영화, 과학, 문학, 스포츠 등등 각 분야에서는 질적 향상과 산업의 발전을 위해 그 해에 잘한 이를 칭찬하고 격려하는 시상식이 존재한다. 일반적으로 생각나는 것이 있다면 한국영화 분야의 청룡영화상, 외국에서는 아카데미 시상식이 떠올랐을 것이다. 영화뿐만 아니라 다섯 개 분야 물리학, 화학, 생리학 또는 의학, 문학 그리고 그 해 세계평화에 큰 기여를 준 이들에게 주는 노벨상도 있다.[1] 각 분야에 상이 있는 것처럼 보안 분야 역시 그 해 가장 이슈가 될만한 취약점, 버그 등을 제보한 이에게 상이 주어진다. 해커들의 축제 해킹 어워드, Pwnie awards다.[2]
Pwnie Awards는 2007년부터 시작된 알렉산더 소티로프(Alexander Sotirov)와 디노 다이조비(Dino Dai Zovi)가 만든 연례행사[3]로 그 해 보안 연구원과 보안 연구 업적과 실패를 기념하는 시상식이다. Pwnie Award는 라스베가스에서 열리는 블랙햇 USA 보안 컨퍼런스에서 진행되며 작년에는 2016년 8월 3일에 진행되었다.[4] 총 16개의 수상 부문이 있고 일년 동안 공개된 버그에 한에서 후보작을 골라 수상하며 귀여운 말 트로피를 받게 된다.[5] 말을 막 가져다 붙이자면 청룡해킹제가 되지 않을까. 아무 말 대잔치. 아무튼, 사이트에 들어가면 올해 수상 후보작과 함께 역대 수상자에 대해 잘 나와 있다.[6] 다른 시상식과 다른 점은 분위기적인 면에서 해커들의 시상식이어서인지 상을 받더라도 유머러스하게 받으며 받아치는 가벼운 분위기로 진행된다.
Pwnie Awards는 수상 분야도 16개나 될 정도로 상당히 다양하다.[7] 본래는 10개에서 시작했지만, 슬금슬금 늘어나다 보니 어느새 16개가 되었다. 한 해 동안 발표되는 취약점 중 서버 측과 클라이언트 측 버그, 권한 상승에 관한 버그, 암호화 공격, 백도어 공격에서 최고를 가린다. 또한, 한 해 동안 전혀 보안분야에 관심이 없더라도 그런 일반적인 사람들한테까지 영향이 미칠 정도의 취약점 발견, 발견한 이에게 주는 상도 있다. 발견한 보안 취약성을 발표하고 마케팅에 많은 노력을 기울인 회사에도 상을 준다. 일명 Pwnie for Best Bug Branding 상이다. 이외에도 이 전에 볼 수 없었던 수준의 평판을 얻은 연구원에게 주는 상과 실용적이지 않더라도 흥미로운 연구를 발표한 사람에게 수여되는 상도 있다. 반대로 취약점이 발표되고 난 후에도 보안 대응 보고서의 의미를 제대로 이해하지 못한 회사에게 주는 Pwnie for Lamest Vendor Response 상도 있다. 뿐만 아니라 위험한 버그가 아니더라도 과장되게 미디어를 통해 선보인 버그 역시 상을 준다. 왜 존재하는지 1도 모르겠는 최고의 노래상, 제품에 버그를 발견하여 회사에 막대한 손해를 입힌 버그를 찾은 이에게도 상을 준다. 외에도 상당히 영향력 있는 보안 이슈를 다룬 평생 공로상 등이 있다.[8]
사실, 이러한 취약점의 심각성이나 영향력은 언론매체를 타고 드러나는 것이 대다수다. 물론 취약점만 놓고 봤을 때도 중요성은 확연하게 드러나겠지만, 이는 보안 업무를 하는 이들에게나 보이는 것이고 일반인들에게는 전혀 다른 세계로 비쳐 전혀 공감할 수 없는 부분일 것이다. 이러한 부분에서도 Pwnie의 존재는 그 취지에 맞게 확실히 그 존재를 드러낸다. 보안에 전무한 일반인들에게도 보안의 중요성을 알리고 해커들 사이에서도 서로 복돋아줄 수 있는 행사이지 않나 싶다. 시상식 외에도 해커들의 명성과 보안 산업의 질적 발전을 위한 노력은 다른 곳에서도 보인다. 대표적인 것이 세미나와 컨퍼런스다.
