당신은 주제를 찾고 있습니까 “이정훈 해커 – 해커 잡는 ‘화이트 해커’ 한국인, 구글·MS 뚫다“? 다음 카테고리의 웹사이트 ppa.maxfit.vn 에서 귀하의 모든 질문에 답변해 드립니다: https://ppa.maxfit.vn/blog/. 바로 아래에서 답을 찾을 수 있습니다. 작성자 KBS News 이(가) 작성한 기사에는 조회수 131,011회 및 좋아요 570개 개의 좋아요가 있습니다.
이정훈 해커 주제에 대한 동영상 보기
여기에서 이 주제에 대한 비디오를 시청하십시오. 주의 깊게 살펴보고 읽고 있는 내용에 대한 피드백을 제공하세요!
d여기에서 해커 잡는 ‘화이트 해커’ 한국인, 구글·MS 뚫다 – 이정훈 해커 주제에 대한 세부정보를 참조하세요
앵커 멘트
한국인 해커가 국제 해킹 대회에서 세계적인 IT기업들의 프로그래밍 오류를 발견해 상금 2억5천만원을 받았습니다.
역대 최대 규모의 상금도 상금이지만, 해커를 ‘착하게’ 활용하는 이른바 화이트 해커 문화가 우리 기업에도 정착돼야 한다는 지적입니다.
박경호 기자의 보도입니다.
리포트
마이크로소프트의 익스플로러, 구글의 크롬, 그리고 애플의 사파리 등 세계 최고 IT기업들의 인터넷 프로그램에서 보안 허점을 찾는 세계 대회.
한국의 한 젊은 IT 전문가가 해커가 악용할 경우 시스템에 이상을 일으킬 수 있는 취약점 7가지를 발견해 우승했습니다.
발견한 취약점의 가치로 상금을 주기 때문에 우승상금도 2억 5천만 원이 넘었습니다.
대회 사상 최대 규모입니다.
주인공은 국내 한 보안업체 연구원인 이정훈씨,
인터뷰 이정훈(라온시큐어 연구원) : \”인간이기 때문에 완벽하게 코딩할 수가 없어요. 그런 프로그래머들의 실수를 찾아내는 게 화이트 해커 저 같은 사람들의 역할이죠.\”
이씨가 찾아낸 오류는 즉시 각 기업들에게 보고돼 프로그램을 고치는 데 사용됩니다.
글로벌 기업들은 이렇게 화이트 해커를 활용하지만 국내 사정은 다릅니다.
녹취 IT보안 업체 관계자(음성변조) : \”해킹에 대해서 합법화되는 부분이 명확하지 않은 부분이 있고요. 기업들도 취약점을 찾아내서 제보한다 하더라도 포상을 하기 보다는 규제하고 고소하는 경우도 있고요.\”
최근 한수원 해킹 사건과 같이 사이버 공격이 잦아지고 있어 보안 전문가, 이른바 화이트해커를 활용할 정책적 뒷받침이 필요하다는 지적이 높습니다.
KBS 뉴스 박경호입니다.
이정훈 해커 주제에 대한 자세한 내용은 여기를 참조하세요.
이정훈 – 나무위키
8. 대한민국의 해커 이정훈[편집] … 1994년생. lokihardt라는 아이디로 알려져 있다. 국내 최고의 보안 취약점 헌터이다. … 2012년에는 루멘소프트 보안 …
Source: namu.wiki
Date Published: 7/10/2021
View: 4884
오르만디·이정훈 등 구글 해커들, 최근 취약점 발견 ‘대활약’
DNS 리바인딩 공격으로 비트토렌트 클라이언트 침투해 시스템 통제 가능 취약점 발견의 1등 공신 프로젝트 제로 팀, 한국인 이정훈의 활동도 활발
Source: m.boannews.com
Date Published: 3/27/2022
View: 5881
주제와 관련된 이미지 이정훈 해커
주제와 관련된 더 많은 사진을 참조하십시오 해커 잡는 ‘화이트 해커’ 한국인, 구글·MS 뚫다. 댓글에서 더 많은 관련 이미지를 보거나 필요한 경우 더 많은 관련 기사를 볼 수 있습니다.
주제에 대한 기사 평가 이정훈 해커
- Author: KBS News
- Views: 조회수 131,011회
- Likes: 좋아요 570개
- Date Published: 2015. 3. 24.
- Video Url link: https://www.youtube.com/watch?v=u4KIdHA8sfk
천재 화이트해커 이정훈 삼성을 버리고 구글을 택한 이유
해킹대회 사상 최대상금 수상자, 한번에 모든 브라우저를 해킹한 최강의 실력자, 바로 “나는 어떤 프로그램이든 해킹할 자신이 있다.”고 선언해버린 세계 최정상의 해커 이정훈씨를 따라다리는 수식어 인데요. 어렸을때 부터 컴퓨터에 남다른 관심이 있었다는 이정훈씨는 삼성에서 꼭 필요한 인재라며 스카웃을 하면서 화제가 됐었습니다. 하지만 이씨는 삼성SDS에서 1년도 채우지 못한채 퇴사를 한 후 구글로 자리를 옮겼다고 합니다. 그래서 오늘은 세계 최고의 해커라 불리는 이정훈씨의 이야기를 알려드리도록 하겠습니다.
▼남들은 한참 중2병에 앓고 있던 시절 이정훈씨는 할머니집을 방문하다고 운명과도 같은 C언어 책을 처음 접하게 됩니다. 그 책은 당시 프로그래머로 일을 하던 삼촌이 할머니집에 두고간 책이었다고 합니다. 이 책은 이정훈씨의 인생에 전환점이 된 C언어책을 보기 전까지만 해도 이씨는 그냥 컴퓨터 게임을 좋아하던 평범한 학생이었다고 합니다.
▼호기심에 C언어 책을 본 그는 컴퓨터 프로그래밍이 흥미가 생기기 시작했다고 합니다. 그리고 자신이 좋아하는 컴퓨터 게임이 어떻게 만들어지는 것인지에 대해서도 궁금해지기 시작해졌죠. 이 생각은 곧 ‘나도 해커가 되야 겠다!’라는 생각으로 바뀌었다고 합니다. 그래서 비주얼 베이직부터 차근차근 지식을 쌓았다고 합니다.
▼이후 자신이 해킹 실력이 어느정도가 되는지 궁금해하던 그는 2010년 한국인터넷진흥원에서 주죄하는 해킹대회 소식을 듣고 참가를 결정하게 됩니다. 이 때 나이가 18살 고2 때였다고 하죠. 국내에서 가장 큰 해킹대회였던 “제7회 KISA 해킹방어대회”에 참가한 이정훈씨는 곧바로 2위에 오르게됩니다. 학생부와 성인부 구분이 없었던 대회였던 만큼 고등학교 2학년 학생이 2위를 입상한 사실도 이슈가 됐습니다.
이후 국내 유수의 해킹대회에 입상을하며 유명세를 얻게 됐다고 합니다. 그가 입상한 국내 대회는 9개 됩니다.
