최근 해외 진출을 활발히 진행하고 있는 보안기업 NSHC(대표 허영일)는 싱가포르에 거점을 확보하고 동남아뿐만 아니라 중동과 일본 등에 보안교육을 비롯한 보안서비스와 제품을 공급하는데 투자를 아끼지 않고 있다.
해외에 보안서비스를 수출하기 위해서는 기술력 있는 해킹 보안 전문가 집단이 사내에 구축되어야 한다. 이를 위해 NSHC는 사내 해킹 보안 연구기관인 Red Alert팀을 구축하고 국내 뿐 아니라 해외 시장에 우수한 기술력을 공수하고 있다.
중소기업이 해외 시장 진출을 위해 고급 기술력을 갖춘 인재 확보는 당면 과제인 것이다. 지난해까지 연봉 높은 금융기관 보안담당자로 근무하다, NSHC Red Alert팀에 합류한 하동주 책임연구원을 만났다. 그는 왜 안정적(?)인 금융권을 박차고 나와 힘든 중소기업을 택한 것일까. 무엇이 그의 생각을 바꾼 것일까. 보안기업 취업과 이직을 원하는 독자들에게 그가 던지는 메시지를 전한다. 다음은 그와의 인터뷰 내용이다.
좌측부터 하동주 NSHC 책임연구원, 아내 김지선씨.
◇최근 주로 해외에서 이런저런 활동을 많이 하는데 주요 활동에 대해 소개해 주신다면.
싱가포르를 중심으로 일본, 홍콩, 대만 등 여러나라에서 경찰청 등 정부기관에서 주최하는 컨퍼런스, 세미나에 초청 받아서 모바일 보안 위협 등을 주제로 하는 발표를 진행하고 또 정부기관 및 일반 기업들을 대상으로 악성코드 분석, 웹 해킹, 침해사고 분석 등 교육 사업을 진행하고 있어요. 최근에는 멕시코나 르완다 등을 대상으로도 활동 영역을 넓히고 있습니다.
◇외부에서 보면 상대적으로 연봉이 높은 금융권 직장을 버리고 중소기업으로 이직을 하셨다고 볼 수 있는데, NSHC로 이직을 하신 계기가 있다면.
제 자신이 제일 잘할 수 있는 일을 하고 싶었어요. 누구에게나100% 만족할 수 있는 직장은 아마 없을 것 같습니다. 본인이 직접 회사를 만들고 운영해도 그건 불가능 할 것 같구요. 물론 생각하기 나름일 순 있겠지만, 그래도 내가 이 직장을 다니고 싶다, 다녀도 괜찮겠다 하는 기준은 정할 수 있었습니다. 제 기준은 연봉보다는 ‘내가 제일 잘할 수 있는 일을 할 수 있는 곳’이었습니다.
이전 직장에서 하는 일이 제가 제일 잘할 수 있는 일이 아닌 이유는 크게 두 가지였어요. 물론 지극히 저 개인에게만 해당되는 부분입니다만.
우선 보안담당자라는 업무는 같은 직장 동료들에게 안 좋은 소리를 해야 하기도 하고 들어야 하기도 해요. 마음이 불편해요. 제게는 가장 큰 이유였어요. 보안담당자라는 업무 특성상 어쩔 수 없는 것이기도 하지만, 그렇기 때문에 더욱 어려운 문제였어요. 업무상 기술적인 부분은 재미있게 할 수도 있었고, 잘할 수 있는 자신도 있었지만. 마음이 불편한 것은 어쩔 수 없었고 정말 힘들었어요. 물론 지금도 대부분 보안담당자 분들은 그렇게 생활하고 있고, 똑같이 힘드실 것 같아요. 제가 잘 버티기 어려운 것이 문제였지요.
또 보안회사가 아닌 일반 회사에서 일하는 것은 의사소통이 엄청나게 중요해요. 같은 분야에 있는 사람들 간의 의사소통은 표현을 잘 못하더라도 어느 정도 서로 이해가 가능하지만, 일반 회사에서 다른 분야 사람들과 의사소통은 비교적 어렵습니다. 그러기 위해선 말도 잘해야 하고 글도 잘 쓰고 문서도 잘 만들어야 합니다. 이러한 것들은 꼭 비효율적이라고 말할 필요가 없는 것 같습니다. 겪어보니 어쩔 수 없고 그러한 절차나 작업들이 꼭 필요한 상황도 있습니다. 다만, 제가 그런 것들을 잘 못해서 문제였지요.
그래서 어떤 일을 하면 정말 잘할 수 있을까 고민을 했고 역시 보안연구가 저한테는 최고인 것 같았습니다. 하지만 제가 좋아하는 보안연구만 하면서 회사 생활을 할 수 있는 곳이 흔하진 않은 것 같았습니다.
다행히 NSHC허영일 대표께서 해외에서 스타트업을 진행하고 계셨고 조금이나마 도움을 드릴 수 있으면서 저도 즐겁게 일할 수 있다고 판단해 합류하기로 결심했습니다. 물론 대표님이 제가 믿고 따를 수 있는 ‘형님’같은 존재셨기 때문이기도 해요.
◇싱가포르 이주하셨다고 들었는데 준비는 어떻게 되고 있나요.
최근에 아내와 함께 싱가포르로 이주를 완료했어요. 한동안 임시 숙소에서 앞으로 거주할 집을 찾았고 이사까지 완료했습니다. 최근 몇 일 동안은 이사 때문에 사무실보다 이케아에 더 많이 있었던 것 같아요. 저 때문에 아내가 고생을 많이 하고 있는데 많이 이해해주고 따라줘서 너무 고마운 마음입니다.
◇싱가포르에서 주요 업무와 향후 계획이 있다면.
주요 업무는 제로데이 리서치 업무지만, 그것보다 더 중요한 일은 회사와 동료들이 서로 만족할 수 있도록 만드는 일인 것 같아요. 그러기 위해서 회사에게 필요한 것과 동료들이 원하는 것이 무엇인지를 항상 파악해보려 하고 있습니다.
단기 목표는 대표님을 도와 회사가 원활히 운영 되면서 동시에 동료들이 최대한 만족하며 일할 수 있는 효과적인 방법을 찾는 것입니다. 해당 방법을 통해 회사와 동료들 모두가 꾸준히 성장할 수 있게 하고 싶어요. 또 저를 믿고 선택해주신 대표님 그리고 저와 대표님을 믿고 함께 하기로 한 동료들을 위해 중요한 목표지요.
장기 목표는 직원들 모두가 본인 스스로 자기 분야에서 세계 최고의 전문가라는 생각이 들 수 있도록 레벨업 하는 것입니다. 대표님은 아시아에서 최고가 되자고 하시는데, 저는 조금 더 써서 모두 세계 최고의 전문가가 되도록 노력해야죠.
◇국내 기업들 해외진출 어려워하는데 직접 해보시니 어떤가요?
대부분의 정말 어려운 일들은 대표님이 직접하고 계셔서 제가 느끼는 것은 아주 일부분일 것 같습니다. 그래도 가장 어려운 건 ‘신뢰구축’인 것 같아요. 특히 보안 쪽 사업은 신뢰 관계가 엄청나게 중요하죠. 아직 저희는 해외에서 유명한 회사가 아니기 때문에 어떻게 신뢰를 얻을 수 있는가가 가장 큰 관건인 것 같아요. 물론 신뢰를 받을 만한 실력은 기본적으로 갖추어야 할 요소겠죠. 그래도 대표님이 이러한 일들을 즐겁게 하고 계시고 회사 내부는 물론 외부에서도 많은 분들이 도움을 주시고 응원해주셔서 잘 해낼 수 있을 것이라 확신합니다.
◇언어 문제는 어떤가요?
영어를 원어민들처럼 잘하지 못하는 것은 분명한 단점이고 실제로 알게 모르게 손해도 많이 보고 있는 것 같아요. 그런데 재미있는 점은 영어를 잘 못하는 점이 가끔은 고객들에게 오히려 더 좋은 효과를 주기도 하는 것 같아요.
표현을 잘 못하고 말은 잘 못해도 고객들이 알아서 더 좋게 이해해주고 반대로 저희한테 더 좋게 해석해 설명해 주는 경우도 많아요. 물론 영어는 해결해야 할 가장 큰 문제 중 하나입니다.
◇직장을 구하는 관점에 대해 후배들에게 해주고 싶은 말이 있다면.
제가 아직 직장 생활을 10년도 해보진 않아서 조언을 해 줄 수 있을지 모르겠어요. 다만 느낀 점에 대해 말씀드리자면 이렇습니다.
우선 자신이 정말 하고 싶은 일이 무엇인지 최선을 다해 모든 방법을 동원해 알아내야죠. 물론 쉽지 않을 수 있고 평생을 노력하며 찾아야 하는 일이기도 하겠지만요.
또 그러한 일을 할 수 있는 직장을 역시 최선을 다해 모든 방법을 동원해 찾아보고 항상 본인 스스로를 생각하며 열심히 다니는 것이라고 생각해요.
