2016년 11월 1일, 화이트햇 컨테스트가 열렸다. 여러 행사 일정 중 가장 눈에 돋보였던 세션은 간담회였던 것 같다. 간담회는 각기 다른 연령대의 해커들에게 질문하고 답변하는 자리로 보안을 시작한지 얼마 안 된 친구들이나 침체기를 겪고 있는 이들에게 도움이 되는 시간이었을 것으로 생각된다. 오늘은 그 날의 간담회 현장을 고스란히 담아본다.

 

간담회에 초청된 네 명의 해커는 서른 살의 신정훈 연구원, 스물네 살의 여자 해커 박선녀, 웹 브라우저 버그 헌터 스물두 살의 현성원, 이중 가장 막내 스물한 살의 권혁주 학생이 자리에 앉았다. 질문은 현장과 페이스북 온라인에서 받아 답하는 형식으로 진행되었다.

Q1. 언제부터 화이트 해커로서의 길을 걷게 되었는가

  신정훈 : 중학교 1학년 때부터 프로그래밍 책을 사서 컴퓨터 공부를 시작했지만 본격적으로 컴퓨터 공부를 시작하게 된 계기가 있다. 같은 반에 해커스랩이라는 워 게임 사이트를 많이 풀었던 친구가 있었는데 그 친구가 워 게임을 많이 풀었다고 자랑하고 컴퓨터 사서 게임만 한다고 놀렸다. 이 친구가 거의 한 달간 놀리니 본인도 지지 않기 위해 본격적으로 시작했다. 그렇게 공부한 지 1년 만에 그 친구를 눌렀다. 이후 공부하면서 막히는 것이 많았지만 지금 해커스쿨 운영자분들과 함께 공부하면서 꾸준히 정보보호 분야로 일할 수 있었지 않았나 싶다.

  현성원 : 고등학교 1학년 때 프로그래밍을 시작했다. 본격적으로 보안을 시작한 계기는 드라마 ‘유령’ 에 나오는 해킹 공격 기법들이 진짜인지 확인하는 과정에서 보안에 흥미가 생겼다. 본래 프로그래밍을 위주로 했지만, 이때부터 보안분야로 방향을 전환했다. 그때부터 지금까지 계속 이어오고 있다.

  박선녀 : 나는 다른 사람들보다 좀 늦게 시작했다. 보안분야를 하고 싶었던 것은 고등학생 때부터였지만 막상 고등학생 시절에 프로그래밍하거나 공부를 하진 않고 대학교 들어와서 ‘아르고스’라는 정보보호동아리에 들면서 보안을 접하게 되었다. 직접적인 계기는 POX라는 여성해킹대회 CTF에 참가하여 보안에 흥미가 확 생기게 되면서 그때부터 공부를 시작했다.

  권혁주 : 초등학교 때부터 컴퓨터 게임을 좋아했지만, 부모님은 하루 종일 게임을 하는 것을 탐탁지 않아 하셨다. 좀 더 합당하게 컴퓨터를 하기 위해서 자격증 공부를 시작했고 간단한 자격증을 공부하면서 visual basic, 프로그래밍을 접한 후 호기심이 생기면서 그때부터 시작했다.

Q2. 신정훈 연구원님 보통 일주일에 야근을 얼마나 하는가

 신정훈 : 입사 이래에 단 한 번도 야근한 적이 없다. 물론 신입 연구원이라 그런 걸 수도 있지만, 회사 분위기가 야근을 지향하는 분위기가 아니다. 오히려 주어진 시간에 일을 해결하려는 분위기다.

Q3. 취약점 분석할 때 주로 사용하는 프로그램은 무엇이 있는가

 현성원 : 보통 프로그램의 코드를 분석할 수 있는 디버거를 많이 사용한다. 예를 들어서 무료로 제공되는 올리디버거나 비슷한 이뮤니티, 본인이 취약점 분석할 때나 웹 브라우저 취약점 분석할 때에는 MS에서 개발한 커맨드 기반의 윈디버거를 사용한다. 악성코드나 취약점을 분석할 때, CTF 할 때도 많이 사용하는 아이다도 있다.

Q4. 여자 해커를 바라보는 시선이 어떤가

  박선녀 : 보안을 시작한 곳이 학교 보안동아리라 모두 해킹을 하시는 분들이어서인지 딱히 시선이 나쁘거나 차별은 없었다. 오히려 여자여서 모르는 거 있으면 알려주려는 사람들도 많고 정보를 주시는 분들이 많았다. 안 좋은 점보다는 좋은 점이 더 많았다고 생각한다.