2010년 제7회 KISA 해킹방어대회(2위)
2010 정보보호페스티벌(우승)
2010 ARGOS 해킹 페스티벌(1위)
2011년 19회 전국정보과학 올림피아드(1위)
2011년 ISEC CTF 해킹대회(3위)
2011년 정보보호 페스티벌(1위)
2011년 HUST 해킹 페스티벌(2위)
2011 CAT 홀리쉴드 해킹대회(1위)
2012년 청소년 화이트해커 경진대회(1위)
▼이후 2013년 인하대학교 컴퓨터 공학과에 입학하게된 이정훈 씨는 본격적인 활동을 시작하게 됩니다. 20세대 라스베가스에서 열린 해킹올림픽 ‘제21회 데프콘’에서 3위를 차지하며 글로벌 무대에 혜상같이 등장하게 됩니다. 또한 2014년에는 한국팀 ‘EDF KOR’을 이끌어 아시아팀으로는 처음으로 대회 우승을 하는 기록을 만들었다고 합니다.
▼그리고 2015년 3월 캐나다에서 열린 보안 컨퍼런스인 캔섹웨스트(CanSecWest)의 버그바운드(Bug Bounty) 대회읜 폰투온(Pwn2Own) 대회에서 그는 사람들이 가장 많이 사용하는 브라우저 3종을 모두 해킹했버렸다고 합니다. 그리고는 상금 22.5만 달러를 챙겨 역사상 가장 큰 우승상금의 주인공이 됐습니다.
크롬($75,000) + 시스템 권한 상승($25,000) + 새로운 보안 메커니즘이 추가된 크롬 베타 버젼($10,000)
IE11($65,000)
맥 사파리($50,000)
▼물론 2016년에도 이정훈씨는 최다 상금을 타낸 사람으로 이름을 올렸는데요. 이렇게 국내를 넘어 해외에서까지 최고의 실력자로 인정받게된 그를 삼성에서는 꼭 필요한 인재라며 삼성SDS에 영입을 하게 됩니다. 하지만 안타깝게도 1년을 채우지 못하고 그는 구글로 이직을 했다고 합니다.
▼업계 전문가들은 한결같이 한국의 기업문화가 이씨와 같은 해커들이 일을하기에 어려운 환경이기 때문에 이씨가 이직을 한 원인일 것이라고 말했습니다. 한국은 흔히 말하는 학벌과 ‘증’을 중요시 하기 때문이죠. 대학교를 자퇴하고, 낮보다는 밤에 일하는 걸 좋아하는 이씨는 국내환경에 불만을 가졌을 거란 분석입니다.
▼이씨가 구글에 입사한 후 공교롭게도 삼성전자에서는 해킹대회를 열었는데요. 이 대회의 운영방식만 봐도 해커에 대한 외국과 우리나라 인식의 차이를 느낄 수 있습니다.
업계에 따르면 삼성전자는 최근 해킹 방어대회 ‘삼성 캡처 더 플래그(SCTF)’를 개최했다. 대기업이 주관한 행사로는 처음이다. 1160명이 예선에서 경합을 벌여 79명이 본선에 참가했다.
SCTF 문제와 운영방식은 독특하다. 단체전으로 공격에 치중하는 기존 대회와 달리 방어, 코딩, 암호, 역공학까지 보안 기본기를 고루 갖춘 인재를 찾으려는 노력이 엿보인다. 삼성전자는 올해를 시작으로 내년에도 SCTF를 개최할 예정이다. 다양한 기본기를 평가해 SCTF가 사실상 삼성 보안인력 입사 시험으로 대체할 가능성도 엿보인다.
안길준 삼성전자 전무는 “SCTF는 기존 해킹대회처럼 문제 풀이 방식이지만 공격 기술에 치중하지 않았다”면서 “참가자가 가진 사이버 보안 역량을 골고루 평가하기 위해 공격, 방어, 코딩, 알고리즘, 역공학 등 5개 분야 문제를 출제했다”고 말했다.
우승자 선정방식도 달랐다. 각 영역 문제마다 문제 수가 다르다. 무조건 문제를 많이 푼다고 좋은 것도 아니다. 남들이 적게 푼 문제를 풀어야 배점이 높다. 아무도 풀지 않은 암호 문제 1개를 풀면 1000점이다. 누군가 갑자기 내가 푼 암호 문제를 풀면 배점은 낮아진다. 국내 많은 화이트 해커는 주로 공격 분야 문제에 익숙하다. 공격 분야 문제를 푼 사람이 많아지면 그 영역 가치는 낮아진다.
대회 공동운영장을 맡은 김용대 KAIST 교수는 “대부분 국내서 보안을 하는 사람은 세계에 이름을 알린 해커 ‘이정훈’처럼 되고 싶어하며 보안 편식 현상이 심해졌다”면서 “보안은 시스템 해킹이 전부가 아니다”라고 설명했다. 김 교수는 “실제 기업에서 필요한 보안 인력은 취약점을 찾는 능력뿐만 아니라 프로그래밍과 암호에 대한 기본 지식을 알고 잘 활용할 줄 알아야 한다”고 강조했다.
삼성전자는 SCTF를 통해 원하는 보안 인재를 뽑는 기회를 마련했다. 삼성전자가 필요로 하는 5가지 부문 중 모두를 잘하는 인재를 선발할 수 있다.
▼이정훈씨가 삼성을 버리고 구글을 선택한 이유는 본인이 가장 잘 았겠지만, 삼성전자도 아닌 삼성SDS에서 그의 꿈을 펼치기는 좀 어려운게 아니었나 하는 생각을 해봅니다. 그리고 만일 삼성전자에서 근무를 했었어도 OS나 인터넷 분야에서 삼성전자의 위상은 스마트폰이나 반도체에 비하면 한참 떨어지는 수준이었을 테니 삼성전자보다는 구글이 그의 꿈을 펼치기 더 좋은 회사인 것은 분명해 보이기도 하구요.
▼많은 분들이 이정훈씨의 인터뷰 내용에 대해서 궁금해하셔서 추가 합니다.
갑작스러운 이직에 대해 이씨는 “해커로서 더 배우고 더 성장하고 싶다. 구글에서 세계최고의 해커들과 함께 일하고 싶다”고 말했다. 그는 또 “영어를 잘 못해 걱정이고 연봉도 삼성이 더 많지만 보안전문가의 꿈을 키우기 위해서는 구글이 낫다는 생각이다”고 덧붙였다.
관련글 : 구글러만 누릴 수 있는 환상적인 복지혜택 25가지
▼천재 해커 이정훈씨는 지난 11일 세계 3대 해킹대회 인 ‘히트콘(HITCON)’에서 3년 연속 우승을 차지하는데 기여를 하기도 했는데요. 그는 원격으로 한국 대표팀(Cykorkinesis)의 멤버로 참여하여 팀의 우승을 도왔다고 합니다. 이로써 한국대표팀은 상금 1만 달러와 내년 미국에서 열리는 세계 최대 해킹대회 ‘데프콘(DEFCON) CTF’ 본선 자동 진출권을 확보했습니다.