‘좋은 직장’ 혹은 ‘나쁜 직장’은 분명 존재합니다. 하지만 모두에게 동일하진 않아요. 어떤 이에겐 좋은 직장이 어떤 이에겐 나쁜 직장일 수 있고, 반대의 경우도 있을 수 있죠. 개개인에 따라 가치관을 포함한 많은 것들이 다르기 때문에 좋은 직장을 판단하는 기준은 다를 것입니다. 하지만 한 가지 확실한 것은 불행하게도 직접 다니면서 겪어봐야 자신에게 어떠한 직장인지 알 수 있다는 것이죠.
한편 저도 직접 경험을 해보기도 했고 많은 분들이 이야기 하는 중요한 사실은 바로 ‘어떠한 곳에서 어떠한 일을 하든 자신에게 도움이 될 수 있다’는 것이죠.
열심히 노력해서 직장을 구했는데, 다녀보니 본인이 생각한 것처럼 좋은 직장이 아닐 수 있습니다. 하지만 긍정적으로 실천하다 보면 분명 본인에게 도움이 되는 것이 있을 것입니다. 물론 사람마다 얻을 수 있는 게 다르겠지만, 보통은 기본적으로 ‘인내심 향상’은 얻을 수 있을 것입니다. 물론 인내심 향상만 얻을 수 있는 곳이라면 정말 본인과는 맞지 않는 곳 일이기 때문에 빨리 다른 길을 찾아야 하겠지요. 또 직장생활을 하다 보면, 자신이 하고 싶은 일이 무엇인지를 잘못 알고 있었음을 알게 되거나 생각이 바뀌게 되어 해당 직장에 만족하며 다니는 경우도 있지요.
결론은 하고 싶은 일과 좋은 직장을 찾는 것도 중요하지만, 직접 다녀보기 전에는 자신에게 맞는 직장인지를 알 수 없기 때문에 긍정적인 생각을 가지고 직장생활에 임하는 것이 가장 중요하다고 생각합니다.
◇최근 연구 분야는 어떤 분야인가요.
최근에는 가정이나 회사 등 주변에서 쉽게 접할 수 있는 기기들에 존재하는 위협들을 집중적으로 찾아보고 있습니다.
최근 공유기나 CCTV 등을 위주로 살펴보고 있어요. 아직 많은 기기들을 연구하진 못했지만 상당수의 기기들이 큰 문제점들을 갖고 있습니다. 안전하게 사용할 수 있도록 많은 연구가 필요할 것 같아요. 그러기 위해선 이러한 이슈들에 대한 많은 관심이 필요합니다.
또 새로운 형태의 보안 위협을 찾거나 일반인들이나 분석가들에게 필요한 새로운 도구들에 대한 연구는 항상 진행하고 있습니다. 이러한 것들이 모두 ‘지구를 지키는 연구’라고 생각하며 즐겁게 하고 있습니다.
원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=9941&page=6&total=269
2012년부터 6년째 캄보디아서 ‘해피투게더’ 봉사활동 진행
“해외봉사캠프 활동은 NSHC 구성원들에게는 특별한 자부심”
“Happy Together!” 정보보안 기업 NSHC(대표 허영일)가 6년째 해외 재능기부 봉사활동을 이어오고 있다. NSHC는 2017년 3월 20부터 25일까지 캄보디아 시엠립에서 재능기부 워크숍을 진행중이라고 밝혔다.
지난 3월 20일, NSHC 이윤승 부사장을 포함 10명의 직원들은 올해도 어김없이 캄보디아의 시엠립으로 향하는 비행기에 몸을 실었다.
15Kg짜리 저가항공 수하물 규격에 맞춘 푸른색 박스를 앞세운 NSHC 봉사단. 일행 모두 저가항공을 이용하기에 배당된 개인 위탁수하물 중량에 맞게 운반해야 할 기부물품 및 장비를 챙기는데 여념이 없었다. 그 박스 안에는 10명의 팀원들이 캄보디아 현지에서 재능기부 봉사활동에 사용할 물품들과 직원들이 십시일반 모아준 기부물품들이 가득 들어있었다.
구체적으로는 ▲태양광 전력설비에 필요한 장비 ▲무한 필터방식 정수기 구성품 ▲사진촬영 봉사를 위한 물품 ▲개인 기부물품 등이었다.
이 회사가 캄보디아에서 진행하는 재능기부 워크숍은 올해 여섯번째를 맞는다. ‘6’이라는 숫자는 NSHC에 특별한 의미가 있다.
NSHC 관계자는 “햇수로 6년동안 영업이익을 달성했다. NSHC는 매년 영업실적 결산을 통해 일정 비율의 예산을 확보하고 그 예산 안에서 CSR(기업의 사회적 책임) 관련 활동을 해오고 있다”고 설명했다. 따라서 이 해외봉사캠프 활동은 NSHC 구성원들에게는 특별한 자부심인 셈이다.
그들의 행사 캐치플레이스에서도 알 수 있듯, ‘우리가 일하는 이유’, ‘제대로 사는 법’을 배우기 위해 매년 캄보디아를 가는 것이라고 한다.
이 연례행사를 주도하고 있는 이윤승 부사장은 “이 행사가 그냥 일회성 봉사에 그치지 않고, 직원들이 자신의 ‘삶의 가치’에 대한 깨달음을 얻기 위한 기회로 생각하고 지속적인 투자를 하고 있다”고 말한다.
특히 캄보디아의 한 지역, 시엠립을 매년 지속적으로 방문하는 이유는 현지 협력 네트워크를 구축해 태양광 시스템 설치, 정수키트 보급 등 현지에 비용을 들여 설치한 자재들이 봉사팀이 철수한 이후에도 잘 관리되도록 하기한 목적이 있고, 매년 새로운 팀이 구성되어 이곳을 찾는 인원들은 선배 기수가 해놓고 간 시설이나 장비들이 어떤 상태로 지역사회에 도움을 주고 있는지 눈으로 확인하며 이 프로젝트의 구성원으로서 자부심을 느끼게 된다고 전했다.
올해도 3가지 봉사활동에 중점을 두고 있다. △첫번째로 전기가 들어오지 않는 오지에 위치한 방과후수업 교실에 태양광 전기 시설을 설치 △두번째로 위생상태가 극도로 열악한 도시주변의 빈민촌에 오염된 우물물을 정수해 식수로 바꿀 수 있는 무한필터방식의 정수키트를 설치 △세번째로 학급사진이라고 구경도 못해본 학생들을 위해 변두리 학교를 찾아 학급별 사진을 찍어 밤샘 인화와 코팅을 통해 학생들에게 나누어주고, 인근의 연세가 높은 노인들의 영정사진을 미리 찍어 마음 편히 임종을 준비할 수 있도록 도와주는 행사를 진행하고 있다.
특히 NSHC의 봉사활동은 현지의 봉사자 인적 네트워크와 함께 진행하며 사후관리가 그들로 하여금 지속적으로 이루어 질 수 있도록 기술교육과 유지보수에 대한 계획을 매년 협의하고 돌아온다고 한다. 또 이듬해 현장을 다시 찾아 운영실태를 확인하는 과정을 반복한다.
봉사활동의 특성상 현지에 NSHC의 이름이 드러나지는 않지만, 실질적인 봉사활동으로 현지 봉사자들에겐 큰 힘이 되어주고 NSHC는 시설관리를 위해 현지에 상주하는 운영 인력에 대한 부담을 더는 방식이다. 이른바 기업과 소형 NGO의 콜라보레이션인 셈이다.
현지에서도 6년간 한 곳을 지속적으로 찾아와 봉사를 하는 기업은 찾아보기 어렵다고 한다. 실제로 경험해보면 이 일이 생각처럼 쉬운 일이 아니라는 것을 알게 된다.
NSHC 관계자는 “관련된 모든 이들의 행복을 위해 NSHC의 기업활동이 잘 이루어져 회사의 자부심이라 할 수 있는 해외봉사캠프가 계속 이어질 수 있길 바란다”고 전했다.
네덜란드 HITB 2017서 ICS/SCADA 정보보안 전문가 교육과정 개설
알려지지 않은 ICS/SCADA 시스템에 대한 제로데이 취약점도 소개
NSHC(대표 허영일)는 오는 4월 10일 네덜란드 암스테르담에서 개최되는 HITB 2017 국제 컨퍼런스에서 제어망 관련 기관 및 기업을 대상으로 하는 ICS/SCADA 정보 보안 전문가 과정 교육을 3일에 걸쳐 진행한다고 밝혔다.
NSHC 관계자는 ”HITB 2017 컨퍼런스는 세계적인 보안 컨퍼런스로서 엄선되고 검증된 교육 과정만 컨퍼런스 서비스에서 제공 하는 것으로 알려져 있다. 이번이 한국에서 교육을 제공하는 첫 사례로NSHC의 제어 보안관련 전문성과 그 동안 국 내외 트레이닝에 대한 경험과 노하우를 인정받게 되어 개설이 되었다”고 밝혔다.
