Penetration Tester를 꿈꾸는 학생들의 이야기...만남 기약하며 작별 

[보안뉴스 김지언] 해킹과 보안에 관심 있는 학생들이 1박 2일 여행을 떠나 서로의 기술과 정보를 공유하는 장이었던 해킹캠프 2일차에는 어떤 파란만장한 일들이 일어났을까?   

▲해킹캠프 2일차 쉬는 시간

국제 해킹·보안 컨퍼런스 POC(HNS 주관)와 해커스쿨이 공동 주최한 제9회 동계 해킹캠프에 참가한 연령층은 올해 15살부터 30대까지 다양했다.

참가자들의 강연으로 구성된 해킹캠프 둘째 날 아침식사 시간 후 9시30분부터 캠프장 지하 강당에서는 POC2013 발표동영상이 소개됐다. 서로의 열정과 생각을 공유하면서 이야기꽃을 피우느라 밤샌 학생들. 그럼에도 불구하고 강연에 집중하기 위한 몸부림이 여기저기서 느껴졌다. 그 몸부림이 지나쳐(?)  앞으로 또는 뒤로 고개가 젖혀지는 친구들도 있었지만 말이다.   

POC2013 세미나 동영상이 끝나고 APNG Korea 김준석 씨와 임은지(같은 조 딸래미^^) 씨가 ‘시스템 하드닝과 ISMS’라는 주제로 첫 강연을 진행했다.

김준석 씨는 “시스템 취약점은 꾸준한 관리가 이루어져야 시스템을 보호할 수 있다”며, 운영체제별 시스템 취약점 점검항목 소개와 HTTP 메소드 공격 및 계정권한 상승공격에 대한 시나리오 설명과 시연을 진행했다.

이러한 공격에는 어떻게 대처할 수 있을까? 이어진 발표에서 임은지 씨는 “여러 가지 설정을 통해 보안 위협으로부터 시스템을 안전히 지키는 시스템 하드닝이 필요하다”고 당부했다. 또 임 씨는 앞서 김준석 씨가 시연한 HTTP 메소드 공격 위험에 보다 안전하기 위해서는 디렉토리 리스팅 취약점 제거와 아파치 WebDav 제거가 필요하다고 전했다. 덧붙여 그는 계정권한 상승 공격을 예방하기 위한 방안으로 관리자그룹에 있는 불필요한 사용자 계정의 삭제 필요성을 제시했다.

이어 발표를 진행한 강세윤 군은 ‘Integer Overflow 공격과 대응방안’을 주제로 Integer Overflow의 정의, 발생원인, 위험성 등의 내용을 다뤘으며, 원창연 군의 ‘사이버 범죄 증거 찾기’에서는 디지털 포렌식의 정의, 등장배경과 역사, 웹브라우저 분석 툴 WEFA 사용법 등에 대한 강연이 진행됐다.

이어 진행된 ‘취약점 보고에 관하여’라는 송준혁 씨의 강연에서는 취약점에 대한 정의를 시작으로 Local 취약점과 Web 취약점의 개념, 악성코드 분석방법 외에도 자신이 이전에 KISA나 타 매체(보안뉴스에서도 준혁 씨 제보 기다리겠습니다^^)에 제보한 싸이월드 클럽게시판의 댓글쓰기 취약점, 미팅사이트의 미니홈피 자기소개작성 취약점 등에 대해 중점적으로 소개했다.

또한, 송준혁 씨는 “아는 만큼 보고서가 풍성해질 수 있다”며, “취약점 보고서나 악성코드 분석자료를 잘 정리해 놓으면 향후 좋은 자료로 활용될 수  있을 것”이라며 꾸준한 기록의 중요성을 강조했다.

▲신나는 핵더패킷 시간

참가자들의 주제 발표가 끝나고 모두가 손꼽아 기다렸던 ‘Hack the Packet’ 시간이 이어졌다. 운영진이 나눠준 패킷으로 해커가 어떠한 방법으로 공격했는지, 해커가 접근한 시스템, 해커의 관심 분야 등을 찾는 시간으로 운영진에게 답안을 가장 빨리 제출한 팀이 우승하는 방식으로 진행됐다.

기자 역시도 조원들과 운영진들로부터 받은 패킷을 분석하려 했으나 오랜만에 패킷을 분석하려고 하니 머리만 빙글빙글 돌 수밖에... 덕분에 같은 조에서 활동한 막내 손건 군에게 한눈에 패킷 전체를 보고 좀 더 쉽게 분석하는 방법을 배웠다는 후문이다.  

