검정 티셔츠에 야구모자는 그들의 유니폼이다.
때로는 한 여름에도 털실로 짠 모자(비니)를 쓰고 폼생폼사를 외친다. 긴 청바지 한쪽은 걷어 올린 채 일반인은 알아듣지 못하는 각종 `프로그램 언어`가 난무하는 강의를 한다. 그들의 콘퍼런스는 낮부터 맥주로 시작해 파티로 끝난다.
캄캄한 골방에 틀어박혀 후드티셔츠를 뒤집어 쓴 채 PC 앞에 심각한 표정으로 앉아만 있을 듯한 해커. 이건 편견이다. 그들은 누구보다 밝고 명쾌하다. 그들이 밖으로 나왔다.
한국대표 해커연합 `하루(HARU:HAckers ReUnion)`는 지난 7월 사단법인으로 등록했다. 언더그라운드 해커를 양지로 끌어내 정보보호 전문 인력으로 양성하고, 해킹·보안 기술 연구에 집중한다. 사이버 보안 분야에 특화한 시민단체로 성장을 꿈꾼다.
각자 일을 마치고 퇴근한 이기택·심준보·이승진 등 국내 대표 해커 3인방과 `해커들의 삼촌` 김승주 고대 교수와 함께 이 시대 해커로 살아가는 이야기 보따리를 풀었다.
참석자
이기택(해커연합 하루 1대 회장)
심준보(해커연합 하루 2대 회장·블랙펄시큐리티 이사)
이승진(해커연합 하루 이사·그레이해쉬 대표)
사회=김승주(고려대 사이버국방학과·정보보호대학원 교수)
◇사회=어떻게 해커가 됐는가. 특별한 계기가 있었는지 궁금하다.
◇이기택=해킹 입문은 게임에서 비롯됐다. 많은 보안전문가가 해킹에 처음 발을 딛게 되는 계기가 게임이다. 게임을 하다가 적에게 공격을 많이 당하는 게 싫었다. 일반 사람은 이런 상황에서 그냥 게임을 한다. 해커는 상황을 극복할 방법을 찾는다. 1990년대 초반 피씨툴스라는 프로그램을 이용해 즐기던 게임 한 두 개를 해킹하기 시작했다. 하다 보니 점점 방법을 깨닫고 실력이 늘었다. 1996년 PC 통신서비스 중 `코넷`이란 게 있었다. `소백`이라는 유닉스 서버에 붙어 개인 저장공간을 줬다. 해외에서 각종 문서나 프로그램을 다운받을 수 있는 공간이다. 하지만 용량이 적었다. 시스템에서 용량을 늘리는 법을 찾다가 시스템 해킹을 배웠다.
◇심준보=역시 게임이었다. `용의 기사2`란 게임을 했는데 맘처럼 되지 않았다. 레벨 40이 되면 더 이상 진도가 안 나갔다. 40번째 판이 너무 어렵게 설계됐다. 41번째 판으로 가기 위해 게임 프로그램을 들여다보기 시작했다. 거기서 41번째 판으로 가는 방법을 알아냈다. 처음 해킹 입문은 프로그램 내 취약점을 찾는 게 아니었다. 그냥 게임을 내 뜻대로 해보고 싶은 호기심이었다.
그러다가 아예 게임 프로그래밍을 시작했다. 머드게임을 C언어로 만들기 시작했다. 이걸 하려니까 리눅스를 알아야 했다. 친구한테 리눅스 프로그램을 플로피디스크 26장에 복사한 후 이틀에 걸쳐 설치했다. 지금은 사라진 5.2인치 플로피디스크에 프로그램을 담아 PC에 설치하는데 엄청난 시간과 노력을 들였다. 이렇게 리눅스를 스스로 배웠다.
