제대로 된 해킹과 보안 이해 필요...보안 강화하려면 환경 개선되야 
29일 보안뉴스 회의실에서는 국내 유명 해커와 보안전문가들이 참석한 가운데 ‘보안전문 해커 양성 필요성과 그 효과적 방법’이라는 주제로 ‘해킹ㆍ보안전문가 간담회’가 개최됐다.

이날 토론회에서는 해커와 보안전문가들이 모여 그동안 대중들이 관심 갖지 않았던 국내 보안환경에 대해 허심탄회한 이야기보따리를 풀었다. 가장먼저 제시된 주제는 화이트 해커 양성이었다.
 
간담회 참석자 (사회 : 길민권 보안뉴스 편집국장)
박찬암 (넥스지 OS개발팀) 김경동 (서울대) 최현우 (순천향대) 조주봉 (안철수연구소) 이창선 (쿼드디멘션스) 박영호 (보안전문가) 손충호 (와우해커 / 쉬프트웍스) 최영일 (포항공대 / 플러스팀)


 


 
최근 몇 년간 연이은 개인정보 유출이나 대규모 DDoS 공격과 같은 사고가 발생하자, 정부의 각 부처는 실전 보안 전문가인 화이트해커를 양성하겠다는 의지를 밝힌바 있다. 이에 대해 해커와 보안전문가들은 어떤 생각을 가지고 있을까?



조주봉 - 화이트해커 양성이라고 하는 것은 실제 해킹 기술을 가지고 있는 사람을 양성한다는 뜻으로 보입니다. 보면 기존 보안인력은 해킹 기술이 없는 전문가들이 대부분인것 같아요. 물론 이런 분도 많은 노하우가 있지만, 공격방법을 예측하고 기술을 가지고 있는 해커의 입장에서 보안에 플러스 되는 화이트해커가 필요해 보입니다.
 

박찬암 - 우린 항상 화이트해커 양성에 대한 필요성 이야기하지만, 양성이라는 단어는 의미가 없는 것 같아요. 보통 누구나 원하는 직업군이 있지만 여기서 굳이 양성한다고 이야기하지 않죠. 대우나 처우가 좋다면 당연히 인력은 알아서 늘어나고 수준도 높아지기 때문이죠. 양성보다는 어떻게 하면 더 좋은 대우을 받을 수 있을지에 대한 이야기가 더 필요하지 않을까요?


최영일 - 군에서도 해커 팀이 있는 것으로 알고 있습니다. 사회적으로 보면 기본적인 문제라고 생각됩니다. 그동안은 보안 문제로 피해가 적다 생각해서 투자를 안 했던 것 같습니다. 그러나 막상 사고가 터지면 갑자기 투자를 하죠. 이런 반복은 회사나 기관, 단체들이 보안의 중요성을 크게 생각하지 않아서 나오는 문제 같습니다. 우선은 중요성을 인식하는 것이 가장 필요하고, 그렇게 된다면 수요공급 원칙에 따라 자연스럽게 양성이 될 것으로 보입니다.



박영호 - 보안전문 해커라는 말 자체가 이치에 안 맞는 것 같습니다.
해킹을 하는 해커가 있어야 보안도 있기 때문이죠. 상반되는 개념이긴 하지만 연계가 돼 있습니다. 해킹이라는 것 일반적인 개념 안에서만 생각해선 안 됩니다. 기계와 서비스 전체가 포함된다고 볼 수 있습니다. 해외에는 아이폰을 해킹하는 해커가 있는데 우리나라라면 어떻게 됐을까요? 아마 고소당하고 법적인 처벌을 받았을 것입니다. 그는 해킹을 네트워크를 통해서 한 것도 아니고 자신의 기계의 성능을 해킹으로 늘려 쓰는 것인데, 그렇다 하더라도 국내에서는 분명히 고소감이 됐을 것입니다. 이는 단적인 예이지만, 해킹 개념에 이런 것도 포함됩니다.
 

