[블랙햇·데프콘 2014 참관기] 뜨겁고 차가웠던 8월의 라스베가스 

[보안뉴스 류동주]· 블랙햇이 시작된지 어느덧 17년이 다 되어갑니다. 제프 모스가 1992년 데프콘을 열고 나서 5년 후부터 블랙햇이 시작됐고 지금까지 정말 오랜 기간 동안 사랑받는 세계 최대의 해커들의 모임이 되었습니다.

이러한 배경에는 다양한 지원자들의 열정과 노력이 있었겠죠. 그들의 면면을 다 열거할 수는 없지만 제프 모스에게 창시자라는 수식어는 계속 따라 다닐 겁니다.

매년 라스베가스에서 열리는 블랙햇이 올해는 시저스팰리스 호텔이 아닌 만델라베이 호텔에서 열렸습니다. 항상 규모면에서 보면 전자박람회 못지 않은 많은 인파들로 북새통을 이루지요. 올해 역시 남대문시장 전성기 때를 방불케 하는 인파들로 꽉 들어찼습니다. 오죽했으면 8월 초에는 라스베가스로 여행을 하지 말라는 말이 나돌 정도로 수많은 인파가 시내 전역을 휩쓸다시피 하죠. 블랙햇의 참가자들과 그의 지인들 그리고 관련 회사 직원들이 상당부분을 차지합니다. 못해도 1만명 이상이 시내를 걸어다니니 라스베가스의 메인 스트리트가 인파로 넘쳐납니다.

블랙햇 2014 컨퍼런스는 크게 비즈니스 세션과 기술 세션으로 나뉘었는데요. 그중 기술 세션은 다양한 주제와 관련 기술들에 대해 수많은 발표가 있었습니다. 보안 벤더가 약 33개의 세션을, 일반이 약 57개 세션이 열렸죠. 그리고 본인들의 경험을 공유하는 자연스러운 토론식 데모인 아스널이 54개가 있었습니다. 총 150여개의 세션이 열렸다고 보면 될 듯합니다.

너무 많은 세션을 동시에 열기 때문에 관심 있는 분야가 있다고 해도 사람이 분신술을 사용하지 않는 이상 동시에 다 들을 순 없죠. 그래서 세션 선택을 잘해야 합니다. 때론 정말 제목과는 상이한 내용이 있기도 하며 개론 수준의 세션도 있습니다. 정말 점쟁이 못지않은 선택을 해야 합니다. 인기 있는 세션의 경우에는 빨리 가서 줄을 서지 않으면 입장이 불가능한데 각 세션장은 보안요원들이 출입통제를 하고 인원의 제안을 두기 때문이죠.

여기에서 중요한 것은 영어 듣기 능력입니다. 대화에 참여하고자 하시는 분들은 말하기가 되야만 하고요. 관심 있는 내용을 듣고자 한다면 듣기가 정말 중요하죠. 아무런 준비 없이 참관했다가는 그냥 둘러보기나 블랙햇에 다녀왔다는 경험치만 쌓기에 딱 좋습니다. 참석비용이 2000달러에 달하고 트레이닝까지 합치면 2500달러를 육박하니깐 결코 싼 비용이 아닙니다.

그중 가장 흥미진진했던 것은 라운드테이블이라는 토론식 포럼이었습니다. 국내에서는 보기 힘든 토론식 세션이죠. 특별한 주제를 가지고 다양한 국가의 전문가들이 초청전문가와 1:1 대화를 하거나 공동 주제를 가지고 정말 그리스 포럼처럼 사각형 테이블에 앉아 서로 대화를 하며 문제점들에 대해서 논의합니다. 정말 재미있었죠.

저는 모바일과 메디컬 디바이스 주제에 참가를 했었는데요. 제가 들었던 세션의 평을 제 개인적으로 내린다면 ‘중’ 정도의 수준이었습니다. 정말 말만 거창했지 ‘아! 그렇구나!’하고 머리를 시원하게 날릴만한 쇼가 없었습니다. 좀 많이 아쉽긴 했습니다.

그렇지만 관련 종사자들의 고충과 정부와의 정책문제로 인한 갈등 등 우리 국내 실정과 유사하지만 접근방법이 상이한 측면을 보게 된 것은 매우 흥미로운 경험이었습니다.

예를 든다면 정책이 뒷받침이 되지 못할 때 어떻게 하느냐? 라고 질문하면 그것은 우리가 고민할 것이 아니고 법을 만들거나 정책을 입안하는 사람들이 해야 할 문제이고, 이를 뒷받침하기 위한 기술을 우리가 제공해야 하는 의무가 있기 때문에 우리 기술만으로 최대한의 이론적 근거를 마련해 줘야 한다는 등의 제안은 정말 낯설게 느껴지는 대목이기도 했죠.

우리는 지금 그렇게 되고 있는지 스스로 자문할 수밖에 없는 현실이 씁쓸했습니다. 기술이 이론에 맞추어져서 정책을 만들고, 정책이 미완이라도 무조건 그 정책을 따라야 하며, 정책을 변경하려면 다시 이론을 만들어서 반복적으로 작업하거나 환경을 조성해야 하는 이 상황이 답답하다고나 할까요? 그렇다고 규제나 정책이 완전히 잘못된 것은 아닙니다. 그만큼 기술적 진보가 너무 빨라 정책이 못 쫓아 오는 경우가 많기 때문이죠.

