이희조
이희조(1971년 ~ )는 고려대학교 정보대학 컴퓨터학과 교수이다. 소프트웨어 보안연구소(CSSA) 소장으로도 활동하고 있으며 소프트웨어보안(software security), 네트워크보안(network security), 보안시스템디자인(secure system design) 등 보안 분야에서 활동하고 있다. 특히, 보안취약점 자동분석에 관한 활발한 연구와 개발된 기술의 IoTcube.net 공개 활동을 통해 보안성 제고에 기여하고 있다.
생애[편집]
이희조는 보안에 대한 체계화된 연구나 정보도 많이 없던 포항공대 학부 재학 시절, 직접 학교의 전산 시스템을 운영하고 보안 동아리인 플러스(PLUS)를 설립했다. 당시 학생들이 학과 시스템들을 관리했는데, 이희조는 관리를 맡아 해킹 사건이나 다른 문제가 발생했을 때 처리를 하고 재발 방지를 위해 도움을 주곤 했다. 그가 관리자의 역할을 하는 동한 포항공대 메인 서버 시스템의 데이터가 모두 삭제되는 사건이 발생했다. 해당 시스템은 교직원뿐만 아니라 학생들도 모두 사용하는 시스템이었는데 데이터는 모두 지워졌고, 당시에 아무런 보안책이 없어 그 배후도 밝혀지지 않았다. 이희조는 이러한 사건을 겪으며 공격하는 입장에서는 하나의 취약점만 알아도 되지만, 방어하는 입장에서는 가능한 모든 취약점을 다 방어해야 한다는 것을 깨달았다. 그는 해당 사건을 계기로 정보의 중요성을 알고, 관련 정보를 서로 교환하고 관련 활동을 하기 위한 보안 및 해킹동아리인 플러스를 설립했다.
물론 플러스를 설립하기 이전부터 이희조는 보안 분야에 관심이 있었다. 처음 대학교에 입학한 후 비밀번호를 잊어버린 그는 2학년 선배에게 그 사실을 말했고, 선배가 비밀번호를 변경해줬다. 선배가 루트 권한을 가지고 있다고 생각한 그는 선배에게 자신에게도 루트 권한을 가르쳐 달라고 했지만 선배는 권한뿐만 아니라 권한에 따른 책임을 함께 져야 한다고 말했다. 시스템에 접근할 수 있는 권한이 있는 반면에 책임은 문제가 생기면 복구해야 하고 새로운 시스템이 들어오면 설치하고 운영을 해야 하기 때문이다. 이희조는 당연히 책임을 질테니 권한을 줄 것을 요구했고, 권한을 받은 그는 시스템을 복구하기 위해 다음 날 시험인 시험 공부도 하지 못할정도로 보안 분야에 빠져들기 시작했다.
이렇게 포항공대를 졸업한 이희조는 포항공과대학원에서 석사 및 박사학위를 취득했다. 당시 그는 고성능 컴퓨팅을 연구하는 것으로 시작한 HPC랩스라는 연구실에서 연구를 했다. 해당 연구소에서 이희조는 고성능 컴퓨터를 설계하고 알고리즘을 개발하는 등 보안과 관련된 프로젝트를 수행했다. 데이콤이나 KT와 같이 관련 기업과도 일을 했는데, 데이콤 프로젝트를 하는 중에는 해커를 잡기도 했었다. 당시에는 해당 분야가 없어 학술적인 결과를 내지는 못했지만 컴퓨팅과 알고리즘 개발 분야의 연구를 진행했다. 그렇게 박사를 마친 그는 박사후과정을 위해 미국의 퍼듀 대학교로 떠났다.[1]