이전 ‘해킹대회’ 글에서도 다뤘지만, 국내에는 보안 컨퍼런스가 상당히 많이 이뤄지고 있다. 각 학교 동아리에서 진행하는 것부터 스터디 그룹, 기관, 회사, 언론매체 등 여러 곳에서 보안 컨퍼런스는 이뤄지고 있다. 특히나, 국내 유명 컨퍼런스라고 치면 가장 큰 규모의 POC, 코드게이트, 시큐인사이드, 코드엔진이 대표적으로 보인다. ISEC도 있지만 이 컨퍼런스는 기업 제품 홍보 위주의 컨퍼런스로 외에도 상당히 많은 컨퍼런스가 국내에 존재한다. 이 글을 쓰는 시점에서 가장 가까운 컨퍼런스라 하면 코드게이트가 있으니 보안에 관심이 있다면 한 번쯤 가보는 것도 추천한다. 결코, 필자가 열심히 준비해서 하는 말은 아니고 정말 직접 참여할 수 있는 각양각색의 체험 존을 만들어놨으니 보안을 잘 모르더라도 재미있게 잘 즐길 것이다. 외에도 보안을 하는 이라면 한 번쯤은 들어봤을 거라 생각되는 가장 유명한 블랙햇과 데프콘이 존재한다. 이제 하나씩 차근차근 살펴보자.
먼저 POC 컨퍼런스는 2006년부터 한국에서 주최하는 국제 보안 및 해킹 컨퍼런스로 국내는 물론 외국에서도 많이 참여하는 보안 컨퍼런스다. 국내 보안 전문가들이 주축이 되어 진행되며 상업적 이익을 일체 거부하고 국내 보안 발전을 위해 개최되는 순수 비영리 컨퍼런스다.[9] 보통 연 말에 주최하며 올해도 어김없이 POC 2017을 진행준비가 한창이다. 국내외로 취약점이나 최신 해킹 동향을 소개하는 등 여러 흥미로운 주제를 가지고 발표하여서인지 참여하는 외국 해커들도 상당하다. 컨퍼런스 외에도 여성 해킹대회, CTF 등 다양한 세션이 준비되어 있다. 지금 한창 컨퍼런스 일정표가 채워지고 있으니 자세한 일정이나 장소 등 관련 정보는 추후 공식 사이트에 공지될 것 같다.
코드게이트는 미래창조과학부가 주최하며 코드게이트 보안 포럼과 KISA에서 주관하는 컨퍼런스로 소프트포럼에서 매년 주관하였다.[10] 2008년을 시작으로 매년 행사를 개최하고 있으며 첫 개최 당시 상금 1억 원이라는 파격적인 규모의 CTF를 진행하여 한차례 이슈 된 바가 있었다.[11] 이는 당시 당일 보안 컨퍼런스 및 CTF로 국내 최대 규모로 진행되었던 사례다. 이 때문인지 이후에도 코드게이트는 국내 안팎으로 상당히 유명세를 떨치는 등 이슈 되었지만 최근 들어서는 초기의 위상을 못 따라가는 감이 없잖아 있다. 그런 의미로 올해 진행되는 코드게이트는 10주년을 맞이하여 성대하게 행사를 준비한다고 하니 기대해볼 만하다.[12] 코드게이트는 보안 이슈, 취약점과 관련하여 발표하는 국제 보안 컨퍼런스, 해커들이 모여 문제를 풀고 서로의 실력을 겨루는 국제 해킹방어대회 그리고 방어기술 콘테스트 이 세 가지 부분으로 나누어 진행된다.[13]
KISA, KITRI, 국가 보안 연구소에서 공동 주최하고 고려대 정보보호대학원에서 주관하여 해커 연합 HARU에서 운영하는 시큐인사이드 컨퍼런스도 있다.[14] 작년 같은 경우, 상금 한 푼 없이도 세계 800팀이 참여했다는 점에서도 이슈가 된 적이 있다.[15] 시큐인사이드는 2011년서부터 주최하여 올해로 6회째를 맞이하고 있으며 공식 사이트에 들어가면 개최한 순간부터 발표자의 발표자료와 입상자들을 볼 수 있다.[16] 시큐인사이드와 관련한 또 한 가지의 이슈는 일반적으로 3~4명이 팀을 이루어 대회를 진행하던 다른 팀과 달리 한 명의 해커가 우승하여 큰 이슈가 되었었다. 해커의 이름은 지오하츠으로 세계적으로도 유명한 해커 중 한 명이다.[17] 시큐인사이드가 다른 컨퍼런스 달리 정부의 지원 없이 해커 연합과 학계에서만 진행되어 다른 국내 컨퍼런스에서 쉽게 볼 수 있는 허례허식이 없다는 점에서도 상당히 좋게 볼만한 부분이다. 시큐인사이드는 취약점, 보안이슈를 발표하는 컨퍼런스와 여러 해커가 모여 문제를 푸는 CTF, 제품의 취약점을 찾아내는 CTB로 이루어져 있다.[18]
