모바일 보안 얘기를 들으면서 포장 이사를 떠올렸다. 귀중품이 깨지지 않도록 에어캡으로 꽁꽁 싸매는 것처럼, 내용물을 훔쳐가지 못하게 애플리케이션(이하 앱)을 겉에서 한 층 싸매주는 것, 그게 요즘 가장 잘 나가는 모바일 보안 회사 ‘에스이웍스(SEWORKS)’가 공들여 하는 일이다.
“2009년 10월쯤이었던거 같아요. 안드로이드 백신을 만들었어요. 그땐 한국에 안드로이드 단말기가 없어서 다른 나라에서 사와야 했죠. PC와 모바일은 운영체제가 다르다보니깐, 처음엔 이게 뭔가 싶었죠. 당시엔 자료도 없고, 책도 없었어요. 보안 프로그램을 만드는데 석달이 걸렸죠.”
새로운 변화가 시작될 때 기회가 생긴다. 이미 시장을 장악하고 있던 이들도 적응하느라 애쓰는 시기가 바로 작은 기업들이 치고 나갈 수 있는 절호의 찬스다. 지금은 여기저기서 ‘모바일 보안’을 말하지만 초기에 한 발 앞서 시도해 주목받은 곳이 있다. 바로 에스이웍스다. 에스이웍스의 멤버들은 한 발 먼저 안드로이드 운영체제 기반의 모바일 보안을 고민했고, 그 결과물도 기존 보안 업체들보다 빨리 내놨다. 에스이웍스 멤버들은 기존 회사에서 나와 새로운 도전에 나섰다. 홍동철 에스이웍스 최고기술책임자(CTO)를 최근 만나 모바일에 집중한 사정과, 이 회사가 선보인 기술을 물었다.
홍 CTO는 ‘화이트 해커’로 유명한 홍민표 대표와 함께 에스이웍스를 만들었다. 홍 대표가 한국과 미국을 오가며 회사 경영에 주력한다면, 홍 CTO는 내부 기술진을 총괄한다(둘 다 홍 씨지만 형제는 아니다). 스무살부터 프로그램을 배워 14년차가 된 해커이자 개발자로, 해커들 사이에선 ‘히네(hine) 홍’으로 알려졌다. 인재들 모였기로 소문난 에스이웍스에서도 해킹과 개발의 최고 실력자로 인정받는다.
● “뱀처럼 쏘아보면, 돌처럼 굳어버려라”
메두사. 포세이돈의 연인이자, 죽어서 천상의 말이 된 여인. 아테나의 질투로 삼단같던 머리카락이 뱀으로 변한, 눈이 마주치는 족족 상대를 돌로 바꿔 버린 공포의 대상. 에스이웍스가 자사 주력 상품의 이름을 ‘메두사’로 붙인 이유도, 그 두려운 힘을 연상케 하기 위해서였을까.
“안드로이드 앱은 복제하기가 너무 쉬워요. 소스코드도 금방 볼 수 있고요. 안티 바이러스를 하면서부터 이걸 어떻게 막을까 고민했어요. 2011년쯤 되니깐 보안 문제가 너무 많이 생기더라고요. 그런데 이 부분을 해결할 제품이 없었어요. 남들이 못하는 게 뭐냐, 그걸 고민해서 만든 게 ‘메두사’에요.”
메두사라는 강력한 이름이 필요할 정도로 앱 마켓 시장의 보안 위험은 크다. 단적으로, 한 리서치 업체 조사 결과에 따르면 구글 유료 앱 마켓에서 인기 100위권에 드는 앱은 100% 해킹된 경험이 있다. 중국에선 아예 앱을 개발 안하고 소스코드를 복사해 결제모듈만 갖다 붙이는 경우도 있으니 할 말 다 한 셈이다. 구글플레이라는 마켓을 사용하지 않아도 되기 때문에 구글로서도 어찌할 도리가 없다. 이건 비단 중국만의 문제는 아니라고 볼 수 있다. 그만큼 아이디어와 그 결과물들을 손쉽게 가져갈 수 있다는 ‘약점’이 크다고 볼 수 있다.
메두사라는 강력한 이름이 필요할 정도로 앱 마켓 시장의 보안 위험은 크다. 단적으로, 한 리서치 업체 조사 결과에 따르면 구글 유료 앱 마켓에서 인기 100위권에 드는 앱은 100% 해킹된 경험이 있다. 중국에선 아예 앱을 개발 안하고 소스코드를 복사해 결제모듈만 갖다 붙이는 경우도 있으니 할 말 다 한 셈이다. 구글플레이라는 마켓을 사용하지 않아도 되기 때문에 구글로서도 어찌할 도리가 없다. 이건 비단 중국만의 문제는 아니라고 볼 수 있다. 그만큼 아이디어와 그 결과물들을 손쉽게 가져갈 수 있다는 ‘약점’이 크다고 볼 수 있다.
홍동철 CTO는 메두사를 필두로 당분간 모바일 보안에 집중하겠다고 설명했다.