퍼듀 대학교 컴퓨터학과와 보안연구센터(CERIAS)에서 박사후연구원으로 인터넷 보안에 관한 연구를 수행한 후 그는 한국으로 들어와 백신 소프트웨어 개발 및 인터넷 보안시스템 공급업체인 ㈜안랩(AhnLab)에 입사했다. 2001년부터 2003년까지 안철수연구소에서 보안분야 최고기술책임자를 역임해 통합 보안제품의 기획과 개발을 담당한 그는 학생들에게 좋은 영향을 끼치고 싶어 학계로 돌아가겠다는 결심을 하게 됐다. 이후 2004년부터 고려대학교 교수로 부임한 그는 현재까지 고려대학교 컴퓨터학과 교수로 재직 중이며, 사물인터넷 소프트웨어보안 국제공동연구센터(CSSA) 센터장으로 미국·영국·스위스와 국제공동연구를 통해 보안취약점 자동분석 서비스 아이오티큐브(IoTcube)를 개발하는 동 사물인터넷 기기와 다양한 서비스의 보안성을 높이는 게 기여하고 있다.[2]
약력[편집]
- 1989년 ~ 2000년 : 포항공과대학교 컴퓨터공학과 학사·석사·박사
- 2000년 03월 ~ 2001년 02월 : 퍼듀 대학교 보안연구센터 박사후연구원
- 2001년 03월 ~ 2003년 10월 : ㈜안랩 최고보안책임자(CTO)
- 2004년 ~ : 고려대학교 정보대학 컴퓨터학과 교수, 한국인터넷진흥원 자문위원
- 2006년 ~ : 방송통신위원회 민관합동조사단 전문가, 국가 사이버보안 정책 자문위원(필리핀)
- 2007년 : 국가 사이버보안 정책 자문위원(우즈베키스탄)
- 2007년 ~ : 대검찰청 디지털 수사 자문위원 ,국가정보원 평가인증위원회·민관검증위원회 위원, 한국통신학회 편집위원
- 2009년 : 국가 사이버보안 정책 자문위원(베트남)
- 2010년 01월 ~ 2010년 12월 : 카네기멜론대학 연구소 방문교수
- 2011년 : 국가 사이버보안 정책 자문위원(미얀마)
- 2013년 : 국가 사이버보안 정책 자문위원(코스타리카)
- 2015년 ~ : 사물인터넷 소프트웨어 국제공동연구센터(CSSA) 센터장
- 2016년 : 아시아 태평양 정보보안 리더십 공로 프로그램(ISLA) 아시아태평양 최고상 수상
주요 활동[편집]
IoT SW보안 국제공동연구센터[편집]
- IoT 소프트웨어보안
- 2015년 06월, 소프트웨어보안 취약점 자동분석을 위한 플랫폼인 고려대 소프트웨어보안 국제공동연구센터 또는 IoT 소프트웨어보안 국제공동연구센터로 불리는 영문명 CSSA를 설립하였다. 이희조 교수를 센터장으로 하여 활동하고 있으다. 소프트웨어 개발시 비번히 발생하는 코드재사용으로 인한 보안의 취약점을 원인으로 삼고 이를 보안하여 사물 인터넷(IoT)장비에 대한 보안성을 강화하기 위하여 재사용 코드 자동 탐지 시스템인 IoTcube를 2016년 서비스 개시하였다. 또한 2017년 02월에 제1회 IoTcube 콘퍼런스를 개최하여 소프트웨어보안 자동분석 플랫폼인 IoTcube에 대한 국/내외적 활동을 펼치고 있다.[3]
- 고려대 소프트웨어보안연구소(CSSA)
- 2018년 11월, 센터는 고려대 소프트웨어보안 연구소로 확대 개편되었다.
- 래브라도랩스
- 2018년 03월, 어려운 보안기술을 쉽게 활용할 수 있는 기업 솔루션 개발을 위해 고려대 기술지주 자회사로 '(주)아이오티큐브'가 설립되었다.
- 2022년 08월, 오픈소스 보안과 SBOM 관리 솔루션인 래브라도로 브랜드 일치와 사업 확장을 위해 '(주)래브라도랩스'로 사명을 변경하였다.