▼끝으로 주커버그가 주주들에게 보낸 ‘해커의 길’의 서한을 보면서 개발자 출신들이 세운 구글, 페이스북이 해커들을 어떻게 생각하고 관리해주는지 알아보면서 글을 마칩니다.
해커의 길(The Hacker Way)
강한 회사를 만드는 방법의 하나로, 우리는 페이스북을 훌륭한 인재들이 세상에 영향을 끼치고 서로 배울 수 있는 공간으로 만들기 위해 최선을 다하고 있습니다. 우리는 우리만의 고유한 문화와 경영방식을 계발해 왔으며, 우리는 이를 해커웨이 (Hacker Way)라고 부릅니다.
“해커”라는 단어는 미디어에서 (남의)컴퓨터를 터는 사람들로 묘사되어 부당하게 부정적 이미지를 가지고 있습니다. 사실은, 해킹이란 뭔가 재빨리 만들거나, 불가능한 것에 도전하는 것을 의미합니다. 다른 대부분의 것들처럼, 좋게 혹은 나쁘게도 사용될 수 있습니다. 하지만 제가 여태껏 만나본 대부분 해커들은 세상에 긍정적 영향을 끼치고 싶어하는 이상주의자 경향이 있습니다.
해커방식은 끊임없는 개선과 이터레이션* 방식을 포함합니다. 해커들은 언제나 더 개선될 수 있고, 완성이란 있을 수 없다고 믿습니다. (잘못된 것이 있으면)꼭 고쳐야 합니다.-종종 ‘그건 안돼’ 혹은 ‘이정도면 됐잖아’ 라고 말하는 사람들 에 맞서서.
해커들은 모든 것을 한번에 완벽히 하려고 하기보다는 빠른 출시와 작은 이터레이션을 통해 배움으로써 장기적으로 최고의 서비스를 만들려고 노력합니다. 이를 위해서 우리는 언제던 수천 개의 페이스북 버전을 테스트할 수 있는 프레임워크를 만들었습니다. 우리는 계속해서 (새로운 버전을) 출시하는것을 잊지 않기 위해 “완성이 완벽보다 낫다” 라는 말을 벽에 써놓았습니다.
그리고 해킹은 원래 직접 해보는 능동적인 연습입니다. 새로운 아이디어가 (실현)가능한지, 혹은 뭔가 만드는 최선의 방법이 무엇인지 며칠동안 토론하는 대신, 해커들은 차라리 그냥 프로토타입을 만들어 무엇이 잘되는지 확인합니다. 패이스북에서 자주 듣는 해커들의 만트라가 있습니다: “코드가 논쟁보다 낫다.”
해커문화는 완전 개방적이고 실적 위주 입니다. 해커들은 최고의 아이디어와 최고의 구현이 늘 이겨야 한다고 믿습니다 -아이디어를 로비 잘하는 사람이나, 윗자리에 있는 사람이 아닌.
이 방법을 독려하기 위해, 우리는 모든 사람이 자기가 가지고 있는 새로운 아이디어를 만들어볼 수 있는 해커톤*을 몇 달마다 갖습니다. 마지막에 모든 팀이 함께 모여 만든 것을 들여다봅니다. 우리의 성공한 프로덕중 많은 것들이 이 해커톤에서 만들어졌습니다. 타임라인, 체팅, 비디오, 모바일 개발 프래임웍 그리고 HipHop컴파일러같은 중요한 인프라가 여기 포함됩니다.
우리의 모든 엔지니어가 확실히 이 방법을 공유하도록, 모든 새로운 엔지니어들은 -코드를 짤 필요가 없는 매니저들도 포함해서- 페이스북 코드베이스와 툴, 그리고 해커방식을 을 배울 수 있는 ‘부트캠프’ 에 참가해야 합니다. 우리 분야에는 엔지니어들을 관리하지만 코드를 직접 짜고싶어하지는 않는 사람들이 많습니다. 하지만 우리가 원하는 사람은 이 부트캠프를 할수있고, 하고싶어하는 사람들입니다.
위의 사례들은 모두 엔지니어링에 관련되었습니다. 하지만 우리는 이 세가지의 원칙을 가지고 페이스북을 경영하는 다섯가지 핵심 가치로 만들었습니다.
1. 영향력에 대한 집중 우리가 최대의 영향력을 원한다면, 최고의 방법은 언제나 가장 중요한 문제점을 해결하는 데 집중하도록 하는 것입니다. 간단하게 들리지만, 많은 회사가 제대로 실행하지 못하는 부분이고, 그래서 많은 시간을 낭비한다고 생각됩니다. 페이스북의 모든 사람은 일할만한 가장 중요한 문제점이 무엇인지 찾는 데 뛰어나야 합니다.
2. 빠르게 움직일것 빠르게 움직여야만 우리는 더 많은 것을 만들고 더 빨리 배울수있습니다. 하지만 많은 회사들이 성장하면서 실수하기를 두려워하게 되고, 따라서 느려지고, 또 느려져서 많은 기회들일 잃게 됩니다. 페이스북에서 하는 말이 있습니다: “빨리 움직여서 망가뜨려봐” 만약 당신이 아무것도 망가뜨리지 않고 있다면, 당신은 아마도 충분히 빠르게 움직이고 있지 않다는 이야기입니다.
3. 대담할 것 위대한 것을 만든다는 건 모험을 한다는 것이다. 이건 겁나는 일이고 많은 회사들이 그떄문에 당연히 해야하는 대담한 일들을 못하게 됩니다. 그러나 지금처럼 엄청나게 빠르게 변화하는 세상에서 우리가 모험을 택하지 않는다면, 우리는 당연히 실패하게 되어있습니다. 우리가 하는 또다른 말이 있죠: “가장 위험한 일은 아무 위험도 감수하지 않는 것이다” 우리는 모두가 대담한 결정을 내리기를 격려합니다, 때로 그것이 잘못된 결정일지 라도 말이죠.
4. 열린 회사 사람들이 더 많은 정보를 가졌을때 더 나은 결정을 내릴수있고, 더 큰 영향력을 끼칠수있습니다. 그래서 우리는 더 열린 세상이 더 나은 세상이라고 믿습니다. 이것은 회사를 경영할떄도 마찬가지 입니다. 우리는 페이스북의 모든 사람들이 회사의 모든 부분에 있어서 최대한 많은 정보에 접속할 수 있도록 노력하고 있씁니다. 그래서 모두가 최고의 결정을 내리고 최대의 영향력을 끼칠 수있도록 말입니다.
5. 공적 가치를 세우기 다시 한번 말하지만. 페이스북은 더 열리고 더 서로 연결된 세상을 만들기 위해 존재합니다. 단지 회사를 만들기 위해서가 아닙니다. 우리는 페이스북의 모든 사람이 매일매일 하는 모든일에 있어서 이 세상에 진실된 가치를 어떻게 만들어 내는지에 집중하기를 원합니다.
