2021 HDCON 해킹방어대회에서 과학기술정보통신부장관상을 수상한 ‘ㅋㅋ팀’!
1등을 거머쥔 이 팀이 실은 우아한형제들 인프라보안팀이라는 사실이 밝혀지는데…(두둥)
많은 기업들이 직면하고 있는 보안문제에 대한 해결책을 제안하는 아이디어 공모전 형태로 진행된 2021 HDCON 해킹방어대회.
인프라보안팀의 강정진, 권현준, 송수호, 이주호님으로부터 수상 비하인드와 도전기를 들어보았습니다.

지금 함께 만나보시죠!

1. ㅋㅋ팀을 만나다!

Q. 참가한 <2021 HDCON 해킹방어대회>는 어떤 대회인가요?

KISA에서 개최해온 국내 해킹방어대회예요. 2018년 이후로 열리지 않다가,
이번에 새롭게 아이디어 공모전 형태로 개최된다고 해서 재밌을 것 같아 참가하게 되었습니다.

보통 해킹방어대회라고 하면 과제를 주고 문제를 많이 풀어 점수가 높은 팀이 우승하는 식으로 진행되는데,
2021 HDCON 해킹방어대회의 경우 다양한 주제의 시나리오가 주어지고 이에 맞춰 보안 해결책을 제시하고 발표하는 형태로 진행되었어요.

Q. 어떻게 팀을 이뤄 참여하게 되셨나요?

수호 : 저는 정보보안쪽 소식을 보는 걸 좋아해요. 그래서 대회가 열린다는 소식을 듣고 바로 팀원들에게 공유했어요.
아이디어를 제안하는 방식은 처음이다 보니 다들 재밌어할 거라 생각했어요.
그리고 무엇보다 저희 모두 해킹방어대회를 직접 운영하거나, 문제를 출제했거나, 참가해 본 사람들이어서
같이 참가하자고 하면 거절하지 않을 거라는 확신이 있었습니다.

현준 : 같은 팀 안에서도 서로 업무 연관성이 높고 호흡도 좋았던 사람들이에요.

정진 : 새벽에 잘 깨어있는 4명이기도…(웃음)

수호 : 맞아요. 평소에도 스스럼없이 이야기도 나누고. 그리고 저희 4명 모두 서로 업무가 조금씩 달라요.

주호: 저랑 수호님은 침해사고 관련된 전반적인 업무를 맡고 있습니다.
클라우드 환경에서 보안 인프라 설계와 침해대응체계를 수립하는 업무도 함께 맡고 있어요.

현준 : 저랑 정진님은 취약점 진단과 관리를 맡고 있습니다.
침해사고대응이 방패라면 저희는 좀 더 선제적으로 움직이니까 창…이라고 할 수 있으려나요.
4명이 모이니 창과 방패의 밸런스가 좋은 팀이 만들어진 것 같아요.

Q. 우아한형제들 인프라보안팀에서는 평소 어떻게 커뮤니케이션하고 있나요?

아마 다른 팀이나 회사들도 그러실 테지만, 주요 업무에 대해서 커뮤니케이션 할때에는 화상회의 솔루션을 사용하고 있어요.
하지만 화상회의 때만 만나서 이야기하고 다시 혼자가 되면 구성원들과 함께하고 있다는 느낌을 덜 받을 수 있는데,
그런 기분을 조금이라도 줄이고자 정보보호실에서는 게더타운을 함께 사용하고 있습니다.

사무실과와 동일한 환경을 게더타운에 구현하여 사용하고 있는데요, 구성원들과 대화하기도 좋고
신규 입사자분이 오시더라도 일하게 될 사무실을 가상으로 체험해 볼 수 있어 재밌게 이용 중입니다.

또, 재택근무가 계속해서 장기화되다 보니 실 구성원들을 다 같이 만날 기회가 적어요. 이것도 게더타운을 통해서 일부 해소하고 있는데,
대표적으로 “이번 주도 수고하셨어요(이수고)” 시간과 “Rotation time”이라는 시간을 만들어서 만나고 있어요.