IoT큐브[편집]
- IoTcube 컨퍼런스 2018
- 2018년 02월, SW보안국제공동연구센터는 한국침해사고대응팀협의회와 함께 제2회 'IoTcube 컨퍼런스 2018'을 개최했다. IoTcube는 이희조 교수를 포함한 고려대학교 정보대학 컴퓨터학과의 교수들을 중심으로 전 세계 전문가들의 공동연구를 통해 개발된 보안취약점 관리 플랫폼이다. 콘퍼런스에서 이희조 교수는 "IoT 기기개발이 급증하면서 이를 활용한 해킹 공격과 피해도 더욱 증가할 전망이다. IoT 보안은 개발단계에서부터 이루어져야 한다. IoTcube를 연구하게 된 목적도 여기에 있다”고 설명했다. 그리고 이어서 IoTcube에 대한 지속적인 연구를 통해 업그레이드 시켜 국내 정보보호 산업과 IT 기업의 발전에 이바지하여 글로벌 시장에서의 한국의 IoT 제품의 경쟁력을 키우는 데 도움을 주겠다고 하였다.[4]
- IoTcube 활용성 강조
- 2018년 02월, 고려대학교 하나스퀘어강당에서 열린 'IoTcube 콘퍼런스 2018'를 통해 SW보안을 위한 IoTcube의 적극활용의 필요성에 대해 강조하였다. IoTcube를 이용하면 보안에 대한 전문가, 비전문가 할 것 없이 코드내 보안 취약성을 찾아내는 것이 수월해질 것이라고 설명했다. 그리고 기업들의 오픈소스 사용에서 보안점검이 자신들이 개발한 코드 10%의 오픈소스만 보안점검이 이루어지고 나머지 90%의 오픈소스에 대한 보안점검을 간과하고 넘어가는 문제점을 지적하며 이를 IoTcube를 통해 좀 더 쉽고 간편하게 취약점 분석이 가능하다고 설명했다. 그러면서 IT기업들의 보안에 도움이 될 수 있도록 IoTcube를 업그레이드 시켜나가겠다고 덧붙였다.
블록체인[편집]
- 블록체인 의료정보 시스템 개발
- 2018년 05월, 고려대학교는 고대의료원을 중심으로 '블록체인 의료정보 시스템'을 개발한다. 뿐만 아니라 블록체인 기업 30여 곳과 컨소시엄을 구성하여 물류, 금융 통합 플랫폼 개발에 착수한다. 각 분야의 여러 전문가가 참여하며 오픈소스 취약점 검증 기술 개발에는 이희조 교수가 연구를 진행한다.[5]
- 블록체인 플랫폼 개발 분석
- 2018년 09월, 업비트 개발자 콘퍼런스 2018을 통해 글로벌 블록체인 전문가들의 발표하는 자리가 마련되었다. 이 콘퍼런스를 통해 이희조 교수는 블록체인 플랫폼 개발에서 보안의 중요성과 취약점 분석 사례에 관해 설명하며 이희조 교수가 센터장으로 있는 CSSA에서 개발 중인 '취약점 자동분석 플랫폼(IoTcube)'을 이용한 블록체인 플랫폼의 취약점 분석 사례를 발표하였다.[6]
- 블록체인 취약점
- 2018년 10월, 이희조 교수는 고려대 블록체인연구소 산학연 간담회에서 블록체인의 취약점 발표하였다. 많은 블록체인이 오픈 소스를 활용하기 때문에 새로이 만들어지는 코인의 코드 또한 여러 체인에서 사용되어 이러한 취약점이 다른 코인으로 퍼지는 효과가 있다고 설명하였다. 이러한 취약점은 해커가 새 비트코인을 만들어낼 수 있는 오류로 'CVE-2018-17144'라는 명칭으로 불린다. 이희조 교수는 "수작업으로 발견하기 어려운 이러한 취약점을 어떻게 자동으로 찾아내느냐가 관건"이라고 설명했다.[7]
- 블록체인 플랫폼 보안 기술
- 2019년 07월, 이희조 교수는 10일에 열린 '제13회 블록체인 테크비즈 콘퍼런스'에서 블록체인 플랫폼 보안 기술에 관해 발표했다. 이날 열린 콘퍼런스에서 이희조 교수는 "블록체인에서 발생하는 문제의 근원지를 찾기가 어렵다"며 "가장 큰 문제는 재사용 되는 코드로 인한 취약점"이라고 하였다. 블록체인의 코드는 재사용이 가능하며 특히 오픈소스의 코드를 복사 붙여넣기 하는 식이 많다고 지적했다. 한 곳에만 신경 쓰는 게 가능하던 전통적인 소프트웨어의 방법과는 다른 여러 방면에 대한 확인이 가능할 수 있게 각 분야가 서로 협력하여 관리할 수 있는 시스템 체계가 필요하다고 설명하였다.[8]
행사[편집]
- 제2회 블록체인 진흥주간
- 이희조 교수는 2019년 12월, 제2회 블록체인 진흥주간 행사에서 블록체인 구조분석 및 보안 문제점 현황에 대해 발표했다.
