘 되어 있는데요, 그 보안되어 있는 것들보다는 해킹에 노출되어 있는 그런 것들이 많기 때문에요, 의외로 쉽게 뚫릴 수가 있습니다.
▶정관용> 지금 20건 하신 것 중에 제일 쉽게 뚫린 것은 며칠 만에 뚫었고, 제일 어렵게 뚫은 것은 며칠 만에 뚫었고, 이런 게 있나요, 혹시?
▷권석철> 보통 의뢰를 하면은 한달에서 한 60일 정도 계약을 하는데요, 실제로 이틀 걸린 사이트도 있고요, 그리고 어떤 데는 60일 이상 걸린 곳도 있습니다. 그런데 그것은 기업의 규모하고는 차이가 있고요, 보안이 잘 되어 있는 것이나, 안 되어 있는 것이나 그런 차이는 있지요.
▶정관용> 보안 체계를 잘 해놓은 회사일수록 어려운 것은 맞는 거지요?
▷권석철> 예.
▶정관용> 그런데 그만큼 허술하다는 겁니까, 지금 쭉 말씀 들어보면?
▷권석철> 예를 들어서 저희가 어떤 정보를 수집할 때, 그 어떤 정보를 타겟으로 하는 사람이 있거나 곳이 있으면 그분들에 대한 어떤 취미라든가, 이런 상황까지 저희가 정보를 다 수집을 합니다, 인터넷을 통해서.
▶정관용> 뭐를 수집하신다고요?
▷권석철> 예를 들어서 골프를 좋아하신다든가 아니면 쇼핑을 좋아하신다든가 이런 것들까지도 저희가 인터넷을 통해서 정보수집을 해서요, 그들의 약점이나 그들이 좋아하는 것들을 정보를 보내거나 해서 어떤 악성코드를 보내는데, 그런 경우에...
보안관련자만 타겟으로 삼지 않는 것이 기본▶정관용> 아, 그 기업체의 보안 관련자, 그 사람들 개인 특성을 파악해서 그 사람들이 혹할 만한 뭘 보낸다?
▷권석철> 예, 그런데 보안담당자한테만 보내는 건 아니고요, 많은 분들은 보안담당자만 타겟으로 보시는데, 그게 아니고, 그 직원, 전체 직원이 다 해당합니다. 그 중에 한 곳만 뚫린다 하더라도 그 내부를 장악하는 데는 시간문제라는 겁니다.
▶정관용> 아, 보통 해커들이 다 그렇게 합니까?
▷권석철> 예, 보통 그렇게 합니다. 그래서 일반적으로 아실 때는 보안담당자만 그렇게 된다고 생각하시는데, 이번에 일어난 여러 가지 사건들도 보안담당자들만의 문제는 아니고요, 일반 컴퓨터, 일반 사용자들의 컴퓨터들이 해킹당했을 가능성이 되게 높습니다.
▶정관용> 농협 이런 곳도 그런 이야기가 지금 막 나오지요. 그렇지요?
▷권석철> 예, 맞습니다.
▶정관용> 관련 IBM 직원이 뭘 어떻게 하고, 어떻게 하고 막 그러는데.
▷권석철> 예, 그것보다는 일반 직원들 컴퓨터가 먼저 해킹을 당하고 그걸 통해서 관리자 컴퓨터까지 접근하는, 그런 모델이었을 가능성이 되게 많지요.
▶정관용> 아, 무섭네요, 갑자기. 최근에 현대캐피탈, 농협, 아주 큰 대형사고들이 터지지 않았습니까? 그 후에 좀 많이 나아졌어요?
▷권석철> 아니요, 그렇지를 않습니다.
금융보안사고 계속됐지만 나아진 것 없다▶정관용> 안 그래요?