이번 과정은 국내의 정보 보안 전문 업체로서는 최초로 제어 시스템 보안에 필요한 이론과 실무 능력을 중심으로 하는 교육 과정을 국제적인 컨퍼런스에서 진행하며, 실제 제어망 관련 장비와 취약점등을 이용한 실무 중심의 교육을 실시한다.
특히, 이번 교육을 위해 그동안 해외에서 진행해 왔던 제어 시스템 관련 보안 컨설팅 업무와 포렌식, 제어 시스템 보안 연구를 통해 경험한 다양한 해외 사례를 소개하며, 실제 장비를 이용하여 가상으로 구축한 제어망 시스템을 활용하여 제어 시스템의 보안성을 강화 하기 위한 실무 중심의 교육 프로그램을 제공한다.
수강생은 교육 과정 이수를 통해 실제 산업 제어 시스템에서 발생할 수 있는 보안 위협에 대한 분석 및 관제 능력을 향상시켜 사고 대응의 수준을 높일 수 있고, 최근 NSHC 글로벌 사업팀에서 경험한 다양한 사례를 통해서 기업과 기관들의 정보 보호 인프라 운영 환경을 구축하기 위한 기반 지식을 습득 할 수 있다.
최근, NSHC는 국내 뿐만 아니라 싱가포르, 홍콩, 태국 및 일본에서 관련 교육 사업을 적극적으로 진행하고 있으며, 제어 시스템 관련 전문가를 중심으로 기반 시설 보안 진단 컨설팅 서비스를 제공하고 있다. 작년 한해 발전소 및 공항을 비롯해서 아시아의 다양한 중요 기반 시설 컨설팅 사업을 수행했다.
또한, 이번 교육을 통해서 아직까지 알려지지 않은 ICS/SCADA 시스템에 대한 제로데이(0-day) 취약점에 대한 소개하고, 기반 시설과 관련된 악성코드 등에 대한 분석 정보도 함께 발표할 예정이다.
허영일 NSHC 대표는 ”지속적으로 늘고 있는 제어망 관련 보안 위협에 대응하기 위해서는 관련 분야에 특화된 정보 보호 전문 인력 양성이 시급하다”며 “이번 교육을 통해서 현장에 즉시 활용 가능한 기술을 전수하고 관련 분야의 전문 인력을 확보하는 등 보안 인력 육성에 박차를 가할 계획”이라고 말했다.
원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=19001&page=4&total=270
NSHC, 일본 알트플러스와 정식 파트너 계약 체결
일본 내 앱 통합보호, 안티바이러스 서비스 공급 발판 마련
NSHC(대표 허영일)의 일본 법인인 NSHC, Japan(대표 최병규)은 일본에서 250여 개의 게임 및 다양한 모바일 서비스를 운영하고 있는 일본 상장 법인 주식회사 알트플러스(대표이사 이시이 타케시)와 스마트폰 어플리케이션 통합 보안 서비스인 ‘DxShield’에 대한 정식 파트너 계약을 체결했다.
DxShiled는 암호화(난독화) 및 해킹 툴 차단, 응용 프로그램의 위조, 변조 탐지 및 가상 머신 대응, 메모리에 대한 공격 탐지 등 다양한 보안 기능을 갖추고 있다. 또한 모니터링 콘솔을 통해 별도 프로그램 설치 없이도 실시간 공격의 확인 및 보안 정책 변경, 통계 정보를 실시간으로 확인 할 수 있다.
현재 NSHC는 모바일 Anti Virus 제품인 Droid-X를 34곳의 일본 금융 기관에 OEM형태로 제공하고 있는데, 이번 알트플러스와의 파트너쉽 계약을 통해 기존 Anti Virus 서비스에 이어 모바일 게임 개발사를 중심으로 일본의 다양한 서비스 개발자들에게 모바일 앱 통합 보호 서비스를 자사의 브랜드로 공급할 수 있는 발판을 마련하게 됐다.
양사는 초기에는 스마트폰 앱 보안을 중심으로 비즈니스를 진행하지만 추후 일본에서 많은 발전을 이루고 있는 IoT 분야에 대한 보안 서비스도 공동 개발해 나갈 계획이다.
NSHC 일본법인 최병규 대표는 “현재 일본은 스마트 폰 애플리케이션 서비스의 세계화와 도쿄 올림픽을 대비하는 시기와 맞물려 그 어느 때보다 스마트 보안에 대한 요구가 높아지고 있는 시점에서 모바일 응용 프로그램에 대한 사이버 공격도 점차 늘어나고 그 수법도 다양해지고 있다. DxShield는 이러한 시장 환경에서 보안 전문 인력을 보유하기 어려운 일본의 중소 개발사를 위한 최적의 솔루션을 제공해 줄 수 있을 것으로 보인다”고 말했다.
원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=18448&page=4&total=270
NSHC 허영일 대표, IAEA 컨퍼런스서 핵 시설 보안 기술과 사례 발표
기반시설 및 산업제어시스템 보안 위협에 대해 알아야 제대로 대처 가능해
NSHC(대표 허영일)는 국제원자력기구(IAEA) 컨퍼런스(International Conference on Nuclear Security)에서 국내 민간 기업 최초로 주제 발표를 진행했다고 밝혔다.
이번 발표는 그간 2년 동안 국가 중요 기반 시설에 대한 다양한 보안 연구를 진행해왔던, NSHC의 허영일 대표가 직접 발표했다. 발표 준비는 한국남부발전, 인터폴 연구원과 함께 진행해 왔으며, 12월 8일 오후 오스트리아 비엔나에서 발표했다.
매년 열리번 IAEA핵 보안 컨퍼런스는 71개국 1,500여 명이 참석한 가운데 12월 5일부터 9일까지 4일간 오스트리아 비엔나 IAEA 본부에서 개최됐다. 해당 컨퍼런스에서는 그간에 발견된 PLC 관련 신규 취약점과 새로운 유형의 공격 기법을 살펴 보며, 관련 공격 기법에 따른 대응 시스템과 기술에 대한 내용을 함께 공유했다.
이번 발표를 맡은 허영일 대표는 “기반시설 및 산업제어시스템 보안 위협에 대해 알아야 제대로 대처할 수 있다. 이에 NSHC에서는 산업제어시스템 보안 트레이닝 프로그램을 제공하는 있는데, 관심을 갖고 관련 연구과 국내에서 지속적으로 이루어 지었으면 좋겠다”고 말했다.
또한 허영일 대표는 “그동안 한국남부발전, 인터폴 소속의 연구원들과 함께 제어 시스템 관련 악성코드 분석, 제어 시스템 신규 취약점 연구 분야를 통한 다양한 경험과 기술을 국제 무대를 통해서 발표를 하게 되어 매우 기쁘게 생각하며, 한국에서 발생한 다양한 보안 연구와 사고 사례에 대한 내용과 새로운 사이버 보안 기술을 발표했다”고 밝혔다.
NSHC는 올 한 해 국 내외의 다양한 국가 기반 시설에 대한 보안 진단을 수행했으며, 이러한 경험과 관련 분야의 지속적인 연구 결과를 통해, 싱가포르, 일본, 홍콩 및 이란 등 다양한 나라에서 관련 보안 트레이닝을 제공해 왔으며 홈페이지에서 신청할 수 있다.
원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=17454&sc_code=&page=4&total=270
지스타2016서 ‘모바일게임 앱보호솔루션, GxShield 2017’ 프로모션 발표
개인 개발자 및 게임 개발사 대상 모바일게임 앱 보호 체험 프로모션 진행
NSHC(대표 허영일)가 오는 17일 부터 20일까지 부산 벡스코에서 개최되는 국제게임전시회 ‘지스타 2016(BTB전시관, 부스번호 U20)’에 3년 연속 참가한다고 밝혔다.
나날이 치밀해지고 조직화, 상업화 되어가는 모바일게임 앱을 대상으로 공격의 강도를 높여가는 신종, 변종 해킹 기술의 발전 방향에 대응하여 세계 최초로 “난독화 +암호화 + 해킹 방어 보호 기술 자동 적용” 기능을 갖춘 “능동적 대응 능력”을 특징으로 하는 모바일게임 앱 보호서비스 “GxShield 2017”을 국내 모든 개인 개발자 및 게임 개발사를 대상으로 “모바일게임 앱 보호 체험 프로모션” 을 진행한다.
모바일 게임은 가장 치열하고 높은 수준의 해킹 시도가 상례화 되고 있는 영역으로 유명하다. 수십억을 들여 만든 게임이 해킹을 당해 한 순간에 무너지는 일이 그리 새로운 뉴스가 아닐 정도이다. 상용 게임의 경우 아이템 구입이나 게임룰 선점에 있어 상당한 비용이 지출되고 있는 시장이라, 부정적인 시도에 대한 유혹이나 실제 그런 목적의 해킹이 광범위하고 빈번하게 이루어지고 있는 게 현실이다.
