Theori 팀 인터뷰🎤_보안 취약점을 연구하고 사전에 방지해요(취약점 연구 팀)

여러분은 VR을 아시나요? 가상 현실? 애플의 VR 기기 비전 프로? Theori(티오리)에도 VR 팀이 있습니다. 바로 취약점 연구 팀이에요.

티오리 팀 인터뷰 🎤 여섯 번째 주자는, 사이버 위협을 사전에 방지할 수 있도록 끊임없이 연구하는 VR 팀의 kkokko.kye입니다.

안녕하세요 kkokko.kye! 자기소개 부탁드려요 🙌

안녕하세요, 티오리 VR 팀 리드 계정오입니다. 팀 이름은 Vulnerability Research의 약자로, 문자 뜻 그대로 취약점을 연구하고 있어요. 일반적으로 여러분이 많이 사용하는 Chrome 같은 브라우저, Windows 같은 운영체제의 취약점을 연구하고 위협을 사전에 방지하며 더 안전한 세상을 만들 수 있도록 노력하고 있습니다.

VR 팀에서 하는 일을 더 구체적으로 이야기해 주세요.

취약점을 연구하며 공격 기법, 전략을 연구해 사전에 식별하고, 대응책을 마련하거나 보안 패치(해결 방법)를 제공해요. 취약점 보고서를 제공하는 사이버 위협 인텔리전스 데이터베이스 Fermium-252와 취약점을 더 수월히 찾도록 도와주는 QueryX 서비스도 운영하고 있어요.

Fermium-252는 지금도 수없이 발생하는 1 Day 취약점의 분석 보고서를 제공해요.

‘해결 방법이 알려졌지만 적용되지 않은 취약점’을 1Day 취약점이라고 하는데요, 취약점의 패치가 존재해도 이를 바로 적용하지 않거나 적용하지 못하는 경우가 많기 때문에 1 day 취약점을 인식하고 사전에 방어하는 것이 중요합니다. Fermium-252는 1 Day 취약점을 확인할 수 있는 PoC(Proof-of-Concept) 코드와 원하는 코드를 실행할 수 있는 Exploit 등을 제공해요. 자세한 내용은 VR 팀 블로그 게시글에서 확인하실 수 있습니다.

QueryX는 코드 내 취약한 패턴을 기반으로 취약점을 탐색하는 도구예요. X라는 미지의 타겟에 취약점이 있는지 질문한다(Query)는 의미를 갖고 있어요. 인간은 같은 실수를 반복한다고 하죠? 프로그램을 만드는 개발자도 인간이기에 비슷한 실수를 하는 경우가 많아요. 그 실수를 패턴으로 만들어, 바이너리 시스템을 분석하도록 개발하고 있어요.

Github의 CodeQL, Meta의 Infer 같은 도구와 비슷하지만, 바이너리만 있는 상황에서도 분석이 가능하다는 차이점이 있습니다. 현재는 보안 전문가가 취약점을 찾는 데 도움을 받을 수 있는 도구로 사용 가능하며, 최종적으로는 질문(Query) 한번으로 취약점을 찾는, 해커의 꿈 같은 도구를 목표로 하고 있어요.

해커의 꿈! 멋있네요, 티오리에서 CVE로 식별된 취약점을 가장 많이 찾는 팀이에요. 노하우가 있나요?

CVE(Common Vulnerabilities and Exposures)는 취약점을 식별하기 위한 번호예요. 영향력이 인정된 취약점에만 CVE가 발급되며, 발급할 수 있는 기관도 제한되어 있어요.

티오리엔 개인 시간에 연구하는 분들이 많은데요, 저희 VR 팀은 취약점을 연구하기 때문에 새로운 취약점을 찾는 경우도 많은 것 같아요. 대부분의 팀원이 새로운 취약점을 발견했을 때의 기쁨을 알고 있고, 궁극적으로 저희 팀 업무와 연관되는 경우가 많아서 연구 시간을 충분히 가질 수 있도록 장려하고 있어요.

최근 Hexacon에서 발표했다고 들었어요.

저희 팀원인 이준오님과 프랑스에서 열리는 Hexacon(핵사콘)에 다녀왔어요. 세계적으로 유명한 해커들의 연구를 들을 수 있었고, 저희는 준오님 주도로 연구한 Windows의 취약점 CVE-2023–28218과 Exploit 방식을 발표했어요. 준오님의 멋진 발표 영상은 유튜브에서 확인하실 수 있고, VR 팀 블로그에도 정리되어 있으니 관심 있으신 분들은 확인해 주세요!

이전까지 컨퍼런스에 많이 참여하진 않았는데요, 티오리 VR 팀이 연구한 내용을 공유하고, 우리의 기술력을 홍보하기 위해 참여 빈도를 점점 늘리고자 해요. 주최 측에서 경비를 지원해 주지 않는 컨퍼런스는 회사에서 지원해 주어서 부담을 덜고 참여할 수 있어 좋습니다.

VR 팀 자랑, 조금 더 해주세요!

티오리의 모든 팀이 마찬가지지만, VR 팀 팀원 모두 실력이 출중해서 서로에게 배울 점이 많아요. 저희 팀은 주로 브라우저, OS(운영체제), 가상화 등 큰 시스템을 이해하고 이와 관련한 취약점을 찾고 있는데, 각 분야에 대해 깊이 연구한 팀원들이 있어, 공부를 시작하거나 관련 문제가 있을 때 물어보고 배울 수 있다는 점이 큰 장점이에요.

큰 타겟을 대상으로 취약점을 연구하려면, 취약점을 찾기까지 어려움이 있는데요. 오랫동안 끈기를 갖고 발견했을 때 성취감과 희열이 함께 있습니다!

그리고 팀 회의마다 스몰 컨퍼런스처럼 각자의 연구를 공유해서, 다른 팀원의 심도 있는 분석을 들으며 서로의 지식을 공유해요. 업무를 진행하면서도 꾸준히 배우고 성장할 수 있답니다.

마지막, 공식 질문이에요. VR 팀과 kkokko.kye의 목표는 무엇인가요?

지금은 사람이 찾고 있는 취약점을 자동화를 통해 쉽고 빠르게 식별할 수 있도록 보완하고 싶어요.

저희 VR 팀이 하는 연구와 Fermium-252, QueryX 등을 통해, 전 세계적으로 발생하는 사이버 위협을 미리 탐지하고, 사전에 방지해서 안전한 세상을 만드는데 일조하고 싶어요.

개인적으론 나이가 들어서도 기술 연구에 몰두하는 사람이 되고 싶습니다.

누구나 안전하게 꿈꿀 수 있는 세상을 꿈꾸는,
티오리는 지금 인재 영입 중입니다😎
We are hiring! 🔗 https://theori.io/career/hiring