시간을 내어 이 편지를 읽어 주셔서 감사합니다. 우리는 우리가 세상에 중요한 영향을 끼치고, 그 과정에서 오래 지속하는 회사를 만들어 낼 기회를 갖고 있다고 믿습니다. 우리가 다 같이 어떠한 위대한 것을 만들어 낼 것을 기대하고 있습니다.
천재 화이트 해커 ‘이정훈’이 한국을 떠난 이유
한국의 천재 화이트 해커 이정훈 씨는 왜 한국을 떠나게 됐을까? 지난해 업계에 따르면 이정훈씨는 10월 대학을 중퇴하고 삼성SDS에 입사했지만, 곧 미국에 있는 구글로 이직했다. 화이트 해커란 선의의 해커를 지칭하는 말로 민.관에서 활동하는 보안전문가들을 지칭한다. 고의적으로 인터넷 시스템을 파괴하는 해커인 블랙 해커나 크래커와는 다르다. 이들은 주로 미비한 보안시스템을 발견해 관리자에게 제보하거나, 블랙 해커들의 공격을 퇴치하는 역할을 맡는다. 이정훈씨는 국내 화이트 해커 중에서도 최고의 실력자로 꼽히던 인물이었다. 그는 20세 때 미국 라스베이거스에서 열린 해킹 올림픽 제21회 데프콘에서 깜짝 3위를 차지했으며, 2015년에는 한국팀 EDF KOR를 이끌고 아시아팀으로서는 최초로 우승을 하기도 했다. 특히 2015년 3월에는 캐나다에서 열린 해킹 대회에 홀로 참가해 1위에 오르며 해킹 역사상 최대 상금(약 2억 5천만원)을 획득해 세계를 놀라게 했다. 특히 그는 이 대회에서 구글과 애플, 마이크로소프트의 인터넷 접속 프로그램 보안망을 전부 뚫었는데, 이는 이정훈씨가 마음만 먹으면 모든 스마트폰과 PC를 해킹할 수 있다는 뜻이기도 하다. 삼성 측은 이정훈 씨를 영입하며 “삼성의 보안 사업 자체를 위해 절대적으로 필요한 인력”이라며 “우수한 천재 해커가 외국 기업으로 취업을 희망한다는 얘기를 듣고 반드시 영입해야 한다고 생각했다”고 말했다. 하지만 그로부터 1년이 되지 않아 이정훈씨는 스스로 삼성을 떠났다. 이정훈씨는 “보안전문가의 꿈을 키우기 위해서는 삼성보다 구글이 더 낫다고 생각한다”고 말했지만, 그의 구글행은 화이트 해커를 인정하지 않는 사회의 풍토가 원인이 되었다는 말도 나온다. 화이트 해커들은 해커라고 하면 범죄자 취급을 당해 숨기는 경우가 적지 않다는 것. 세계 3대 해커로 꼽히는 홍민표 에스이웍스 대표 역시 한국 기업 토양에서는 화이트 해커가 자생하기 어렵다고 말한다. 그는 한 언론 인터뷰에서 “외국은 뛰어난 해킹 실력만 있으면 기업이나 연구소에 우수인력으로 영입되는 사례가 많다”며 “하지만 국내에선 아무리 실력이 뛰어나도 졸업장이나 자격증 등 이른바 증이 없으면 취업하기가 쉽지 않다”고 말했다. 또한 화이트 해커에 대한 처우도 지나치게 낮다고 지적했으며, 시스템 보안은 집중력이 필요한 작업이라 해커들은 낮보다는 밤에 집중적으로 일하는 경우가 많은데 이조차도 수용되지 않는다고 한다. 홍민표 대표는 “대기업에 있을 때 밤새워 일하고 아침에 지각해 혼나는 경우가 많았다”며 “대기업에서는 보안이 중요하다는 인식은 있었지만 해커를 전문가로 대접해 주지 않았다”고 전했다. 콘텐츠 저작권자 ⓒ지식의 정석 (무단복제 및 재배포 금지)/사진 = Youtube, HP Security Research 캡쳐
화이트해커, 이정훈 학우를 만나다.
안녕하세요. 오늘은 인하대의 영광스러운 인재 컴퓨터 공학과에 재학중인 이정훈 학우를 소개하겠습니다. 혹시 ‘버그 바운티(Bug Bounty)’라고 들어보셨나요? 버그 바운티는 Web 서비스나 Software 보안 취약점을 찾아낸 사람에게 포상금을 지급하는 프로그램입니다. 조금 더 설명하자면, 해외 기업의 경우 Google, Facebook, Microsoft 社 등 글로벌 기업들이 제품의 서비스 보안을 강화하는 수단으로 적극적으로 버그 바운티를 활용하고 있습니다. 버그 바운티 대회중 폰투온(Pwn2Own)이란 대회가 있는데요. 이 대회는 매년 캐나다 밴쿠버에서 캔섹웨스트(CanSecWest) 보안 컨퍼런스에서 펼쳐진다고 합니다. 바로 이정훈학우가 올해 3월 폰투온 대회에서 22만5000달러(미화)의 상금을 획득했는데요. 이 굉장한 소식을 이정훈 학우와 함께 풀어나가겠습니다. 🙂
안녕하세요. 저는 컴퓨터 공학과 13학번 이정훈입니다. 현재 정보보안 업체인 라온시큐어에서 병역특례를 하고 있습니다.
매년 캐나다 벤쿠버에서 열리는 웹 브라우저 및 플래시, 어도비 리더 등을 대상으로 하는 해킹 대회입니다. 참가자는 미리 참가 신청을 해놓고 참가 신청한 카테고리(타겟)에 대한 취약점과 익스플로잇(취약점을 공격하는 코드)를 준비해야 합니다. 준비해야할 취약점은 이때까지 단 한 번도 보고되지 않은 취약점(제로데이)여야합니다. 엄청난 상금이 걸린 것으로도 유명한 대회이며 매년 난이도가 높아지고 있습니다. 올해 같은 경우는 작년과는 달리 여러 보안 메커니즘(EMET 등)이 추가되었습니다.
먼저 폰투온 대회의 타겟은 다음과 같습니다.
Windows-based targets:
Google Chrome (64-bit): $75,000 (USD)
Microsoft Internet Explorer 11 (64-bit with EPM-enabled): $65,000 (USD)
Mozilla Firefox: $30,000 (USD)
Adobe Reader running in Internet Explorer 11 (64-bit with EPM-enabled): $60,000 (USD)
Adobe Flash (64-bit) running in Internet Explorer 11 (64-bit with EPM-enabled): $60,000 (USD)
Mac OS X-based targets:
Apple Safari (64-bit): $50,000 (USD)
총 6개의 카테고리로, 카테고리 별로 상금이 다르고 카데고리의 타겟을 성공적으로 공격할 시 해당 상금과 공략에 성공한 노트북을 받게 됩니다. 또 적혀있는 상금과 별개로 추가적인 업적을 달성하면 그만큼 상금을 더 주고 있습니다. 제가 준비했던 카테고리는 다음과 같습니다.