게임 크랙 이슈, 어뷰징 이슈 등 게임 운영자에게는 다양한 형태의 보안에 대한 위협이 늘 상존하지만 글로벌 영역의 게임 해커의 수준이 워낙 높아 보안솔루션을 통한 효과적인 대응에 큰 기대를 못 가져왔다. 이런 경우 해킹 공격에 대한 방어가 가능하도록 하는 역할이 게임용 ‘보안솔루션’의 역할인데, 사실 게임의 룰을 보호하고 결재모듈을 보호하기 위한 대처가 앱이 가진 몇 가지 대표적인 취약점에 대한 대응만으로 충분치 않은 게 사실이다.
보안사고는 늘 취약한 부분에서 일어나기 마련이므로, 게임의 해킹 사고는 고르게 보안대책에 대한 보안수준을 높이고, 만일을 위해 1차가 뚫리면 2차가 막고 그리고 계속해서 그 다음의 후속 보안대책이 준비가 되어야만 게임보안 솔루션은 그 목적에 충실한 역할을 할 수 있다. NSHC는 이런 게임 업계의 숙원과제를 목표로 정하고 2년여의 개발 기간을 투자해 게임앱용 전문 보호솔루션인 GxShield를 올 초에 발표했다.
그리고 이 능동형 솔루션(서비스)의 특징인 계속적인 ‘진화’를 거쳐 지금 ‘GxShield 2017’을 G-STAR에 맞춰 발표하고 프로모션을 진행하는 것이라고 밝혔다.
NSHC 관계자는 “현재 GxShield는 수개월 째 게임업체들이 사용중인데, 아직 보안기능이 우회되거나 무력화되는 해킹을 당해본 적이 없으며, 게임앱 크랙버전이 올라오는 사이트에서 아직 GxShield가 적용된 게임이 올라오지 않고 있는 것으로 확인 할 수 있다”고 설명했다.
이어 “GxShield의 기본 사양으로는 난독화와 암호화가 동시에 적용되어 소스코드를 2중으로 보호하며, 암호화의 단계를 사용자가 조절을 할 수 있어 보안상의 안전성과 앱 구동속도에 대한 최적의 비율을 운영자가 선택할 수 있다”고 덧붙였다.
한편, 프로모션 참여방법은 지스타 행사장 NSHC 부스에서 적용할 게임앱에 대한 기본 정보를 등록하면, GxShield 계정을 생성해 24시간 이내에 신청자에게 이메일로 전달하여 등록한 게임앱을 지정한 클라우드에 업로드 후 자동으로 보안기능 적용 과정을 이용할 수 있도록 한다. 행사장 방문이 어려운 경우 sales@nshc.net 으로 메일을 보내 신청할 수 있다. 이 경우 기업명과 담당자연락처, 게임앱의 패키지네임 정도의 정보가 필요하다.
원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=17030&page=4&total=269
‘DxShield’, 2016모바일기술대상에서 한국정보통신진흥협회장상 수상
차세대 모바일 앱보호서비스 DxShield, 차세대 통합 모바일 보안 서비스로 기술력 인정 받아
NSHC가 또 다시 기술력을 인정받았다. NSHC(대표 허영일)는 지난 11월 1일 미래창조과학부가 주최하는 ‘제16회 모바일기술대상’에서 “차세대 모바일 앱보호서비스 DxShield”가 한국정보통신진흥협회장상을 받았다고 밝혔다.
DxShield는 심각한 보안 위협이 상존하는 어떤 환경 속에서도 비즈니스용 모바일 앱을 다양한 해킹 공격으로부터 완벽히 보호할 수 있는 기능을 목표로 개발된 ‘차세대’ 통합 모바일 보안 서비스다.
이 솔루션에 대해 회사 관계자는 “NSHC의 기업용 모바일앱 보호 기술 노하우가 고스란히 담겨 있는 소스코드를 보호하는 ‘난독화’와 ‘암호화’ 기능을 기본으로 제공하고, 그 이외에 해커들이 동원 가능한 ‘위-변조 공격’, ‘메모리 해킹’, ‘디버거 공격’ 등 10여가지의 다양한 공격시도를 선택적, 능동적으로 사전에 차단할 수 있는 기능들을 10분 이내에 자동으로 적용하는 편리함을 갖추고 있다”며 “비즈니스 운영자가 이런 해커들의 공격양상을 실시간 모니터링 할 수 있는 기능도 지원을 하고 있다”고 설명했다.
스마트폰을 중심으로 하는 현대인의 라이프 스타일에서 이제 그 안에 있는 모바일앱의 존재감은 우리의 생활과 뗄래야 뗄 수 없는 존재가 되어 버린듯하다.
하지만 iOS 환경보다 상대적으로 취약한 안드로이드(Android) 환경의 경우 상용 모바일앱의 97%가 해킹 경험이 있다는 통계가 발표되듯이, 모바일 비즈니스 운영 시 모바일앱에 대한 보안대책 수립은 이제 피해갈수 없는 필수 과제가 되어 버렸다.
모바일 게임의 경우 수많은 투자를 통해 개발된 게임들이 허술한 보안대책으로 한 순간에 해커들의 먹잇감이 되어 버리는 현상들은 이제 특별한 일도 아니다.
NSHC의 DxShield는 현재 총 6건의 특허를 출원해 5건에 대해 특허등록 및 특허결정 확정을 받은 상태이며, 개발 후 가장 치열한 해킹 기법들이 난무하는 혹독한 게임 환경에서 검증을 진행해 왔으며, 글로벌 모바일 게임시장으로 진출하는 국내 개발업체들에게 “최강의 모바일 보안 서비스”로 명성을 쌓기 시작해, 2016년부터는 차세대 보안 위협에 대한 ‘검증된’ 대안을 찾는 국내 금융권에도 공급을 시작해 이미 다수의 레퍼런스를 확보하고 있다.
NSHC는 현재 DxShield를 다양한 채널을 통해 해외로 공급할 준비를 갖추고 있으며 일본과 중국의 협력사와 공급방식을 협의 중이다.
이 회사 이윤승 부사장은 수상 소감으로 “이번 ‘2016 모바일기술대상 수상을 계기로 더 공격적인 마케팅으로 국내 뿐 아니라 해외 모바일 비즈니스 환경에 순수 국내산 토종 기술의 우수성을 적극적으로 알리겠다”고 포부를 밝혔다.
NSHC는 현재 일본과 중국, 싱가폴 등지에 현지 법인을 세워 타사와 구별되는 적극적인 해외마케팅을 하고 있다.
원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=16916&page=4&total=269
포스트 양자 암호 SIDH 모듈 ‘엔필터(nFilter)’에 탑재…암호기술 선도
윤기순 NSHC 소장, 암호포럼 공동 워크숍서 포스트 양자암호 기술 발표
NSHC(허영일 대표)는 국내 최초로 포스트 양자 암호인 SIDH(Supersingular Isogeny Diffie-Hellman)모듈을 자사의 모바일 보안 솔루션 엔필터(nFilter)에 탑재했다고 밝혔다.
NSHC 암호기술 연구소의 윤기순 소장이 지난 9월 30일 암호포럼 공동 워크숍에서 이 결과를 발표했다.
포스트 양자 암호(Post-quantum cryptography)는 향후 다가올 양자 컴퓨터의 암호 해독 공격에 안전한 암호 알고리즘을 말한다. 실제로 양자 컴퓨터가 개발되면 현재 공인 인증서에 사용되고 있는 RSA알고리즘은 물론 IoT의 유망주인 ECC 알고리즘 등, 현재 사용되고 있는 모든 공개키 암호 알고리즘들이 쉽게 해독된다는 것이 알려져 있다.
강대국들의 양자 컴퓨팅 기술 발전이 가속화되고 있는 현 상황에서 이에 대비한 포스트 양자 알고리즘의 개발은 필수적이며, 미국의 표준화 기구인 NIST는 이미 포스트 양자 암호 알고리즘의 공모사업을 시작하였고, KISA를 비롯한 국내 정보보안 관련 기관들도 이러한 국제조류에 맞추어 준비를 하고 있는 상황이다.
윤기순 NSHC 암호기술 연구소 소장은 “이번에 NSHC에서 적용한 포스트 양자 암호는 타원곡선 아이소제니 문제를 기반으로 한 최신 알고리즘으로서 유럽과 북미를 중심으로 활발히 연구되고 있으며, 최근 국제학회 Crypt2016에서 최적화 구현 방법이 제안되어 스포트라이트를 받고 있다”며 “특히 이 알고리즘은 타원곡선 이론을 기반으로 하기 때문에 저변확대가 용이하며, 타 포스트 양자 암호 알고리즘에 비해 작은 키 사이즈와 양호한 성능을 나타내고 있어 그 활용이 기대된다.”고 말했다.
이미 타원곡선 암호 분야에서 강한 기반기술을 갖추고 이를 사업에 널리 활용하고 있던 NSHC는 발 빠르게 SIDH 키교환 방식을 연구 개발해 자사의 솔루션에 탑재하게 되었다.
NSHC는 해당 분야의 전문가인 세종 사이버 대학교 박영호 교수 연구팀과 MOU를 맺고 PQC분야 전반에 대해 공동으로 연구하고 있으며 앞으로 새로운 암호화 방식과 고속구현 방안 등에 대해서도 연구할 예정이다. 이 연구에는 고려대학교 정보보호 대학원의 관심있는 석박사 연구원들도 동참하고 있어 인적 저변 확대에도 기여하고 있다.
