Posted by 교수님 소개 부탁드립니다.
안녕하세요, 저는 카이스트 정보보호대학원에서 박사학위를 받은 뒤에 GeorgiaTech에서 박사후연구원 기간을 거쳐 성신여대 융합보안공학과에 최근 부임한 장대희입니다. 학생 시절 동안 친구들과 다양한 국내외 해킹대회 활동에 참여하였고, 버그바운티 및 워게임 운영 등 실무적인 해킹 활동을 정보보안 연구와 병행해왔습니다. 가장 최근에는 퍼징 기술을 응용하는 연구에 관심이 있습니다.
교수님의 연구분야에 대한 소개를 부탁드립니다.
저의 연구 분야는, 큰 범주에서 시스템보안 및 악성코드 분석, 더 세부적으로는 메모리 버그를 찾는 것, 이를 악용하는 기술 및 그에 대한 방어입니다. 최근에는 소프트웨어에서 자동으로 버그를 발견하는 기술인‘퍼징’(Fuzzing) 분야를 응용하는 방향으로 연구하고 있으며, 특히 퍼징의 분산처리 효율성을 극대화하는 프로젝트를 진행 중입니다.
해당 프로젝트는 개념적으로 볼 때, 과거 NASA에서 시작한 SETI 프로젝트 (외계인의 신호를 찾기 위해일반인들의 컴퓨터를 분산 시스템 자원으로서 활용), BitCoin Mining Pool 등의 개념을 Google 의ClusterFuzz 와 같은 분산 퍼징 프로젝트에 적용해서 Public 컴퓨팅 기반의 Fuzzing Pool 운영을 가능하게 하고자 하는 것이 목표라고 볼 수 있습니다. ClusterFuzz 프로젝트는 현재 세계에서 가장 큰 규모의 컴퓨팅 자원을 활용하는 퍼징시스템으로서 약 2만5천 개의 CPU로 구성된 분산 시스템을 활용하여 수백 가지 오픈소스 소프트웨어들로부터 수십만 개의 버그들을 자동으로 발견/제거하여, 악성코드 및 해킹 공격을 효과적으로 차단하고 있습니다. 하지만 현재 글로벌 소프트웨어 시장의 발달속도를 고려하면 (소프트웨어 통계상 1주일마다 20억 줄의 새로운 코드가 개발되고 있습니다) 미래에도 계속해서 퍼징의 컴퓨팅규모는 커지게 될 전망입니다. 단순히 컴퓨팅의 규모를 확장하는 것뿐만 아니라, Public 컴퓨팅 기반의 퍼징 인프라를 구축하게 될 때의 다양한 이점들이 있을 것으로 기대되며, 이를 실현하기 위한 방법의 하나로 “웹 어셈블리” 기술을 퍼징에 적용하는 연구를 진행하고 있습니다. 웹 어셈블리 기반의 퍼징이 효과적으로 작동하게 되면, IoT를 포함하여 인터넷이 가능한 어떠한 컴퓨팅 장치라도 (태블릿, 노트북, 핸드폰, 스마트시계 등) 분산 컴퓨팅의 자원으로 활용할 수 있게 되는 이점이 있고, 이는 대규모 Volunteer Computing을 활성화할 수 있는 기반기술이 될 것으로 기대됩니다. 더불어 이러한 Public Infrastructure의 디자인 및 구축과정은, 과거에 존재하지 않았던 새로운 보안 문제들을 야기할 것으로 보입니다. 예를 들면, “신뢰할 수 없는 사용자의 단말기에서 얻은 퍼징 연산의 결과가 변조되지 않았는지 어떻게 검증할 수 있는가?” “IoT 단말과 같은 메모리사용량이 제약된 환경에서 퍼징연산을 얼마나 효과적으로 수행할 수 있을까?” 등등 새로운 연구적 질문들이 생기게 됩니다. 저는 현재 이러한 문제들을 해결하기 위한 핵심 방법으로, 비트코인에 사용되는 블록체인 기술에서 여러 가지 아이디어 (Proof-of-Work)를 빌려와 이를 연구에 활용하고 있으며, 그 과정에서 다양한 연구 주제들이 파생되리라 생각합니다.
정보보호대학원 졸업 후 교수직에 임용되셨는데, 교수직을 진로로 정하신 동기는 무엇인가요?
처음부터 교수직을 목표로 하지는 않았지만, 박사후연구원 기간에 새롭게 접한 경험들, 퍼징 연구에 대한 관심증대 등 다양한 요인들로 인해서 비교적 최근에 교수직을 희망하게 되었습니다. 핵심적인 동기는 개발이든 연구든 무언가를 자발적이고 주도적으로 하고 싶어서인 것 같습니다.