▷권석철> 저희들이 업계에서 바라보는 시각은 사실, 소 잃고 외양간 고치는 건데요, 앞에서 언급을 드렸지만, 2003년도 1월 25일날 인터넷 대란 이후에도 그 당시에도 커다란 사건이었는데, 그때에도 나온 이야기들이 뭐 CSO(Chief Security Officers)를 두자, 보안인력을 강화하자, 보안예산을 늘리자, 이런 이야기들이 있었는데, 그때뿐이거든요, 대부분. 이번에도 아마 그때뿐일 가능성이 많이 있는데요, 그런 것들이 지금 많이 보이고 있습니다. 그래서 직원들을 뽑긴 뽑지만 뭐 비정규직으로 뽑는다든가 또는 CSO를 두려고 하지만 보안담당자들하고 겸직을 시킨다든가 이런 형태의 모델이 현재 나타나고 있지요.
▶정관용> 그게 지금 우리가 IT 강국이지 않습니까?
▷권석철> 예, 그렇습니다.
▶정관용> 다른 나라에 비해서. 그런데 상대적으로 다른 나라에 비해서 보안 분야는 더 취약한가요?
▷권석철> 반드시 그렇지는 않은데요, 우리나라가 아무래도 IT가 잘 되어 있다 보니까 중국이나 이런 곳에서 많이 그것을 타겟으로 해서 테스트를 하거나 또는 우리나라의 어떤 여러 가지 환경을 가지고, 돈을 벌 수 있는 환경이다보니까 금융권 같은 경우에는 인터넷 뱅킹 같은 것으로 해킹한다든가 뭐 사이버 머니를 가져간다든가 이런 것들을 많이 하게 되거든요.
▶정관용> 아, 그러니까 우리가 보안시스템이 취약해서가 아니고, IT로 이루어지는 그런 것들이 워낙 많으니까 여기를 좀 뚫으면 돈 되는 게 많은 거군요.
▷권석철> 예, 그렇습니다. 전 세계에서 지금 아시다시피 웬만한 기업들은 해킹을 당했고요, 또는 이제 외국의 커다란 수사기관이나 게임업체나 다 해킹을 당하지 않습니까?
▶정관용> FBI, CIA도 막 뚫렸다면서요?
▷권석철> 예, 그렇습니다. 그런 것들은 결국은 해킹에는 노출될 수밖에 없는 상황인데요, 특히 우리나라 같은 경우에는 해킹을 당하는 취약점을, 어떻게 뚫고 들어오는지를 해커 입장에서 보지 않기 때문에 그런 문제들에 대해서 정확히 찾지를 못하는 문제점이 있다고 말씀을 드릴 수가 있습니다.
▶정관용> 해커들은 그럼 못 뚫는 게 없습니까? 다 뚫습니까?
▷권석철> 결국에는 컴퓨터 전산 프로그램이기 때문에 분석을 하면 다 분석이 됩니다. 그리고 그런 분석을 오랫동안 못하도록 하는 그런 기술들도 많이 나와있지만, 대부분 그런 것들을 뚫었을 때는 문제는 로그를 남기거나 어떤 흔적을 남기는데, 그런 흔적을 남기고 지우는 동안 아무런 체크를 하지 않거나, 보안담당자가 이에 대해서 별로 신경을 안 쓴다거나 그러면 그 부분은 정보가 남지도 않고 그래서 놓치게 되는 그런 현상이 되는 거지요.
▶정관용> 그러면 계속해서 그 프로그램을 매번 바꾸어줄 수도 없는 거고, 그렇지요? 기존 프로그램을 돌리기는 하되 보안체계를 점검하고 하는 것을 더 빈도를 자주 한다든지, 뭐 감시망을 여러 곳에 중복체크한다든지 이런 노력이 있어야 되는 거군요?
▷권석철> 그런데 이제 그런 부분들을 좀 말씀을 드리면, 그 동안에는 좀 방어적인 어떤 방법으로 보안을 바라봤습니다. 그래서 혼자, 예를 들어서 골키퍼를 말씀을 드리면, 혼자 골 연습을 하신 겁니다, 그동안은. 골을 넣어보지는 않고, 혼자 판단을 해서 아, 이렇게 해킹이 들어올 거야...
▶정관용> 그러니까 앞에서 누가 공을 차면 막는 연습만 했다는 거지요?