먼저 “이번 주도 수고하셨어요"라는 시간은 팀원들이 모여서 1시간씩 이야기하는 시간인데요,
이때는 업무에 대한 이야기보다 한 주간 있었던 여러 가지 이야기들에 대해서 서로 나누고 웃고 떠드는 시간이에요.
업무 이야기가 빠지지 않는다는 게 함정이긴 하지만…

또 “Rotation time”은 실 내 구성원 간의 Rapport를 강화하는 시간이에요.
정보보호실 구성원 전체를 랜덤으로 3개 조로 나눠서 각 조별로 이야기를 나누는 형태로 진행되는데요,
이 시간을 통해 서로 몰랐던 이야기들이나 궁금했던 점들을 나누고 있습니다.

두 시간 모두 당연히 강제성은 없어요. 시간이 가능한 구성원분들만 참여하고 있습니다.
“잡담을 많이 나누는 것이 경쟁력이다”라는 말처럼 구성원 모두가 잡담에 있어서 누구보다 진심이기에 매주 기다려지는 시간이기도 해요.

Q. 네 분이 모두 해킹방어대회 경험이 있으시다고요?

수호: 네, 저희 모두 해킹방어대회를 직접 운영하거나, 문제를 출제했거나, 참가해 본 경험이 있어요.
저 같은 경우, ‘크리스마스 CTF’라는 해킹대회가 있는데 크리스마스 때마다 갈 곳 없는 솔로들을 위한 이 대회를 만들어서 긴 시간 운영했습니다(웃음)

현준 : 해킹방어대회 참여는 많이 해봤지만, 대회 운영 쪽 관련해서는 저는 아직 뉴비 단계고, 정진님이 경험이 많으세요.

정진 : 절대 많지 않구요(웃음) 이전 직장에서 동료분들과 함께 해킹방어대회 문제를 출제하고 운영한 적이 몇 번 있습니다.

주호 : 작은 규모의 대회는 몇 번 참가해 본 적은 있어요. 공모전 형식의 대회에 참여한 건 처음인데, 입상해서 더욱 의미가 있습니다.

Q. ‘ㅋㅋ팀’이라고 이름을 지은 비하인드 스토리가 있다면?

처음에 팀명은 ‘주제원정대’였어요. 대회에서 주어진 주제들 중 어떤 것을 해보면 좋을지 탐색하자는 의미로 지었다가,
주제가 정해진 후에는 ‘ㅋㅋ팀’으로 팀명을 정했습니다. 우아한형제들의 사이트나 서비스를 보면 ‘ㅋㅋ’가 굉장히 많잖아요.
우아한형제들 소속임을 밝히지 않고 출전하긴 하지만 그래도 우아한형제들 특유의 재치를 살리고 싶어서 ‘ㅋㅋ’라고 지어보았습니다.

회사 이름을 걸고 대회에 참가하는 게 부담스러웠어요. 혹시라도 떨어지면 으으…
그래서 수상을 하면 밝히려고 했습니다(웃음)

2. 해킹방어대회, 가보자고!

Q. 대회는 어떻게 진행되었나요?

전형은 1차, 2차, 결선 식으로 크게 3단계로 진행되었어요.
3가지 시나리오를 공개하고 10장 이내의 한글문서로 아이디어 제안서를 작성해서 제출하는 방식이었습니다.
제출한 내용을 바탕으로 심사가 이뤄지고, 결선은 오프라인에서 3가지 시나리오 별로 3팀씩이 1, 2, 3위를 결정하기 위한 발표를 했어요.

Q. 대회를 준비하는 과정은 어떠셨나요? 잘 될 것 같았나요?

정진 : 회사 이름도 안 걸고 나가니까 공부 목적으로 참가해야지 하고 부담을 안 갖고 있었는데, 팀원분들이 너무 진심인 거예요.
모일 때마다 준비한 내용을 가지고 오는데 다들 정말 진심을 담아 열심히 해서
‘아, 여기서 농땡이 피우면 큰일 나겠다!’ 그런 분위기라 저도 덩달아 더 열심히 하게 되었습니다(웃음)

현준 : 맞아요. 보통 팀 프로젝트를 하면 프리라이더나 덜 참여하는 사람이 있을 수 있는데, 이 조별 과제에는 노는 사람이 없었어요.

