29일 보안뉴스 회의실에서는 국내 유명 해커와 보안전문가들이 참석한 가운데 ‘보안전문 해커 양성 필요성과 그 효과적 방법’이라는 주제로 ‘해킹ㆍ보안전문가 간담회’가 개최됐다.

이날 토론회에서는 해커와 보안전문가들이 모여 그동안 대중들이 관심 갖지 않았던 국내 보안환경에 대해 허심탄회한 이야기보따리를 풀었다. 두 번째로 제시된 주제는 해킹대회였다.

보안인력 양성이라는 주제로 해킹대회가 점차 늘고 있다. 해킹대회의 타이틀은 거창하지만 실제 해커들이나 보안환경에 얼마나 큰 의미를 지니고 있을까? 그리고 현재 우리나라의 해킹대회는 어떤 점을 수정해야 더 큰 의미를 지닐 수 있을까?

조주봉 - 해킹대회가 늘어나면서 해킹에 대한 주제가 이슈가 되고 해킹대회 출전 하는 사람도 이슈가 되면 해커가 인정을 받게 되는 유일한 기회인 것 같습니다. 물론 돈 주고 외국해커를 데려오는 것은 상업적으로 보이긴 하지만 외국 해커와 실력을 겨룰 수 있다는 점에서 나쁘진 않은 것 같다.

손충호 - 해킹방어대회에서 출제자들에 대한 많은 고려가 필요해보입니다. 지금까지 국내 해킹대회는 대부분 국내출제자들이 문제를 냈지만 최근 한 국내 유명 해킹대회에서는 외국에서 문제를 내 좋았습니다. 당시 외국에서 낸 문제를 접하니 외국 사람들은 해킹에 대해 연구가 잘 돼있다는 느낌도 들고, 기술을 벗어나 새로운 생각을 갖게끔 하는 문제를 출제해 좋은 인상을 받았습니다. 앞으로 해킹대회에서 외국 해커들도 함께 문제를 낸다면 한국 해커의 레벨도 높아질 수 있을 것 같습니다.

김경동 - 해킹 방어대회가 점차 늘어나 우승 금액이 점차 올라가다보니 수상에 대해서만 이목을 끌고 있어 안타깝다는 생각이 듭니다. 해킹대회 우승 금액이 올라가면서 다 같이 함께 노력해서 준비한다는 생각보다는 잘하는 멤버구성에 목매는 경우가 많은 것 같습니다. 다양한 사람이 다양한 팀에서 즐겁게 대회를 준비하면 좋을 것 같습니다.

최현우 - 장관상과 같이 의미가 있는 상은 많은 사람에게 돌아가는 것도 나쁘지 않아 보입니다.  최근 화이트해거 양성 해킹대회가 많은데 사실 실질적은 혜택을 본다면 상금이나 상장이라고 생각해요. 그러나 이런 해커를 지속적으로 관리하거나 보안 발전에 이바지한다거나 하는 취지에는 맞지 않은 것 같아요.

이창선 - 해킹대회가 들러리 같다는 느낌을 지울 수 없습니다. 보안 컨퍼런스에서 해킹대회가 많이 포함돼 있는데, 보통 해킹대회는 전날 이뤄지고 당일 날은 수상하는 것으로 마칩니다. 그리고 해킹대회 상금이나 한국 사람들이 입상에만 관심을 갖습니다. 그리고 이후 강연은 대부분 전시부스에 있는 제품 설명하는 패턴이 반복됩니다. 해킹대회는 행사의 꽃이고 페스티벌인데 들러리가 되다보니 해커를 동원해 이용하고 난 후 “이제 가라!”라고 하는 것 같습니다.

항상 이렇다 보니 해커는 이용의 수단이 되는 것 같아 안타깝습니다. 기자들도 해커에 대해 인터뷰한다 하면서 인터뷰는 가볍게 하고 새로운 취약성에 대해서만 관심 갖고 기사를 쓰기 때문에 ‘이용당한다.’라는 느낌이 강하게 듭니다. 강연도 외국 강사 초빙해서 제품 발표만 할 바에야 국내 보안에 대한 연구를 많이 한 연구그룹이나 발표자를 불러 강연하는 것이 낫습니다.

박찬암 - 사실 해킹대회에 대해서는 별로 할 말이 없네요. 컨퍼런스의 경우, 불필요한 소비를 많이 하는 것 같아요. 컨퍼런스에서 강연은 듣고난 반응을 살펴보면 “별로 들을만한 것이 없다.”라고 이야기하는 것이 대부분입니다. 물론 자선 사업이 아니기 때문에 명성 있는 사람 몇 명 데려오는 것은 어쩔 수 없다지만, 문제는, 컨퍼런스 예산을 그런 분들(단순히 명성만을 통해 선정된 통해 선정된 사람들)에 치우쳐서 소비하다보니 안타까운 부분이 있어요.

그리고 국내 발표자에 대한 배려도 부족한 것 같습니다. 가령 국내 발표자가 큰맘 먹고 중요한 취약점이나 보안이슈를 발표했다면 발표에 대한 보호가 필요하지만 이런 부분에는 신경을 안 쓰는 것 같습니다. 앞으로 컨퍼런스의 발표도 주최 그룹에 있는 전문가들의 검증을 거친 다음 진짜 필요한 콘텐츠 위주의 발표 섭외가 필요해 보여요.