▷권석철> 그렇지요. 볼을 차면, 공을 차면, 그걸 막는 연습이 아니고요, 그냥 막는 연습, 혼자 연습한 겁니다.
골키퍼 혼자 연습하면 무슨 소용?▶정관용> 아, 공도 없이?
▷권석철> 예, 자체적으로 공격을 하고, 방어를 하고 하는 그런 시스템이 되어 있어야 되는데, 대부분은 방어 위주의 관리자들이 많고, 또 관리자들이 보안을 담당하다보니까 어떻게 해커들이 어떻게 들어오는지에 대해서는, 창의적인 해커들의 어떤 두뇌를 따라가지 못하는 현상이 발생하는 거지요. 그러다보니까 지금 같이 그런 문제들이 계속 발생하고 있는 것입니다.
▶정관용> 권석철 대표도 해커시지요?
▷권석철> 저희들은 전문가라고 표현을 하는데요, 해커라고도 말씀을 드리고, 화이트 해커라고 말씀을 드리겠습니다.
▶정관용> 화이트 해커? 그러니까 선의로?
▷권석철> 예, 그렇습니다.
▶정관용> 공격을 통한 진단을 해주기 위한 것이다?
▷권석철> 예.
▶정관용> 그런데 그러다보면 블랙 해커가 될 우려도 있는 것 아니에요?
▷권석철> 현재 이제 저희가 화이트 해커와 블랙 해커로 구분을 하는데요, 블랙 해커들은 이미 범죄자의 길로 들어간 거고요, 또 중간에 그레이 해커라고 있습니다.
음양의 경계에 선 그레이 해커 보듬어야▶정관용> 그건 뭡니까?
▷권석철> 화이트 해커도 아니고, 또 그렇다고 블랙 해커도 아닌, 아직 고민을 하는, 아직까지는. 그런 친구들이 많이 있는데, 그런 친구들이 블랙 해커로 될 가능성이 되게 많지요. 우리나라의 어떤 정책상 그런 해커들에 대한 어떤 투자라든가 이런 것들이 전반적인 것이 잘 안 되어 있다보니까, 그런 것들에 앞으로 정책이 좀 필요할 것 같습니다.
▶정관용> 그런데 도대체 왜 해커가 되는 거예요? 그거 아주 어렵잖아요, 사실?
▷권석철> 어떻게 보면은 이제 자신들이 취미로 시작을 하고, 취미로 재미있게 시작을 했지만, 그것이 어느 날부터 보면 자신이 하는 일들이 굉장히 중요하고, 또 그런 일들이 앞으로 어떻게 보면 그 국가의 중요한 역할을 할 수 있다는 사실을 알게 되면, 굉장히 이 사실을, 본인들도 사명감도 느끼고 나름대로 철학이 생기는데, 그런 친구들이 갈 곳이 사실은 거의 없습니다. 있다면은 기업체들인데, 그들은 대부분 분석을 하고 해킹에 대한 전문지식을 갖고 싶은데도 불구하고 기업체들은 네트워크 관리자를 시킨다든가 서버를 관리한다든가 이런 식으로...
▶정관용> 그러면 그 사람들의 주전공 분야하고 별로 관련이 없는 거네요?
▷권석철> 예, 그렇습니다.
▶정관용> 그 사람들은 서버 관리자가 아니잖아요.
▷권석철> 그렇지요. 그러다보니까 그런 친구들이 대부분 엑소더스, 그러니까 외국에 나가거나요, 나중에는 어떤, 월급이 많은...
▶정관용> 외국에서는 그런 분들을 고용해요?
▷권석철> 많이 고용을 하는 편입니다.
▶정관용> 그래서 뭘 맡깁니까?
▷권석철> 그 친구들에게는 어떤 시스템 분석을 시킨다든가, 그 다음에 자체적으로 어떤 해킹을 통한 내부적인...
▶정관용> 아까 말한 모의해킹 같은 것, 그런 걸 해본다는 거지요?
▷권석철> 예, 자체적으로 그런 테스트를 하고, 이런 걸 많이 합니다.