Q5. 해커분들의 개인정보보호는 어떻게 하고 있는가

  권혁주 : 프로그램 설치할 때 체크박스를 해제한다. 아무 생각 없이 다음 버튼만 누르면 이것저것 설치가 되서 이를 막기 위해 그 정도는 하고 있다. 개인정보는 사실 본인이 어떻게 관리하기도 어렵고 이미 해킹당해 유출된 개인정보는 어쩔 수 없다고 본다. 솔직히 말해서 해탈하고 있다.

  현성원 : 이미 여러 번 해킹당했다. 어디 웹 사이트에 가입했는데 그 웹사이트가 해킹당했다는 소식에서 빠져본 적이 없다. 그렇지만 본인 컴퓨터를 관리할 때는 크롬같은 유명하고 보안이 좀 단단한 프로그램을 주로 사용한다.

  교수님 : 법에 지정한 룰에 따라서 하고 있다. 최신 백신이나 툴, 보안 패치는 항상 최신 패치로 업데이트한다.

Q6. 화이트 해커로서 나쁜 마음이 들 때는 언제이고 그럴 때 어떻게 할 것인가

  신정훈 : 현재로써는 그런 마음을 먹을 수 없다. 왜냐하면, 두 아이의 아빠이고 한 가정의 가장으로 그런 마음을 먹으면 안 된다. 예전 대학교 1학년 때는 엄청난 금액으로 게임 패를 보여주는 사이트 개발 제안이 왔었지만 결국에는 안 했다. 그 이유는 간단했다. 아저씨들이 무서웠다. 보통 많은 분이 이런 갈등을 느꼈을 것이다. 그렇지만 최근에는 버그 바운티라는 제도가 도입되면서 나쁜 짓을 하는 것보다 돈을 좀 덜 받긴 하지만 최신 프로그램의 취약점을 찾아서 그것을 공식적인 루트로 제보하여 그에 상응하는 리바운드를 받는 제도가 활성화되고 있다. 더군다나 요즘에는 나쁜 길로 가는 사람들은 기술 쪽으로 뛰어난 것보다는 악성코드나 이미 알려진 기법을 재사용하는 것으로 일류가 아닌 이류나 삼류라고 볼 수 있다. 일류 해커는 자신이 찾아낸 버그나 취약점을 공식적인 루트로 제보하는 것에 명예를 느낀다. 즉, 나쁜 짓을 하는 사람들은 일류가 될 수 없다.

  현성원 : 신정훈씨 말에 대부분 동의한다. 옛날부터 생각해온 것이 사고를 치면 심적으로 부담되어 나쁜 짓을 해본 적이 없다. 무엇보다 가장 큰 것은 화이트 해커이신 분들이 더 잘하시기도 하고 돈도 잘 버시고 명예도 높다. 이런 분들을 많이 뵈어왔기 때문에 꼭 나쁜 쪽이 아니더라도 좀 더 노력하면 잘 될 수 있을 것으로 생각한다.

  권혁주 : 국내 사이버 보안법이 허술하지 않다. 고생도 고생이지만 결국 다 걸리게 되어 있다. 성인은 물론 미성년자들도 법망이 약하다고 해도 해서는 안 된다. 만약 걸리게 되면 무조건 잘못했다고 하고 빌어야 한다.

  박선녀 : 블랙해커로 가지 않아도 잘하시는 분들은 잘하시고 이미 그런 분들은 유명해서 나쁜 쪽으로 갈 마음도 들지 않을 것으로 생각한다. 즉, 화이트 해커가 되어도 충분히 멋있고 더 잘될 수 있다.

Q7. 국내 버그 바운티 제도가 얼마나 활성화되어 있는가

  신정훈 : 본인은 버그를 찾는 프로그램이 거의 외국 프로그램이어서인지 국내 버그 바운티 제도는 잘 이용하지 않는다. 그래도 국내에서 그나마 제대로 운영되는 곳이 KISA 버그 바운티이다. 또한, 요즘에는 삼성이나 기업에서도 취약점을 제보받는 사이트가 있으며 대기업 측에서는 그런 버그 바운티 문화를 활성화시키려 노력하고 있다.

Q8. 많은 분이 어렸을 때부터 시작했는데 지금 시작하면 늦지 않았는가

  신정훈 : 전혀 안 늦었다. 이런 쪽으로 잘하는 사람들을 보면 어렸을 적부터 시작해서 잘한다 생각하지만, 그 사람은 사실 어릴 때부터 그만한 노력을 들였기 때문에 지금의 위치에 있는 것이다. 그냥 잘하고 싶고 일하는데 부족함 없이 처리하고 싶다면 그냥 시간을 투자하면 된다. 먼저 주위 분들에게 조언을 구해서 어떻게 공부하면 되는지부터 물어보면 될 것 같다. 즉, 늦었다 생각하지 말고 꾸준히 하면 되리라 본다. 예시를 들자면 땅 파는 거와 같다고 본다. 땅을 파면서 잘 안 될 수도 있지만 팠는데 다이아몬드가 나올 수도 있는 거다.