이창선 - 해커는 누구에게 배우고 하는 것보다 컴퓨터 한 대 가지고 서로 경쟁을 하면서 실력을 키웠던 것이 대부분입니다. 현재 교육처럼 강압적으로 오늘은 무슨 과목 공부한다하면서 주입하는 것은 해커의 자유로운 방식을 저해하는 것이라고 생각합니다. 현재 해커들이 등용될 수 있는 문턱을 낮추는 것이 중요해보입니다.
 
많은 해커들이 대기업이나 기관에 가고 싶어도 채용기준이 높아 못 가곤 합니다. 기술적인 능력이나 재능보다 학력이나 토익점수와 같은 스펙이 중요시되고 있기 때문이죠. 대부분 초창기 해커들은 OS를 뜯어 고치고 하는 것이 좋아서 날 새고 연구하다보니 학업을 포기한 경우도 많습니다. 그러다 나중에는 스펙을 맞추려고 전문대나 방통대를 통해 스팩을 맞추려고 노력하죠. 그런데 그러다보면 보안의 흐름을 놓치게 되고 스펙을 준비하지 않을 수도 없고 해서 쳇바퀴처럼 이런 활동이 반복됩니다. 앞으로 유망한 중고등학생들이 화이트해커로 거듭나기 위해서는 안정적이고 효율적인 미래에 대한 대책이 필요합니다.


최현우 - 화이트해커 양성 실제적으로 해커들이 윤리 의식에 따라 화이트해커라고 볼 수 있다. 그러나 양성한다고 양성될 것 같지 않습니다. 사회적 문제로 봐야합니다. 화이트해커가 양성 되려하면 시행착오에 따라서 제도나 법이 수정 돼야하지만, 대부분 큰 보안사건이 있을 때만 이슈로 떠오르다 다시 조용해집니다. 사회적으로 많은 시도가 있어야합니다.


김경동 - 공격하는 기술을 알아야 방어도 효율적으로 할 수 있습니다. 문제가 있을 때만 화이트해커의 필요성을 이야기합니다. 물론 최근 들어 해킹 학원이나 교육기관이 설립돼 해커에 대한 인식이 바뀌고 있는 것은 나쁘지 않지만, 제도적으로 몇 명 모아 교육을 시켜 비슷비슷한 해커를 만드는 것은 문제가 있습니다. 물론 이렇게 하면 행정적인 숫자, 즉 해커 명명 양성했다고 말하긴 좋지만 이런 인력이 진정한 보안 산업을 이끄는 데는 도움이 되지 않습니다. 능력 있는 해커를 양성하려면 해킹을 할 수 있어야 실력이 느는데 법률적으로 해커의 활동을 제한하고 실력있는 해커를 원한다는 것은 문제가 있습니다.


손충호 - 보안전문해커나 화이트해커를 이야기하는데 이는 공격하는 블랙해커가 있기 때문에 나온 개념이라고 생각합니다. 보안이든 공격이든 뿌리에서 나온 기술들을 좋게 쓰느냐 나쁘게 쓰느냐에 따른 것입니다. 그런데 화이트해커로 취업을 하면 천대받고 블랙해커는 수입이 많습니다. 보안의 중요성을 인정하지 않는 사회적 구조 때문에 화이트해커 양성 자체가 어려울 것 같습니다.

화이트해커 양성에 대한 이야기가 나오자 대부분의 참석자들은, 양성 자체에 의미를 두기보다는 화이트해커의 활동이 가능하도록 환경을 조성하는 것이 중요하다는 쪽으로 흐르기 시작했다. 특히 화이트해커나 보안 전문가에 대한 적절하고 제대로 된 이해와 적절한 대우가 필요함은 물론이다. 그렇다면 이 외에 화이트 해커가 늘어나려면 어떤 환경적 조건이 필요할까?

