"보안연구, '덕후'스러워야 통한다"

해킹 혹은 보안연구하면 운영체제(OS), 각종 애플리케이션 등 소프트웨어나 웹사이트에 대한 취약점을 발견한 뒤 이를 사용해 공격하는 방법을 떠올리게 마련이다. 보안 연구 분야 역시 오랫동안 연구돼 온 암호화 알고리즘을 더욱 견고하게 만든다거나 반대로 취약하게 할 수 있는 방법 등이 주류를 이룬다.

이런 가운데 국내 연구팀이 그동안 미개척지나 다름없었던 새로운 분야에서 밝혀낸 취약점에 대한 논문이 세계적으로 관심을 끌고 있어 주목된다.

글로벌 학술지인 '유즈닉스 시큐리티(Usenix security)', 저명한 정보보호 컨퍼런스 중 하나인 'ACM CCS 2015' 등에 이름을 올리는가 하면 미국 카네기멜론대가 운영하는 침해사고대응팀(CERT)의 공식 취약점으로도 등록됐다. 외신들도 관련 내용을 비중있게 다루는 모습이다.

드론 해킹, VoLTE 해킹 등으로 국내 뿐만 아니라 전 세계적으로도 주목받은 카이스트 시스템보안실 연구팀이 주인공이다. 최근 이곳에서 각종 연구활동을 전후방에서 지원하고 있는 김용대 교수를 만났다. 그는 카이스트의 보안연구가 세계적으로 높은 관심을 받을 수 있었던 비결을 두고 "남들이 잘 안 하는 분야를 공략했기 때문"이라고 밝혔다.

김 교수는 카이스트에서 전자과 전공 교수이자 정보보보대학원 겸임교수다. 그는 전자과에서 '해킹의 이해'라는 과목을 지도하고 있다. 왜 전자과에서 정보보안 관련 수업이 필요할까? 오히려 내부 요청에 따라 개설된 이 수업을 두고 그는 "세상을 비뚤어지게 보는 다양한 방법을 알려주기 위해서"라고 답했다.

해킹은 본래 기존에 있었던 어떤 것을 해체해서 뭔가 새롭게 만든다는 철학적인 의미를 가졌다. 이를 악용하는 범죄자들이 많아지면서 의미가 퇴색됐지만 자유소프트웨어운동을 벌였던 리차드 스톨만, 페이스북 창업자인 마크 저커버그 역시 좋은 의미를 가진 해커였다.

드론 해킹, VoLTE 해킹에 대한 논문이 나올 수 있었던 이유도 그와 함께한 연구원들이 전통적인 정보보안 분야에만 머물러 있지 않았었기 때문이다. 전자공학에 대한 기본이해가 있었던 연구원들이 함께 연구와 테스트를 진행하면서 새로운 취약점을 찾아낼 수 있었던 것이다.

드론 해킹에 대한 연구는 내부에 장착된 자이로스코프센서와 공진하는 주파수를 보내면 어떤 현상이 일어날까에 대한 아이디어에서 시작됐다. 자이로스코프센서는 소형 기계장치(MEMS)를 활용해 물체의 기울기를 파악하는 용도로 쓰인다. 항공기 외에 스마트폰에도 이러한 센서가 탑재됐다.

유리컵이 가진 고유의 주파수와 정확히 같은 주파수를 지속적으로 보내면 유리컵이 깨진다. 마찬가지로 자이로스코프센서와 같은 주파수를 외부 스피커에 실어서 보내면 이를 활용하는 드론이 동작을 멈추는 현상을 밝혀낸 것이다. 김 교수는 "사물인터넷(IoT) 시대가 되면서 보안영역에서도 센서가 중요한 문제가 되고 있다"며 "하드웨어적인 지식이 있어야만 이러한 분야에 대한 분석을 시도할 수 있다"고 밝혔다. 실제로 카이스트 시스템보안실 내에는 전자과 등 정보보호, 전산학과 외 다양한 전공을 가진 연구원들이 있다.

