이미 해킹보안 분야에서 실력을 인정받은 사람보다는 끝까지 정보보안 전문가로 남기 위해 노력하는 사람이 진정한 인재라는 이들은 보안입문자들이 자립심을 가지고 공부해야 한다고 강조했다.

코드레드는 보안전문가를 꿈꾸는 다양한 사람들이 모여 만든 보안연구팀으로 현재 80여명의 회원을 보유하고 있다. 강인욱 씨와 김종민 씨가 코드레드를 만들게 된 건 실력 있는 팀원들을 모아 각종 대회에 출전하자는 취지에서였다고 한다.

처음 이 두 사람이 팀을 구성해 보자는 이야기가 나온 것은 2013년 2월이었다. 2013년 3월에서 4월 사이에 강인욱 씨, 김종민 씨, 천준상 씨, 김희중 씨, 최규범 씨, 임정원 군 등 6명이서 팀을 꾸려 대회에 출전하기도 했으며, 2013년 4월에는 신입생 공채를 통해 팀 멤버들을 모집하고 본격적으로 활동을 시작했다.

그러면 이들은 어떤 활동을 하고 있을까. 코드레드 강인욱 씨와 김종민 씨를 만나 그 이야기를 들어봤다. 김종민 씨는 현재 코드레드는 해킹방어대회 출전 외에도 외부 보안 강연, 내부 스터디 등 다양한 활동을 펼치고 있다고 설명했다.

김종민 씨는 “최근 시큐인사이드와 같은 해킹대회에 출전한 것 외에도 숭실대에서 해킹 동아리를 만들고 싶다고 해서 코어멤버들이 지난 7월 14일부터 18일까지 시스템, 리버싱, 정보보호개론, 웹 등 해킹보안 교육 커리큘럼을 맛보기 형식으로 강의한 바 있다”고 밝혔다.

이외에도 코드레드는 중학생을 대상으로 하는 진로체험 행사를 기획하고 있었다. 김종민 씨는 “보안전문가가 되고 싶어 하는 학생들이 많아지면서 중학교 진로체험 행사에 초청돼 강연을 한 적이 몇 번 있다. 그러나 일반 학생들의 경우 보안에 관심은 있지만 어떻게 공부를 해야 하는지 어떤 사이트에서 도움을 받을 수 있는지 등을 전혀 알지 못했다. 이런 친구들을 대상으로 저변을 확대하면 이후 보안업계에 도움이 되지 않을까라는 생각에서 진로체험 행사를 준비하고 있다”고 전했다.

또 8일부터 미국 라스베가스에서 개최되는 세계적인 해킹대회 데프콘 CTF 22에는 김종민, 강인욱, 최규범, 김희중, 임정원, 한충우, 김지성, 권혁민 등 코드레드 멤버 8명이 한 팀이 되어 본선에 진출한다. 이와 관련 강인욱 씨는 “이번 대회에서는 수상을 목표로 하기 보다는 꾸준히 데프콘 본선에 진출해서 해킹보안분야의 실력자들을 만나는 등 좋은 경험을 쌓는 기회로 삼으면 좋겠다”는 소감을 밝혔다.

이어 강인욱 씨는 “처음에는 대회 출전만을 위해 팀을 만들게 되었는데 대회 외에도 우리의 재능을 가지고 보안에 입문하는 사람들에게 도움을 주자는 생각에 2013년 4월에 일반멤버를 모집해 공부방향을 제시해 주고 있다”고 전했다.

그러나 김종민 씨는 코드레드의 스터디 방식은 강의 형식이 아니라고 설명했다. 김종민 씨는 “공부는 혼자하는 것이기에 방향성이나 어떻게 공부하는지 지도해주고 과제를 내주기도 하지만 직접 가르쳐 주지는 않는다. 예를 들어 시스템 해킹의 경우 처음 BOF(버퍼오버플로우)를 익히고, 포맷스트링, 레이스 컨디션 등을 공부한 후 상위레벨인 ROP 등을 익히라고 말해줄 수는 있지만 각 기법이 어떤 것이고 왜 발생하는지 등은 설명해주지 않는다”고 밝혔다.

