100여개 웹사이트서 보안 취약점 발견

“웹사이트 취약점 찾는 게 재미, 화이트해커로 불리길 원해”

[보안뉴스 온기홍=중국 베이징] 중국에서 가장 나이 어린 해커가 화제다. 며칠 전 중국에서 한 소년이 정부기관으로부터 ‘중국 최연소 해커’로 꼽혀 주목을 받고 있다. 그 주인공은 왕정양 군.

왕정양 군은 9월 24~25일까지 중국 정부 기관 주최로 베이징에서 열린 ‘2014 중국 인터넷 보안 대회’에서 ‘중국에서 나이가 어린 해커’라는 칭호를 얻었다. 2001년생으로 올해 13살인 왕 군은 베이징 중관촌에 있는 칭화대학부속중고등학교 2학년에 재학 중이다.

중국 언론매체 보도와 주변의 얘기를 종합하면, 왕 군이 컴퓨터와 인연을 맺은 계기는 여느 ‘컴퓨터 천재’들과 크게 다르지 않다.

“초등학교 2학년 때 온라인게임을 즐기다가 게임만 하는 게 재미없다고 느꼈어요. 그래서 시험 삼아 몇 가지 컴퓨터 프로그램들을 만들어 보기 시작했어요. 처음에는 흥미를 느끼는 대로 프로그램들을 아무렇게나 만들어 봤어요. 아버지는 제가 몰두하는 모습을 보고 당시 최고급 노트북 컴퓨터를 사주셨어요. 그 컴퓨터를 가지고 5년 동안 코드를 짰는데, 그러다가 결국 그 컴퓨터는 망가져 못 쓰게 됐어요.”

왕 군은 그 뒤 컴퓨터 프로그래밍 등 관련 기술을 혼자 스스로 공부하면서 터득해 나갔다고 밝혔다. “컴퓨터 프로그램 만드는 것을 누가 가르쳐 주진 않았어요. 저 혼자 책을 보면서 익혔어요. 맨 먼저 윈도우용 VB 언어를 공부했습니다. 코드가 모두 영문이어서 진척이 매우 느렸는데, 이해가 안 되면 번역기에서 검색해가면서 했어요. 지금 학교 영어 성적이 좋은 편인데, 그 덕분이라고 봐요.”

중국 언론매체들이 둘러본 왕 군의 방에는 컴퓨터와 프로그래밍과 관련한 서적들이 많이 놓여 있다. 미국 애플의 창시자인 스티브 잡스의 전기도 있다. 왕 군은 “이전에 어떤 한 프로그램을 짜면서 어려움을 겪은 적이 있었어요. 그 때 화가 많이 나서 일주일 동안이나 컴퓨터를 만지지 않았어요. 포기할까도 생각했어요. 그런데 시간이 지난 뒤 컴퓨터를 정리하다가 우연히 한 부분에서 프로그램을 잘못 짠 것을 발견했어요”라고 전하며 혼자서 힘들었던 때를 떠올렸다.

왕 군은 10살 때엔 웹사이트 만들기에도 나섰다. “아이스크림 사 먹을 돈을 아껴 모은 400여 위안 등을 합해 기존 웹 서버를 샀어요. 여기에 제가 직접 만든 프로그램을 올려놓고 혼자 놀았어요. 2년 여 동안 꾸준히 이렇게 하다가 지난해 11월(중 1)에는 웹사이트도 하나 만들게 됐어요.”

그는 “컴퓨터와 네트워크를 다룰 때는 내가 하고 싶은 대로 할 수 있고, 다른 사람들의 평가를 신경 쓸 필요도 없어 좋다”고 말했다. 그의 부모도 든든한 지원군이 돼주었다. “부모님이 컴퓨터 관련 기술을 잘 모르는데, 가끔 프로그래밍 작업 때 이것저것 물어 보시면 이해하시기 쉽게 설명드려요.”

“화이트해커로 불리길 원해요”

왕 군은 인터넷 사이트나 컴퓨터 시스템을 망가뜨리는 ‘크래커’ 즉 ‘블랙 해커’가 아니다. 이른바 ‘화이트 해커’다. 스스로도 화이트 해커로 불리기를 원한다. “웹사이트가 보안취약점을 보완해 완벽해지도록 돕는 게 저의 목적입니다. 저는 네트워크 보안취약점을 악의적으로 이용하지 않아요. 사람들이 저를 ‘화이트해커’로 불러주는 게 더 좋아요.”

