카네기멜론대 해킹동아리인 PPP는 글로벌 해킹 컨퍼런스인 데프콘은 물론 최근 국내서 개최된 코드게이트2016 국제해킹방어대회에서도 우승을 거머쥐는 등 국내외 해커들 사이에서 이름이 널리 알려진 팀이다.
그러나 PPP팀 창립을 주도한 이가 미국 국적을 가진 한국인이라는 사실은 잘 알려지지 않았다. 박세준씨㉘가 주인공이다. 그는 카네기멜론대학 시절 록히드마틴에서 인턴 생활을 한 것을 계기로 보안 스타트업을 공동 창업하고, 최근에는 또 다른 보안 스타트업을 세웠다.
최근 열린 코드게이트2016 참석 차 한국에 온 박세준씨를 만나, 창업 배경 및 보안 전문가로서 갖춰야 할 소양 등에 대해 얘기를 나눴다.
■국내 해커그룹 널루트 지원이 PPP팀 창립 계기
시작은 '게임핵'이었다. 게임핵은 게임을 비정상적인 방법으로 조작해 경험치를 올리고, 아이템을 얻을 수 있게 하는 등 기능을 제공하는 일종의 해킹툴이다. 박 씨는 남들처럼 취미 삼아 이런 툴들을 구해서 사용해왔는데, 그러다보니직접 만들어 보고 싶은 욕심이 생겼다.
그러다 알게 된 것이 리버스엔지니어링(프로그램에 대한 분석)이다. 그는 미국서 방과 후 고등학교 내 프린터로 몇 천장짜리 어셈블리어로 된 소스코드를 프린트해서 분석해보기도 했다. 나중에는 게임핵 자체보다도 해킹이 더 큰 관심사가 됐다. 카네기멜론대 컴퓨터과학과에 입학하게된 계기도 이 때문이다.
중3때까지 박세준씨는 전형적인 한국 학생이었다. 미국서 태어났지만 한국서 초등학교, 중학교까지 마쳤다. 남들처럼 학원을 다녀야했고, 좋아하던 컴퓨터 게임도 하루 한 시간밖에 하지 못했다. 그러다 미국 소재 공립고등학교로 유학을 가게됐다. 좋아하던 게임도 실컷하다보니 질리기 시작했다. 이때부터 게임보다 게임핵이 더 큰 관심사가 됐다. 그의 말을 빌면 "숙제를 일찍 마치고 나면 남는 10시간 넘는 자유시간에 그런 것만 팠다"며 "지금 생각해보면 컴퓨터 프로그래밍도 할 줄 모르면서 무식하게 시작한 일"이었다.
그러다 입학하게 된 카네기멜론대 컴퓨터과학과는 그가 보안/해킹 분야에 대한 기초를 닦을 수 있는 기회가 됐다.
"컴퓨터 기초부터 수학적인 기초들까지 할 줄은 알았지만 왜 이렇게 되는지 몰랐었던 것을 알게 됐다"며 "공부가 재밌다는 것을 처음 느끼게 됐다"는 것이 그의 말이다. 이미 한국서 흔히 겪는 공부 스트레스를 겪어본 탓인지 박세준씨는 "더 알고 싶다는 생각이 신기했다"고 덧붙였다.
미국서 대학생활을 하던 시기 PPP팀을 만들게 된 것은 오히려 국내 유명 해커그룹에 지원할 기회를 얻게 됐었던 덕이 크다. 그는 대학 2학년 무렵인 2008년, 국내서 인지도가 높았던 '널루트(Null@Root)'라는 해커그룹에 지원했다.
그의 설명에 따르면 널루트는 멤버로 합류할 수 있는 자격요건이 까다로웠다. 거의 1년에 걸쳐 지원자들을 검증하는 과정을 거치기 때문이다. 지원자들은 해외보안기술문서 번역, 바이너리 분석, 시스템 해킹 등을 포함해 매달 주어지는 총 10개 과제를 해결해야한다.
