‘해킹으로부터 안전한가’라는 질문을 받는다면 어떻게 대답해야 할까? 매년 해킹사고가 증가하고 있는 가운데, 해킹 관련 인재 육성의 필요성을 살펴보고 코드게이트2013에서 우승한 ‘후이즈’의 고기완 군을 만나 미래정보산업을 이끌어갈 그의 꿈을 들어봤다.
해킹이라는 단어의 원래 의미는 ‘잘게 자르다’는 뜻이다. 1960년대 미국 MIT 대학 내 모형기차 제작 동아리에서 모형기차 부품을 자유자재로 자르고 변경한다는 의미로 ‘해킹’이라는 단어가 처음 사용됐다. 그리고 이들 동아리 멤버가 MIT대학이 새로 도입한 대형컴퓨터에 접속해 무단으로 프로그램을 변경하면서 컴퓨터 침입에 ‘해킹’이라는 단어가 사용됐다. 그렇게 시작된 해킹은 컴퓨터의 발달과 함께 급속도로 팽창됐다. 특히 2000년대에는 ‘디도스’라고 불리는 분산서비스 거부공격으로 장시간 사이트가 마비되는 사건이 발생해 컴퓨터 해킹이 민간경제에 엄청난 피해를 줄 수 있음을 보여줬다.
국가 간 전쟁을 위한 수단(cyber warfare)으로도 진화했다. 1991년 걸프전 당시 미군이 이라크를 폭격하기 직전, 해킹을 통해 이라크의 대공방어망을 무력화했다. 또 2008년에 일어난 러시아-그루지아 간의 전쟁에서도 러시아가 그루지아 정부와 금융기관은 물론 군 정보 시스템을 컴퓨터 해킹으로 붕괴시켜 오작동을 유도했다. 이로 인해 그루지아는 전쟁시작 5일 만에 손을 들고 말았다.
그간 우리나라에서는 ‘해킹’ 그 자체가 나쁜 행위라는 인식이 있어왔다. 물론 전문가 등은 해킹 방어에 대한 제언을 계속해왔지만 국민의 인식은 아직 여물지 않았었다.
그런데 지난 3월 20일에 일어난 국내 주요 방송사와 금융기관에 대한 사이버테러 사건이 북한의 소행인 것으로 밝혀지면서 해킹과 해킹방어에 대한 국민의 인식이 급변했다. 즉 블랙해커에 대한 화이트해커를 확보하고 키워야 된다는 데에까지 인식이 성장하게 된 것이다.
이번 3·20사건을 위해 북한은 8개월에 걸친 치밀한 준비를 해왔고, 은밀히 심어 둔 악성코드로 대한민국 방송사와 금융사의 컴퓨터를 공격했다.
북한 대남 공작부서인 정찰총국은 매년 1천 명 이상의 해커를 배출하는 등 세계 3윌 수준의 해커 전사를 확보하고 있는 것으로 알려져 있다. 미국도 6월 1일, 2일을 ‘전국 시민 해킹의 날’로 정해 해커들에게 미국 노동부, 통계청, 나사 등의 정보에 접근할 수 있게 하는 등 유능한 해커 양산과 해킹 공격 예측을 위한 입체적인 대비를 하고 있다.
이에 반해 우리는 3·20테러 당시 이렇다 할 사이버테러 준비 체계도 없었고, 인력도 보안의식도 부족했다. 게다가 사이버테러에 대한 책임 부서도 분산돼 있는 상태였다. 이번에 북한의 사이버 테러위협을 실감하면서 우리정부는 민간·공공·군 분야 등으로 분산돼 있는 사이버 대응팀을 총괄하는 컨트롤 타워를 설치했고 사이버테러에 대응할 시스템을 업그레이드하고 있다.
미국의 키스 알렉산더(Keith Alexander) 국가안보국장은 사이버 공간을 육·해·공·우주에 이은 제5의 전쟁터라고 했다. 이 새로운 전쟁터에서 이기기 위한 방법은 무엇일까. 윤종록 미래창조과학부 차관은 “앞으로 우리나라가 진정한 인터넷 강국이 되기 위해서는 인터넷 속도보다도 사이버 안전을 보장하기 위한 인터넷 보안대책이 중요하다”고 강조했다. 홍민표 에스이웍스 대표 또한 “나라 간 사이버전쟁 위협이 도사리고 있는 시기에는 국익에 도움이 되는 기술을 가진 해커가 국가의 자산이 될 수 있다. 의식 있는 유능한 해커를 키우는 것이 국가 보안을 강화할 수 있는 길이다”고 전했다.
이에 정보보안을 위한 의식 있는 유능한 해커를 키우기 위해 지난 4월 3~4일 이틀간, ‘코드게이트2013’ 대회가 열렸다. 올해로 6회째를 맞는 코드게이트2013은 화이트해커들의 글로벌 보안 행사로 세계 각지에서 화이트해커들이 모였다. 이 대회에서 라온시큐어 화이트햇센터 보안기술연구팀으로 구성된 한국의 후이즈(Whois)팀이 1위를, 2위는 러시아의 릿치킨(More Smoked Leet Chicken)이, 3위는 한국의 카이스트 GoN팀이 차지했다. 3·20 사건과 잇따라 발생한 보안 관련 사건으로 당황한 국민들에게 이번 우승 소식은 어떤 희망 비슷한 것이었다. 이에 우승팀 ‘후이즈’에 소속된 고기완(한국디지털미디어고등학교 3학년)군을 만나 미래의 정보보안산업을 이끌어갈 당찬 꿈을 들어봤다.