◇이승진=고등학교 때 게임을 공짜로 하고 싶어 분석을 시작했다. PC통신에서 하던 머드게임이었다. 대표 머드게임이 쥬라기 공원이다. 1992년 당시 1분에 20원씩 내야 하는 게임이었다. 고등학생으로 돈도 없고 해서 게임을 해킹해 무료로 할 방법을 찾아냈다. 그 이후 지속해서 해킹에 관심을 갖게 됐고 정보보호 분야를 파고들었다.
◇사회=해커란 무엇인가? 애플 창업자인 스티브 워즈니악도 해커로 불린다. 해커에 대해 정의를 내려달라.
◇이승진=해커란 단어를 정의하는 건 의미가 없다. 해커는 정보보호 전문가다. 물론 사이버 공격을 하고 악성코드를 제작하는 블랙햇 해커도 있다. 해커연합 하루처럼 사회로 나와 활동하는 정보보호 전문가를 `화이트햇 해커`라 부른다.
일반인이 잘못 생각하는 것 중 하나가 `해킹은 창의적`이라는 표현이다. 해킹은 창의적이지 않다. 해킹은 컴퓨터 프로그램에서 논리적 오류를 찾는 것이다. 음악이나 회화는 창의력을 필요로 한다. 아무 것도 없는 것에서 새로운 콘텐츠를 창출한다. 해킹은 짜여진 프로그램에서 논리적 오류를 얼마나 빨리 찾는가의 문제다. 효과적으로 프로그램의 잘못된 부분을 찾아낸다. 물론 능력에 따라 오류를 재빨리 찾을 수도 있고 아주 오래 걸릴 수도 있다.
◇사회=해커로 삶은 어떠한가. 국가기관에 채용됐다가 그만 둔 사례도 많다.
◇이기택=10여년 전보다 인정해주는 분야가 됐다. 과거에는 해커를 채용하는 회사가 드물었다. 정보보호 분야도 해커보다는 일반 정보기술(IT)인력을 뽑아 충당했다. 지금은 해커 등 보안 전문가 채용이 증가했다. 공공기관부터 군대, 공무원 등에 채용 기회가 넓어졌다. 후배들이 갈 곳은 많아졌다.
하지만 여전히 들어가서 제대로 활동하고 적응하기가 쉽지는 않다. 해커에게 주어진 일이 명확하지 않은 경우도 많다. 취약점 분석 외에 별도의 다른 일을 해야 하는 사례도 많다.
한 명의 해커가 사회적으로 문제를 일으키면 모두가 욕을 먹는 상황도 반복된다. 그건 개인의 문제이지 전체 해커가 그런 식으로 매도당해선 안 된다. 예를 들어 A의사가 의료 과실을 저지르면 그건 해당 의사만의 문제로 인식된다. 그러나 B해커가 해킹 기술을 범죄에 이용하면 전체 해커그룹이 비난을 받는 상황이다.
◇이승진=해커가 직업이 됐다. 프리랜서로 보안 취약점을 점검하다가 2014년 모의해킹 전문기업 그레이해쉬를 설립했다. 2006년 아시아 최초로 해커 올림픽이라 불리는 `데프콘` 본선 진출권을 따냈다. 이후 지난해 후배들이 데프콘에서 우승했다. 2013년 해킹콘퍼런스 `블랙햇`에서 삼성전자 스마트TV 해킹을 시연하며 널리 알려졌다.
◇심준보=초창기 프리랜서 해커로 활동하며 인지도를 높였다. 사실 프리랜서로 활동하면서 생활에 지장은 없다. 젊었을 때는 프리랜서 해커가 편하고 수입도 많다. 해커가 직업이 되면서 결국 40~50대 중장년층이 됐을 때를 생각할 수밖에 없었다. 그래서 블랙펄시큐리티를 창업했다. 동료 선후배와 함께 정보보호 컨설팅 전문 기업을 하고 있다. 점점 기업 규모가 커지며 신경 써야 할 분야가 많아진다. 제도권 안에 기업을 운영하는 게 해커에게 큰 부담이긴 하다.