박영호 - 해킹대회 초반에는 대회가 많아지면 좋겠다고 생각했어요. 대회가 많아지면 프로해커가 나올 수 있겠다고 농담 삼아 이야기도 했을 정도로요. 지금은 그 말이 현실화 되가는 것 같아요.  국내에서도 상반기와 하반기를 걸쳐 여러 큰 대회가 늘어났기 때문이죠. 그런데 해킹대회는 늘었지만 해킹 기술이나 보안 기술에 대한 연구는 해커 그룹 내에서도 많이 줄어들고 있어 “선배들도 뭔가 잘못된것 같다.”고 말을 합니다.

따라서 보안을 활성화 하려면 해킹대회도 중요하지만 연구가 많이 이뤄져야합니다. 보안은 세계의 보안 흐름에 따르는 경우가 많습니다. 이런 흐름을 파악해보면 해결하지 못한 과제의 답이 나옵니다. 반대로 우리가 해외나 현재 우리 상황에서 답이 없는 분야를 연구해 컨퍼런스 같은데서 답을 제시한다면 해외에서 우리나라로 비행기 타고 보러 올 것입니다. 연구가 활발히 돼 연구 붐이 일어나도록 할 필요가 있습니다.

그동안 해커들과 해킹대회에 대해 다양한 이야기를 나눴는데, 마지막으로 현재 우리의 보안 환경이 어떻게 어떤 문화로 바뀌면 좋을지에 대해 각자의 바람은?

김경동 - 국내 보안환경에서 변화가 요구되는 부분은 보안 산업 전체에서 요구되는 변화와 상통하는 면이 있습니다. 가령 보수적인 측면의 제약이나 규제는 애매한 부분이 많고 집행에서도 애매한 것이 많습니다. 이런 부분이 개방적이고 체계적으로 개선되길 바랍니다.

최현우 - 다른 것보다 해킹방어대회 입상이나 연구의 성과가 취업에 많은 도움이 됐으면 좋겠습니다.

이창선 - 보안업계에서 해커의 인력을 학력 위주로 뽑지 않았으면 좋겠네요. 개인적인 노력을 볼 수 있는 연구성과나 자료집, 또는 그동안 쌓아놓은 히스토리 포트폴리오를 보고 능력을 판단했으면 하면 바람입니다. 지금까지의 기준보다 다른 부분에서의 접근이 필요해요.

박영호 - 일단 보안 전반적으로 활동이 활발해져야 합니다. 한다. 가령 보안 연구나 그룹 내에서 후배양성이 필요하죠. 그리고 개념이나 지식, 성품 그리고 윤리적인 해커로서의 성공 등의 롤 모델 많이 만들어져 굳이 양성하지 않아도 늘어날 수 있도록 해야합니다. 롤모델들이 많아지면 자연스럽게  꿈을 만드는 사람이 늘어나게 될 것이죠. 엄청난 노력을 해서 어려운 취약점을 해결해도 얼마나 열심히 한 것인지 인정하지도 않고 쉴 기간도 안주는 등 노력의 가치를 제대로 보지 않는 것이 지금까지의 보안 환경이었습니다. 그런데 이제는 이런 가치를 봐줄 수 있는 사람이 필요합니다. 이런 부분이 개선된다면 기회에 도전할 사람이 많이 나타날 것입니다.

최영일 - 일부에서 우스갯소리로 연봉을 올리려면 여기저기 문제를 헤집고 다녀야한다는 이야기가 나오기도 합니다. 그만큼 제대로된 평가아 부족하다는 것이죠. 기업이나 기관들이 보안에 대한 피해가 얼마나 큰지를 심각하게 생각해서 보안 전문가들의 연봉을 줬으면 좋겠습니다.

박찬암 - 이런 저런 노력으로도 개선이 안된다면 해커를 사회 주요 요직에 꽂아주면 되지 않을까 생각해봅니다. (미국의 경우, 사이버보안조정자를 도입하면서 높은 지위의 보안담당자들이 있기도 하다) 국회나 기업의 요직에 있다면 자동적으로 보안에 대해 제대로 인식할 수 있을 것으로 보입니다.

조주봉 - 보안 연구가 실질적인 도움이 되도록 했으면 하는 바람입니다. 비약적이지만 국정원에 취약점을 신고하면 돈을 준다주거나 하는 특수한 방법이 필요해보입니다. 현재 기업뿐 아니라 정부에서도 국정원이나 사이버수사대 등등 보안 기술을 가진 해커를 필요로 하고 있는 것 같은데, 뽑는 기준을 보면 공무원 시험 같은 검증이 안 되는 방법이 많은 것 같습니다. 다양한 방법을 도입해 해커들을 제대로 대우하면서 제대로 활용할 수 있는 방안이 많이 있어야합니다.

손충호 - 해커의 마인드를 가진 사람들이 높은 요직에 없어 보안의 중요성이 강조되지 않는 것 같습니다. 만약 해커의 마인드가 있는 사람이 점차 높은 직책을 갖게 된다면 보안도 활발하게 변화될 것입니다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>