박영호 - 해커의 활동이 제약되는 이유는 존(Zone)이 없어서 라고 생각합니다. 해킹을 공부하게 되면서 이론을 습득하지만 테스트를 해야 할 공간은 없습니다. 공격을 할 줄 알아야 방어도 할 수 있는데, 짜인 테스트베드는 실제와 상이한 부분이 많아 실력을 높이는데 무리가 있습니다. 만약 이런 문제가 해결되지 않는다면 아무리 이론 교육을 하더라도 실력을 높이긴 어려워 보입니다. 쉬운 공격을 막기에는 장비만 있으면 되지만 해커는 어려운 공격에 대한 연구를 하기 때문이죠. 교육기관으로만 양성된 해커는 스스로 연구하는 능력이 부족하기 때문에 붕어빵 찍듯 찍어내는 것은 의미가 없으며 미래에 발생할 보안 문제에도 대처하기 힘듭니다. 이런 측면에서는 양성이라는 단어가 오히려 부정적으로 느껴지네요.

이창선 - 테스트환경보다 기업이나 기관 등에서 오픈마인드를 가져야합니다. 해커들도 웹서비스를 이용하고 버그를 보면 리포팅을 하곤 합니다. 내가 이용하고 있는 서비스가 더 안정적이고 나은 환경이 되길 바라는 마음에서죠. 그런데 리포팅을 보안 담당자들이 좋게 받아들이지 않고 적대적으로 받아들입니다. 어떤 때는 심한 이야기도 하기도 합니다.
 
해커의 입장에서 찾아낸 문제점을 이야기하면 “이게 얼마나 큰 파장이 있는지 아느냐? 이건 법률 몇조 몇항에 위반되며 처벌을 면치 못한다”라며 죄를 진 것인 양 회사로 불러 몇 시간동안 설명을 요구하고 해결책을 제시하라고 하면서 협의하자고 하는 기업들이 많습니다. 어떤 경우에는 이런 이야기를 무시하고 보이는 버그만 고쳐 이상 없다는 식으로 홍보를 하는 경우도 많습니다. 결국 버그를 찾았을 때 국내에서 할 수 있는 것은 윗선이나 이용자가 알 수 없게 입막음 하는 방법밖에 없습니다.

조주봉 - 아무리 문제가 있더라도 서버를 해킹했다면 불법입니다. 법은 강화돼야 하는 것은 당연하고, 법적인 테두리 안에서 연구를 해야 하는 것도 당연합니다. 뭔가를 침투하고 침입하는 것을 막으면서 해킹을 연구하는 것이 모순일 수 있지만, 그렇다하더라도 법테두리 안에서 해야 합니다. 

해커의 능력을 높이고 해커가 악의가 아닌 선의를 가지게 하기 위해서는 법적 개선이 필요하다는 주장이 본격적으로 제시되기 시작했다. 선의로 시작해도 악당으로 몰아붙이는 현재의 환경이 적지 않은 영향을 준 것이라 생각된다.

이창선 - 법에서는 해커의 기준으로는 말도 안 되는 기준이 추가돼 있습니다. 분명히 해커와 보안실무자와의 조율을 통해 할 수 있는 것이 있을 거라 생각합니다. 보안취약점 발견하면 실무자와 함께 토론할 수 있는 장이 필요합니다. 교통사고에서 경범죄는 직접 서로 해결하는 것과 같은 실질적인 법 제정도 필요해 보입니다.

최영일 - 법에서도 고려가 필요합니다. 누군가 어떤 프로그램을 내놨는데 취약점이 나와 이를 공개하는 것을 보안적인 기능만으로 법으로 막는 것은 문제가 있습니다. 버그가 있으면 버그가 알려져야  패치 하는 데, 이를 법으로 막는 것은 말이 안 됩니다.
박찬암 - 국내 보안 환경은 인식적인 측면에서 잘못돼 있습니다. 극단적인 예로, 어떤 시스템에서 제로데이 공격 익스플로잇을 발견했다면, 파장을 예상해 조치를 먼저 취한 다음에 이를 공개를 하면 좋은 프로세스입니다. 그러나 문제는 이미 공개된 툴이나 익스플로잇을 만드는 과정에 대해 공유를 했을 때입니다. 국내에서는 이에 대한 제제가 많고 검열도 심한데다가 인식도 좋지 않습니다. 이런 행동 자체를 ‘해킹짓’이라고 여깁니다. 따라서 공개가 더 안 되는 것이죠. 이미 공개된 내용까지 제한하는 것은 문제가 있습니다.