에스이웍스는 메두사가 “소스코드를 쉽게 보지 못하도록 하는 역할”을 한다고 설명한다. 그동안 앱을 개발하면 리버스 엔지니어링(reverse engineering)을 통해 소스들을 확인할 수 있었다. 에스이웍스는 이를 통한 ‘카피캣’을 못 만들도록 원천봉쇄하는 SaaS(Software as a Service)를 선보였다. 디컴파일을 못하도록 하는 ‘안티 디컴파일’ 기능은 물론 C로 개발된 라이브러리도 분석하지 못하도록 막아야 한다.
“구글이 제공하는 ‘안티 바이러스’ 프로그램은 앱을 마켓에 올릴 때 그게 악성 앱인지 아닌지를 판별하는 거예요. 그런데 우리는 정상적인 앱을 배포했다 하더라도, 악의적인 사용자가 그 소스를 보고 수정을 한다거나, 결제 코드만 바꿔 다시 올리는 걸 막아주는 역할을 하는 거죠.”
금융권, 게임사들이 메두사에 관심을 갖는 이유가 여기에 있다. 이용도 쉬운 편이다. 고객사 입장에서는 메두사 마켓에 자신들의 앱(APK 파일)을 올렸다가 내려받는 두 단계만 거치면 된다. 그 사이 메두사는 앱에 난독화 프로그램을 적용한다. 해킹이 불가능하도록 겉을 꽁꽁 싸매는 것이다. 모든 일은 최대 1분 사이에 마무리된다.
“실행파일을 올리면 겉을 싸서 보호하는 개념이에요. 기계어 단계에서 작업하는 거라고 보시면 돼요. 그렇다고 용량이 크게 커지지는 않아요. 최대한 용량 추가가 되지 않도록 하는데요, 아주 미세한 차이 정도라고 보시면 돼요.”
관련 서비스는 클라우드 기반에서 제공하는데 자세한 아키텍처에 대해서는 말을 아꼈다. 초기 시장은 SaaS로 다가서고 있지만 기업이나 보안이 요구되는 특정 업체들의 경우 외부가 아닌 내부에 관련 인프라를 설치해달라고 요구할 수 있지 않을까. 홍동철 CTO는 “그렇지 않아도 그런 고객이 있기는 하다”고 전했다.
●”64비트 시대, 준비는 끝났다”
모바일 앱 시대도 지난해부터 32비트에서 64비트로의 전환이 이뤄지고 있고, 구글도 안드로이드 L을 통해 이런 흐름에 올라타려고 한다. 에스이웍스도 이에 대한 준비를 하고 있을까. 홍 CTO에 따르면 “준비는 끝났다”. 이슈가 생기면 바로 대응할 수 있는 것도, 이들이 해커 출신이기 때문이란 설명이다. 무언가 바뀌는게 있으면 각 담당이 바로 해결책을 내놓는다.
스마트폰 하드웨어가 64비트로 바뀌면 에스이웍스도 영향을 받는다. 메두사에 올라올 64비트 앱에 맞춰 명령어를 바꿔야 한다. 내년 구글이 64비트 운영체제(OS) 안드로이드L을 내놓으면 대세는 금방 32비트에서 64비트로 넘어갈 형편이다.
“업체들 문의가 있었어요. 안드로이드L이 발표되고 호환 맞추느라 2~3일 정도 고생 좀 했죠. 32비트와 64비트는 로우 레벨에서 보면 명령어가 싹 바뀌거든요. 코드가 달라지니까요. 안정성을 수정한 게 일단 그 정도고요, 테스트를 마쳤고 서비스도 하고 있는 상황이에요.”
에스이웍스의 주력 상품 ‘메두사’.
●우리가 찾는 인재상은 ‘즐기는 긱’
홍 CTO에 따르면 에스이웍스가 찾는 인재상은 ‘긱(Geek)’이다. 괴짜로 통하는 긱을, 그는 “신나고 재미있게 무언가를 열심히 하는 사람”으로 정의한다. 에스이웍스에 들어온 사람들이 프로그램이나 연구 개발을 조금 더 재미있게 하자는 뜻이다.
“에스이웍스 기조가 ‘넘버 원(Number one)’이 아니에요. 대신 우리가 할 수 있는 것, ‘온니 원(Only one)’이 되자는 거죠. 긱들이 원래 좀 그래요(웃음). 우리는, 개발자들에 대해선 개성이 특이한 사람을 좋아하죠.”
그런데, 긱들이 모인 곳 치고는 사무실 분위기는 아주, 지극히 ‘정상적’이다. 해커하면 떠오르는 음습한 분위기는 찾기 어려웠다. 세상에, 아침 일찍 출근해서 정시 퇴근하는 해커라니. 개발 문화를 묻지 않을 수 없었다. 개성 넘치는 개발자들에 남들과 같은 하루 일과가 잘 맞아떨어질까.