KAIST 정보보호대학원에서 석/박사 과정을 하면서 가장 기억에 남는 경험은 무엇인가요?
저는 석/박사 과정 동안 운이 좋게도 연구나 학업, 생활 등과 관련하여 특별히 힘들었던 기억은 없었던 것 같습니다. 대신 기뻤던 기억들이 많은데, 어려운 워게임(war game) 문제를 해결했을 때, 친구들과 팀을 만들어서 해킹대회에서 입상했을 때, 버그바운티를 성공한 순간들이 있습니다. 워게임에 한창 빠져 있을 때는 방의 컴퓨터 환경이 열악하거나 인터넷이 느린 경우, PC방에 가서 워게임을 하던 것이 기억납니다. 특히 박사과정 초기 때 smashthestack 이라는 워게임 문제 중 하나에 대해서 꿈을 꾸다가 꿈속에서 공격 코드 구성에 관한 해결방법을 떠올리고 새벽에 깨어나서 문제를 해결하여 환호성 하던 날은 잊을 수 없습니다. 워게임에 한창 빠져있던 박사과정 1년 차 때를 돌이켜보면 PC방의 흔한 게임중독자들처럼 종종 밤을 새우고 평균적으로 4시간 정도씩 자면서 온종일 워게임 문제를 풀고 워게임 문제에 대해 생각만 했었는데, 이는 제가 공부나 학업을 목표로 했다면 불가능했을 것 같습니다. 그 당시 워게임 문제를 푸는 것에 학업을 위한 생각은 없었고 오직 문제를 풀 때 느껴지는 희열이 좋아서 즐기는 식이었습니다. 마찬가지로 2013년 DEFCON 해킹대회 예전선을 간신히 통과했을 때, 2015년에 화이트햇 콘테스트 대회에서 우승했을 때, 한컴오피스에서 발견한 취약점으로 계산기 실행에 성공한 순간들 등등 저의 석/박사 과정 기간은 주로 해킹 활동과 관련하여 기뻤던 순간들이 많았습니다.
정보보호대학원에서 배운 내용 중 졸업 후 선배님께 가장 큰 도움이 되었던 것은 무엇인가요?
저의 석사/박사 과정을 지도해주신 강병훈 교수님께서 연구 방향 지도 외적으로도 저의 성향이 효과적으로 발휘될 수 있도록 편안하고 자유로운 연구실 분위기를 제공해 주시고, 제가 관심을 가지는 연구나 활동에 대해서 적극적으로 장려/격려해 주신 것, 그리고 같이 즐겁게 연구를 논의할 수 있는 연구실 동료들이 있어 준 것이 가장 큰 도움이라고 생각합니다.
이제 막 교수로서의 커리어를 시작하셨는데, 앞으로 어떤 연구를 하고 싶으신지, 또 어떠한 연구실 만들고 싶으신가요?
한동안은 계속해서 퍼징에 관련된 연구를 하고 싶습니다. 특히, 웹 어셈블리를 이용하는 환경에서 퍼징을 더효과적으로 할 수 있는 방법에 대해서 연구할 계획입니다. 연구실의 경우 저의 욕심일 수도 있지만 제가 대학원 시절을 비교적 즐겁게 보냈던 것처럼 제 학생들도 학업/연구를 게임을 하듯이 재미있게 할 수 있는 연구실을 만들고 싶습니다. 저는 교수로서 학생들에게 일차적으로는 좋은 연구 방향을 제시해주고 지식을 전달해줘야 할 것이나, 더 궁극적으로는 학생들이 자율적으로 좋은 동기부여를 받을 수 있게 도와주고 싶습니다
정보보호 대학원 후배 및 정보보안 분야를 공부하고 학생들에게 해주고 싶으신 말씀이 있나요?
정보보안도 그 세부 분야가 매우 다양해서 반드시 어떻게 공부하는 것이 좋다고는 말하기 어렵습니다. 다만, 정보보안 중에서도 제가 주로 체험했던 소프트웨어 해킹과 관련된 특정 분야로 한정한다면, 이론적 공부와 실무적 경험을 50:50 의 비율로 병행하는 것이 중요하다고 생각합니다. 정보보안 분야는 기술의 변화가 빠르기 때문에, 새로운 기술 및 지식을 그때그때 습득하여 활용할 수 있는 능력 또한 중요하며, 그러한 능력은 폭넓은 실무적 경험을 통해 쌓이는 것 같습니다. 그리고 무엇보다 중요한 것은, 본인이 수동적으로 가만히 있어도 누군가가 가르쳐주거나 리드해 줄 것을 기대하지 말고 비록 실패하더라도 자발적이고 주도적으로 연구나 기타 활동을 추진하시는 것이 좋다고 생각합니다.