1. 크롬($75,000) + 시스템 권한 상승($25,000) + 새로운 보안 메커니즘이 추가된 크롬 베타 버젼($10,000)
2. IE11($65,000)
3. 맥 사파리($50,000)
크게 어려운 점은 영어로 의사소통을 해야 한다는 점이 있었습니다. 하지만 이 부분은 잘 아는 분의 도움으로 해결할 수 있었습니다. 또 현장의 분위기는 제가 말로 어떻게 설명을 해야 할지 잘 모르겠네요. 대회 관련한 영상이 있으니 그 영상을 보면 대회의 현장 분위기를 느낄 수 있을 것 같습니다.
대회 현장의 모습
주 업무는 보안 관련된 소프트웨어 개발이며 이와 별개로 웹브라우저 같은 소프트웨어에서 취약점을 찾고 있습니다.
해킹 대회에는 몇몇 종류가 있습니다. 크게 폰투온처럼 실제 소프트웨어를 대상으로 하는 대회와 문제 출제자가 존재하고 이 출제자가 출제한 문제를 푸는 해킹대회가 있습니다. 이 SECCON 대회가 후자에 속하는 대회입니다. 암호학, 시스템 해킹, 리버스 엔지니어링, 웹 해킹 등 여러 종류에서 문제가 나왔었고 팀원 각각의 전문분야와 딱 맞아 떨어지는 문제들을 각각 풀어내어서 우승할 수 있었습니다. 또 대회 현장의 모습은 큰 대회장에서 팀별로 테이블에 앉아 문제를 풉니다. 그리고 대회 상황을 중계해주는 3D 모니터링 시스템이 존재합니다. 그래서 해당 분야에 대해 잘 모르는 사람들도 모니터링 시스템을 통해 대회가 어떻게 진행되고 있는지 알 수 있습니다.
저는 아주 어릴 때 우연히 접한 프로그래밍 서적을 통해 개발에 입문하게 되었습니다. 해킹 쪽으로는 개발 공부를 하면서 잠깐 잠깐 공부했었구요. 고등학교 때는 게임 개발을 전문으로 하는 특성화 고등학교에 진학하여 개발에 열중했었습니다. 그러다가 해킹/보안 분야가 더 재밌고 더 재능이 있다는 것을 알게 되어 고등학교 졸업하면서 완전히 해킹/보안 분야로 전념하게 되었습니다.
전 제가 하고 싶은 일을 하고 있기 때문에 아주 만족하고 있습니다. 게다가 많은 성취를 하고 있으니 지금까지 후회는 없는 것 같습니다.^^
저는 딱히 큰 목표나 꿈을 정해놓고 살고 있지는 않습니다. 현재를 바라보면서 제 눈앞에 펼쳐진 흥미 거리가 있다면 그것을 향해 돌진하는 편입니다.
지금까지 이정훈 학우와의 인터뷰를 보았는데요. 같은 또래이지만 먼저 자신의 분야에서 큰 수확을 일구어낸 이정훈 학우가 인하인으로서 자랑스럽습니다. 또 앞으로도 뛰어난 결과를 만들어내어 인하대와 한국을 멋지게 빛내 줄 이정훈 학우의 앞날이 기대됩니다. 우리도 우리의 분야에서 더 열심히 노력하고, 꾸준히 관심을 준다면 멋진 결과물들이 나오지 않을까요? 오늘도 주어진 현실에 충실하는 멋진 인하인이 됩시다. Let’s stick with our reality! 이상으로 인하누리였습니다.
천재 해커 23살 이정훈
[문화뉴스] ‘천재 해커’ 이정훈 씨가 삼성을 떠나 구글로 이직한다는 보도에 대해 삼성이 이를 부인했다.지난 26일 조선일보는 천재 ‘화이트 해커’인 이정훈(23)씨가 오는 11월 현재 직장 ‘삼성 SDS’를 떠나 미국 구글로 이직한다고 보도했다.
▲ ⓒ Youtube ‘HP Security Research’
화이트해커란 좋은 일을 하는 해커를 가리키는 말로 해킹 범죄를 막는 보안전문가를 뜻한다.
이 씨는 지난해 3월 캐나다에서 열린 해킹대회에서 1위를 차지하며 대회 사상 최대 상금인 22만 5천달러(약 2억 5천만원)을 받았다.
특히 이 씨는 해당 대회에서 구글과 애플, 마이크로소프트의 인터넷 보안망을 다 뚫으면서 업계를 깜짝 놀라게 했다.
이 씨는 지난 2015년 10월 대학을 중퇴하고 삼성 SDS에 입사했다.
삼성 SDS 통합보안센터에서 이 씨는 스마트폰과 노트북, 냉장고 등의 보안 취약점을 찾아 막는 업무를 맡고 있다.
하지만 이 씨가 삼성 SDS에 입사한 지 1년 만에 회사를 떠난다는 보도에 업계에서는 화이트 해커를 제대로 대우하지 않는 한국 기업문화가 원인이라는 추측이 일었다.
한편으로는 화이트 해커를 인정하지 않는 우리 사회 풍토 때문이라는 추측도 제기됐다.
이에 대해 28일 삼성 SDS 측은 온라인 미디어 인사이트에 “이정훈 씨의 거취는 아직 정해진 바 없다”고 공식입장을 밝혔다.
삼성 SDS 관계자는 “이 씨의 계약이 11월에 만료되지만 이 씨에게 확인한 결과 앞으로의 계획은 확정된 게 없다”고 강조했다.
콘텐츠 에디터 이나경 [email protected]
그의 이력
인하대학교 컴퓨터공학과 13학번 중퇴
20살때 라스베이가스 해킹 올림픽에서 3위
라온시큐어에서 병역특례 복무
라온시큐어 이정훈, 이종호 연구원, 카이스트 대학원생 김은수, 윤인수씨로 팀을 만들어
국제해킹대회 세콘에서 최종 우승
폰투온 대회에서 팀이 아닌 혼자 출전하여 우승 (상금 2억 5천만원)
이 대회에서 마이크로 소프트, 애플, 구굴의 모든 인터넷 프로그램 보안망을 다 뚫어버렸다.
사실상 마음만 먹으면 현존하는 모든 pc와 핸드폰은 해킹할 수 있는 수준
삼성 sds 작년 10월에 스카웃 되었다.
조선일보 보도에 따르면 구글로 이직을 결심하게 된 계기는
구글에서 세계최고의 해커들과 일하고 싶고 그러기 위해서는 연봉은 삼성이 더 많지만 구글로 가는게 좋다고 밝혔는데
오늘 보도가 나간 후 삼성이 본인에게 직접 확인한 결과 아직 결정하지 않았다고 입장을 보류했다.
11월 달에 재계약해주면 연봉 인상과 여러가지 혜택들을 제시한 것 같다.