VoLTE 취약점에 대한 연구는 우리나라가 이동통신분야에서 가장 빠르게 기술을 선도하고 있다는 점에 착안해 연구가 진행됐다. 국내 VoLTE에서 발견될 수 있는 취약점이라면 전 세계적으로도 영향을 미칠 수 있다는 판단에서다.

김 교수와 연구원들은 이 분야 연구를 위해 국내는 물론 미국, 일본 등 현지에서 주요 이통사들이 서비스 중인 단말기들 9대를 직접 구매해서 일종의 필드테스트를 진행했다. 이동통신에 대해 제대로 된 실험환경을 갖추고 연구하기 위해서는 실제 기지국과 거의 같은 환경을 재현해 낼 수 있는 시설이 필요하다. 그러나 이런 연구에는 관련 소프트웨어를 구매하는 것만으로 1억원 이상 자금이 필요하다. 현실적인 어려움을 해결하기 위해 김 교수와 연구원들은 직접 몸으로 뛰어 필요한 연구를 진행했다. 연구를 위해 누군가 현지에 출장갈 때마다 필요한 여러 테스트용 제품들을 구매해 오고 현지에서 테스트도 해 본다는 것이 그의 말이다.

그는 "보안연구에서 ASLR과 같이 최신 보안매커니즘에 대한 새로운 공격방법, 이에 대한 방어법 등을 고안해 내는 것이 일반적인 경향"이라면 "이머징 시스템에서 새로운 공격방법을 알아내는 것이 또 다른 흐름"이라고 밝혔다. 카이스트 시스템보안실의 경우 후자에 비중을 두며 아직 연구초기에 미개척지로 남아있는 분야를 우선적으로 공략한다.

전 세계를 대상으로 사이버전, 사이버테러, 사이버첩보활동과 함께 대형금융보안사고 등이 끊이지 않는 상황에서 정보보호분야는 앞으로 더 비중있는 자리를 차지할 것으로 전망된다.

미국에서 10년, 국내서 3년 간 정보보안 담당 교수로 몸 담고 있는 그의 눈에 비친 정보보안연구에서 중요한 덕목은 무엇일까. 그는 '덕후스러움'을 꼽았다. 일본에서 애니메이션이나 건담 마니아 등 한 분야에 미쳐 있는 사람들을 뜻하는 '오타쿠'와 같이 어떤 특정 분야에 대해 터무니 없이 넓고 깊은 지식을 갖고 있는 사람들이 그 분야의 정보보안 분야에서 성공할 수 있다는 설명이다.

실제로 그가 미국에서 교수생활을 하던 시절에는 어렸을 때부터 시스코 라우터에 대해 관심을 가지면서 한 우물만 팠던 연구원과 함께 논문을 써서 발표했던 적이 있었다. "평범하게 교과수업만 잘 들었던 학생들보다는 뭔가에 미쳐 본 경험이 있는 학생들을 좋아한다"는 것이 그의 말이다.

취약점을 찾아내고, 이를 통한 해킹이 가능하다는 점을 밝혀내기 위해서는 오랜시간 동안 한 분야에 집중적인 연구가 필수다. 만약 한 사람이 그 분야에 전문가 못지 않은 지식과 열정을 갖고 있으면 그만큼 남들이 못보는 다른 면을 공략할 수 있는 가능성이 높아진다는 것이다.

물론 덕후이기 전에 기본기가 튼튼해야한다고 그는 강조한다. 정보보호 분야는 운영체제(OS)에서부터 프로그래밍 언어, 컴파일러, 기본적인 프로그램들에 대한 기초체력을 갖추고 있어야한다는 것이다. 김 교수는 세계최대 버그바운티(취약점 포상제)인 '폰투오운(Pwn2Own)'에서 개인자격으로 상금을 휩쓸고, 데프콘23 CTF에서 한국팀 DEFKOR의 우승을 이끌었던 주역인 이정훈 연구원 같은 사람은 말 그대로 손에 꼽는다고 말한다.