[Interview] 토라(Tora)-스페인

“스페인, 고객정보 철저히 지키고 있다”

11월 5일과 6일 양일간 양재동 서울교육문화회관에서 열리는 제 4회 국제 보안/해킹 컨퍼런스 ‘POC 2009’에서 리버스 엔지니어링 기술을 적용해 취약점을 어떻게 찾아내는지에 대해 강연한 토라(Tora, 스페인)는 취미인 해킹이 지금은 돈을 버는 직업이 됐다며 웃음지었다.

그의 전공은 컴퓨터 사이언스로 대학 시절 우연히 해킹 관련 프로젝트를 맡게 된 것이 계기가 돼 해킹의 세계로 발을 들여 놓게 됐다고 한다. 그는 원래 프로그램을 만드는 것에 관심이 많았는데 점차 시스템 내부에 대한 호기심으로 발전했고 분석하는 과정에서 내부에 있는 문제를 발견, 해결책을 찾는 데 몰두하게 됐다고 한다.

세계 최고 해킹 대회인 Defcon CTF 본선에 2년 연속으로 참가하고 다른 국제 대회에서도 두각을 보이고 있는 ‘Sexy Panda'팀의 리더이기도 한 그. 한국인 여자친구가 무척 예쁘다고 자랑하는 순수한 모습의 그와 해킹에 대한 여러가지 이야기를 나눠 봤다.

- 5일 발표한 내용에 대해 간략히 말해 달라.

리버스 엔지니어링은 기존 시스템에 역공학을 적용해 설계구조를 뽑아내고 이를 이용해 시스템 분석과 설계를 향상시킨다. 보안 취약점을 발견하는 데는 여러 방법이 있는데 그 중 리버스 엔지니어링으로 취약점을 어떻게 발견하는지, 또 취약점을 방어하기 위해 필요한 솔루션으로는 어떤 기법들이 있는지 발표했다.

- 한국은 해킹 공격을 많이 받는다. 스페인은 어떤가?

스페인은 해킹 사건이 많지 않다. 다른 유럽 국가와 같이 해킹에 대한 법적인 처벌 규제가 강하기 때문도 있지만 기업마다 보안 시스템을 잘 갖추고 있어서 해킹 공격에 의한 피해가 적은 편이다. 정부 기관에 대한 해킹이 간혹 일어나긴 하지만 정치적인 이유에서다.

- 한국에는 최근 데이터 침해 사건들이 많아 소송도 많이 제기되고 있다. 스페인은 이런 사건들에 대해 정부는 어떤 방침을 세우고 있는가?

스페인의 모든 기업들은 고객 정보를 저장할 때 암호화시켜야 한다. 이 규정을 지키지 않고 해킹을 당해 고객 정보를 유출당했을 시에는 큰 문제가 된다. 그러나 이 규정을 지켰는데도 불구하고 해킹을 당했다면 기업에 책임을 묻지 않는다. 이러한 사안을 다루는 정부 기관으로서 APD(Agencia de Proteccion de Datos, 데이터 보호 기관)가 있는데, 이들은 피해를 당한 고객들에게 돈을 보상하는 등 모든 기업들의 데이터 관리를 감시하고 정보를 보호하는 역할을 맡고 있다. 따라서 정보가 유출됐다고 해서 고객들이 기업에 소송을 거는 일은 없다. APD가 모든 것을 책임지고 사후 관리를 다 도맡아서 한다.

- 한국은 개발자에 대한 처우가 좋지 않다. 스페인은 어떤가?

스페인도 마찬가지다. 월급은 적고 일은 많으며 대우가 낮다. 개발자와 엔지니어의 업종을 낮은 레벨로 인식하는 것이 문제다. 그 이유를 하나 꼽자면 풍부한 IT 인력 때문이다. 한마디로 수요는 적은데 공급은 넘쳐난다.

- 이번 POC 2009에서 가장 기대했던 강연은 무엇인가

알렉산더 소티로프(Alexander Sotirov)의 윈도우 7의 메모리 보호 우회 기법에 대한 내용이 가장 흥미롭다. 윈도우7은 비스타보다 운용이 쉽고 더 높은 성능과 함께 보안 문제도 많이 개선된 것 같다. 물론 MS가 많은 취약점을 가지고 있는 것은 사실이다. 그러나 완벽한 보안은 없듯이 MS는 취약점을 점차 보완해 가고 있다.

- 마지막으로 덧붙이고 싶은 말은?

이번 POC 2009를 통해 많은 해커들을 만났다. 이들과 유대관계를 돈독히 해 서로간의 정보도 공유하며 보안에 대해 깊은 이야기를 나눴으면 한다. 보안에 종사하고 있는 이들 모두 보안을 재미있게 생각하고 함께 머리를 맞대고 토론도 하면서 함께 보안을 위해 일하다 보면 정말 안전한 사이버 세상을 만들 수 있으리라 기대해 본다.

[호애진 기자(is@boannews.com)]