NSHC, ‘클라우드 더블 난독화’ 기술 발표
클라우드 더블 난독화 기술 특허출원으로 듀오실드에 탑재
모바일 게임업체가 수년간 거액을 들여 개발한 게임이 출시되자마자 해킹되어 나타난 ‘짝퉁게임’들로 인해 막대한 손실을 입었다는 이야기는 이제 자주 접하는 이야기다.
이러한 이유 때문에 어플리케이션의 저작권 보호와 해킹으로부터 비즈니스를 보호하기 위한 ‘난독화 기술’이 주목받고 있다. 워낙 해킹이 쉬워 APP의 개발시 거의 필수가 되어버린 안드로이드 난독화 절차는 개발단계에서 이루어지는 ‘소스코드 난독화’와 개발작업 후 적용되는 ‘바이너리(Binary) 난독화’ 기술로 구분이 되는데 이 두 가지 기술을 한번에 쉽게 적용할 수 있는 기술이 국내에서 개발되었다고 한다.
‘소스코드 난독화’는 개발자만이 알아볼 수 있는 코드상의 규칙들을 고려해 난독화 작업을 하게 되어 섬세한 보안성을 보장하지만 특성상 숙련된 개발자 이외의 사람은 작업에 어려움을 겪을 수밖에 없는 한계가 있다.
‘바이너리(Binary) 난독화’는 개발자가 아니더라도 만들어진 APP을 CLOUD서버에 올려 자동화된 방식으로 처리하는 방식이라 섬세한 작업을 APP개발에 대한 깊은 이해가 없어도 다룰 수 있다는 장점이 있다.
NSHC(대표 허영일)의 이윤승 부사장은 “NSHC가 이 두 가지 난독화 기술을 함께 공급하고 있는 보안회사이나 얼마 전 자동화된 ‘CLOUD 더블 난독화 기술’을 세계 최초로 개발하여 특허출원과 함께 DuoShield(듀오실드)라는 이름으로 고객에게 공급을 시작했다”고 전했다.
더블 난독화 솔루션을 통해 더욱 완벽한 2중 난독화 효과가 한번의 간단한 작업으로 가능해진 것이다.
한편, NSHC는 2014년 모바일용 상용 난독화툴을 국내 금융권에 처음 소개한 회사로서 난독화 관련 다양한 해외 제품을 국내시장에 소개해 왔으며 이번에 독자적인 신기술의 발표와 함께 ‘더블난독화’제품의 라인업을 갖춘 세계 최초의 보안업체로 자리매김을 하게 되었다.
원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=15475&page=4&total=269
싱가포르 RSA 컨퍼런스 2016 참가…글로벌 시장 확대
“모바일 보안솔루션과 스카다 보안교육 프로그램 선보여”
NSHC(대표 허영일)는 20일부터 사흘간 싱가포르에서 열리는 ‘RSA Conference Asia Pacific & Japan 2016’에 참가중이라고 밝혔다. RSA는 세계 최대 규모의 보안 박람회로, 이번 행사는 아시아 태평양 지역을 타깃으로 하는 글로벌 주요 보안 업체들이 참가하는 것으로 알려졌다.
NSHC 3년전 싱가포르 법인을 설립해 싱가포르를 중심으로 아시아 등 글로벌 비즈니스 활동을 활발히 하고 있다.
NSHC는 이번 컨퍼런스에서 크게 두가지 분야를 주력으로 홍보한다.
첫번째는 모바일 보안솔루션으로 기업용 모바일 백신(Droid-X)과 통합보안솔루션(DxShield)이다.?
이 두가지 솔루션은 국내 뿐만 아니라 일본 등 해외에서도 이미 사용중인 보안솔루션으로 글로벌 경쟁력을 가지고 있다는 설명이다. Droid-X는 빠른 속도와 정확성 그리고 자동업데이트 기능 등 엔터프라이즈 환경에 최적화되는 기업용 모바일 백신솔루션으로 삼성페이, 국내금융권, 일본의 26개 은행에서 사용중에 있다. DxShield는 NSHC의 보안기술이 집약되어 있어 있는 통합보안서비스로 난독화, 메모리 해킹방지, 실시간 모니터링 기능 등을 탑재했다.
두번째는 ICS/SCADA 보안교육 프로그램이다.
허영일 NSHC 대표는 “요즘 전세계적으로 산업제어시스템에 대한 보안 이슈가 많아 지고 있다. 이에 관련 산업에 종사하는 보안 담당자들에 대한 교육의 필요성이 어느때 보다 늘어나고 있으며, NSHC는 그동안 레드알럿팀이 연구한 자료와 취약점 정보 등을 바탕으로 ICS/SCADA 보안교육 프로그램을 제공하고 있다”고 말했다.
특히, 이번 전시회와 교육을 위해 스카다 모형 등을 특수 제작해 많은 관심을 끌고 있다. NSHC는 이번 컨퍼런스 참가로 회사의 브랜드와 제품을 알릴 수 있는 효과를 가져올 것으로 기대하고 있다.
원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=15064&page=4&total=269
모바일에서 스카다시스템 보안까지…글로벌 진출도 본격화
NSHC, 100여 명 고객들 초청해 ‘2016 SAFE SQUARE’ 성황리 개최
NSHC(대표 허영일)는 7일 양재동 엘타워에서 기업, 금융, 공공 등 100여 명의 고객들을 초청해 1년간 자사의 기술적 발전 성과를 선보이는 보안 컨퍼런스 ‘2016 SAFE SQUARE(세이프 스퀘어)를 개최했다. 유익한 강의도 진행됐지만 재미있는 이벤트도 함께 열려 흥미를 더했다.
이 자리에서 이윤승 부사장은 “NSHC는 글로벌화가 반드시 필요한 길이라고 확신하고 이를 실현시키기 위해 3년 전 싱가포르로 대표님과 직원 몇몇이 이주해 땀을 흘리고 있다. 또 일본을 포함해 이란, 대만, 중국 등에 진출하기 위해 현지 기업들과 협력하고 있다. 현지 기업들이 비즈니스 마케팅을 담당하고 NSHC는 코어기술 개발과 지원을 담당하는 형식으로 글로벌 시장에 진출한다는 전략을 세우고 있다”고 전했다.
특히 이 부사장은 중국과 이란 시장 진출 사례를 설명하며 국내 기업이 현지에서 직접 비즈니스 하기는 힘들다고 강조하고 현지 기업과 협력해 실제 영업은 그 시장을 잘 알고 있는 현지 기업이 맡고, 기술지원은 NSHC가 담당하는 형식이 가장 이상적이라는 결론을 내리고 실천하고 있다고 전했다.
또 최병규 본부장은 “95%는 보안솔루션과 서비스로 막을 수 있다. 하지만 나머지 5%의 공격은 솔루션과 서비스로 막기 힘들다. 바로 ‘사람’이 필요하다”며 “이런 사람과 더불어 교육이 필요하고 글로벌 인텔리전스 정보가 함께 필요하다. 이를 충족시키기 위해 NSHC에는 ‘Red Alert’팀이 존재한다. Red Alert팀은 악성코드와 최신 보안이슈, 제로데이 등 글로벌 인텔리전스 정보를 빠르게 파악하고 멀웨어, 펜테스팅, ICS/SCADA, 포렌식 등의 교육훈련이 가능하다. 또 모바일을 비롯한 기반시설 취약점 진단 및 모의해킹 서비스를 제공할 수 있는 사람들이 모인 팀이다. 나머지 5%를 방어할 수 있는 팀”이라고 소개했다.
한편 올해 보안사고 동향을 설명하는 시간에서는 2만5천대 CCTV 봇넷과 매일 6억씩 벌어들이는 안드로이드 악성코드, 일본 ATM기에서 100억원 도난사고, 랜섬웨어 사고, 산업제어시스템(SCADA) 보안사고 등에 대해 간략히 부연설명들이 있었다.
이 시간에 NSHC 관계자는 “스카다 시스템은 한번 구축되면 업데이트도 힘들고 취약점을 알고 있어도 멈췄다가 수정하기 힘든 구조다. 하지만 구글검색이나 쇼단을 활용해 얼마든지 인증우회해서 내부로 침투가 가능한 상황”이라고 강조했다.
예를 들며 “얼마전 한 아프리카 국가에서 NSHC에 댐 내부시스템을 해킹해 제어권을 획득할 수 있는지 문의가 들어왔다. 수력발전소 보안성을 체크해 보고 싶었던 것이다. 그래서 허가만 해 주면 해킹이 가능하다고 전달했더니 서면 승인을 해줘서 실제로 해당 국가의 대형 댐 제어권을 획득한 경험이 있다”며 “그것도 NSHC 연구원 1명이 7시간 만에 구글, 쇼단 등을 활용해 댐의 수문을 열수 있는 상황까지 해킹을 할 수 있었다. 폐쇠망이라고 안전을 장담해서는 안된다. 다양한 인증우회 취약점이 존재한다. 국내도 인터넷에 연결된 스카다시스템이 480개나 된다. 쇼단을 통해 찾아 볼 수 있다. 이들 모두가 폐쇄망이지만 외부와 접점이 있기 때문에 해킹을 당할 수 있는 위험성이 있다”고 주의를 당부했다.