오르만디·이정훈 등 구글 해커들, 최근 취약점 발견 ‘대활약’
[보안뉴스 문가용 기자] 구글 프로젝트 제로 팀의 타비스 오르만디(Tavis Ormandy)는 트랜스미션 비트토렌트(Transmission BitTorrent) 클라이언트에서 원격 코드 실행을 가능케 해주는 치명적인 취약점을 발견했다.트랜스미션은 인기가 많은 오픈소스 비트토렌트 클라이언트로 윈도우, 맥, 리눅스에서 사용이 가능하다. 오르만디는 최근 이러한 토렌트 클라이언트를 여러 개 분석했고, 이 중 트랜스미션에서 심각한 취약점을 발견했다고 밝혔다. “공격자가 트랜스미션을 통해 사용자 시스템에 침투해 코드를 실행할 수 있습니다.”단, 공격이 성립하려면 공격 대상이 되는 인물이 특별히 조작한 웹사이트에 접속을 해야만 한다. “트랜스미션은 ‘클라이언트-서버’의 구조를 가지고 있습니다. 사용자 인터페이스가 클라이언트이며, 사용자가 보지 못하는 배경에서 데몬(daemon)이 다운로드와 시드 파일 등을 관리하는 기능을 가지고 있죠.”그 인터페이스와 데몬은 서버와의 통신을 위해 JSON RPC 요청을 보낸다. 이 때 사용되는 포트는 9091번이며, “디폴트상 데몬은 로컬호스트(localhost)에서 온 요청만을 수락하도록 되어 있다.” 하지만 이 때 DNS 리바인딩(DNS rebinding)이라는 공격 기법을 활용하면 로컬호스트를 확인하는 과정 자체를 우회할 수 있게 된다고 오르만디는 설명한다.다음과 같은 시나리오로 악용이 가능하다.1) 웹사이트를 하나 만들고 그 사이트의 서브도메인으로 가는 아이프레임을 추가한다.2) DNS 서버를 설정해 공격자가 통제하는 주소와 로컬호스트(127.0.0.1)에서 통제되는 주소가 번갈아 응답되도록 만든다.3) 이 때 TTL 시간을 최대한 줄인다.이 웹사이트에 누군가 접속하면, 브라우저가 공격자 통제 하에 있는 DNS 서버로 접속한 뒤 다시 로컬호스트로 옮겨가게 된다.“익스플로잇 자체는 간단합니다.” 오르만디 자신도 개념증명용 익스플로잇에 성공했다. “윈도우와 리눅스 환경에서 크롬과 파이어폭스로 실험했고, 다 성공했습니다.” 이 취약점은 CVE-2018-5702로 분류되었으며 11월 30일 트랜스미션 개발자들에게 전달됐다. 하지만 아직 공식 패치는 발표되지 않은 상황이다.이에 오르만디는 지난 주 개발자들에게 다시 연락을 취해 깃허브를 통해 패치를 공식 발표하겠다는 답을 받아냈다. 물론 정확한 날짜까지는 아직 나오지 않았다. 맥OS와 리눅스 버전의 경우 원격 접근이 가능한 상태여야만 익스플로잇이 가능하다고 한다. 그리고 원격 접근은 디폴트상 금지되어 있다.한편 구글의 또 다른 전문가인 세바스천 레키즈(Sebastian Lekies) 역시 이 문제를 발견해 트랜스미션 팀에 별도로 보고했다고 밝혔다. 그것도 심지어 5년 전에 말이다. 하지만 아무런 답장도 없었다고 한다. 2016년에는 트랜스미션 웹사이트가 뚫려 악성 설치파일이 심겨지기도 했다.타비스 오르만디가 속한 구글 프로젝트 제로 팀은 다양한 취약점을 찾아내는 집단으로 유명하다. 이번에 찾아낸 토렌트 클라이언트 외에 이미 올해 1월에만 인텔, ARM, AMD 프로세서에서 멜트다운(Meltdown)과 스펙터(Spectre) 취약점을 찾아내 세상을 떠들썩하게 한 바 있다. 또한 마이크로소프트가 공개한 1월 취약점 공개 내용을 보면 상당수의 취약점 제보자가 구글 프로젝트 팀으로 표기되어 있기도 하다.여기서 눈에 띄는 건 Lokihardt라는 닉네임이다. 예를 들어 CVE-2018-0776의 제보자는 “Lokihardt of Google Project Zero”라고 표기되어 있는데, 이는 외신 등에서도 ‘세계 최고의 해커’라는 수식어를 붙여주는 이정훈 씨의 것이다.보안 커뮤니티 내에서는 유명 인사라고 할 수 있는 해커들이 그 동안 구글 프로젝트 팀에 다수 합류했거나 거쳐 갔다. 지금은 구글 프로젝트 제로 팀의 상징과도 같은 타비스 오르만디도 이전부터 유명한 해커였고, 아이폰 탈옥으로 유명한 조지 호츠(George Hotz) 혹은 지오핫(GeoHot)도 구글 프로젝트 제로 팀에 2014년 합류했다. 이 팀을 이끌던 크리스 에반스(Chris Evans)도 두각을 나타내는 인물이었으나 2015년 테슬라로 영입됐다. 이 가운데 2012년부터 세계의 해킹 대회를 휩쓴 이정훈 씨가 소리 소문 없이 소프트웨어를 파헤치고 있는 것이다.와이어드지는 이 팀을 ‘구글의 비밀 병기’라고 부르기도 하고, 포춘지는 ‘해커들의 드림팀’이라고 칭하기도 하는데, 보안 전문가들 사이에서는 뛰어난 기술력을 뜻하는 ‘외계인 집단’이라는 별명도 가지고 있다. 멜트다운과 스펙터 사태 이전엔 인텔이 ‘외계인을 감금하고 있다’는 우스갯소리가 IT 업계 내 파다했었다.하지만 구글 프로젝트 제로 팀이 칭송만 받는 건 아니다. 취약점을 발견하고 소프트웨어 업체에 알리는 것까진 좋은데, 90일의 기한을 넘기면 패치가 나오든 말든 대중에게 공개하는 원칙을 고수하고 있기 때문이다. 구글 측은 “90일이면 패치 개발이 충분한 기간”이라고 주장하지만 반대로 “상황에 따라 얼마든지 짧은 시일이 될 수 있다”는 주장도 거세다.무엇보다 패치가 나오지 않은 상태에서 취약점부터 알리면 불필요한 피해자가 생길 가능성이 높아진다는 게 구글의 ‘90일 정책’을 반대하는 사람들이 내세우는 이유다. 그러나 구글은 현재까지도 90일 정책을 지키고 있고, 이는 서서히 업계 내 ‘표준’처럼 굳어져가고 있다.또 구글의 각종 서비스나 안드로이드에서도 취약점이 적잖이 발견되고 있는 가운데 ‘왜 자기 회사의 결함은 눈 감아 주고 다른 회사 서비스와 제품만 뒤져서 취약점을 찾느냐’는 비판도 있다. 취약점 정보를 쌓아두고 비밀리에 간직하고 있거나 정부와 물밑 거래를 하고 있는 건 아닌가 하는 의심의 시선도 존재한다.[국제부 문가용 기자( [email protected] )]www.boannews.com) 무단전재-재배포금지>
‘천재 해커’ 이정훈, 구글간다는 보도에 삼성이 불쾌해하며 내놓은 입장
[인사이트] 정희정 기자 = ‘천재 해커’로 불리는 이정훈 씨가 국내 최고 기업 삼성을 떠나 구글로 이직한다는 보도에 대해 삼성이 공식입장을 내놨다.지난 27일 한 매체는 천재 ‘화이트 해커’인 이정훈(23)씨가 오는 11월 현재 직장인 삼성 SDS를 떠나 미국 구글로 이직한다고 보도했다.