  현성원 : 재작년에 차세대 보안리더 양성 프로그램을 했었다. 당시같이 하던 분 중에 정말 잘하는 분이 계셨는데 그분이 대학교 3~4학년쯤 되었다. 그분에게 프로그램 마지막쯤에 컴퓨터를 언제 시작하셨느냐고 물었더니 그분이 대학교 1~2학년 때 시작하셨다고 한다. 하고 싶은 말은 시작 시기는 중요하지 않고 공부하는데 얼마나 시간을 얼마나 투자했는지가 가장 중요하다고 생각한다.

  박선녀 : 다른 분들에 비해 늦게 시작한 편이다. 시작한 지는 2~3년밖에 안 되었다. 하지만 흥미를 느끼고 계속해서 하다 보니 오히려 주변에서 알아주는 것 같다. 무엇보다 자기가 열심히 하는 것이 중요한 것 같다.

  권혁주 : 강원도에 살아서 어렸을 적에 서울에 보안 세미나가 있으면 가고 싶어 부모님과 갈등을 빚기도 했다. 그래도 대회나 컨퍼런스, 세미나가 있으면 계속해서 참여하려고 했던 것 같다. 이런 사소한 행동의 노력부터 시작인 것 같다. 더불어 주변에 기회를 잘 잡고 잘 이끌어가는 것이 중요하다고 생각한다.

Q9. 3~40대도 안 늦었는가

  신정훈 : 감히 40세까지 말은 못하겠지만 지금 나이가 30세다. 한 가정의 가장으로써 애기들과 놀아주고 재우고 새벽에 공부를 시작한다. 결론은 잠을 안 주무시면 된다.

Q10. 자랑이나 힘들었던 것, 본인의 무용담이 있는가

  신정훈 : 크롬 버그를 찾아서 집안 재정에 도움을 드린 적이 있다.

  현성원 : 마이크로소프트의 프로그램 취약점을 찾아 용돈에 기여를 했다. 얼마 전 애플에서 전 세계 35명만 받는 곳에 초청을 받기도 했다.

  권혁주 : 고려대 해킹 동아리 사이코(Cykor)에 아는 분들이 많다.

  박선녀 : 주로 임베디드 장비분야에서 취약점을 찾고 있다. 공유기나 셋톱박스, 요즘은 여러 장비에서 취약점을 찾아 KISA 버그 바운티에 제보한다.

Q11. 10년 이내에 이루고 싶은 목표는 무엇인가

  신정훈 : 보안 공부를 하면서 가진 목표가 있다. 내 집 마련. 전세 자금은 마련했지만 10년 이내에 완전한 내 집 마련과 차를 가지는 것이 목표다.

  현성원 : 당장은 군 문제부터 해결해야 한다. 취약점 분석에서는 좀 더 유명한 프로그램의 취약점을 찾고 싶다. 진로에 대해서는 해외 인턴도 해보며 다양한 분야의 일을 하고 싶다.

  박선녀 : 가까운 목표는 졸업을 하고 멀리 내다 봤을 때는 해외 쪽으로 취약점 제보도 하며 좀 더 넓은 곳에서 취약점을 찾아내고 싶다.

  권혁주 : 먼저 군 문제를 해결해야 할 것 같다. 십 년 이내로는 유명한 대회 본선에 나가며 대회로 세계 일주를 해보고 싶다.

Q12. 마지막으로 바라는 것은 무엇인가

  신정훈 : 지금과 비슷한 수준으로만 계속해서 개인연구를 하고 싶다. 바라는 점은 역시 가정의 평화.

  현성원 : 학과 차원에서 폭넓게 지원해주시길 바란다. 또한, 학교 내에 있는 SSG 보안 동아리가 사라질 수도 있는데 후배들을 위해서 동아리 방이나 물품 등 재정적 지원이 있었으면 한다.

  박선녀 : 학교 차원에서 보안 컨퍼런스를 많이 올 수 있도록 지원이 있으면 좋을 것 같다.

  권혁주 : 크게 바라는 것은 없고 교양 수업 들을 때 학과명만 보고 컴퓨터 조작을 시키는 그런 중노동은 시키지 않으셨으면 좋겠다.

다들 말씀도 너무 잘하시고 필자가 생각하기에 가장 흥미로웠던 세션이었다. 아마도 그것은 필자가 저 네 분 중 세 명을 알고 있어서 그런 거라 생각된다. 짱짱 해커 세 명이나 안다. 다른 한 분도 성함은 많이 들었는데 막상 성함이 기억 안 나 그분 이름을 적는 대신 3…0…세라고 적고 더욱이 그걸 들켜버렸다. 이 자리를 빌려 다시 한 번 죄송하다는 말씀을 전하고 싶다. 죄송합니다!