KISA 해킹방어대회 2회 연속 우승자 구사무엘, SIS에서 강연자로 “국내 해커 저연령화 트렌드...체계적 교육 통해 윤리의식 우선해야”


지난 5월 13일 한국정보보호진흥원 주최로 개최된 ‘제6회 해킹방어대회’에서 치열한 예선과 본선을 거쳐 최종적으로 ‘ZZZZ’팀이 우승을 했다. 고등학생으로 참가해 이전대회에서 우승한 전적이 있는 구사무엘씨가 멤버로 있는 팀이다. 이번 해킹대회 우승으로 구사무엘씨는 이 대회에서만 2회 연속 우승자가 된 셈. 그런 가운데 해킹대회 연속 2회 우승자인 구사무엘씨가 이번에는 11일 KISA가 개최한 ‘제14회 정보보호 심포지움’에서 강연자로 나서 주목된다.
 
구사무엘씨가 이번 강연에서 발표한 내용은 ‘안전한 인터넷 세상을 위한 해커의 역할과 책임’이라는 주제. 데프콘과 해킹방어대회 등의 참가 경험을 들어 개인이 생각하고 있는 해커의 역할과 책임에 대한 의견을 밝혔다. 젊은 해커의 발표였던 만큼 참관객들로 하여금 더욱 많은 호응을 얻을 수 있었다. 그렇다고 그가 발표한 내용이 단순히 젊은 한 해커의 흥미 있는 의견 발표 정도로 생각하면 안 된다. 그 의견에는 오랜 정보보호 활동을 한 보안전문가들 못잖은 경험이 포함돼 있기 때문이다.

우선 이날 구사무엘씨의 발표 내용을 소개하면 그는 “해커란 컴퓨터 시스템 내부구조와 동작 등에 심취하여 이를 알고자 노력하는 사람들로서, 작업과정 그 자체에서 느껴지는 탐구의 즐거움을 즐기는 사람들”이라며 “해커의 모토는 just for fun and profit! 즉 오직 즐거움과 이익을 위한 것이다. 물론 여기서 이익이란 돈을 의미하는 것이 아니라 총체적인 의미다”고 말했다.

또한 구사무엘씨는 최근 끊임없이 발생하고 있는 해킹사고와 관련해 해커들은 과연 선인가, 악인가에 대한 주제로 “크래커(나쁜놈), 해커(이상한놈), 정보보안 전문가(좋은 놈)로 구분할 수 있지만 이 구분은 명확한 집합객체로 볼 수는 없다”며 “쳇바퀴에 맞물려 크래커가 해커로 해커가 정보보안 전문가로, 정보보안 전문가가 크래커로 변할 수 있다”고 말했다.

아울러 해커에게 있어 해킹의 대상은 소프트웨어뿐만 아니라 일생생활에서 접할 수 있는 자판기, 도어, 게임기, 엘리베이터, 스마트폰, VoLP폰, RFID 카드 등 모든 것이 해킹의 대상이라고 설명한 구사무엘씨는 “언더그라운드 그룹과 대학정보보호동아리연합회나 전국대학CERT연합 등과의 교류 긍정적으로 이루어지고 있는 것 같지만 외국 해커들과의 교류는 그렇지 못한 실정”이라며 지적하기도 했다.

그리고 이날 발표를 통해 구사무엘씨는 “최근 열렸던 해킹방어대회의 본선진출팀 목록을 보면, 국내 해커들의 저 연령화가 이루어지고 있는 것 같다”고 트렌드를 밝히고 “지난 3월 초 발생한 네이버 카페 DDoS 사건을 예로 들며, 이들 10대들이 기술은 익히지만 마인드 측면에서는 부족하다는 생각이다”고 말하며 학생 시절부터 체계적인 교육을 통해 윤리적인 부분을 우선적으로 배울 필요가 있다고 발표했다.

이어 구사무엘씨는 취약점에 대한 정보력이 국가의 경쟁력이 되는 시대에 있어 문제점으로 ▲제로데이 취약점의 상업적 시장의 등장 ▲공격의 간편화, 자동화, 지능화 추세 ▲업체들이 취약점 공개를 꺼려하는 풍토 ▲올바른 보안 방법을 공유·제안할 채널 부재 등을 발표했다.
 
또한 구사무엘씨는 “업체들이 취약점을 알리기 꺼려하는 풍토-해커에 의한 취약점 정보 제공 불가-보안사고 발생-국내 해커들의 취약점 레포팅 습득 방법 미흡-정상적 절차에 의한 레포팅이 이루어지지 않는 점 등이 쳇바퀴로 돌며 보안의 악순환을 반복하고 있다”며 “발전지향적 해커와 기업의 변화가 필요하다”고 말했다.

이에 구사무엘씨는 발전지향적인 해커 측면에서는 ▲윤리적이고 성숙한 취약점 권고문화 구축 ▲취약점 뿐만이 아닌 해결방안 제시 ▲공격에 치우쳐 있는 연구분야의 확대 ▲무분별한 공개보다는 이성적인 판단에 의한 공개 등이 필요하다고 제시했고, 기업 측면에서는 ▲무조건적인 취약점 공개반대 보다는 긍정적인 해결 ▲크레디트와 비례하는 대가를 통한 건전한 취약점 권고 문화 구축 ▲해커를 통제, 소유, 정제의 대상으로 보는 인식의 제고 등이 필요하다고 제시했다.

이날 발표에서 구사무엘씨는 마지막으로 국내와 국외 해커의 역량 비교면에서 “데프콘과 해킹방어대회 참가 경험에서 국내 언더그라운드 해커들이 웹해킹에 쏠려있는 문제가 있다”며 “실질적인 웹해킹뿐만 아니라 시스템 분석 등 근본적 모색이 필요하지 않을까 한다”고 발표했다.
[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>