초/중급 해킹기술로 기업보안 대부분 뚫리는 현실▶정관용> 권 대표님이 지금 한 20명 직원과 함께 있다고 했는데, 그 20명들도 아주 최고 수준의 해커들 아니겠어요? 그러니까 대기업, 굴지의 그런 기업들을 막 뚫고 들어가겠지요?
▷권석철> 그런데 실제로 저희가 그런 기술을 가지고 있는 최고의 해커라고 말씀드릴 수 있겠지만, 실제로 저희가 시도했던 부분은 초급에서 한 중급 정도의 기술 가지고만 접근을 합니다. 그 이유는 그 정도만 가지고도 현재의 웬만한 기업들은 다 뚫리는 상황인 거지요.
▶정관용> 점점 무서워지네요. 그럼 고급 기술 사용하면 정말 못 뚫을 게 없군요?
▷권석철> 그렇지요. 어떻게 보면 해커들이 마음만 먹으면 못 뚫을 곳은 없다고 보여요. 다만 그런 어떤 단순한 기술 가지고도 장난을 치거나 또 그런 것들이 잘 뚫렸을 때, 그런 친구들이 악의적으로 많이 바뀌거든요.
▶정관용> 생각이 바뀐다?
▷권석철> 예, 그런 친구들에게도 뚫리면 안 되지 않습니까? 그래서 초급, 중급 정도의 기술로도 일단 안 뚫리도록 막는 것이 우선 중요하고요, 그 다음에 하나하나 늘려서 고급 해커들까지도 막을 수 있는 그런 보안을 두게 하는 것이 저희들의 목표입니다.
▶정관용> 그럼 아까 쭉 직접 뚫어보고 그 다음에 보고서를 제출해서 프레젠테이션 한다고 하셨는데, 이렇게 이렇게 뚫었더니 이렇게 이렇게 뚫립니다, 때문에 이건 이렇게 고쳐야 되고, 이게 다 해법이 나옵니까?
▷권석철> 해법이 나옵니다. 그리고 그 해법대로 다시 한번 의뢰가 들어옵니다. 대부분. 그래서...
▶정관용> 해법을 자기들이 다 했다?
▷권석철> 아니, 저희들이 제공을 하면, 그 해법대로 위에서 지시가 내려가고요, 그 지시에 의해서 그 해법들이 막혔는지 안 막혔는지 또 한번 최고경영자께서 부탁을 하면 저희들이...
▶정관용> 또 뚫어봐요?
▷권석철> 예, 저희들이 또 하고요.
▶정관용> 그러면 어떻게 됩니까?
▷권석철> 그러면은 뚫리는 경우가 대부분이지요. 그래도 뚫립니다. 그 이유는, 관리자들이 사실 그런 부분을 그렇게 신경을 안 써요, 솔직히 말씀을 드리면.
▶정관용> 왜요?
▷권석철> 왜 그러냐면, 한번 뚫었을 때, 그런 부분들을 위에서 또 그렇게 신경 안 쓸 것이다, 라는 그런 어떤 생각도 있고요. 또 그 동안에 그렇게 안이하게 대처하는 분들이 사실 많이 계세요. 그런데 중요한 것은 최고경영자가 그러한 관심을 가지고 있다는 사실을 알게 되면 보안도 강화되고요, 그 다음에 관리자의 책임보다는 권한도 커지는, 그런 어떤 일석이조의 효과가 발생함으로써, 저희들이 프로젝트 하고 나면, 그 최고경영자도 좋아하시고, 또 담당자들도 좋아하는. 그렇게 됩니다.
▶정관용> 그래서 아무튼 조금 강화되긴 강화되는 거지요?
▷권석철> 굉장히 강화됩니다.
반복훈련을 통해 많은 허점들을 가려야▶정관용> 그런데 강화되긴 했으나 또 뚫으면 뚫린다?