관련 업계에서는 세계 최고 수준을 자랑하는 화이트 해커 이 씨가 국내 최고 기업인 삼성을 떠난다는 보도가 연일 화제였다.
화이트 해커란 선의의 해커를 지칭하는 말로 해킹 범죄를 막는 보안전문가들을 통칭한다.
이 씨는 20세 때 미국 라스베이거스에서 열린 해킹 올림픽 ‘제21회 데프콘’에 참가해 3위를 차지하며 주목받기 시작했다.
지난해에는 이 씨가 이끈 한국팀 ‘EDF KOR’이 아시아 팀 사상 첫 우승을 거머줬다.
같은해 3월 캐나다에서 열린 해킹 대회에 홀로 참가한 이 씨는 1위를 차지하며 대회 사상 최대 상금인 22만 5천 달러(약 2억 5천만 원)를 획득하기도 했다.
특히 이 씨는 해당 대회에서 구글과 애플, 마이크로소프트의 인터넷 접속 프로그램 보안망을 다 뚫으면서 업계를 깜짝 놀라게 했다.
이는 현존하는 모든 PC와 스마트폰을 해킹할 수 있다는 의미로도 해석할 수 있다.
이 씨는 지난 2015년 10월 대학을 중퇴하고 삼성 SDS에 입사했다.
삼성 SDS 통합보안센터에서 근무하는 이 씨는 스마트폰과 노트북, 냉장고 등 삼성이 만드는 모든 전자제품의 보안 취약점을 찾아 막는 업무를 맡고 있다.
하지만 이 씨가 삼성 SDS에 입사한 지 1년 만에 회사를 떠난다는 보도가 나가자 업계에서는 화이트 해커를 제대로 대우하지 않는 한국 기업문화가 원인이라는 추측이 난무했다.
일각에서 화이트 해커를 인정하지 않는 우리 사회 풍토 때문이라는 추측도 제기됐다.
이에 대해 28일 삼성 SDS 측은 인사이트에 “이정훈 씨의 거취는 아직 정해진 바 없다”고 공식입장을 밝혔다.
삼성 SDS 관계자는 “이정훈 씨가 구글로 간다는 내용의 기사를 봤다”며 “이는 사실과 다르다”고 전했다.
이어 “이 씨의 계약이 11월에 만료되지만 이 씨에게 확인한 결과 앞으로의 계획은 확정된 게 없다”고 강조했다.
정희정 기자 [email protected]
유능한 ‘착한 해커’들 나가라 등 떠미는 한국 기업 문화
글씨키우기 글씨줄이기 프린트 top
facebook twitter kakao story naver band share
블록체인 비중 나날이 높아져…전문가들, 해커가 자생할 수 없는 제도적 환경 지적
“돈 많이 주는 회사, 하지만 재미가 없었다.”
보안컨설팅 업체 ‘스틸리언’의 신동휘 이사는 이곳이 벌써 5번째 회사다. 한국인터넷진흥원(KISA), 삼성SDS, 라온시큐어, 소프트포럼 등 여러 정보 보안 회사를 거쳤다. 국내 해커들 사이에서 최고 수준의 ‘실력자’로 인정받는 그가 그중에서도 대기업이었던 삼성SDS를 떠났던 이유는 ‘재미가 없어서’였다. 그는 삼성에 입사한지 겨우 7개월 만에 그만뒀다.
이유는 다르지만, 신 이사처럼 한국 기업에 취직했다 퇴사하거나 해외 유수의 기업으로 떠나는 ‘화이트햇 해커’의 수가 적지 않다. 화이트햇 해커는 악의적인 목적으로 활동하는 ‘블랙햇 해커’에 대비되는 개념으로, 전문적인 보안전문가를 의미한다.
경찰대 치안정책연구소가 1월18일 발간한 ‘치안전망 2018’에 따르면, 가상통화를 노리는 범죄 등 올해 사이버 보안 위협은 더욱 높아질 것으로 전망했다.
실제로 사이버 보안에 대한 위협은 이미 현실화됐다. 2014년 주요 카드사 고객정보 유출, 2016년 인터파크의 고객정보 유출 등 개인정보유출 사태, 2018년1월 폭로된 인텔 CPU의 보안상 결함 등 정보 보안 문제가 연일 터져나오고 있다.
최근 가상화폐 거래량이 폭등하며 일부 가상화폐 거래소의 연평균 거래량은 7조원을 돌파한 가운데, 거래소의 부실한 보안상태는 사회적 문제로까지 등장했다. 이처럼 최근 모바일 기반 플랫폼의 확산과 사물인터넷·가상화폐 등 블록체인 기술에 대한 사회적 관심과 의존도가 높아지면서, 보안전문가 화이트햇 해커에 대한 관심도 덩달아 높아지고 있다.
ICT 통합 보안 선도기업 라온시큐어 화이트햇센터 기태현 센터장은 “2차 산업혁명에는 인간 소외, 3차 산업혁명에는 정보 격차라는 문제가 발생했다면 4차 산업혁명에서는 정보 보안 문제가 화두가 될 것”이라며 “4차 산업혁명 시대에 해커의 역할과 규모가 커질 것”으로 전망했다.
한 국제 해킹방어대회에 참여한 한국인 참가자들. © 사진=연합뉴스
관료제 중심의 한국 기업, ‘화이트햇 해커’들 떠난다
화이트햇 해커의 중요성은 날로 커지고 있지만, 정부와 기업의 투자 방식과 해커 문화에 대한 이해 등 접근 방식이 부족하다는 평가가 많다. 해커의 일하는 방식이나 자유로운 문화를 관료제 중심의 국내 대기업이 수용하지 못한다는 지적이다.
신동휘 이사의 경우도 그랬다. 한 대기업에서, 의자에 앉아 처음 일을 시작한지 2시간 만에 퇴사를 마음먹었다는 그는 “돈은 많이 줬지만 정해진 절차를 반드시 준수해야 하는 점도, 상사의 권위적인 태도도 참을 수 없었다”며 “실력 있는 상당수 해커들이 대기업을 기피하는 이유는 재미가 없고 권위적이기 때문”이라고 말했다.