이후에는 남은 지원자 6명~7명과 함께 데프콘에서 진행되는 '캡처더플래그(CTF)'와 유사한 일명 '미니 CTF'를 거쳐 좋은 성적을 내야하며, 최종적으로는 해커그룹 내 멤버들로부터 인성면접까지 거쳐야만 한다. 웬만한 입사시험보다도 많은 시간과 노력이 필요했다.
박세준씨는 대학생활을 병행하면서 이러한 과정을 거쳐 정식 멤버로 합류할 수 있는 자격을 갖게 됐다. 최종결정을 앞두고 있는 시점에서 그는 카네기멜론대 지도교수 연구실에서 인턴을 하면서 이러한 얘기들을 말한다. 지도교수는 그에게 "굳이 한국까지 가서 해야할 필요가 있냐"며 "대학 내에 그러한 팀을 꾸려볼 것"을 제안한다.
그렇게 해서 2009년 널루트에 양해를 구하고 현지에서 만들어진 것이 PPP팀이다. 이 팀에는 박세준씨 외에도 당시 대학 연구실에 있었던 한국 학생들을 포함해 7명~8명이 초기부터 함께해 왔다. '지오핫(geohot)이라는 별명으로 유명한 해커 조지 호츠 역시 PPP팀 멤버다.
■美서 카프리카 시큐리티 창업
국내는 물론 미국에서도 보안 스타트업으로 살아남기가 만만치는 않은 모양이다. 반짝이는 아이디어를 갖고 등장해 대박난 인스타그램, 스냅챗과 같은 실리콘밸리 내 '테크 스타트업'들과 달리 보안 스타트업은 수요는 있지만 투자대비수익(ROI)이 확실한 분야가 아닌 탓이다. 실제로 시만텍, 파이어아이, 맨디언트, 팔로알토네트웍스 등이 10년 이상 비즈니스를 하면서 지금 자리에 왔다는 점을 보면 그렇다고 그는 설명했다.
그럼에도 불구하고 박세준씨는 록히드마틴에서 인턴생활을 하는 중 인연이 된 매니저와 다른 PPP팀 동료들과 함께 모바일 보안 스타트업인 '카프리카 시큐리티(Kaprica Security)'를 공동 창업했다. 이 회사는 자동차 점검용으로 사용되는 OBD-II 포트에 꽂아서 쓰는 휴대용 방화벽인 '비히클 가디언(Behicle Guardian)'을 고안하는가 하면 보안기능을 탑재한 스마트폰 충전기인 '스콜피온(SKORPION)'을 만들었다.
카프리카 시큐리티에서 가장 성공한 솔루션은 안드로이드폰을 기업 환경에 맞게 자동으로 필요한 앱을 설치하고, 앱 내 설정까지 바꿔주는 '타키온(Tachyon)'이다. 이 회사는 삼성전자와 파트너십을 통해 국내, 미국, 유럽 등지에서 업무용으로 삼성폰을 쓰려는 곳에 이러한 기능을 지원하는 중이다.
타키온의 개발 배경에는 기업용 시장서 안드로이드폰보다 압도적인 점유율을 차지하고 있었던 아이폰의 성공이 있었다. 박세준씨는 "애플 기기가 기업용으로 많이 쓰이는 이유가 '애플 컨피겨레이터(Apple Configurator)'라고 불리는 툴 때문"이라고 밝혔다. 이 툴을 활용하면 기업 내 담당자들이 일일이 스마트폰에 보안설정을 바꾸고, 업무용 앱을 설치하는 수작업을 할 필요가 없이도 중앙에서 손쉽게 관제할 수 있기 때문이다.
아이폰은 단일 기종이라 이러한 작업이 가능하지만 안드로이드폰은 수많은 기기가 존재하기 때문에 애플 컨피겨레이터와 같은 기능을 구현하는 것이 거의 불가능하다. 카프리카 시큐리티는 이를 극복하기 위해 삼성폰에만 선택과 집중하는 전략을 취했다.
박세준씨는 4년 정도 몸 담았던 이 회사를 뒤로하고, PPP팀 동료 2명과 함께 '씨어리(THEORI)'라는 또 다른 보안 스타트업을 차렸다. 이제 창업 3개월이 지난 만큼 아직 성공할지, 실패할지를 가늠하기에는 짧은 시간이다.