법적인 문제를 기반으로 경찰 및 수사기관의 해킹에 대한 인식도 문제제기 됐다. 이 부분에서는 실질적인 사례도 많은 듯 했다.

이창선 - 한 해커가 특정 웹사이트를 네트워크를 뚫고 이를 자랑을 하기위해 IRC(인터넷 릴레이 채팅)에서 주소를 올려놓은 적이 있습니다. 그런데 경찰은 IRC에서 주소를 클릭한 사람을 모두 소환하고 이들의 하드디스크까지 조사를 했습니다. 사실 우리나라 사람치고 불법프로그램 하나 없는 사람은 없잖아요? 하나하나 다 조사를 하더군요. 이런 모습을 보면 해킹 사고에 대한 조사가 아니라 엮을 건수를 찾는 것처럼 보였습니다. 네트워크나 소프트웨어 등 IT기술에 대해 상세히 아는 사람이 ‘나라면 이렇게 할 수 있을 텐데’라고 하는 것도 하나의 해킹이라고 볼 수 있습니다. 그런데 해킹이 무조건 네트워크를 뚫고 개인정보 유출하는 것으로 보도되다보니. 프로그램에 대해 조금 알고 이에 대해 연구하면 해커의 기질이 있다고 생각하는 것 같습니다.

김경동 - 점점 자세히 알게 되면 뭔가를 해보고는 싶지만 괜히 건들었다 문제생길 것 같다는 우려가 적지 않습니다. 따라서 책으로만 보거나 만들어 놓은 것만 접하게 돼 공부하는데 답답합니다.

송충호 - 이런 예를 주위에서 들은 적 있습니다. 아는 한 분이 대학생활 때 어떤 홈페이지 들어가 게시판을 눌렀는데 데이터베이스 같은 에러가 떠서 착한 마음으로 관리자에게 고쳐달라고 말했다고 합니다. 그런데 1주일이 지나고 경찰이 영장을 들고 와서 하드를 압수하고 경찰청으로 소환했답니다. 경찰이 말하길 “하드디스크를 봤더니 국내해커그룹 사이트가 즐겨찾기 돼 있고 국내 유명해커가 즐겨찾기 돼 있었고, 프로그램을 뒤져보니 공짜 이용 프로그램도 발견됐다. 이정도면 구속시킬 수 있다. 어떻게 할 것이냐.”라고 말했답니다. 그분이 미국에서 생활하다보니 한국적인 부분을 인식 못해 착한 마음으로 메일을 보냈다고 합니다. 그분이 대학도 미국 유명대학을 다니고 IT쪽을 잘 알거라 생각하고 경찰이 그랬는지 모르지만, 결론은 이 분은 결국 컴퓨터의 길을 그만뒀다고 합니다.

토론을 마치고
선의를 가지고 보안에 도움을 주는 해커 환경을 만들어 주기 위해서는 아직도 많은 인식 변화가  필요해보였다. 특히, 이들은 법적인 족쇄가 풀리지 않는 한 합법적으로 보안에 도움을 주는 해킹은 매우 어렵다고 이야기 한다. 이는 법 자체가 보안에 대한 협소한 이해를 바탕으로 하기 때문으로 보인다. 외국의 경우, 네트워크에 침입 한 것과 마찬가지로 침입을 허용한 보안의 책임도 강조하고 있다. 물론 부작용이 없진 않지만 이를 통해 보안 수준이 점차 높아지는 효과도 적지 않다. 아울러 이들이 보안 전문가로써 미래를 바라보기위해서는 보안의 중요성에 맞는 대우도 꼭 필요한 요소라고 의견이 모아졌다.
[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>