◇사회=2011년 해커들을 만났다. 그들은 무언가 하고 싶은데 할 방법을 몰랐다. 그래서 해커 연합을 제안했다. 이렇게 탄생한 게 `하루`다. 하루 탄생 과정을 함께했고 사단법인 등록까지 함께 봐서 기쁘다. 당시 최고 해커 대표를 모아 하루를 결성했다. 앞으로 어떻게 활동할 것인가.
◇심준보=해커가 더 나은 환경에서 일하고, 국내 보안정책 수립에 영향력을 발휘할 목적으로 설립됐다. 여기 온 이기택 전 회장과 이승진 대표 외에 허영일 NSHC 대표, 홍민표 에스이웍스 대표, 류승우 CN시큐리티 대표, 유동훈 아이넷캅 소장 등 20여명이 활동한다. 하루는 2011년부터 시큐인사이드 콘퍼런스와 해킹대회 개최로 사이버 보안 저변을 확대했다. 시큐인사이드는 세계 해커가 참여하는 글로벌 보안 콘퍼런스다. 지난해 시큐인사이드는 국내 처음으로 사물인터넷(IoT)과 임베디드 기기에 존재하는 보안 취약점을 발견하고 패치하는 `캡처 더 버그 챌린지(Capture The Bugs Challenge)`를 열었다. 앞으로 시큐인사이드 외에 하루가 개최하는 또 다른 행사도 계획 중이다.
◇사회=최근 미국 라스베이거스에서 열린 데프콘에서 인공지능(AI) 간 CTF인 `사이버 그랜드 챌린지(CGC)`가 열렸다. 해커가 하던 일을 AI가 대처한다는 이야기가 많이 나온다. 이에 대해 어찌 생각하는가.
◇심준보=요즘 해커들 사이에서도 CGC가 화제다. 2007년 이승진 대표가 Beist.org라는 홈페이지를 운영했다. 거기서 취약점을 자동으로 찾고 패치하는 내용을 논의했다. 이번 대회에서 우승한 메이헴(Mayhem)은 카네기멜론대학 연구팀이 개발했다. 국내 해커도 이미 오래전부터 이런 논의는 있었지만 프로그램화하지 못했다.
◇이기택=차세대보안인력양성프로그램(BoB) 등 교육과정에서 취약점을 찾는 방법을 가르친다. 많은 학생들이 취약점 찾는데 집중하지만 향후에는 이런 기술을 프로그램으로 만들어 솔루션으로 만들어야 한다.
◇사회=해커 문화는 어떻게 다른가.
◇이기택=블랙햇과 데프콘 등 해커들이 중심이 된 글로벌 콘퍼런스는 `네트워킹 파티`다. 현재 트렌드를 공유하며 관계를 강화한다. 블랙햇이나 데프콘에 연구결과를 발표할 때도 기존 콘퍼런스와 다르다. 해커 커뮤니티는 연구발표자에게 발표비를 주지 않는다. 해당 콘퍼런스에서 발표하는 것 자체가 명예로운 일이기 때문이다. 물론 호텔과 비행기표 등을 제공하지만 발표 자체에 대한 사례비는 없다. 시큐인사이드를 포함한 다른 해킹 보안 컨퍼런스는 발표비를 준다.
◇이승진=일본 보안 콘퍼런스 코드블루와 미국 블랫햇 심사위원으로 활동 중이다. 그들은 철저히 해커끼리 연구 결과를 리뷰해 발표자를 선정한다. 실력으로 승부한다.
◇심준보=해커들은 콘퍼런스에서 뻔한 이야기를 하는 걸 제일 싫어한다. 어디서나 들을 수 있는 이야기를 하면 안 된다. 해당 콘퍼런스에서만 들을 수 있는 내용을 원한다. 보안업계에 이수만씨 같은 기획자가 절실하다. 국내 보안 업계에는 기획력을 가진 사람이 없다. 블랙햇과 데프콘을 운영하는 제프 모스와 같은 기획력을 가진 해커 출현을 기대해본다.
정리=
김인순 보안 전문기자 insoon@etnews.com