모바일 보안업체 에스이웍스 홍민표 대표도 그랬다. 홍 대표는 “대기업에 있을 때 밤새워 일하고 아침에 지각해 혼나는 경우가 많았다”며 “대기업에서는 보안이 중요하다는 인식은 있었지만 해커를 전문가로 대접해주지 않았다”고 소리를 높였다. 결국 그는 스스로 회사를 차려 나왔다. 국내 해커들이 모여 만든 스틸리언의 출근 시간은 일반 기업보다 늦은 오전 11시. 2013년 실리콘밸리로 진출한 에스이웍스는 직원 스스로 업무 시간을 정하는 탄력적 출근제를 실시하고 있다.
한국형 대기업에선 연구․개발의 자율성이 부족하다는 점도 꾸준히 지적되고 있다. 2010년부터 각종 해킹대회에서 우승하며 ‘세계 최고의 해커’ 타이틀을 얻은 이정훈씨가 2016년 삼성SDS에서 구글로 이직한 일이 업계에서 화제가 되기도 했다. 보안컨설팅업체 라온시큐어 화이트햇 센터의 기태현 센터장은 “이정훈씨의 경우 삼성보다 구글에서 제시한 연봉이 적었다”며 “이정훈씨는 인터넷 브라우저 보안에 관심이 많았는데, 한국에선 관련 연구를 다루는 회사가 없어 구글을 선택한 것으로 알고 있다”고 전했다.
연구하고 싶은 분야는 해커마다 제각각인데, 기업에서는 제한된 업무만 요구한다는 얘기였다. 이정훈씨가 현재 일하고 있는 구글의 보안팀 ‘프로젝트 제로’는 인텔 CPU 게이트를 폭로하며 화제가 됐다. 프로젝트 제로에선 해커가 연구하고 싶은 분야의 제한 없이 해커의 창의성을 최대한 발휘할 수 있도록 하는 것으로 알려졌다.
낮은 ‘연구 자율성’과 ‘고용 유연성’도 고질적 폐해
한국 기업의 고용 조건의 유연성 수준이 낮은 것도 전문 해커 인력 유출의 원인으로 지목된다. 일반 대기업에서는 입사 조건에 학사 학위나 보안 관련 자격증을 반드시 요한다. 하지만 해외 기업이나 해커 출신 CEO가 운영하는 보안 업체의 경우 고등학교를 갓 졸업한 청년이나 대학교에 재학 중인 학생도 실력이 뛰어나면 정식 직원으로 바로 채용하는 경우가 많다. 보안컨설팅 업체 스틸리언의 경우 정직원 15명 중 7명이 학사 학위가 없다. 학벌보단 실력을 평가하는 분위기다.
예전보다는 나아졌다곤 하지만, 화이트햇 해커에 대한 대우나 임금 등 금전적 처우가 낮은 것도 화이트햇 해커 유출에 한 몫 한다. 에스이웍스 홍민표 대표는 “기업의 보안을 담당하고 있는데도 사회 초년생으로 취급한다”며 “사고가 터지면 보안을 강조하다가도 나중에는 언제 그랬냐는 듯 투자를 미룬다”고 비판했다. 많은 한국의 해커들이 대기업을 떠나 해외 글로벌 기업으로 이직하거나 창업에 뛰어드는 이유도 이 때문이란 지적이었다.
전문가들은 한국 기업이 보안에 많은 관심과 예산을 투입할 제도적 강제 수단이 부족하다고 말한다. 고려대 정보보호대학원 김승주 교수는 “미국이나 유럽의 경우 집단소송제도가 잘 갖춰져 있어 개인 정보 유출 등 보안 문제가 발생할 경우 막대한 보상금 문제가 발생한다”며 “반면 한국은 정보 유출에 대한 보상제도가 아직까지 미비하다”고 전했다. 야후·우버 등은 대규모 고객 정보 유출 사태로 인수 가격이 삭감되는 등 해외에서는 보상제도뿐만 아니라 기업 가치에 보안이 미치는 영향이 상당하다.
법적 보안 기준에 실효성이 없다는 지적도 있다. 2012년부터 정부는 정보통신망법에 따라 정부가 기업의 최소한의 정보보호 상태를 인증해주는 정보보호관리체계(ISMS) 제도를 시행하고 있다. 그러나 ISMS 인증은 최소한의 절차일 뿐, 정보보호관리 시스템이 완비됐다는 것을 뜻하지는 않는다. 인터파크·옥션·네이트·KT·롯데카드 등 인증을 받은 다수의 기업에서 개인 정보 유출 사고가 발생해 인증 제도 자체에 대한 논란이 일었다. 과학기술정보통신부 최동원 침해사고대응과장은 “ISMS 인증을 받았다고 해도 안전을 100% 보장하는 것은 아니다”라며 “인증 취득 후 인증 기술 준수와 유지 책임을 다해야 한다”고 말했다.
일부 기업들은 인증을 포기하고 과태료를 내기도 한다. 인증 컨설팅과 필요한 장비를 구입하는 데 약 1억원의 비용이 소요되는 반면 과태료는 3000만원에 불과하기 때문이다. 이로 인해 해커를 보안 전문가로 대접해주기 보다는 보안 서비스를 대행해주는 단순 용역 업체로 보는 인식이 아직 국내 대기업들 사이에선 팽배하다. 일각에서는 기준 자체를 폐지해야한다는 주장도 있다. 신동휘 이사는 “법 자체의 결함으로 기업이 인증을 받고 나면 ‘이정도면 됐다’고 생각한다”며 “기준 자체를 없애면 피해가 발생할 경우 그에 대한 책임을 온전히 져야하는 기업들이 보안의 중요성을 제대로 인식할 것”이라고 전했다.신동휘 이사는 “법 자체의 결함으로 기업이 인증을 받고 나면 ‘이정도면 됐다’고 생각한다”며 “기준 자체를 없애면 피해가 발생할 경우 그에 대한 책임을 온전히 져야하는 기업들이 보안의 중요성을 제대로 인식할 것”이라고 전했다.
저작권자 © 시사저널 무단전재 및 재배포 금지
키워드에 대한 정보 이정훈 해커
다음은 Bing에서 이정훈 해커 주제에 대한 검색 결과입니다. 필요한 경우 더 읽을 수 있습니다.
이 기사는 인터넷의 다양한 출처에서 편집되었습니다. 이 기사가 유용했기를 바랍니다. 이 기사가 유용하다고 생각되면 공유하십시오. 매우 감사합니다!
사람들이 주제에 대해 자주 검색하는 키워드 해커 잡는 ‘화이트 해커’ 한국인, 구글·MS 뚫다
- 뉴스광장
- KBS
- 뉴스광장2부
해커 #잡는 #‘화이트 #해커’ #한국인, #구글·MS #뚫다
YouTube에서 이정훈 해커 주제의 다른 동영상 보기
주제에 대한 기사를 시청해 주셔서 감사합니다 해커 잡는 ‘화이트 해커’ 한국인, 구글·MS 뚫다 | 이정훈 해커, 이 기사가 유용하다고 생각되면 공유하십시오, 매우 감사합니다.