▷권석철> 예, 왜 그러냐 하면 구멍들이 워낙 많기 때문에요, 저희가 그 짧은 시간에 그 많은 구멍들을 다 찾을 수가 없습니다. 그래서 여러 번을 통해서, 계속 반복적인 훈련을 통해서 그들에게도 보안의식을 강화시키고요, 또 일반 직원들에게는 그냥 저희들이 가서 보안에 문제가 있다, 이렇게 알려줘도 별로 신경을 안 쓰거든요. 왜냐하면 그것은 보안담당자들만이 할 일이라고 생각을 하니까. 그런데 문제는 보안을 담당하지 않는 일반 직원들도 의식이 강화가 되어야 하는데, 그럴 때는 저희가 했던 그 자료를 가지고 보여주면, 자신에 해당하는 컴퓨터들도 뚫린 것들이 보이기 때문에 굉장히 놀라고 스스로 본인의 컴퓨터들을 강화시키거나 하는 노력들을 하게 됩니다.
▶정관용> 그러니까 기본적으로 어떤 기업이 됐건, 어떤 금융기관이 되었건, 정부기관이 되었건 우리 시스템은 언제든 뚫릴 수 있다, 라는 전제 위에서 대처해야 되는 거군요?
▷권석철> 예, 그렇습니다.
▶정관용> 우리는 안 뚫리도록 철저히 막았다, 이게 아니라 언제든 뚫릴 수 있다, 그러나 누가 뚫고 들어오는 걸 빨리 감지해야 한다, 이런 겁니까?
▷권석철> 그렇지요. 그래서 저희가 한번 예를 들어서 뚫고 들어가면 나름대로 정보가 남지요. 그런데 그 다음날 봤는데 그 정보가 혹시라도 바뀌어 있다, 그러면 감시를 당하고 있다는 얘기잖아요? 그러면 조금 더 저희도 주의를 하겠지만, 대부분 그런 것들이 그대로 있기 때문에 저희는 마음놓고 뚫게 되는데, 그런 것들이 바로 이번에 농협이나 7~8개월 동안 그대로 있었다는, 그렇게 되면은 해커들 마음대로 들락날락하면서...
▶정관용> 하나도 점검을 못한 거지요, 그러니까?
▷권석철> 예, 그렇습니다.
▶정관용> 농협 이야기 나왔으니까 그런데, 우리 수사당국에서 수사한 다음에 이건 북한의 소행이다, 이런 발표를 했잖아요? 그거에 대해서 우리 권 대표님께서는 전문가 입장에서 어떻게 생각하세요?
▷권석철> 글쎄요, 그런 부분들은 사실 언급하기가 좀 민감한 부분이라 말씀을 드리기가 어려운데요, 다만 북한 소행이 되었건, 아니면 그것이 다른, 북한이 다른 곳을 시켜서 했건, 또는 다른 어떤 북한이 아닌 다른 기관, 국가가 했던, 그것에 대한 초점보다는 실제로 어느 곳을 통해서라도 뚫을 수가 있고, 취약점이 있다는 것은, 그 부분에 대한 초점이 바뀌어야 한다고 생각합니다.
▶정관용> 누가 했느냐보다는 누구든 할 수 있다?
▷권석철> 예, 그렇습니다.
▶정관용> 북한이 했을 수도 있다?
▷권석철> 그렇지요.
▶정관용> 북한이 시킨 누군가 했을 수도 있다?
▷권석철> 예, 그렇지요. 그리고 국내의 누군가가 돈을 위해서 했을 수도 있다.
▶정관용> 정부에서 조직적으로 이런 해커를 키우는 나라도 많이 있나요?
▷권석철> 대부분 비밀리에...
조직적 해커 양성, 대부분 국가가 하고 있다▶정관용> 그렇지요.
▷권석철> 그것은 사실 알려지면 혹시 왜 우리나라, 다른 나라를 공격하려 하느냐, 오해들이 발생하기 때문에요, 쉬쉬거리고 조용히 진행을 하고 있지만, 대부분 다 가지고 있습니다.
▶정관용> 다 하고 있어요?
▷권석철> 예, 특히 알려진 것은 중국이나... 마찬가지로 북한에서도 그런 것들이 있고요, 미국도 있고요.
▶정관용> 해킹 부대가 있다?
▷권석철> 예, 그렇습니다.
▶정관용> 그래서 전쟁을 하기도 합니까?
