'이이제이'…해커로 해킹 막는다

최근 들어 6개월 단기코스로 해킹 기술을 알려주는 사설학원이 등장했다. 한달에 20~30만원을 내면 해킹기법을 알려준다는 것이다. SBS드라마 '유령'의 영향에 더해 지난 2009년부터 이어진 분산서비스거부(DDoS) 공격, 주요 회사들의 개인정보유출사고 등이 잇따라 발생하면서 해커 혹은 해킹에 대한 관심이 늘어났다.

그러나 국내에서는 여전히 실력있는 보안전문가가 부족한 것이 현실이다. 사설학원에서 알려주는 기술도 대부분 이미 한 철 지난 '하급기술'로 분류된다. 어설프게 배운 해킹기술에 대한 지식만으로는 수백, 수천만건에 달하는 개인정보유출, 기업 및 정부기관 등의 기밀을 유출 등을 목표로 한 공격을 막기 힘들다.

우리나라에서 활동하는 '진짜' 해커들의 수를 정확히 가늠하기는 힘들다. 그러나 해킹대회 입상경력과 해커 커뮤니티에서 실력자들로 인정 받아온 이들이 한 팀으로 뭉쳐 있는 곳이 있다. 라온시큐어의 자회사 라온 화이트햇 센터이다. 이 센터는 보안담당자들의 보안기술력 높이기에 의기를 투합했다.

23일 서울 삼성동 사옥에서 만난 라온 화이트햇 센터 소속 화이트 해커들은 국내 보안분야 담당자들 중 실제로 공격기술을 알고 있는 사람들이 거의 없어 보안기준을 강화한다고 해도 실제 사고가 터졌을 때는 대응에 취약한 것이 현실이라고 지적했다.

악성공격을 이용해 정보를 탈취하겠다는 것이 아니라 이를 막기위한 기술을 개발하고, 각 기관 실무자들에게 대응법을 제대로 알려주는 것이 이 해커들의 목표다. 일명 해커로 해킹을 막겠다는 것이다. 오랑캐를 이용해 오랑캐를 막겠다는 '이이제이'나 다름없다.

이날 기자와 만난 센터 소속 해커 3명은 함께 국내 보안현실에 대한 자신들의 진단과 해커가 된 이유, 이 직업을 꿈꾸는 이들에게 당부하고 싶은 말을 전했다.

■내가 해커가 된 이유?

해커들은 바꿔말하면 보안기술전문가들이다. 이들도 웹취약점, 악성코드 분석, 암복호화 등 전문분야가 다르다. 이날 만난 해커들 역시 전공이 다른 만큼 해커가 된 계기가 달랐다.

지난 1999년부터 본격적으로 해커활동을 시작해 안랩 등을 거쳐 올해로 13년째를 맞은 이 회사의 조주봉 보안기술교육팀장㉝은 국내 해커들 사이에서는 유명인이다. 코드게이트와 같은 국내 해킹대회에서 대상을 받은 것은 물론 미국에 열린 국제 해킹대회인 데프콘 CTF에서도 2007, 2008년 연속 본선에 진출해 이름을 알리기도 했다.

조 팀장은 초등학교 3학년 때 아버지가 PC를 처음 사주고 난뒤 컴퓨터 학원 다녔을 때 이야기를 꺼냈다. 그는 게임개발자이기도 했던 학원 선생님이 직접 게임을 만드는 것을 보고 감동해서 프로그램쪽에 관심을 갖게 됐다고 말했다. 그 뒤로는 고등학교 때부터 해킹 동아리 사람들과 온라인 커뮤니티를 통해 교류했다.

전라남도가 고향인 그는 대학을 자퇴하고 무작정 서울로 올라왔다. 지난 1999년에 서울로 올라와 청담동 소재의 PC방을 아지트 삼아 이전부터 인터넷을 통해 교류해 온 해킹 동아리 사람들과 관련기술을 연구했다. 그는 PC방 사장님이 컴퓨터 공부를 할 수 있도록 자리를 마련해주고 서버를 둘 수 있도록 도와줬다고 말했다.

동아리 사람들이 두 팀으로 나눠져 서버를 공격하고, 방어하는 역할을 맡았다. 때로는 일부러 서버를 보안취약점에 노출 시킨 뒤 다른 해커들이 어떤 식으로 이 서버를 공격하는지 스니핑이라는 기술로 훔쳐보는 일도 해봤다고 조 팀장은 밝혔다.

이후에는 동아리 사람들과 보안회사를 차렸으나 사기를 당하는 등 우여곡절을 겪기도 했다.

신동휘 연구원㉞은 팀 내에서 일명 '박사님'으로 불린다. 현재 성균관대 정보보호대학원에서 박사과정을 밟고 있기 때문이다. 신 연구원은 조 팀장보다 훨씬 늦은 시기에 해킹에 입문했다. 98학번인 그는 물리학과에 다니면서 컴퓨터공학과를 복수전공했다. 그 뒤에 물리학과 대학원을 다니다가 너무 재미없어 그만두려는 사이에 보게된 영화가 '스워드 피시'다.