막내의 선전 덕분에 기자가 속한 조 역시 답안을 모두 작성할 수 있었다. 이 친구는 어떤 마인드로 보안을 공부할까? 손건 군은 “해킹·보안을 공부하는 많은 사람들이 자신보다 나은 실력의 사람을 만나면 좌절하고 힘들어하는 경우를 볼 수 있는데 해킹 공부는 남들과 비교하지 않고 자신의 페이스에 맞춰 꾸준히 하는 것이 중요해요~”라고 답한다. 어린 시절부터 자신의 꿈을 향해 나아가는 학생들에 대한 부러움과 기특함, 그리고 기자는 여태 뭐했을까하는 자책감(?)이 동시에 밀려왔다.  

‘Hack the Packet’  우승은 간발의 차이로 4조 for()팀(팀장 최성국, 강세윤, 김준석, 김진우, 김현기, 김현우, 김호준, 김낙현)이 차지했다. 간발의 차이로 Crypto 팀을 제치고 우승하면서 for()팀의 함성과 다른 조들의 아쉬움 담긴 탄성이 한꺼번에 터져 나왔다.

▲기자와 함께 활동한 SEVEN1조 멤버들

‘Hack the Packet’ 을 끝으로 모든 주요 일정이 끝나고 마지막으로 해킹캠프에서 주는 상장 투척(?) 시간이 이어졌다. 그 이름도 베스트 프렌드상, 베스트 엔터테이너상, 베스트 해커상, 가장 멀리서 오신 분에게 주는 상 등 가지각색!

특히 해킹골든벨과 초성게임에서 모두 1위를 차지한 dog팀(팀원 우석만, 최한동, 박성호, 송준혁, 이희주, 박새얀, 최동민, 권일택)에게는 상장과 부상 외에도 조원 전부가 올해 POC에 참가할 수 있는 기회가 주어졌으며 추가로 ‘Hack the Packet’  1위 팀인 for()팀 팀장 최성국 군에게도 POC에 참가할 수 있는 티켓이 주어져 조원들의 부러움을 받았다.

캠프 일정이 모두 끝나고 해킹캠프 운영진은 “젊은 청소년들과 학생들이 비록 1박 2일의 짧은 일정이지만 서로 어우러져 교류하고 배우는 것을 보면서 뿌듯했다”며 “해킹캠프를 거듭할수록 끼가 많은 학생들이 늘어나 놀랍다”는 소감을 전했다.

제9회 해킹캠프가 참가자들에겐 어떤 영향을 끼쳤을까? 또 이들은 평소 해킹·보안과 관련해 어떤 생각을 가지고 있을까? 대구, 목포, 부산, 창원 등 각지에서 온 참가자들 중 기자와 같은 조에 배치돼 함께 활동한 참가자(편애 맞습니다^^)들의 생각을 끝으로 이번 해킹캠프 후기를 마무리하려 한다.

기자가 속했던 조원들과의 1박 2일 추억이 더욱 아련해진다.

인터뷰는 제9회 해킹캠프 참가자로 신재원(능인고, 19), 성기준(창원과고, 19), 김우찬(대구중앙고, 19) 등 3명이다.

신재원 - 해킹·보안과 관련해 좀 더 많은 테스트 방법을 알아가기 위해 참가신청을 했습니다. 지방 학생이라 비슷한 공부를 하는 참가자들을 만나고 교류할 기회가 많지 않았는데 이번 해킹 캠프로 인맥을 늘릴 수 있는 좋은 기회가 되었습니다. 현재 학원에서 배운 해킹·보안 지식을 토대로 서버를 구축하고 홈페이지를 만들어 테스트 하는 등 모의해킹 분야에 관심을 가지고 있으며, 책을 통해  심화과정을 테스트하며 공부하고 있습니다.

이번 해킹캠프를 통해 리버싱과 알고리즘 분야에 대한 지식이 부족하다고 느꼈습니다. 이와 관련된 전반적인 공부를 진행할 예정이며 다양한 보안관련 자격증을 취득하기 위해 전반적인 보안내용에 대해 공부하고 있습니다. 아직은 부족하지만 꾸준히 심화이론을 공부하고 실습해 국가기관에서 근무하고 싶습니다.