수호 : 평소 감이 좋은 편인데 잘 될 것 같았어요.
공부하자는 목적으로 참여하는 거니 준비하면서 각자 얻어 가는 게 있으면 그것만으로도 좋다고 생각했는데,
생각했던 것보다 다들 너무 열심히 해주셨고 아웃풋이 좋았어요.
기획서 제안 작성 중반쯤 왔을 때 ‘이거 해볼 만하겠는데?’ 하고 욕심을 내기 시작했습니다.

정진 : 전 그렇게 생각했어요, ‘아, 내가 버스를 참 잘 탔구나’ 달리는 내내 승차감이 굉장히 좋았습니다(ㅋㅋ)
세 분 모두 각자의 장점을 가지고 계세요. 수호님은 정리왕이고, 주호님은 디테일왕이고, 현준님은 아이디어 뱅크&발표왕이었죠.
세분과 함께한 것이 영광이었습니다. 배운 것도 많았어요

Q. ‘ㅋㅋ팀’의 수상을 이끈 기획서 내용이 궁금해요.

저희는 ‘클라우드 보안 아키텍처 설계 및 운영 방안’ 부문에 참가했습니다.
주어진 시나리오 중 클라우드로 마이그레이션한 쇼핑몰임을 가정하고 해결책을 제시하는 문제를 선택했어요.
우아한형제들이 클라우드로 모든 서비스를 올려 운영하고 있다 보니,
평소 업무에서 마주치는 것들과 공부했던 것들을 잘 엮어서 실현 가능한 8가지 아이디어를 제시했습니다.

실제 많은 회사들이 온프레미스에서 클라우드로 이전하면서 보안을 어떻게 해야 할지 고민이 많은데,
보안을 하기 위해서는 비용이나, 인력 리소스에 대한 부분도 함께 고민해야 합니다.
그래서 시나리오 속에서 주어진 상황에서 최대한 Best Practice를 설계해서 제안하려 노력했습니다.

Q. 기획서에서 제안하신, 실현 가능한 8가지 아이디어들은 무엇이었나요?

제안한 8가지 아이디어를 큰 주제로 묶어본다면, 다음같이 5가지를 제안했습니다.

• 클라우드 환경에서의 보안 아키텍처 설계
• 공격 탐지 모니터링과 침해대응 자동화를 통한 침해사고 대응체계 수립
• 침해 예방을 위한 크리덴셜 관리
• 리소스 모니터링
• DevSecOps, 취약점 관리 등

AWS 클라우드 서비스와 온프레미스(On-Premise∙사내 구축형 데이터)를 이용하면서 쌓아온 노하우를 녹이면서 새로운 아이디어를 접목시켜보려 했어요.

수호님이 아키텍처에 대한 큰 틀을 잡고 설계하고, 그다음 주호님이 침해사고 대응 프로세스를 만들고,
정진님과 현준님은 좀 더 상세한 모니터링 아키텍처나 취약점 아키텍처를 설계하는 순으로 기획서를 작성해나갔습니다.

만약 이 아이디어를 실제로 적용해 보겠다고 한다면, 저희가 기획서를 작성한 위와 같은 순서로 접근하시면 좋을 것 같습니다.

Q. 주어진 시나리오에서 재밌었던 부분이 있다면?

주어진 조건 중에 예산이나 조직규모가 없었어요. 저희는 실제로 적용할 수 있는 아이디어를 제안하고 싶어서,
2019년부터 운영되고 있는 쇼핑몰 매출액 평균을 조사했습니다.
그리고 그 평균 매출액 중 일정 %를 보안쪽에 투자한다고 가정하고 보안 아키텍처를 설계해나갔습니다.

이 예산에 맞추려니 안 되는 것들이 많아서 힘들었습니다. 하지만 더 몰입할 수 있었어요.
시나리오가 아니라 실제 있는 회사처럼 느껴져서 ‘아, 이 회사 도와주고싶다’라는 생각에 열심히 했습니다.