NSHC는 크게 두 가지 사업영역을 가지고 있다. 모바일 시큐리티와 사이버 시큐리티 영역이다.
모바일 시큐리티는 Droid –X(기업용 안드로이드-Ios 모바일 백신), APP 프로텍트(애플리케이션 위변조 방지 솔루션), 듀오쉴드(더블 난독화 솔루션), 엔필터(보안키패드), GxShield(모바일 게임 앱 보호 서비스), FxShield(금융앱 전문 보호서비스), nSafer(SW암호모듈) 등이 있다.
사이버 시큐리티는 Red Alert 인텔리전스, 트레이닝, VAPT 등이 있다. 인텔리전스는 최신 보안이슈, 모바일, IoT, 핀테크 취약점 분석, 악성코드, 제로데이 정보제공, 사이버테러, 고객 정보유출 등 긴급보고서를 제공한다.
트레이닝은 멀웨어 분석, 펜테스팅, 포렌식, 스카다 등에 대한 교육서비스다. 또 VAPT는 모바일, IoT, 핀테크, 취약점 진단, 기반시설 취약점 진단, 모의해킹 서비스를 제공한다.
NSHC는 20대 청년들이 언더그라운드 해커모임으로 시작해 2008년 정보보호 전문기업으로 발전했으며 국내 모바일 보안시장에서 그 위치를 탄탄히 하고 있는 기업으로 성장했다. 또 한국을 비롯해 싱가포르, 중국, 일본 등 글로벌 시장 진출에도 박차를 가하고 있는 기업이다. 더불어 재능기부 워크숍을 통해 해외 오지마을을 찾아가 태양광 설치, 정수시설 등을 설치해 주는 등 사회적 기업으로서의 역할도 수행하고 있는 젊고 활기찬 기업이다.
원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=14894&page=4&total=269
스카다 시스템 해킹과 보안, 최신 기술 배울 기회 마련돼
시큐인사이드, ICS/SCADA 해킹-보안 트레이닝 코스 개설
오는 7월 11일부터 12일까지 개최되는 시큐인사이드(SECUINSIDE) 2016 기간에 NSHC(대표 허영일) Red Alert팀은 고려대 인촌기념관에서 2일간 트레이닝 코스를 열고 SCADA(스카다) 보안에 대한 기본적인 내용과 수강생들이 SCADA 시스템을 대상으로 침투 테스트를 할 수 있도록 교육시간을 마련했다. 또한 SCADA 환경 대상으로 제로데이 취약점을 찾을 수 있는 방법도 소개 할 예정이다.
허영일 대표는 “NSHC가 지난 3년동안 해외에서 진행했던 전문가(Advanced course for expert)를 위한 정보보안 교육 과정을 시큐인사이드에서도 마련했다”며 “국내 보안 리서처로 활동하는 Red Alert팀 연구원들이 실제 강사로 여러분과 함께 만날 수 있다. 또한 이번 행사의 트레이닝 수익금 일부는 시큐인사이드 행사와 국내 보안 커뮤니티를 위해서도 활용할 예정이다. 많은 분들의 응원과 참여를 부탁한다”고 전했다.
다음은 교육일정과 프로그램이다.
◇Day 01
– ICS 소개
– ICS/SCADA 아키텍쳐
– ICS/SCADA 구성요소
– HMI와 PLC 장비 스캐닝과 웹해킹
– 제품 취약점 (1-Day)
◇Day 02
– 망분리 우회
– SCADA에서 쓰이는 네트워크 프로토콜
– SCADA 네트워크 분석
– 발전 시스템과 철도 시스템 대상으로 침투 테스트 (0-day)
◇요구 사항
– 네트워크에 대한 이해와 TCP/IP 기본 지식
– 산업 시설을 방어하는 방법을 배우고 싶어하는 열정
– 노트북 (램 8gb 이상과 최소 20기가 여유 공간)
◇제공 되는 것
– 교재
– 장비들 (PLC 키트 등)
– 도구들
다음은 이번 교육 트레이너 소개다.
◇이승준
개발 4년, 모의해킹 4년 그리고 강의 3년 경력으로 이란, 콜롬비아, 홍콩, 싱가폴, 르완다 등을 포함한 국내외 경찰청, 국방부 등에서 침투 테스트, 악성코드 분석 등에 대한 강의를 진행해왔다. 최근에는 산업 제어망 시스템에 관심을 가지고 강의와 연구를 진행 중이며 기존에 공부하던 인공지능과 게임 개발에도 관심이 많다.
◇김영선
LG에서 음성 인식 기술 관련 인턴을 했고 로봇, IPS, 사물인터넷 제품 개발 경험이 있다.
홍콩 경찰청, 콜롬비아 국방부, 싱가폴에서 트레이닝을 진행했고 ICS/SCADA 국내 강의를 했다. 시스템 해킹, 리버싱에 관심이 많다.
◇허영일
NSHC 대표이사이며 침투 테스트, 악성코드 분석 등에 15년 이상의 경력을 가지고 있다.
블랙햇 등을 포함한 국내외 여러 컨퍼런스에서 발표를 해 왔다.
-트레이닝 등록: www.secuinside.com/2016/training.html
원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=14808&page=5&total=269
[영상] 이윤승 NSHC 본부장 “모바일 보안과 대응 패러다임 변하고 있다”
“단일 위협 방어형 솔루션으로는 계속 진화하는 해킹 공격 방어 역부족”
지난달 17일 데일리시큐 주최 2016 모바일 정보보호 컨퍼런스(MISCON 2016)가 300여 명의 공공, 금융, 기업 정보보호 담당자가 참석한 가운데 성황리에 개최됐다. 이 자리에서 NSHC(대표 허영일) 이윤승 본부장은 ‘모바일 보안위협과 대응 패러다임의 변화’를 주제로 발표를 진행했다.
이 본부장은 “2010년 모바일 비즈니스의 본격적인 출발과 함께 해당 비즈니스를 보호하기 위한 모바일 보안대책들도 진화를 해왔다. NSHC는 그 과정을 현장에서 지켜보아 왔고, 이제 새로운 위협에 대한 적절한 대응에 대한 필요성에 수년간 주목해 왔다”며 “특히 NSHC는 직접적인 해킹의 위협에 노출되어 있는 단말기를 중심으로 한 엔드포인트(End Point) 보안 분야에 제품이 라인업 되어 있고 이 분야는 특히 보안 트렌드에 매우 민감하다”고 말했다.
그는 모바일 비즈니스 초기에는 보안 위협이 제한적이어서 이슈가 되는 공격기법에 1:1 방식으로 대응하기 위한 보안 솔루션 위주로 보안위협에 대한 대응이 이루어져 왔지만, 이제 이러한 단일 위협 방어형 솔루션(정적인 프로그램)방식으로는 계속해서 진화하는 해킹 공격을 방어하기엔 역부족이라고 강조했다.
NSHC는 이미 2014년부터 이런 가능성을 염두에 둔 X-Project 팀을 구성해 진화하는 안티 해킹(Anti Hacking) 서비스 모듈을 개발해 왔고 이렇게 탄생한 GxShield와 FxShield는 현재 모바일 게임과 다양한 모바일 비즈니스 영역에서 그 가치를 인정받고 있다.
이윤승 본부장(사진)은 “우리는 이런 상황에서 필요한 발상의 전환은 ‘퓨전 DNA(Fusion DNA)’라고 생각을 했다. 즉 ‘개발자의 DNA’와 ‘공격자의 DNA’를 합쳐 시너지를 이룰 때 실제적인 해킹의 진화에 따른 진화하는 대응책의 구성이 가능해 진다는 것을 알게 되었다”며 “이러한 새로운 비즈니스 보호 기법이 시장에서 자리잡기 위해서는 서비스 공급자 뿐 아니라 사용자 입장에서도 많은 인식의 전환이 필요하다”고 전했다.
또 “이러한 노력을 전제로 앞으로는 모바일 비즈니스의 보호를 위해 이런 다양한 영역에서 균형잡힌 보안 수준을 달성할 수 있는 안티 해킹 서비스가 필요한 시대가 되지 않을까 생각한다”고 덧붙였다.
다음은 NSHC 이윤승 본부장의 MISCON 2016 현장 발표영상이다. 이 본부장의 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=13159&sc_code=&page=5&total=269
NSHC , 일본 최대 IT 전시회 참가…글로벌 시장 확대 박차
글로벌 진출 위한 민간주도 협업 좋은 모델 제시
NSHC의 글로벌 시장 확대가 계속해서 추진되고 있다. 모바일 정보보안 전문 기업 NSHC(대표 허영일)는 10월 28일부터 30일까지 도쿄에서 열리는 일본 최대 IT전시회 ‘Japan IT Week Autumn 2015’에 참가한다고 밝혔다.