여기서 언급한 컨퍼런스 외에도 매우 다양하고 유명한 컨퍼런스가 많다. 더욱이, 비밀리에 진행되어 공개하지 않는 컨퍼런스, 초대된 사람만 참여할 수 있는 컨퍼런스 등 다른 여러 곳에서도 컨퍼런스를 자체적으로 진행하고 있다. 사실 구글에서 ‘2017 국내 보안 컨퍼런스’라고만 쳐도 나오는 것이 컨퍼런스 일정으로 관심이 가는 분야가 있다면 확인해보는 것도 나쁘지 않을 것 같다. 한 가지 주의할 점으로 모든 컨퍼런스가 다 좋은 컨퍼런스는 아니라는 점이다. 몇몇 컨퍼런스는 회사 홍보용이나 혹은 단순하게 보여지기만 하는 컨러런스도 존재한다. 그러므로 정말 영양가 높은 컨퍼런스를 찾으려면 잘 거르고 추려서 괜찮은 컨퍼런스를 골라내는 것도 좋다.
국내 POC, 코드게이트, 시큐인사이드가 있다면 외국에는 세계 최대 보안 컨퍼런스 RSA가 존재한다.[19] RSA 역시 매년 개최되는 컨퍼런스로 세계 보안 인들의 축제라는 명성에 걸맞게 올해에는 전 세계 600여 기업과 4만여 명의 참관객이 모였다.[20] 더욱이 올해에는 RSA 알고리즘을 만들어 낸 론 리베스트(Ron Rivest)와 아디 셰미르(Adi Shamir), 레오나르드 아델만(Leonard Adleman) 모두 참여하여 함께 토론했다는 점에서 암호학을 하는 사람들이 상당히 열광했다는 이야기가 있다.[21] 컨퍼런스에서는 보안인들의 토론 외에도 보안 업계를 관통하는 주요 이슈와 동향을 짚어보고 앞으로 오게 될 보안 이슈에 대해 논의하는 시간을 가진다. 컨퍼런스 사진을 보면 마치 콘서트장에 와있는 것처럼 상당히 자유로운 분위기라는 것을 볼 수 있다. 실제로, 간 사람들 말에 의하면 RSA 보안 컨퍼런스라고 해서 모두 책상에 앉아 노트북을 두들기고 그런 무거운 분위기를 예상한 것치곤 상당히 자유롭고 콘서트 장에 온 것 같은 느낌이라 의외라는 반응이다.[22]
RSA 말고도 국외 컨퍼런스라고 하면 당연지사 블랙햇과 데프콘 이야기가 빠질 수 없다. 블랙햇은 1997년도에 데프콘을 설립한 Jeff Moss에 의해 만들어져 전체 이름은 Black Hat Briefings으로 일반적으로 Black Hat라고 한다.[23] 블랙햇은 전 세계 해커, 기업 및 정부기관에 보안 컨설팅, 교육 및 브리핑을 제공하는 보안 컨퍼런스다.[24] 블랙햇은 비기술적인 개인, 경영진, 해커 및 업계를 선도하는 보안 전문가에 이르기까지 보안에 관심 있는 다양한 이들을 모아 놓는다. 컨퍼런스는 라스베가스에서 진행되며 바르셀로나, 암스테르담, 아부다비에서 정기적으로 개최된다. 외에도 옛날에는 도쿄, 워싱턴에서도 개최되었었다.[25] 블랙햇은 블랙햇 브리핑과 블랙햇 트레이닝이라는 두 가지 주요 섹션으로 구성되어 있으며 교육은 다양한 컴퓨터 보안 공급 업체 및 개별 보안 전문가가 제공한다. 브리핑은 리버스 엔지니어링, 개인정보보호, 해킹 등 다양한 주제를 다루는 트랙으로 구성되어 있다.[26] 2011년 서부터는 Black Hat Arsenal이 추가되어 참가자들에게 데모를 제공하여 이에 대해 설명할 수 있는 기업이나 보안전문가와 대화할 수 있는 공간을 제공하기도 했다.[27]
물론 전 세계 해커들이 모인 만큼 문제가 없었던 것은 아니다. 컨퍼런스에 참여한 어떤 해커들은 호텔의 무선 인터넷망을 해킹하여 호텔 TV 결제시스템을 해킹하기도 했으며 호텔의 ATM 기기를 해킹하기도 했다. 2009년에는 소수의 보안 연구원과 그룹이 속한 웹 사이트를 해킹하고,[28] 컨퍼런스 전날 해커 댄 카민스키(Dan Kaminsky)의 사이트가 해킹당하여 그의 암호 및 개인정보, 메일, 채팅, 중요 문서가 노출되기도 했다. 더욱이 블랙햇 USB에서 제공한 USB가 conficker 바이러스에 감염된 USB로 밝혀지기도 했다.[29] 과거에는 이러한 취약점이 나오면 꽁꽁 싸매어 중요한 정보는 제공하지 못하도록 차단하여 숨기려 했다면 갈수록 문제에 대해 같이 토론하고 해결해 나가려는 장을 계속해서 만들려는 시도는 꾸준하며 블랙햇은 이러한 사례에 대표적인 컨퍼런스가 되었다. 보통 블랙햇은 기업 보안 컨퍼런스로 인식이 된다면 데프콘은 해커들의 컨퍼런스로 인식이 된다.