Q. 대회에 제안한 내용은 타 회사들도 적용해 볼 수 있는 아이디어일까요?

주호 : 네, 공부가 필요하겠지만 많은 보안 담당자분들께 방향성을 제시할 수 있는 수준의 아이디어입니다.
보안을 위한 예산과 인력이 있다면 보안 수준을 한껏 끌어올릴 수 있는 제안서라 할 수 있겠네요.

수호 : 만약 저희의 아이디어를 실제로 활용하려 할 때 어려울 수 있겠다고 예상되는 부분은
보안을 위한 예산과 인력을 따내는 과정이지 않을까 해요.
무에서 유를 만들어가는 것이다 보니 예산도 써야하고 인력도 충원해야 하는데,
그런 과정들이 실제로 보안을 신경 쓰기 시작할 때 부딪히는 가장 큰 어려움입니다.

그래서 예산을 따내는 점이나, 인력을 충원하는 점이 가장 어렵지 않을까…. 하지만 그런 부분은 분량 상 제안서에 넣지 않았습니다(웃음)
다만 비용에 대해서는, 초기에 비용을 절감해서 도입할 수 있도록 오픈소스를 이용하는 방안 등도 제안했어요.
참고가 되실 수 있을 것 같습니다.

Q. 기업이 클라우드 환경을 운영하면서 놓치기 쉬운 부분을 꼽아보자면 무엇인가요?

온프레미스/IDC 환경에서는 서버 한 대를 넣기 위해 많은 과정이 필요합니다.
서버를 구매하기 위해 장비 업체와 계약 및 장비 수급, 랙 마운트 과정 등 일종의 구매 프로세스를 거칩니다.
이 과정에서 자연스럽게 자산 관리가 가능합니다. 그런데 클라우드 환경에서는 버튼 클릭 몇 번만으로 서버가 생깁니다.
마찬가지로 클릭 몇 번 만으로 서버가 사라지기도 하고요.

이것이 클라우드와 온프레미스/IDC 환경의 가장 큰 차이라 할 수 있습니다.
정보자산관리는 정보보안의 첫걸음이라 할 정도로 매우 중요하지만
클라우드 환경에서는 위와 같은 이유로 잘 관리하기가 어려워 놓치기 쉬운 부분이라 말씀드릴 수 있습니다.

클라우드 환경에서의 자산관리에 대해 언급하였는데, 이 내용만큼 중요하지만 놓치기 쉬운 부분이 있습니다.
바로 네트워크 분리 및 자산 생성 프로세스인데요.
네트워크의 경우 외부에 서비스하기 위한 자산과 내부용 자산을 명확하게 구분하여 생성 및 운영하여야 합니다.
그렇지 않으면 외부에 오픈되면 안 되는 자산이 인터넷에 노출되는 경우가 생깁니다.

앞서 이야기한 자산관리까지 잘 되어 있지 않다면 불필요하게 외부에 노출된 자산에 대한 조치를 취할 때 보안담당자의 어려움은 두 배가 됩니다.
그래서 처음 네트워크 설계를 잘 해서 외부망과 내부망을 구분하여야 하고 이 규칙과 프로세스를 구성원들에게 공유하는 것이 중요해요.
하지만 잘 설계하고 프로세스를 만들어도 이를 이용하는 사람들이 실수를 할 수 있어요.
이런 휴먼에러를 방지하기 위해 모니터링할 수 있는 체계도 함께 수립하여 운영해야 합니다.

이번 HDCON 대회에서 제안한 아키텍처에서도 위와 같은 문제들을 해결하기 위한 내용을 담아 잘 설명해두었습니다.

Q. 이 많은 내용이 정말 10페이지로 담겼나요?

네. 놀랍게도. 9페이지 반 정도 hwp로 작성했습니다.
아키텍처 그림이나 설명도 넣어야 해서 많은 요약을 거듭해 핵심을 담아내려 했습니다.
결선에 가서 발표를 할 때 10분의 시간이 주어졌는데, 저희 팀은 최대한 기획서에서 제안한 8가지 아이디어에 대해서 설명하는 데 시간을 주로 썼어요.
주어진 시나리오에 대한 설명이나 문제풀이 과정 등은 거의 다루지 않고 본론만 액기스로 전달하려 노력했습니다.

