해커의 사이버공격으로부터 보호하기 위한 해커, ‘화이트해커’. 화이트해커는 여러 미디어를 통해 화이트해커가 어떤 일을 하는지 알려지면서 더 이상 낯설지 않은 개념인데요. HL클레무브의 송경식 연구원은 차량 사이버보안을 지키는 자동차 화이트해커입니다. 지난달 전 세계의 자동차 사이버보안 전문가들을 비롯한 여러 해커들이 참여하는 VCC(Vehicle Cybersecurity Competition)에서 수상한 그의 이야기를 공개합니다.
뜨거운 자동차 Cybersecurity 경쟁 한 판!
VCC(Vehicle Cybersecurity Competition)는 2023년부터 미국의 자동차 사이버보안 전문 기업인 Block Harbor와 VicOne사가 운영하는 글로벌 자동차 사이버보안 경진대회입니다. 올해는 주어진 8개의 과제를 제대로 수행했을 때 얻는 플래그 값을 웹 페이지에 인증하여 점수를 획득하는 ‘Capture The Flag(CTF)’ 방식으로 운영되었으며, 480명 이상의 참가자가 경쟁을 펼쳤습니다.
참가자들은 지난 8월 22일부터 9월 1일까지 11일의 시간동안 ECU 잠금 해제, CAN 로그 역설계, 악성 펌웨어 차단 등 자동차 사이버보안 관련 문제들을 해결해야 했는데요. 송 연구원은 6개의 문제를 해결하며 수상자 명단에 이름을 올렸습니다.
Q. 사이버보안 분야에는 언제부터 관심이 있었나요? 관련 대회에도 자주 나가는지?
경식: 사이버보안에 관심을 가진 건 17살때부터예요. 대학 전공도 사이버보안을 선택했고, 20살 때부터 기회가 되면 사이버보안 경진대회에 참여했어요. 지금도 기회가 된다면 국내외를 가리지 않고 다양한 대회에 참가하고 있어요.
Q. 이번 VCC 대회는 어땠나요? 참가 소회를 들려주세요.
경식: 보통 이런 CTF 방식의 대회에서는 다양한 문제들이 출제되는데, 이번 대회에서는 딱 8문제만 출제되어서 조바심이 좀 났어요. 시간을 길게 투자하고 싶은데 업무 시간에는 또 제 할 일을 해야 하니까 퇴근 후에야 문제를 풀 수 있었거든요. 그러다 보니 대회 기간 동안 수면 시간이 부족해서 조금 힘들었는데, 좋은 결과를 얻어서 다행입니다.
끊임없는 자기개발로 성장 중!
송 연구원은 HL클레무브에서 전사 사이버보안 관리체계 구축 및 운영부터 KMS 운영, 사이버보안 모니터링, 취약점 분석, 모의해킹, 퍼징 등 자동차 사이버보안과 관련된 대부분의 업무에 직·간접적으로 관여하고 있는 사이버보안 전문가인데요. 고등학생때부터 사이버보안 외길을 걸어 온 그의 이야기가 궁금해졌습니다.
Q. VCC 대회에서 공격자/방어자 시점의 문제들을 푸셨는데, 평소 업무에 있어서는 공격과 방어 중 어떤 보안 업무를 선호하시나요?
경식: 공격과 방어, Offensive Security 그리고 Defensive Security 라고 하는데요. 자동차 사이버보안 업무에서는 이러한 이분법적 구분이 의미가 없다고 생각해요. 공격자 입장에서는 취약점을 찾아야 그에 대한 대응 방안을 도출할 수 있고, 방어하는 입장에서는 취약점이 발생한 부분을 수정하면서 공격자 시점에 대한 이해가 필요하기 때문이죠. 그럼에도 불구하고 굳이 어떤 업무가 적성에 맞는지를 고르자면 전 아직까지 취약점을 찾는 업무가 좀 더 즐거운 것 같습니다.
Q. 자동차 사이버보안 업무에서 가장 중요한 건 무엇일까요?
경식: 자동차는 수많은 부품들이 있습니다. 브레이크, 주차, 기어와 같은 샤시 제어기부터 텔레메틱스, 인포테인먼트와 같이 외부 통신을 지원하는 다양한 제어기들이 연결되어 있죠. 자동차는 교통 수단이자, 하나의 컴퓨터이고, 메카트로닉스 분야의 꽃이라고 생각해요. 때문에 자동차 사이버보안은 항상 모든 가능성을 경계하고 대비해야 하죠. 만약 동력 전달을 담당하는 제어기를 비롯해 여러 샤시 제어기에서 취약점이 발생하다면, 이 취약점들을 연계하여 차량을 마음대로 조종하는 것도 가능할 수 있거든요. 때문에 차량 사이버공격에 대한 가상 시나리오가 터무니없어 보여도 늘 경계하는 마음가짐을 가져야 하죠.
모든 가능성을 열어두어야 한다는 송 연구원의 말처럼 자동차를 대상으로 한 사이버보안 공격은 날이 갈수록 다양해지고 있고, 또 그 건수도 늘고 있는데요. VCC를 주관한 VicOne Threat Intelligence에 따르면, 지난 4년동안 자동차 사이버공격 건수는 무려 600%나 증가했다고 합니다.
때문에 이러한 공격으로부터 자동차와 이용자들을 안전하게 지키는 보안 담당자들에게 요구되는 역량도 점점 커지고 있는데요. 송 연구원 역시 빠르게 발전하는 기술을 따라잡기 위해 많은 시간을 할애한다고 합니다.
Q. 보안 전문가, 그리고 해커로서 나만의 습관이 있다면?
경식: 매번 새로운 기술이 끊임없이 나오다 보니 해커들은 새로운 기술을 습득하기 위해 남들보다 자기개발에 시간을 많이 할애해요. 저 또한 퇴근 후에 아무리 힘들어도 한시간에서 두시간 정도는 관심 있는 내용에 대한 논문을 찾아보거나 새로운 문제를 풀어보는 등 자기 개발을 위해 투자하고 있고요.
Q. 그렇다면 본인의 해킹 실력을 점수로 표현한다면?
경식: 10점 만점에 5점이요. 대한민국이 IT 강국인 만큼 정말 뛰어난 해커들이 많습니다. 세계적으로 유명한 Defcon 해킹 방어대회에서 한국 팀이 매년 우승하는 것만 봐도 그렇죠. 저는 그 분들보다는 못하겠지만 그래도 중간정도는 하지 않을까요?(웃음).
Q. 마지막으로 보안 전문가로서 하고 싶은 말이 있다면?
경식: ‘해킹’이라고 하면 흔히들 영화나 미디어에서 나오는 화려한 연출을 떠올리실텐데, 실제 해킹은 그렇게 극적이고 화려하지 않아요. 다만 그렇게 연출된 해킹으로 일어나는 피해는 언제든지 현실에서도 일어날 수 있답니다. 이 점을 꼭 명심하시고 내 정보가 유출되거나, 해킹으로 인한 피해를 입지 않도록 경계하는 마음가짐을 잊지 않길 바랍니다.