신 연구원은 모니터 6개, 키보드 6개가 붙어있는 장면이 나오는데 너무 멋있어 보였다며 나도 저렇게 해봐야겠다고 생각해 대학원을 자퇴하고 2년간 온갖 보안 컨퍼런스를 쫓아다녔다고 말했다. 그는 이전 직장까지 포함해 5년차 사원이다. 공공, 대기업 등을 거치면서 작년 4월 기존 직장에서 퇴사하고 해커들의 모임에 합류하게 됐다.

이날 만난 해커들 중 가장 어렸던 이종호 연구원㉑은 컴퓨터를 전공했던 아버지 영향을 받았다. 이 연구원은 한미르에서 개인 홈페이지를 공짜로 해주는 프로그램이 나왔을 때 너무 재밌었다고 설명했다. 실제로 해킹기술을 접하게 된 것은 1997년 당시 '포트리스'라는 게임이 유행할 때다. 이 때 게임 내 돈을 늘리는 크랙을 배포하는 홈페이지가 경고를 먹은 뒤 아예 보안교육전문 사이트로 변신했다. 이 연구원은 이 사이트에서 리버스 엔지니어링과 같은 기법을 배웠다고 말했다.

국내에서 오랫동안 해킹기술을 연구해온 이들은 대부분 체계적인 교육 없이 독자적으로 연구를 진행해왔다. 조 팀장은 미국만 해도 시만텍, 맥아피 같은 보안전문회사들이 해커들로 이뤄진 교육기관을 만들어 체계적이고 심도 깊은 연구를 장려하는데 국내 환경에서는 컨설팅이나 보안관제에 필요한 기술을 알려주는 정도에 그치고 있다고 밝혔다.

■시큐어코딩 의무화, '무늬만 정책' 될 수도

올해 말까지 공공기관에서 사용되는 모든 정보화 사업에는 시큐어코딩이 의무 적용된다. 소프트웨어를 개발하는 단계에서부터 보안취약점 점검해 문제가 없도록 해야한다는 내용이다. 이를 두고 3명의 해커들은 시큐어코딩 제도의 의무사항을 준수했느냐만을 놓고 보안성이 높아졌다고 말하기 힘들다고 주장했다. 전체적인 SW의 개발 및 관리 생태계를 전체적으로 봐야한다는 지적이다.

조 팀장은 보안 시스템 구축(SI) 사업에 대한 '갑을병정'의 폐해가 해소되지 않고서는 근본적인 보안 취약점 해결이 어렵다고 밝혔다.

공공기관(갑)이 보안SI사업을 발주하면 SI전문회사(을)들이 소프트웨어 개발 업체(병)에 개발하청을 준다. 개발 과정에서 보안취약점이 없는지를 점검하는 감리법인 혹은 시큐어코딩 전문가들(정)은 기존에 사설학원에서 배운 얄팍한 보안기술만으로 보안성을 형식상 점검하는 수준에 그칠 수 있다는 설명이다.

갑을병정으로 이어지는 구조에서 을이 다른 회사들과 경쟁하기 위해서는 병에게 단가인하를 요구하고, 제일 아랫쪽에 위치하게 되는 정 역시 전문인력보다는 싸게 쓸 수 있는 '무늬만 전문인력'을 찾을 수밖에 없게 된다는 것이다.

신 연구원도 이에 동의 했다. 대기업에서 그룹사 보안시스템 구축 업무를 담당하기도 했던 그는 시큐어코딩 전용 솔루션을 구입한다고 해도 실제로 보안성이 높아졌는지를 판단한다기보다는 허레허식처럼 최소한의 보안준수사항을 맞추는데 그치는 경우가 많다고 말했다.

■미래 '보안전문가'에게 당부

최근 헤드헌팅 업체의 설문조사 결과 중고생의 장래희망 1순위에 보안전문가가 꼽힌 적이 있었다. 드라마 유령의 영향을 고려하더라도 어려서부터 PC게임 등 컴퓨터를 다루는데 능숙한 학생들이 늘어나면서 이를 반영한 결과이기도 하다.

해커들은 미래 보안전문가들에게 몇 가지 당부사항을 전했다. 조 팀장은 먼저 막연하게 이 분야에 일을 하고 싶다는 생각을 해서는 안된다고 말했다. 무작정 학교를 그만 두고 보안기술연구에만 전념하겠다고 하는 친구들이 많다며 이는 무모한 짓이라고 설명했다. 그는 보안 혹은 해킹이라는 분야는 IT 전반에 대한 폭넓은 지식을 갖추고 있어야 하는 분야라 학교를 그만두는 것만이 방법은 아니라고 말했다.