왼쪽부터 에잇바이트 김덕상 대표, NSHC 최병규 본부장, KTB솔루션 박영수 이사
NSHC는 이번 전시회는 다양한 보안 기업들과의 ‘Safe Square(세이프스퀘어)’ 협업 프로젝트를 통해 자사의 금융, 게임 관련 모바일 보안 솔루션 뿐만 아니라 KTB솔루션의 스마트 사인, 에잇바이트의 세이프터치, 소프트웨어인라이프의 클라우드 서비스와 공동으로 참여하게 되었다.
KTB솔루션 박영수 이사는 “생체행위 기반의 인증기술인 ‘스마트 사인’은 시티 모바일 챌린지 2015에서도 사인에 대한 기술적 독창성을 인정받은 바 있어, 일본 진출에서 의미있는 결과를 얻게될 것으로 기대한다”고 말했다.
에잇바이트의 김덕상 대표는 “제1금융권에 적용한 경험과 증권사 등 차기 적용할 레퍼런스를 기반으로 국내뿐 아니라 해외 금융보안시장에도 진출하고자 노력하겠다”고 포부를 밝혔다.
NSHC 최병규 본부장은 “그동안 국내 금융권 및 게임사 등에 공급한 모바일 보안 솔루션 기술을 바탕으로 해외 진출을 위해 노력해 왔다”며 “이번 전시회를 통해 스마트 보안, 인증, 클라우드 등 다양한 분야의 기업들과 글로벌 진출을 위한 민간주도의 협업 모델인 Safe Square(세이프 스퀘어) 프로젝트를 시작한 것은 큰 의미가 있으며 향후에도 지속적인 글로벌 시장 진출을 위해 다른 기업들과 상생할 수 있는 방법을 찾을 것”이라고 강조했다.
원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=11476&sc_code=&page=6&total=269
NSHC, 국보연 개최 LSH 구현 경진대회 우수상 입상
NSHC 이준영 과장 “2년 연속 암호기술 우수성 인정 받아”
NSHC(대표 허영일)는 18일 국가정보원과 미래창조과학부가 후원하고 한국암호포럼, 한국정보보호학회가 주관하여 국가보안 기술연구소가 개최한 고속 해시함수 LSH 구현경진대회에 응모하여 활용 사례 분야에서 우수상을 수상했다고 밝혔다.
시상식은 암호와 정보보호에 관한 학술대회(WISC 2015)가 열리고 있는 천안우정공무원교육원에서 진행되었다.
LSH는 국가보안기술연구소에서 개발한 높은 안전성과 우수한 효율성을 제공하는 고속 경량 해시알고리즘이다. 요구되는 안전성 기준에 따라 224, 256, 384, 512비트를 지원하고 있는데 활용분야 입상 제품은 APP Protect라는 NSHC의 어플리케이션 위·변조 방지 솔루션으로 어플리케이션 위변조 방지, 해킹 및 위변조 탐지, 실시간 대응 시스템을 제공하며 현재 국내 금융앱 시장에서 관련 솔루션 분야 판매 1위를 기록하고 있다.
NSHC 암호기술팀 이준영 과장은 “작년 2014년에 열렸던 LEA 구현 경진대회 수상에 이어 2년 연속 구현 경진대회에서 우수한 성적을 거둠으로써 NSHC 암호 기술이 다시 한 번 인정 받게 되었다. 또한 이번 수상은 2015년 세종사이버대학교 정보보호대학원과 맺은 기술협력 MOU의 첫 결실로서 큰 의미가 있다”고 밝혔다.
현재 세종사이버대학교 정보보호대학원은 국내 유일의 정보보호 전문 사이버 대학원으로 박영호교수와 장남수 교수를 주축으로 암호기술 부문에서 NSHC와 활발한 기술교류를 하고 있다.
원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=10897&page=6&total=269
[영상] NSHC의 아름다운 도전, 해외 보안사업 가능성 믿고 끝까지 간다.
“한국의 우수한 보안기술력을 믿고 끈기있게 해외사업 추진해 나갈 것”
NSHC(대표 허영일)가 7월 9일 오후3시 양재동 엘타워 8층 엘하우스에서 ‘세이프 스퀘어 창과 방패’라는 이름으로 120명의 고객 및 파트너들을 초청하여 독특한 정보보안 컨퍼런스를 개최했다.
가족(Family), 친구(Friends), 재미(Fun) 등 세 가지 가치를 통한 회사소개를 시작으로 창과 방패에 대한 주제발표로 딱딱한 기존 보안컨퍼런스와는 차별된 시간이었다.
특히 NSHC는 1년 반 전부터 해외 진출을 활발히 진행하고 있는데 싱가포르에 거점을 확보하고 동남아뿐만 아니라 중동과 일본 등에 보안교육을 비롯한 보안서비스와 제품을 공급하는데 투자를 하고 있다.
데일리시큐는 NSHC 최병규 본부장(사진)을 만나 이번 컨퍼런스와 해외사업 등에 대한 질문으로 영상 인터뷰를 진행했다.
원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=10143&page=6&total=269
NSHC 모바일 백신 ‘드로이드-X V3.0’ GS인증, 금융이어 공공시장 본격 공략
금융권서 널리 사용되고 있는 안드로이드용 모바일 백신
NSHC (대표 허영일)은 자사의 모바일 백신 ‘드로이드-X V3.0’ 이 굿소프트웨어(GS)인증을 획득했다고 25일 밝혔다.
이번에 GS인증을 받은 ‘드로이드-X V3.0’ 은 기업용 모바일 백신으로 국내 금융권에 가장 널리 사용되고 있는 안드로이드용 안티바이러스 솔루션으로이다.
NSHC 관계자는 “이번 GS인증 획득으로 자사 SW의 신뢰성과 기술력을 입증했다”며 “앞으로 더 안전한 스마트 환경을 위해 끊임없는 연구와 기술개발을 아끼지 않을 계획”이라고 밝혔다.
한편, GS인증은 국산소프트웨어의 품질을 증명하는 국가 인증제도로, 지난 2005년부터 정부 및 공공기관은 GS인증 마크 획득 제품을 우선 구매하도록 하고 있다.
원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=10033&page=6&total=269
[인터뷰] 하동주 NSHC 책임연구원 “제일 잘할 수 있는 일을 찾아”
최근 해외 진출을 활발히 진행하고 있는 보안기업 NSHC(대표 허영일)는 싱가포르에 거점을 확보하고 동남아뿐만 아니라 중동과 일본 등에 보안교육을 비롯한 보안서비스와 제품을 공급하는데 투자를 아끼지 않고 있다.
해외에 보안서비스를 수출하기 위해서는 기술력 있는 해킹 보안 전문가 집단이 사내에 구축되어야 한다. 이를 위해 NSHC는 사내 해킹 보안 연구기관인 Red Alert팀을 구축하고 국내 뿐 아니라 해외 시장에 우수한 기술력을 공수하고 있다.
중소기업이 해외 시장 진출을 위해 고급 기술력을 갖춘 인재 확보는 당면 과제인 것이다. 지난해까지 연봉 높은 금융기관 보안담당자로 근무하다, NSHC Red Alert팀에 합류한 하동주 책임연구원을 만났다. 그는 왜 안정적(?)인 금융권을 박차고 나와 힘든 중소기업을 택한 것일까. 무엇이 그의 생각을 바꾼 것일까. 보안기업 취업과 이직을 원하는 독자들에게 그가 던지는 메시지를 전한다. 다음은 그와의 인터뷰 내용이다.
좌측부터 하동주 NSHC 책임연구원, 아내 김지선씨.
◇최근 주로 해외에서 이런저런 활동을 많이 하는데 주요 활동에 대해 소개해 주신다면.
싱가포르를 중심으로 일본, 홍콩, 대만 등 여러나라에서 경찰청 등 정부기관에서 주최하는 컨퍼런스, 세미나에 초청 받아서 모바일 보안 위협 등을 주제로 하는 발표를 진행하고 또 정부기관 및 일반 기업들을 대상으로 악성코드 분석, 웹 해킹, 침해사고 분석 등 교육 사업을 진행하고 있어요. 최근에는 멕시코나 르완다 등을 대상으로도 활동 영역을 넓히고 있습니다.
◇외부에서 보면 상대적으로 연봉이 높은 금융권 직장을 버리고 중소기업으로 이직을 하셨다고 볼 수 있는데, NSHC로 이직을 하신 계기가 있다면.
제 자신이 제일 잘할 수 있는 일을 하고 싶었어요. 누구에게나100% 만족할 수 있는 직장은 아마 없을 것 같습니다. 본인이 직접 회사를 만들고 운영해도 그건 불가능 할 것 같구요. 물론 생각하기 나름일 순 있겠지만, 그래도 내가 이 직장을 다니고 싶다, 다녀도 괜찮겠다 하는 기준은 정할 수 있었습니다. 제 기준은 연봉보다는 ‘내가 제일 잘할 수 있는 일을 할 수 있는 곳’이었습니다.
이전 직장에서 하는 일이 제가 제일 잘할 수 있는 일이 아닌 이유는 크게 두 가지였어요. 물론 지극히 저 개인에게만 해당되는 부분입니다만.