수상[편집]
- 아시아 태평양 지역 최고보안전문가
- 2016년 7월, 이희조 교수는 25년간의 사이버 보안 기술에 발전에 대한 공로를 인정받아 세계적인 정보보안 자격증 교육·발급 기관(ISC)으로부터 아시아 태평양 정보보안 리더십(ISLA) 최고상에 선정되었다.[9]
- 정보보호 우수과제 선정
- 과기정통부 정보통신기획평가원이 지원한 정보보호핵심원천기술개발사업 110개 과제 중 우수과제 14개를 선정했다. 고려대 이희조 교수팀은 이 중 격려패 수상대상자 6명 중 하나로 선정됐다. 수상과제인 ‘블록체인 플랫폼 보안취약점 자동분석 기술 개발 과제’는 혁신적인 블록체인 서비스를 위해 보안취약점 자동분석 기술개발과 오픈 플랫폼 구축에 힘쓰고 있다.[10]
각주[편집]
- ↑ 초대석, 〈고려대 교수 된 포항공대 해킹 동아리 초대회장〉, 《㈜안랩 공식 블로그》, 2011-10-10
- ↑ 송호길 기자, 〈(4차산업혁명, 전문가에게 길을 묻다!③) 이희조 고려대 교수 인터뷰〉, 《일간투데이》, 2018-04-09
- ↑ 이원상 기자, 〈고려대 이희조 교수 연구팀, 세계 최고 IoT SW보안 기술 인정〉, 《에듀동아》, 2017-05-22
- ↑ 길민권 기자, 〈이희조 교수 "IoTcube는 혁명적 보안취약점 관리 플랫폼이다"〉, 《데일리시큐》, 2018-02-10
- ↑ 길재식, 정용철 기자, 〈세계 최초 블록체인 의료정보 시스템 만든다〉, 《etnews》, 2018-05-23
- ↑ Storny Choi 기자, 〈업비트 개발자 컨퍼런스 2018 고려대 이희조 교수, 블록체인 플랫폼 개발에서의 보안의 중요성과 취약점 분석 사례 소개〉, 《블록타임스TV닷컴》, 2018-09-18
- ↑ 심두보 기자, 〈이희조 교수 "비트코인 취약점, 포킹한 다른 체인도 영향…자동 분석 필요"〉, 《디센터》, 2018-10-24
- ↑ 이한수 기자, 〈(현장)"블록체인? 완벽한 보안 없다…원인은 코드"〉, 《한국블록체인뉴스》, 2019-07-10
- ↑ 길민권 기자, 〈고대 이희조 교수, 아태 정보보안 리더십 최고상〉, 《뉴시스》, 2016-07-27
- ↑ 정종길 기자, 〈고려대 이희조 교수팀, ‘2022 IITP 정보보호 R&D과제교류회’ 우수성과 과제 선정〉, 《IT 데일리》, 2022-06-08
참고자료[편집]
- 〈이희조〉, 《페이스북》
- 〈이희조〉, 《고려대학교》
- 〈컴퓨터학과〉, 《고려대학교》
- 〈CSSA〉, 《소프트웨어보안연구소》
- 〈IoTcube〉, 《IoTcube.net》
- 〈Labrador Labs, Inc.〉, 《래브라도랩스》
같이 보기[편집]