비즈니스하는 관점에서 또 하나 볼거리는 벤더들의 데모룸인 비즈니스홀이었습니다. 전 세계 대형 보안회사들이 집합한 행사라 새로운 기술이 접목된 관련 UI와 보안 신기술들을 접할 수 있는 더 없이 좋은 기회였습니다. 부가적으로 다양한 선물도 많이 줍니다. 특히 많은 기업에서 제공하는 티셔츠와 함께 독창적인 회사 홍보 문구를 다룬 다양한 형태의 기념품들 역시 블랙햇을 맛보는 재미이기도 합니다. 회사 소속으로 트렌드를 보고자 하는 분들에게는 추천할만한 공간입니다.

금년에는 150여개의 벤더들이 참여했고 공식적으로 사상 최대 인파인 9,000명이 참관했습니다. 비공식 인원까지 하면 거의 10,000여명이 관람을 한 것이지요.

전체적인 내용을 살펴보면, 블랙햇과 데프콘은 대회 운영방식 역시 국내와 매우 다릅니다. 이 두 개의 대회는 정책적 문제에 대한 패널 토의와 기술적 발견에 따른 발표, 취약점 발표와 시연, 핵심 주제에 대한 집중적 토론, 기술적 공정성을 심사하기 위한 사전 심의 과정, CTF 경기 후 공정한 심사 결과를 위한 검증 및 기술지원 운영 등 진정으로 기술자들이 만나서 고민하고 토론하고 공유하는 장입니다.

블랙햇에서 보면, 사실 해커들의 공격에 의한 보안 벤더들의 방어는 불가분의 관계로 표현됩니다. 누가 흑이냐 백이냐의 문제가 아니라 공존하는 것이죠. 해킹으로 범죄를 저지르면 블랙해커가 되고 정부기관 혹은 기업의 제품에 그 능력을 발휘하게 되면 화이트해커가 되는 것은 자명한 일입니다.

하지만 블랙햇은 블랙을 가장한 화이트의 성향이 매우 강합니다. 보안 신기술과 취약점에 대해 논의하고 그 결과를 공유함으로써 범죄자로 빠지는 성향을 밝은 쪽으로 공유하도록 하며 정책방향에 대해 언제든지 비판의 소리를 할 수 있다는 점은 반드시 배워야 할 점이라고 봅니다.

블랙햇과 데프콘을 굳이 비교하자면 블랙햇은 상업적 성향이 매우 강하게 풍기고 변화하고 있는 반면, 데프콘은 정부 및 기업주도형이 아닌 철저하게 어둠의 세계를 위한 행사 같습니다. 데프콘은 자체적으로 행사 및 운영 비용을 충당하고 행사장 곳곳에 설치 운영되는 판매행사를 통해 그 행사비 일부를 유용한 곳에 활용하고 있습니다. 이 2개 대회는 스폰서가 기업이냐 자체적으로 충당하느냐의 큰 차이가 있어 보입니다. 그리고 오픈 CTF장을 운영하여 일반인들 누구든지 해킹 경험을 할 수 있도록 한 것도 이채로웠습니다.

특히나 데프콘은 열쇠시건장치를 푸는 도구를 팔지 않나, 와이파이를 분석해서 사용하게 하는 등 정책에 반대(?)되는 불법적 행위가 자연스럽게 이어지고 운영진들은 늘 술에 쩔어 있습니다. 그게 전통이랍니다.

첫째, 정부주도형 대회가 형식에 너무 치우친다는 점과 유사한 종류의 대회가 많이 개최된 점을 지적하고 싶습니다.  사실 국내에도 블랙햇과 유사한 컨퍼런스가 개최됩니다만 형식에 치우친 나머지 개최 환경이 자유롭지 못하다는 점입니다. 정부는 정말 지원에만 초점을 맞춰 생색내기나 실적 쌓기에 의미를 두지 말고, 민간이 이를 잘 주도해 주도면밀하게 운영할 수 있는 체계가 갖춰졌으면 합니다.

둘째, 운영진에서 전문가의 선택과 자질, 전문성을 바라보는 시각적 차이가 존재합니다. 블랙햇과 데프콘의 운영진과 비교해 보면, 국내는 전문가 패널에 대한 자질과 검증이 주최측 주도로 이루어지다보니 그 전문가 풀에 대한 한계가 있음에 아쉬움이 남습니다.

셋째, 누구나가 공감하고 참여하는 토론식 문화가 원활하지 못합니다. 누구나 공감할 수 있는 문제점을 지적하고 패널과 방청객들이 하나가 되는 토론식 문화가 형성되어 있지 않다는 점입니다. 일방적 강론, 강의 중심에서 탈피하여 방청객의 일부나 혹은 자유참여를 통한 운영 혹은 사전 조율을 통한 검증된 전문가들의 자유스러운 토론문화 정착이 매우 필요할 듯 보입니다.

넷째, 다양한 환경의 해커들이 참여할 수 없는 환경적 차이가 있습니다. 블랙햇과 데프콘은 다양한 부류의 해커 및 전문가들이 새로운 주제를 발표하고 취약점을 공유하면서 자신들이 화이트해커로 활동할 수 있는 계기를 마련해주는 환경이라는 점에 장점이 있다고 봅니다.

결론적으로 이번 블랙햇과 데프콘 행사를 참관한 후, 국내 유사 대회에 대한 반성과 함께 그들의 주도면밀한 운영방식, 그리고 정부기관들은 전폭적으로 후원하되, 최소한만 관여하는 그야말로 민간주도형의 자유스러운 운영방식에 큰 감명을 받았습니다. 

블랙햇과 데프콘은 우리가 지향하는 ICT 미래기술 중 해킹·보안 분야에 대한 갈망과 융합을 위한 소통의 장이라는 점에서 큰 성공을 거두고 있으므로, 이를 잘 분석 검토해서 국내 대회나 운영방식이 세계 최고 수준으로 한층 더 성장하길 바라는 마음입니다.

[글_류동주 보안뉴스 객원기자(ryu@kinfosec.co.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>