▷권석철> 이미 전쟁 중이라고 저는 말씀드리고 싶습니다.
▶정관용> 이미 전쟁 중이다?
▷권석철> 예, 이미 사이버전쟁 중인데요, 테러 단계가 아닌, 저희들 보안업계에서는 이미 전쟁을 하고 있다고 봅니다.
국가간 사이버전쟁 대비하려면 화이트 해커 양성해야▶정관용> 그럼 이미 그렇게 벌어지고 있다면 실력으로 이기는 수밖에 없는 것 아니겠습니까?
▷권석철> 예, 결국은 그들을 막을 수 있는 것은 해커들인데, 그러면 화이트해커들을 양성시킬 수 있는 방법을, 좀더 구체적인 어떤 대안이 필요하고요, 그리고 지금까지 있었던 어떤 대안보다는 실질적인 대안이 필요합니다.
▶정관용> 이런 업체를 차리신 것도 아마 그런 화이트 해커들을 좀 많이 양성하자?
▷권석철> 예, 그렇습니다.
▶정관용> 지금 고용하고 있는 직원들도 가만 놓아두면 사실은 블랙 해커라거나 그레이 해커가 되겠군요?
▷권석철> 그렇게 될 수 있는 가능성도 사실 있을 수 있지요. 왜냐 하면 저희들, 저 또한 그런 데에서 유혹이 많이 들어오는데, 사실 뭐 위협도 느끼는 것도 있지만...
▶정관용> 위협? 어떤 위협?
▷권석철> 예를 들어서 어떤 나쁜 프로그램을 한번 개발해서 하자라든가, 이런 것들이 뭐 저한테만 들어오는 건 아니고요. 그런 친구들에게도 많이 들어오거든요. 그런 친구들에게 그런 곳으로 빠지지 않도록 하는 것은, 그런 친구들을 양성할 수 있는 국가적 어떤 큰 해결 대책을 제시를 해야 될 것 같습니다.
▶정관용> 그렇군요. 양지에 시장이 만들어져 있어야 음지 시장으로 안 끌려간다?
▷권석철> 예, 맞습니다.
▶정관용> 그래도, 양지 시장이 있어도 음지로 가는 분들이 있을 텐데...
▷권석철> 그거는 어쩔 수 없는 거고요.
▶정관용> 그나마 양지 시장이 좀 만들어져야 음지 시장과 싸울 수 있다는 얘기고?
▷권석철> 예, 맞습니다.
▶정관용> 그런데 우리는 지금 그 부분이 취약하다?
▷권석철> 예, 그렇습니다.
▶정관용> 외국에는 권석철 대표님이 만드신 것과 같은 큐브피아 같은 보안업체들이 많이 있나요?
▷권석철> 알려지지는 않았지만, 나름대로 많이 있는 것으로 저희가 파악을 하고 있습니다.
▶정관용> 국내에는 하나입니까, 지금?
▷권석철> 현재 저희 회사가 유일하게 일단 하고 있고요.
▶정관용> 어떤 방식이라고 했지요? 침투?
▷권석철> 침투진단 서비스입니다.
▶정관용> 침투진단 서비스. 현재 국내에서는 1호다?
▷권석철> 예.
▶정관용> 앞으로의 포부가 있으시다면?
▷권석철> 아무래도 제가 이제 그런 역할을 함으로써 화이트 해커들에게 기회를 좀 주고 싶고요, 그리고 제가 또 그런 역할을 함으로써, 보안업체를 해왔던 그런 것으로서 앞으로 어떤 무료라든가 이런 모델보다는 실제로 보안의 시장을 키우는데 좀 필요할 것 같습니다.
▶정관용> 예, 알겠습니다. 아주 무서운 이야기들을 많이 들었습니다만 우리가 다시 한번 우리 스스로를 돌아볼 수 있는 계기가 되었던 것 같습니다. 큐브피아의 권석철 대표 함께 만났습니다. 고맙습니다.
▷권석철> 예, 감사합니다.
▶정관용> 오늘 여기까지입니다. 내일 6시에 다시 오지요. 안녕히 계세요.