왜 힘들다는 보안 스타트업을 또 다시 차린 것일까.
그는 "이전 회사는 사이버국방이나 정부과제와 관련된 일을 많이 하다보니 (취약점이나 연구과제 등에 대해) 공개적으로 내용을 다루지 못하는 경우가 많았다"며 "새 회사에서는 우리가 연구한 주제들에 대해 더 자유롭게 발표하고, 보안컨설팅이나 침투테스트 등을 하면서 R&D 분야에 보다 집중하기 위해서"라고 밝혔다.
그는 지난 4년여 간 짧지 않은 보안 스타트업 경험에 비춰 테크 스타트업들과 보안 스타트업은 성격이 전혀 다르다고 말한다. 미국에는 보안 스타트업들이 많은 편이지만 생겼다가 없어지는 경우가 많은 것도 사실이다. 그는 보안 스타트업의 경우 "반짝이는 아이디어를 갖고 갑작스럽게 성공하는 유니콘 같은 회사들보다는 마치 바퀴벌레처럼 끈질긴 생명력으로 오랫동안 살아남아 비즈니스를 하는 경우가 많은 것 같다"고 설명했다. 다른 테크 스타트업처럼 하나의 제품이나 서비스에 올인하기 보다는 꾸준히 새로운 보안기술을 적용한 솔루션/서비스를 만들어내면서 유지되는 경우가 대부분이라는 것이다.
그는 "큰 회사에서는 내가 하고 싶은 연구를 못하거나 하기 싫은 데 어쩔 수 없이 해야하는 것들로부터 벗어나기 위해 보안 스타트업을 차리는 경우도 많다"고 말한다. 다방면의 보안연구를 자유롭게 하기 위한 발판으로서 스타트업을 보고 있다는 것이다. 물론 아무리 연구가 좋다고 하더라도 회사인 이상 수익을 내지 않으면 살아남을 수 없다. 이를 위해 그는 어느 산업 분야든 보안에 대한 수요가 있는 만큼 회사 주요 솔루션이나 서비스 외에도 보안 컨설팅이나 보안 교육, 서비스 등을 부수적인 수익을 내면서 핵심 사업을 꾸준히 해나가는 경우들이 많다고 말한다.
■보안 전문가 꿈꾼다면 '끈기', '영어'가 필수
박세준씨는 한국정보기술연구원(KITRI)이 운영하는 차세대 보안리더 양성 프로그램(BoB)에서 멘토로 활동 중이기도 하다. 국내서도 일찌감치 보안 분야로 진로를 잡고 있는 학생들이 늘어나고 있는 만큼 이 분야에 필요한 자질이 뭔지 궁금했다.
관련기사
- 코드게이트2016, 美 PPP팀 일반부 우승2016.05.10
- 악성코드 검사하는 스마트폰 충전기 눈에 띄네...2016.05.10
- 카톡-라인, 도감청 어디까지 허용해야 하나?2016.05.10
- 한국에서 과연 '보안 구루'를 볼 수 있을까?2016.05.10
그는 "과거에는 누가 가르쳐주지 않기 때문에 확실하게 이해하지 않는 이상 진전이 없었다"며 "모르면 알 때까지 20시간~40시간씩 문제를 붙잡고 늘어지는 끈기가 필요하다"고 조언했다. 취약점이나 해킹에 대해 연구하는 해커들 중 상위 톱 0.1%에 들 수 있는지를 가르는 요소가 바로 이러한 물고 늘어짐에 있다는 설명이다.
그 다음으로 국내도 여러가지 취약점, 해킹 등 보안분야와 관련된 자료를 갖고 어느 정도 실력을 쌓을 수 있는 기회가 있지만 아무래도 최신 공격기법이나 취약점에 대한 연구는 해외서 먼저 공개되는 경우가 많은 만큼 정보를 얻는다는 차원에서 영어공부가 중요하다는 팁을 주기도 했다.