저 역시도 어린나이지만 추후 정보보안을 진로로 공부하려는 분들은 자신의 이익을 위해 다른 사람에게 피해를 주는 게 아니라 추가적인 피해자가 나오지 않도록 방어한다는 마인드를 가졌으면 좋겠습니다. 해킹과 보안에 관련된 기술은 처음에는 쉬울 수 있지만 더 높은 단계의 전문가가 되기 위해서는 오히려 다른 분야보다 더 많은 기본지식이 필요하기 때문에 단순히 해커들이 멋있어 보여서 이 분야로 입문한다면 시간낭비만 할 수 있다고 봅니다. 때문에 이 분야를 선택하기 전에 자신이 왜 이 길을 선택하게 됐는지에 대한 자아확립이 우선되어야 할 것 같습니다.

성기준 - 이전부터 해킹·보안을 공부하는 사람들은 어떤 방식으로 공부하는지, 앞으로는 어떻게 공부해야 하는지에 대한 갈증이 있었습니다. 그러던 중 해킹캠프에 관심을 가지게 됐고, 계속 신청기간을 놓치다 고3이 되어서야 지원할 수 있었습니다. 아직까지는 해킹·보안에 관해 체계적으로 공부해 보진 못했지만, 교과과정에 프로그래밍 수업이 있어 프로그래밍 언어에 관해 관심 있게 공부하고 있으며, 틈틈이 해킹관련 서적을 읽고 있습니다. 학교 특성상(과학고라는~) 수학에 관해 집중적으로 공부하다 보니 암호학에도 관심이 있으며, 아직 뚜렷한 전공을 결정하진 못했지만, 이번 캠프를 계기로 장교와 보안전문가의 꿈을 한번에 이룰 수 있는 고려대 사이버국방학과에 진학하고자 하는 목표가 생겼습니다.

이 분야 최고 수준의 전문가가 되기 위해서는 처음에는 조금 느릴 지라도 프로그래밍, 수학, 과학, 심리분석, 영어 등 전 분야에 걸친 다양한 기본지식 함양이 필요한 것으로 알고 있습니다. 비슷한 공부를 하는 많은 학생들이 학교 공부를 등한시 하는 경우가 있는데 이 시점에서만 할 수 있는 공부를 놓치지 말았으면 합니다. 이번 캠프를 통해 해킹과 관련된 새로운 내용을 접할 수 있는 계기가 되었고 미니CTF나 ‘Hack the Packet’ 과 같은 시간을 통해 직접 분석하고 다른 친구들의 분석방법을 공유할 수 있는 좋은 계기가 됐습니다.

김우찬 - 시스템해킹과 리버스 엔지니어링 분야에 대해 공부하려다 보니 이와 관련된 정보를 찾는 부분에서 무척 힘이 들었습니다. 캠프는 같은 분야를 공부하는 참가자들과의 정보공유를 위해 참가했으며, 강연을 통해 부족했던 분야에 대한 지식과 새로운 인맥을 형성하는 좋은 계기가 되었습니다. 현재 리버스엔지니어링과 시스템해킹에 관해 중점적으로 공부하고 있는데 리버싱의 경우 책을 보며 공부하고 있고 시스템 해킹의 경우 기본적인 부분은 학원 강의를 통해 배웠지만 메모리 보호 기법과 메모리 우회 기법 등에 대한 기술문서가 많이 부족해 공부에 어려움을 겪고 있습니다(이와 관련 정보가 있으신 분은 보안뉴스로 보내주시면 공유하겠습니다^^).

현재 많은 학생들이 해킹과 보안 분야에 관심을 가지고 있으며 공부하길 원하지만 해킹보안에 입문하기 전에 기본지식인 C언어, API 프로그래밍, 스크립트 언어, 리눅스, 웹, 운영체제 구조 등 기본기 역시 탄탄히 다져갔으면 좋겠습니다. 기본기가 탄탄해야 문제가 생겼을 때 빠르게 파악하고 해결할 수 있는 능력이 생기며, 한계에 부딪힐 때마다 포기하지 않고 꾸준히 실력을 향상시킬 수 있기 때문입니다.

이외에도 같은 공부를 하는 사람들과 교류할 수 있는 카페활동이나 정보보안스터디 그룹을 활용해 새로운 정보를 공유하는 것도 좋은 방법입니다. 추가적으로 종종 상용망을 대상으로 해킹을 시도하는 경우를 볼 수 있는데, 이는 평생을 범죄자로 낙인찍힐 수 있는 위험한 행동입니다. 해킹연습을 하고 싶다면 자신의 컴퓨터에 서버를 만들어 내부적으로만 실습하되, 절대로 상용망을 대상으로 공격하지 않았으면 합니다.

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>