우선 보안담당자라는 업무는 같은 직장 동료들에게 안 좋은 소리를 해야 하기도 하고 들어야 하기도 해요. 마음이 불편해요. 제게는 가장 큰 이유였어요. 보안담당자라는 업무 특성상 어쩔 수 없는 것이기도 하지만, 그렇기 때문에 더욱 어려운 문제였어요. 업무상 기술적인 부분은 재미있게 할 수도 있었고, 잘할 수 있는 자신도 있었지만. 마음이 불편한 것은 어쩔 수 없었고 정말 힘들었어요. 물론 지금도 대부분 보안담당자 분들은 그렇게 생활하고 있고, 똑같이 힘드실 것 같아요. 제가 잘 버티기 어려운 것이 문제였지요.
또 보안회사가 아닌 일반 회사에서 일하는 것은 의사소통이 엄청나게 중요해요. 같은 분야에 있는 사람들 간의 의사소통은 표현을 잘 못하더라도 어느 정도 서로 이해가 가능하지만, 일반 회사에서 다른 분야 사람들과 의사소통은 비교적 어렵습니다. 그러기 위해선 말도 잘해야 하고 글도 잘 쓰고 문서도 잘 만들어야 합니다. 이러한 것들은 꼭 비효율적이라고 말할 필요가 없는 것 같습니다. 겪어보니 어쩔 수 없고 그러한 절차나 작업들이 꼭 필요한 상황도 있습니다. 다만, 제가 그런 것들을 잘 못해서 문제였지요.
그래서 어떤 일을 하면 정말 잘할 수 있을까 고민을 했고 역시 보안연구가 저한테는 최고인 것 같았습니다. 하지만 제가 좋아하는 보안연구만 하면서 회사 생활을 할 수 있는 곳이 흔하진 않은 것 같았습니다.
다행히 NSHC허영일 대표께서 해외에서 스타트업을 진행하고 계셨고 조금이나마 도움을 드릴 수 있으면서 저도 즐겁게 일할 수 있다고 판단해 합류하기로 결심했습니다. 물론 대표님이 제가 믿고 따를 수 있는 ‘형님’같은 존재셨기 때문이기도 해요.
◇싱가포르 이주하셨다고 들었는데 준비는 어떻게 되고 있나요.
최근에 아내와 함께 싱가포르로 이주를 완료했어요. 한동안 임시 숙소에서 앞으로 거주할 집을 찾았고 이사까지 완료했습니다. 최근 몇 일 동안은 이사 때문에 사무실보다 이케아에 더 많이 있었던 것 같아요. 저 때문에 아내가 고생을 많이 하고 있는데 많이 이해해주고 따라줘서 너무 고마운 마음입니다.
◇싱가포르에서 주요 업무와 향후 계획이 있다면.
주요 업무는 제로데이 리서치 업무지만, 그것보다 더 중요한 일은 회사와 동료들이 서로 만족할 수 있도록 만드는 일인 것 같아요. 그러기 위해서 회사에게 필요한 것과 동료들이 원하는 것이 무엇인지를 항상 파악해보려 하고 있습니다.
단기 목표는 대표님을 도와 회사가 원활히 운영 되면서 동시에 동료들이 최대한 만족하며 일할 수 있는 효과적인 방법을 찾는 것입니다. 해당 방법을 통해 회사와 동료들 모두가 꾸준히 성장할 수 있게 하고 싶어요. 또 저를 믿고 선택해주신 대표님 그리고 저와 대표님을 믿고 함께 하기로 한 동료들을 위해 중요한 목표지요.
장기 목표는 직원들 모두가 본인 스스로 자기 분야에서 세계 최고의 전문가라는 생각이 들 수 있도록 레벨업 하는 것입니다. 대표님은 아시아에서 최고가 되자고 하시는데, 저는 조금 더 써서 모두 세계 최고의 전문가가 되도록 노력해야죠.
◇국내 기업들 해외진출 어려워하는데 직접 해보시니 어떤가요?
대부분의 정말 어려운 일들은 대표님이 직접하고 계셔서 제가 느끼는 것은 아주 일부분일 것 같습니다. 그래도 가장 어려운 건 ‘신뢰구축’인 것 같아요. 특히 보안 쪽 사업은 신뢰 관계가 엄청나게 중요하죠. 아직 저희는 해외에서 유명한 회사가 아니기 때문에 어떻게 신뢰를 얻을 수 있는가가 가장 큰 관건인 것 같아요. 물론 신뢰를 받을 만한 실력은 기본적으로 갖추어야 할 요소겠죠. 그래도 대표님이 이러한 일들을 즐겁게 하고 계시고 회사 내부는 물론 외부에서도 많은 분들이 도움을 주시고 응원해주셔서 잘 해낼 수 있을 것이라 확신합니다.
◇언어 문제는 어떤가요?
영어를 원어민들처럼 잘하지 못하는 것은 분명한 단점이고 실제로 알게 모르게 손해도 많이 보고 있는 것 같아요. 그런데 재미있는 점은 영어를 잘 못하는 점이 가끔은 고객들에게 오히려 더 좋은 효과를 주기도 하는 것 같아요.
표현을 잘 못하고 말은 잘 못해도 고객들이 알아서 더 좋게 이해해주고 반대로 저희한테 더 좋게 해석해 설명해 주는 경우도 많아요. 물론 영어는 해결해야 할 가장 큰 문제 중 하나입니다.
◇직장을 구하는 관점에 대해 후배들에게 해주고 싶은 말이 있다면.
제가 아직 직장 생활을 10년도 해보진 않아서 조언을 해 줄 수 있을지 모르겠어요. 다만 느낀 점에 대해 말씀드리자면 이렇습니다.
우선 자신이 정말 하고 싶은 일이 무엇인지 최선을 다해 모든 방법을 동원해 알아내야죠. 물론 쉽지 않을 수 있고 평생을 노력하며 찾아야 하는 일이기도 하겠지만요.
또 그러한 일을 할 수 있는 직장을 역시 최선을 다해 모든 방법을 동원해 찾아보고 항상 본인 스스로를 생각하며 열심히 다니는 것이라고 생각해요.
‘좋은 직장’ 혹은 ‘나쁜 직장’은 분명 존재합니다. 하지만 모두에게 동일하진 않아요. 어떤 이에겐 좋은 직장이 어떤 이에겐 나쁜 직장일 수 있고, 반대의 경우도 있을 수 있죠. 개개인에 따라 가치관을 포함한 많은 것들이 다르기 때문에 좋은 직장을 판단하는 기준은 다를 것입니다. 하지만 한 가지 확실한 것은 불행하게도 직접 다니면서 겪어봐야 자신에게 어떠한 직장인지 알 수 있다는 것이죠.
한편 저도 직접 경험을 해보기도 했고 많은 분들이 이야기 하는 중요한 사실은 바로 ‘어떠한 곳에서 어떠한 일을 하든 자신에게 도움이 될 수 있다’는 것이죠.
열심히 노력해서 직장을 구했는데, 다녀보니 본인이 생각한 것처럼 좋은 직장이 아닐 수 있습니다. 하지만 긍정적으로 실천하다 보면 분명 본인에게 도움이 되는 것이 있을 것입니다. 물론 사람마다 얻을 수 있는 게 다르겠지만, 보통은 기본적으로 ‘인내심 향상’은 얻을 수 있을 것입니다. 물론 인내심 향상만 얻을 수 있는 곳이라면 정말 본인과는 맞지 않는 곳 일이기 때문에 빨리 다른 길을 찾아야 하겠지요. 또 직장생활을 하다 보면, 자신이 하고 싶은 일이 무엇인지를 잘못 알고 있었음을 알게 되거나 생각이 바뀌게 되어 해당 직장에 만족하며 다니는 경우도 있지요.
결론은 하고 싶은 일과 좋은 직장을 찾는 것도 중요하지만, 직접 다녀보기 전에는 자신에게 맞는 직장인지를 알 수 없기 때문에 긍정적인 생각을 가지고 직장생활에 임하는 것이 가장 중요하다고 생각합니다.
◇최근 연구 분야는 어떤 분야인가요.
최근에는 가정이나 회사 등 주변에서 쉽게 접할 수 있는 기기들에 존재하는 위협들을 집중적으로 찾아보고 있습니다.
최근 공유기나 CCTV 등을 위주로 살펴보고 있어요. 아직 많은 기기들을 연구하진 못했지만 상당수의 기기들이 큰 문제점들을 갖고 있습니다. 안전하게 사용할 수 있도록 많은 연구가 필요할 것 같아요. 그러기 위해선 이러한 이슈들에 대한 많은 관심이 필요합니다.
또 새로운 형태의 보안 위협을 찾거나 일반인들이나 분석가들에게 필요한 새로운 도구들에 대한 연구는 항상 진행하고 있습니다. 이러한 것들이 모두 ‘지구를 지키는 연구’라고 생각하며 즐겁게 하고 있습니다.
원문기사 : https://www.dailysecu.com/?mod=news&act=articleView&idxno=9941&page=6&total=269