우리나라 화이트해커팀 '데토네이터(detonator)'가 전세계 5억명 이상이 사용하는 압축프로그램 WinRaR의 보안 취약점 찾아 수정하는 데 공을 세웠어요.
데토네이터팀은 한국정보기술연구원이 정기적으로 진행하는 '화이트햇 스쿨(Whitehat School)' 제3기 교육생으로 구성된 화이트해커팀이예요. 윤준원 멘토와 이장군 프로젝트 리더를 중심으로 강대성, 고승우, 김현아, 안우진, 이준영, 이한필, 원우진, 지현근 교육생으로 구성돼 있어요.
'화이트햇 스쿨'은 과학기술정보통신부가 주최하고, 한국정보기술연구원이 주관하는 정보보안 인재 양성 프로그램으로, 지난 3월부터 제3기 교육을 운영하고 있죠.
데토네이터팀은 화이트햇 스쿨 실습 교육(팀 프로젝트)을 진행하는 과정에서 'WinRaR'를 비롯한 다양한 소프트웨어에 영향을 줄 수 있는 보안 취약점을 발견했고, 이를 제보해 보안 문제를 해결하는 데 기여했어요.
'WinRaR'는 파일을 압축하거나 압축을 해제할 수 있는 대표적인 압축 소프트웨어로, 주로 RAR 또는 ZIP 포맷의 압축 파일을 만들거나 풀 수 있어요. 전 세계 사용자 수는 약 5억 명에 달하죠.
데토네이터 팀은 압축 파일을 내려받아 해제하는 과정에서, 사용자 시스템에 악성 파일이 접근하는 '익스플로잇(Exploit)'에 성공했고, 이를 글로벌 보안 제보 플랫폼인 'ZDI(Zero Day Initiative)'에 공식 제보했어요. ZDI는 보안 취약점을 선제적으로 찾아내고, 보안 강화를 위해 공유·제보받는 프로그램이예요.
이후 ZDI는 해당 취약점을 'WinRAR' 개발사에 전달했고, 개발사는 이를 반영해 보안을 개선한 최신 버전(WinRAR 7.12)을 새로 내놨어요.
김현아 교육생(프로젝트 매니저)은 “화이트햇 스쿨에서 배운 지식과 실습 경험을 바탕으로 최선을 다한 결과, 소프트웨어 보안에 기여할 수 있게 돼 매우 뜻깊다”며 “많은 도움을 주신 멘토님과 프로젝트 리더님께 감사드리며, 더욱 실력 있는 보안 전문가로 성장하도록 노력하겠다”고 말했어요.
한국정보기술연구원 관계자는 “이번 성과는 정보보안 인재들이 실전 역량을 쌓고, 실제 현장에서 의미 있는 기여를 할 수 있다는 걸 보여준 사례”라며 “앞으로도 지속적인 교육과 적극적인 지원을 통해 미래 보안 인재 양성에 힘쓸 것”이라고 전했어요.
한편 한국정보기술연구원 BoB센터는 지난 2023년부터 '화이트햇 스쿨'을 매년 운영하고 있어요. 정보보안 인재로 성장하길 희망하는 청년·청소년을 대상으로 정보보안 입문 교육·기술 멘토링 등을 제공하고 있습니다.
최정훈 기자 jhchoi@etnews.com