해커 어리다는 편견 깬 42세 화이트 해커

'해커는 어리다'는 편견을 깬 중년의 화이트 해커가 있다. 개발자로 10년 이상을 근무해왔던 그는 지난해부터 회사 내에 제품 개발 과정에서의 보안취약점 분석, 대응 업무를 맡고 있다. 개발자에서 해커로 전향(?)한 것은 아직 1년이 채 되지 않았다. 그러나 오랜 개발 경력은 오히려 기업이 필요로 하는 화이트 해커에게 좋은 발판이라고 그는 설명한다.

12일 서울 삼성동 시큐아이 사무실에서 이 회사 기획팀 소속 김경모 부장㊷을 만났다. 아직 공격기술 연구 경력이 짧아 '해커'라는 말이 머쓱하게 느껴진다고 말하는 그는 해커보다는 개발자의 내공이 많이 뭍어나왔다.

왜 중년에 해킹 기술을 공부하게 된 걸까? 김 부장은 새로운 도전이 하고 싶어서였다고 말한다. 오랫동안 보안회사의 개발자로 근무하면서 리눅스 커널, 디바이스 드라이버 등을 개발했던 그는 개발과정에서 '모로 가도 서울만 가면 된다'는 인식을 바꾸고 싶었다. 어떻게든 기능만 구현하면 된다는 개발자 마인드에서 벗어나 훌륭한 프로그램을 만들려면 보안도 훌륭해야한다는 점에 주목한 것이다.

개발자와 해커는 같은 분야를 다른 방식으로 다룬다. 개발자가 어떤 역할을 수행할 수 있는 프로그램을 만든다면 해커는 기존에 만들어진 프로그램을 뚫는 방법만 생각한다.

김 부장은 개발자 였을 때는 대수롭지 않게 여겼던 여러가지 보안취약점들이 어떤 식으로 활용될 수 있는지를 해킹기술 공부과정에서 알게 됐다며 그만큼 위험성이 높다는 점도 알게 됐다고 밝혔다.

그는 C언어에서 사용되는 'STRCPY'라는 함수의 취약점을 예로 들었다. 정적분석툴을 통해 소스코드를 분석하면 이중 STRCPY는 보안에 취약한 함수라는 경고가 나온다. 그럼에도 불구하고 담당 개발자들은 이를 계속해서 쓰는 경우가 대부분이라는 것이다. 이 함수의 보안취약점을 개선하기 위한 방법은 아주 단순하다. 'STRNCPY'라는 함수를 쓰면 이러한 문제를 막을 수 있다고 김 부장은 설명했다. 개발자였을 때는 스쳐지나간 문제들이 해킹 기술을 연구하면서 보게 됐다는 것이다.

실제로 그는 해킹 기술을 알기 위해 화이트 해커 관련 학원에 다녀보기도 했다. 겨우 일주일에 불과했지만 어떤 식으로 해킹이 가능한지를 실습해보니 SQL인젝션, 웹, 모바일, 네트워크, 무선 단계에서의 해킹방법을 알 수 있었다고 말했다. 학원 며칠 다닌다고 해킹기술을 완벽하게 습득할 수 있냐는 말에 김 부장은 개발자가 어떻게 프로그램을 만들면 어떤 식으로 취약점이 악용될 수 있구나에 대해서는 직접 체험할 수 있는 계기가 됐다고 설명했다. 그는 과거에 자신이 만들었던 소스코드들이 정말 취약했었구나 싶어 뜨끔해 하기도 했다.

김 부장은 대체로 해커로 전향한 그의 소식을 접한 사람들의 왜 굳이 늦깎이에 해커를?이라는 반응이 대부분이었다. 장시간 집중적인 작업이 '소위 피자 세 판 들고 가서 일주일 있다가 나온다'라고 하는 해커들의 세계에 입문한 것에 의아해 한다는 것이다. 그러나 그는 해킹대회에 나가는 것이 아니면 굳이 그렇게까지 밤샘작업을 할 필요는 없다고 말한다. 더구나 보안취약점을 개발자 입장에서 점검해 주는 일을 주요 업무로 삼고 있어 크게 무리가는 일은 없다는 것이다. 다만 현재는 사업 초기라 벤처회사를 창업하는 기분으로 뛰고 있다고 그는 설명했다.

가족들의 반응도 재밌다. 김 부장은 부인이 집에 국가정보원 사람들이 찾아오는 것 아니냐고 농담반 진담반 섞어 말했다고 밝혔다. 초등학교에 다니고 있는 그의 두 딸은 아버지 직업란에 예전에는 프로그래머라고 썼다가 지금은 '해커'라고 쓴다는 사연을 얘기하기도 했다.

그가 화이트 해커로 활동을 시작하게 된 것은 단순히 좋아서가 아니다. 시큐아이에서 그는 자신처럼 개발자 출신의 해커들을 모아 새로운 형태의 사업모델을 구상 중이다.

제품 개발 과정에서부터 보안성을 높일 수 있는 서비스나 솔루션을 만들겠다는 것이다. 기존에 화이트 해커들로 구성된 팀이 기업의 허락 하에 침투테스트를 수행하는 방식과도 다르다. 그 보다는 방어자 입장에서 고객 기업들이 공개하는 소스코드나 기타 자료들을 토대로 방법 기법을 컨설팅하는 내용을 담고 있다.