Q. 제안서 내용을 볼 수 있다면 큰 도움이 될 것 같아요.

보통 이런 대회나 공모전이 열리면, 대회를 주최/주관한 곳의 리포트에 실리는 경우가 있더라고요. 한국인터넷진흥원(KISA)나 CONCERT가 발행하는 잡지나 리포트에 실려서 많은 분들이 볼 수 있으면 좋겠습니다.

3. 수상, 그리고 앞으로?

Q. 수상 당시 기분이 어떠셨나요? 그리고 소감도 말씀해 주세요

현준 : 저희 발표 순서가 가장 마지막이었어요. 앞의 8팀의 발표를 모두 들을 후라 많이 긴장했지만 열심히 준비한 만큼 자신감을 갖고 발표를 했습니다.

주호 : 모든 팀의 발표를 듣고 보니 다들 쟁쟁한 분들이셔서… 수상결과가 나오기 전까지도 긴가민가 했습니다. 대상이라고 결과를 들었을 때, 올해 최고로 엔도르핀이 돌았던 순간이었어요.

수호 : 수상하고 나니 이제 잘 수 있겠다는 생각이 들어 기분이 좋았어요(웃음)
저는 우아한형제들에 올해 1월 입사했는데, 12월에 상을 수상하니 좋은 분들과 함께 좋은 결과를 얻은 것같아 더 의미가 깊었습니다.

우아한형제들에서 클라우드를 하고있고, 좋은 아키텍처가 있다는걸 많은 분들이 알고있지만,
보안쪽으로 이야기를 할 기회는 우아한형제들의 기술 컨퍼런스인 우아콘2021에서 발표한 것밖에 없었어요.
이번 수상을 통해 의미있는 지표를 하나 만든 것 같아 뿌듯합니다.

Q. 앞으로 어떤 보안 담당자가 되고 싶나요? 여러분의 커리어상의 꿈, 포부가 있다면?

수호 : 업무가 보안이다 보니 잘 해야 하는 건 기본이고, ‘재밌게 잘’하는 걸 목표로 하고 있어요.
좋은 분들과 계속해서 재밌게 일하고 싶습니다. 대회 상금으로 그동안 대회를 준비하느라 신경을 못 써준 와이프에게 선물을 사줬는데, 똑같은 질문을 하더라고요.
그래서 우리 아이들이 태어났을 때 든든하게 지켜줄 수 있는 아빠가 되고 싶다고 이야기했어요.
우리 회사의 보안도, 우리가족의 보안도 든든하게 지켜주는 그런 사람이 되고 싶습니다.

정진 : 저는 큰 야망이 없는 캐릭터여서… 그저 컴퓨터 오래 하는 사람이 되고 싶습니다.

현준 : 정진님과 다르게 저는 야망이 있는 캐릭터입니다(ㅋㅋ) 일단 보안담당자로서 신뢰할 수 있는 사람이 되고 싶어요.
그리고 나중에 많은 경력을 쌓아 시니어가 되면 이런 대회에 심사위원으로 참가해서 참가자들에게 깊이 있는 피드백과 시야를 넓힐 수 있는 질문을 던져주고 싶습니다.

주호 : 보안업계에서 어떤 흔적을 남길 수 있는 사람이 되고 싶어요. 그 흔적이 좋은 흔적만 있었으면 좋겠고 가능하면 그 크기도 컸으면 좋겠어요.

‘ㅋㅋ팀’의 Special Thanks To…

많은 축하의 메시지를 주신 정보보호실 분들께 감사드려요. 그리고 동현님, 거성님.
ㅋㅋ팀으로 대회에 참여한다는 얘기를 듣고 아낌없는 응원과 격려를 주셔서 큰 힘이 되었습니다.
얼른 다들 얼굴 보고 커피 한잔하는 날이 왔으면 좋겠네요!