그러면서 그는 블랙해커와 화이트해커의 차이에 대해 자신의 주장을 폈다. “해커의 악의적 공격과 달리, 화이트해커의 행위는 선의적입니다. 어떤 사람들은 하루 종일 웹사이트를 해킹하고 개인정보를 보게 되면 내려 받은 뒤 돈을 받고 파는데, 이는 매우 부도덕하고 옳지 않아요. 그러나 화이트해커는 취약점을 발견하면, 즉시 해당 웹사이트 쪽에 알려서 빨리 보완할 수 있게 해줘요. 저도 곧바로 상대방에게 웹사이트 취약점을 초래하는 문제가 어디에서 나타날 지를 알려줘요. 저는 기술을 불법적인 일을 하는 데 쓰지 않을 거예요. 이게 가장 중요한 거죠.” 그는 재차 자신이 ‘나쁜’ 해커들과는 전혀 다르다면서 분명하게 선을 긋는다.

100여개 웹사이트서 취약점 발견, “웹사이트 공격해야 취약점 찾을 수 있어”

실제 중1 때인 올해 4월 왕 군은 중국 내 100여개 교육 웹사이트에 영향을 끼칠 수 있는 시스템 보안 취약점을 찾아 중국 유명 정보보안 회사인 치후360에 제시했다. 왕 군은 치후360이 최근까지 접수한 취약점의 보고자 가운데 최연소다.

치후360 측은 언론에 “왕 군이 제시했던 취약점들은 비교적 초급 수준이었다”면서도 “하지만 왕 군의 네트워트 기술과 인터넷 보안 의식은 같은 또래 학생들보다 훨씬 뛰어나다”고 높게 평가했다.

왕 군은 웹사이트의 취약점에 관심을 갖고 찾아 나서는 이유 가운데 하나로 ‘재미’와 ‘호기심’을 들었다. “웹사이트가 해커의 공격을 받았다는 뉴스가 자주 나오는데, 저는 어떻게 공격했는지에 대해 호기심을 갖습니다. 그래서 보안 사이트들이 공개하는 취약점들을 찾아 보고 연구를 해요. 저는 웹사이트의 취약점을 찾는 게 매우 재미 있어요. 취약점을 발견했을 땐 정말 기뻐요. 일부 업체들은 시스템의 취약점을 찾아 준 사람에게 현금이나 가상화폐를 주기도 하는데, 이를 가지고 일부 상품으로 바꿀 수도 있어 좋고요.”

그러나 그가 취약점을 찾는다는 이유를 내세워 웹사이트를 공격하고 이는 옳지 않다는 지적도 일부에서 나오고 있다. 이에 대해 왕 군은 “취약점을 찾고 싶다면, 먼저 반드시 그 웹사이트를 공격해야 한다고 생각해요. 이렇게 해야만 상대방에게 취약점을 알려주고 보완할 점들을 얘기해 줄 수 있는 거죠”라고 해명했다.

왕 군은 얼마 전 ‘학교 답안 정보시스템’에 들어갔다가 논란이 일기도 했다. “일부에서 말하는 것처럼 숙제를 피할 목적으로 학교 답안 시스템에 들어간 게 아니었어요. 답안 시스템은 우리 학교 측이 고등학부에서 쓰도록 사 준 것이고 중학부는 그런 시스템을 쓰고 있지 않아요. 저는 학교 답안 시스템에서 보안 취약점들을 찾아내 보완했어요. 다만 제가 취약점을 공개하면서 ‘이번에 고등학생들은 숙제 할 필요가 없을 것 같다’라고 장난 삼아 말을 했는데, 결과적으로 이 말이 오해를 불러 일으켰던 거죠.”

‘2014 중국 인터넷 보안대회, 최연소 강연자’

야윈 편에 검은 뿔테안경을 쓰고 아직 앳되 보이는 왕 군은 이번 ‘2014 중국 인터넷 보안 대회’에서 강연자로 나서 사람들의 이목을 끌었다. 물론 그는 이 대회의 초청 강연자 가운데 나이가 가장 적었다. “이번 강연을 통해 저와 같은 나이에도 온라인 보안을 다룰 수 있다는 것을 많은 사람들이 알게 해 주고 싶었습니다. 현실에서 저 자신의 존재를 증명하고도 싶었고요.”

왕 군은 이번 인터넷 보안대회에 참가해 뛰어난 실력가들과 교류할 수 있게 된 점을 가장 큰 수확으로 꼽았다. “기술과 여러 방면에서 매우 귀중한 경험을 얻었는데, 앞으로 온라인 보안 분야가 매우 전망 있다는 걸 느끼게 됐어요. 남에게 통제 받는 것보다는 스스로 자신을 컨트롤 하는 걸 좋아한다”는 왕 군은 “열심히 노력해서 좋은 대학에 들어가 컴퓨터를 계속 배울 수 있기를 바란다”며 ‘화이트해커’로서의 포부를 밝혔다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>