1993년 6월에 처음으로 진행된 데프콘(DEF CON)은 Defcon 또는 DC로 쓰이며 라스베가스에서 주최하는 세계 최대 해커 대회다.[30] 대회에 관련해서는 이미 다른 글에서 작성하였기 때문에 컨퍼런스 위주로만 얘기하자면 컴퓨터 보안, 언론인, 변호사, 연방 정부 직원, 보안 연구원, 학생과 해커가 소프트웨어, 컴퓨터 아키텍처, 전화 프리킹, 하드웨어 수정 및 해킹이 될 수 있는 모든 것에 관심을 두고 모여드는 컨퍼런스다. 이 행사는 컴퓨터 및 해킹 관련 주제에 관한 여러 세션으로 구성되어 있으며 가장 거리가 먼 와이파이 연결 및 컴퓨터 시스템 해킹부터 가장 효과적으로 맥주를 냉각할 수 있는 여러 행사와 CTF 및 콘테스트로 구성되어 있다. 특히나, FBI, 국방부, 미국 우편 검사국 및 기타 기관의 연방 법 집행 요원은 데프콘에 정기적으로 참석하기도 한다.[31]
데프콘은 1993년 Jeff Moss가 친구이자 동료 해커를 위해 송별회로 만들어진 것으로 그의 친구가 미국을 떠나기 전 라스베가스에서 파티를 연 것이 시작이다.[32] 당시 여러 친한 해커들이 모이고 모여 100명 이상이 참석한 이 파티가 그대로 데프콘이 되었다. 데프콘이라는 용어도 미국 군대 방어 준비 상태인 데프콘을 따와 만들었다. 데프콘 명칭에 관한 다른 얘기로는 컨벤션을 의미하는 con과 전화 키패드에 있는 전화번호 3에 있는 글자로 def를 가져와 사용되었다는 이야기도 있다. 어쨌든 공식 명칭은 데프콘으로 Def와 Con 사이에 공간을 포함한다.[33] 결국, 취지는 친구를 위한 일회성 파티로 만들어졌지만, 그 후에도 그는 다른 이에게 주최하기를 권하는 메일을 계속 받았고 그는 이를 행사로 주최하기로 한다.[34] 그러다 보니 데프콘이 블랙햇보다 거의 해커들 위주의 컨퍼런스로 좀 더 자유로운 분위기인 것은 사실이다. 한 가지 떠도는 이야기로 블랙햇은 참석비가 상당히 비싼데 그 이유가 여기저기서 후원을 받는 블랙햇에서 돈을 벌어 힘들어하는 해커들의 컨퍼런스 데프콘을 이어나가기 위함이라는 이야기도 있다.
컨퍼런스 외에도 capture the flag 라는 해킹대회도 있지만 이와 관련해서는 먼저 작성된 해킹대회 글에서 자세하게 다뤘었다. 하지만 무엇이 유명하고 그런 것을 떠나서 공부를 위해 해킹대회에 참여하고 싶은 이들에게는 ctftime이라는 사이트를 추천해주고 싶다. 이 사이트는 세계에서 진행되는 대부분 해킹대회를 모아놓은 사이트로 거의 매주, 매달 해킹대회가 있으니 확인하고 참여하면 된다.
=> 해커들의 축제, 해킹 컨퍼런스 ②
