“APT는 아파트가 아니에요!”
국제해킹방어대회(코드게이트 2013)가 개막한 3일 오전 11시 코엑스 그랜드볼룸 104호. 얼굴이 여드름이 살짝 핀 앳된 얼굴의 학생이 연단에 올랐다. 그는 검정 뿔테 안경 너머로 청중을 봐 가면서 해킹 사례를 열심히 설명했다.
주인공은 다름 아닌 미금중학교 3학년 손건 군이다. 온라인 해킹 커뮤니티에서 `아이맥`으로 불리는 손 군은 이날 `APT 해킹 사례 분석`을 주제로 30분간 같은 또래의 학생들에게 해킹 기법을 설명했다.
그는 “악성코드 유포 방법으로는 `SQL인젝션`, 사회 공학적으로 악성코드를 심는 `스피어 피싱` 등이 있습니다.” “2010년 7월 발생한 스턱스넷은 폐쇄망을 사용하는 발전소였기 때문에 USB를 이용한 전파방법이 이용됐습니다”면서 거침없이 설명을 이어갔다.
손 군에 이어 등장한 대연고 3학년 이대진 군은 `윈도 권한 상승 공격의 이해`를 주제로 설명을 해 나갔다. 그는 이미 `구글 바운티(bounty)` `화이트 해커` 등의 기관에서 실력을 인정받고, 한국정보기술연구원이 주관하는 차세대 보안리더 프로그램 `Best of Best`를 졸업할 정도의 실력자로 통한다.
이 군 역시 “링3는 한정적 메모리 접근이 가능하지만 링0는 모든 메모리 접근이 가능하고, CPU 명령어 실행도 가능하다”고 설명했다.
10대 학생들의 거침없는 설명이 이어지자, 행사장에 모인 학생들 사이에서는 탄성이 흘러 나왔다. 청중으로 참석한 한 학생은 “이번 행사에 온 학생들 대부분은 해킹에 관심이 많다”며 “한국을 대표하는 해커가 되는 게 꿈”이라고 포부를 밝혔다.
이날 행사장에서는 한국전자통신연구원(ETRI) 직원을 포함한 성인 청중도 간간이 눈에 띄었지만, 그야말로 우리나라 정보보안 산업을 짊어질 미래의 `화이트 해커`들로 가득 찼다.
손건 군은 발표 후 화이트 해커가 되는 게 장래 희망이라고 말했다. 해킹에 관심이 많은 학생들 사이에서 유명한 선린정보고등학교에 진학한 뒤 대학에서 컴퓨터공학을 전공하는 게 꿈이다. 그는 “해커스쿨에서 만난 선후배들과 함께 관심 있는 분야를 공부하고 있다”며 “유명한 해킹 공격에 관한 보고서를 공부한 뒤 워게임 공간에서 직접 시연도 해 본다”고 설명했다.
이날 발표를 지켜본 국내 보안업계 관계자는 “학생들의 수준이 이렇게 높은 줄 몰랐다”고 혀를 내둘렀다.
한편 주최 측인 코드게이트는 이날 자신이 연구 분석한 해킹 사례를 설명한 학생 중 대학 입학추천서를 발급하거나, 장학금을 지원할 예정이다.
김원석기자 stone201@etnews.com