“낮에 일하도록 문화를 바꾸는게 가장 힘들었어요. 늦게 출근해서 밤에 일하는 사람들이 많았는데, 그런 회사가 잘 되는걸 못봤거든요(웃음). 아침에 무조건 나와라, 회사에서 자지 말아라… 이런 것들을 왜 해야하는지 설명했어요. 낮에 하나 밤에 하나 사실 (결과는) 똑같거든요. 우리도 위계질서가 있어서 다들 잘 따라와요.”
손 코딩으로 필기시험을 보는 거나, 수습을 거쳐 실기를 평가하는 것은 글로벌 기업을 연상케 했다. 수시로 공개 채용을 하지만, 필기시험 난이도에 통과하는 이는 적다. 지금 에스이웍스를 떠받치는 연구개발자들은 총 14명이다. 이들은 대부분 어려운 필기 시험을 통과했거나, 해커 집단에서 능력을 인정받아 추천된 사람들이다.
포항공대와 카이스트가 매해 개최하는 해커 경진대회도 에스이웍스가 후원한다. 실력있는 해커가 늘어나야 회사 미래도 밝다고 판단해서다. 유명 화이트해커 집단 ‘와우해커’와 공동 개최인데, 이 집단에도 홍민표 대표와 홍동철 CTO가 참여한다. 해커톤도 꾸준히 개최해 결과물을 무료로 배포한다. 나름의 사회환원 활동인데 대표작이 30만 다운로드를 기록한 스미싱 방지 앱 ‘스미싱 가드’다.
당분간 모바일 보안에 집중하겠지만, 앞으로는 드론이나 자동차 같은 새로 떠오르는 분야도 에스이웍스의 영역이 될 듯하다. 그는 “보안은 어디나 적용 안 되는 곳이 없다”며 “IT 전반을 다 볼 수 있는 눈을 키워야 보안을 제대로 할 수 있다”고 강조했다. 그의 말대로 모든 IT와 유기적으로 연결하지 않으면 모바일 보안 역시 성공하기 어렵기 때문이다.
“당분간 모바일에 집중하겠지만, 요즘 뜨고 있는 드론이나 자동차 이런 쪽도 보고는 있어요. 제품 쪽으로는 모바일도 모바일이지만, 스마트 운영체제 쪽의 취약점도 살피고 있습니다. 스마트홈도 다 모바일로 연결되는 거잖아요. 메두사와 함께 썼을 때 보안을 극대화할 수 있는 라인업도 준비 중입니다.”
그가 유명해지고 나서 가장 많이 들은 질문이 아마 “어떻게 하면 화이트 해커가 될 수 있느냐”일 것이다. 같은 것을 물었다. 홍 CTO는 난감한 듯 웃더니 “일단 공부부터 시작하고 말했으면 좋겠다”고 답한다.
“기본기없이 해커가 되고 싶다고 무작정 묻는 사람들이 많아요. 프로그램이든 네트워크든, 뭔가를 하다가 적성에 맞아 파고들다보면 취약점을 알게 되고, 그렇게 자연적으로 해커가 되는 거죠. IT 전반에 관심을 갖고 전체를 들여다 볼 수 있는 눈을 키우는 것, 그게 먼저 아닐까요?”
[출처] 마이크로소프트웨어 남혜현 기자 on 2014년 9월 22일
C과외/C#과외/VB과외 프로그래밍 과외.서울인천경기-방문강의.기타전국-화상강의.제대로 체계적으로 배우고싶은분들.15년경력 프리랜서.삼성/포스코/한진 등.
서울,인천,경기,분당,일산,과천,산본,부천,부평,평촌,안산,안양,광명,용인,시흥,성남,수원,평택,오산,화성,동탄,천안,아산,
c#프로그래밍1:1과외, 15년 이상 프로젝트 경력의 프리랜서 직접 강의,
c#프로그래밍 과외, c#프로그래밍교육, IT·컴퓨터·컴퓨터과외비·프로그래밍과외, c# 강좌, c# 프로그래밍,
데이터베이스, 데이터베이스 프로그래밍, db, DB, 과외비,컴퓨터1:1,컴퓨터개인지도,컴퓨터실무과외,컴퓨터과외,컴퓨터1:1과외,
서울,인천,경기,부천,안산,분당,일산,천안,과천,산본,안양,광명,평촌,수원,평택,오산,용인,부평,시흥,성남,화성,동탄
광주,부산,대구,대전,마산,창원,울산,전주,군산,원주,강릉,충청남도,충청북도,강원도,경상남도,경상북도,전라남도,전라북도,제주도
'좋은상식' 카테고리의 다른 글
| [트렌드] 윈도우9, ‘이렇게 생겼네’ (0) | 2014.09.25 |
|---|---|
| [주식] 주식시장이란 (0) | 2014.09.24 |
| [주식] 주식투자의 장점 (0) | 2014.09.22 |
| [주식] 주식의 유형 (0) | 2014.09.22 |
| [주식] 주식이란? (0) | 2014.09.21 |