▲ 대학진학과 사회진출 사이에서 꿈꾸는 고등학생 (맨 왼쪽)(좌)
코드게이트 2013에서 고기완 군이 소속된 ‘후이즈’팀이 우승을 수상했다. (오른쪽 두 번째)(우)
고기완 (한국디지털미디어고등학교 3학년)
코드게이트2013 우승 ‘후이즈’팀
특성화 고등학교에 진학하게 된 동기를 말해달라.
어렸을 때부터 컴퓨터 프로그래밍과 정보보안 분야에 관심이 많았습니다. 컴퓨터 프로그래밍에 관심이 생겨 공부하던 중에 해킹 사고 소식들을 접하게 되면서 자연스레 해킹에도 관심을 갖게 됐고요. 그러다 정보보안 분야가 재미있어서 관련된 고등학교에 입학했습니다. 입학 전에는 여러 학교들을 찾아보면서 진로에 대해 고민을 했는데요. 한국디지털미디어고가 IT 특성화고로 잘 알려진 것 같아 입학했습니다.
가족들은 고기완 군의 결정에 대해 어떻게 생각하나?
처음에는 제가 IT 분야로 진출하는 것은 물론이고 특성화 고등학교에 입학한다는 것 자체를 반대하셨습니다. 일반계에 진학해서 대학에 진학하는 것을 원했죠. 그런데도 제가 하고 싶은 일을 그만두고 싶지 않아서 신념을 굽히지 않는 것을 보고 가족들도 허락해주었습니다.
지금은 가족들의 응원이 대단합니다.
이번 ‘코드게이트2013’에서 우승했다고 들었는데, 소개해달라.
코드게이트는 국내 최대 규모의 해킹방어대회로 알려져 있는데요. 국제 대회 중에서도 어느 정도 권위 있는 대회라 할 수 있습니다. 이런 대회에서 우승했다는 것 자체만으로도 너무 기쁩니다. 저는 이 팀에서 리버스 엔지니어링을 담당했는데요. 실행파일을 분석해내는 역할입니다. 예를 들면 악성코드가 있다면 바이러스가 하는 일들이 무엇인지를 알아내는 것이죠. 열심히 배우면서 기회를 찾다보니 제게 기회가 열린 것 같습니다. 4년간 국내 팀이 해외 팀을 상대로 우승한 사례가 없었는데 그 주인공이 되어 자랑스럽습니다.
대회 기간 중 배운 것이 있다면 무엇인가?
해킹대회에 참가하면 늘 새로운 것을 배우게 됩니다. 못 푸는 내용이 나오면 다른 방식으로 생각해봐야 하고, 관련 정보를 찾아 일정 시간 내에 풀어내야 합니다. 그러다보면 자연스레 배우는 게 많아집니다. 대회라는 것이 단순히 실력을 가늠하는 것이 아닌 모르는 부분이 있으면 배워나간다는 것이 재미있고 유익합니다.
근래 해킹 사건이 많이 있었는데요. 해커로서 사건을 바라본 느낌은 어땠나?
일반 개인뿐만 아니라 전문 기관이나 공공 기관이 해킹당하는 일이 번번이 일어나고 있는데요. 사건이 터진 후에 보면 충분히 사전에 방어가 가능했던 공격이라는 것이 참 안타깝습니다. 해킹은 완벽히 차단하는 것은 어렵기 때문에 미리 예방하는 게 중요합니다. 또 사건이 일어난 후에는 신속하게 대응해야 피해가 줄어듭니다. 따라서 이러한 체계를 갖추는 것에 대해 많은 사람들의 인식이 부족하다는 게 아쉬웠습니다.
국제해커단체 어나니머스(Anonymous)가 북한 사이트를 해킹해서 무분별하게 신상정보를 공개했다. 이를 어떻게 생각하나?
신상정보가 공개되고, 일명 ‘마녀사냥’이 진행되어 무고한 사람들의 인권이 침해를 당하는 일이 발생했습니다. 북한 사이트는 실명 인증 제도를 도입할 수 없어 회원가입을 할 때 이름을 도용해 가입했을 수도 있는데요. 이를 공개한 것은 생각이 짧았던 것이 아닌가 싶었습니다.
자신이 생각하는 화이트해커와 블랙해커의 구별 기준은 무엇이며 하며 자신은 어느 쪽에 해당한다고 생각하나?
보통 금전적 이익을 위해 남에게 피해를 주는 해커를 블랙해커, 이를 방어하고 학업을 목적으로 하는 해커를 화이트해커라고 합니다.
저는 순수 학업을 목적으로 해킹을 공부하고 있으니 화이트해커에 가깝겠네요. 사실 요즘엔 해킹을 조금만 배워도 그것을 적용할 수 있는 홈페이지들이 많습니다. 중학생 수준의 해킹지식만으로도 충분히 해킹을 할 수 있는데요. 호기심만으로 그런 짓을 하면 안 된다는 생각입니다. 그것은 불법이고 남에게 피해를 줄 수 있을 뿐만 아니라 자신을 위해서도 전혀 이득이 될 것이 없기 때문입니다.
앞으로의 꿈을 말해달라.
우리나라의 보안 수준이 뛰어난 편이 아니기 때문에 정보보안전문가가 되어 국내 보안에 이바지하는 것이 제 꿈입니다. 해커의 침입을 탐지하고 방어하는 솔루션을 개발해 보안 분야에 도움이 되고 싶습니다. 우리나라가 IT 강국뿐만 아니라 보안 강국이 되면 좋겠습니다.
이희 기자 / leehee@mbceconomy.com