이러한 스터디 방식을 고수하는 것과 관련해 강인욱 씨는 “강의 형식은 한계가 있다. 우리 팀의 경우 다들 각자의 생활이 있기에 매주 같은 시간에 모여 강연을 진행하기 힘들다. 강연이 학교처럼 꾸준히 진행되는 것이라면 효과를 볼 수 있지만 띄엄띄엄 이루어지는 것이라면 학습효과와 집중도가 엄청나게 떨어진다”고 설명했다. 덧붙여 그는 “강의는 처음 해당 분야를 접하는 사람들을 대상으로 맞춰야 하기에 하향평준화될 수 밖에 없다”며 “이미 아는 내용을 또 들어야 하는 입장에서는 시간낭비”라고 지적했다.

김종민 씨도 “어떠한 문제가 생기거나 궁금한 부분이 있을 때 자신이 혼자 찾아봐야 하는데 강의 형식으로 스터디를 한 학생들은 혼자 찾아보고 공부할 수 있는 자립심이 떨어지게 된다”며 “강의하는 사람 입장에서도 한두 번의 강의는 개념을 좀더 명확히 이해할 수 있는 계기가 되지만 그 이상의 강의는 단순노동에 불과하기에 강의 형식의 스터디를 지양하고 있다”고 전했다. 

코드레드는 어떤 비전을 가지고 운영되고 있을까. 김종민 씨는 “코드레드에는 3가지 비전이 있다”며 “보안공부를 하다보면 교재, 대회출전 비용 등 금전적인 문제에 부딪히는 경우가 많은데 강연, 모의해킹, 연구자료 만들기 등을 통해 멤버들이 합법적으로 용돈을 벌 수 있는 환경을 제공하는 것이 그 첫 번째”라고 설명했다.

이어 강인욱 씨는 “일반인들도 쉽게 보안을 접하고 보안 분야에 진출할 수 있도록 환경을 제공하는 것과 팀에 들어온 멤버들이 자신의 의지만큼 실력을 키울 수 있도록 이끌어주는 것이 또 다른 비전”이라고 밝혔다.

코드레드를 운영하면서 가장 보람 있었던 점에 대해 강인욱 씨는 “실력 있는 또래들과 교류할 수 있어서 가장 좋았던 것 같다. 또 우리가 처음 만들고 시작한 팀이기에 수상을 하거나 활약하면 무언가 해냈다는 생각에 더 뿌듯하다”고 답했다.

그러나 어려운 점도 적지 않았다고. 김종민 씨는 “일반 멤버들은 보안관련 지식들을 핵심 멤버들이 직접 가르쳐주길 바라는데 코드레드가 공부는 스스로 하는 것이라는 철학을 갖고 있다보니 일반 멤버들이 적응하는데 힘들어했다. 그래서 지역으로 묶어 2달에 한번 프로젝트를 주고 운영진을 뽑아 이들을 관리하는 방식으로 개편했다”고 말했다. 이어 그는 “멤버들의 나이가 어리다보니 같이 팀을 운영할 수 있는 멤버가 많지 않다는 점도 힘든 부분”이라고 고충을 토로했다. 이렇듯 팀을 운영하면서 힘든 점도 있지만 팀이 불가피하게 해체되지 않는 한 계속 코드레드로 활동하고 싶다고 밝혔다.

최근 보안에 관심 있는 사람들이 한데 모여 정보를 교류하고 세미나, 대회 출전 등 다양한 경험을 쌓는 모임들이 계속 늘고 있다. 그 가운데서도 코드레드가 이러한 모임의 든든한 밑거름이자 중심축으로 활발한 활동을 해주길 바란다. 이번 데프콘 CTF에서의 다크호스 역할도 기대해본다.  
[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>