학교·공공기관 관리·컨설팅까지 어엿한 사업체

최근 발표되는 각종 조사결과를 살펴보면 정보보호 산업에서 가장 문제가 되는 것은 ‘할 일은 많은데 일꾼이 없다’는 것이다. 각 대학의 정보보호 동아리에서는 교과과정을 통해 배우는 정보보호 이론 뿐 아니라 기업이나 공공기관 등에서 직접 체험하면서 정보보호 전문가의 길을 닦고 있다. <월간 정보보호21c>는 활발한 활동을 펼치고 있는 정보보호 동아리를 찾아 미래 전문가들의 이야기를 들어본다.

2003년 ‘와우해커’ 회원 13명이 개인정보 유출 혐의로 입건됐을 때, 사람들은 해킹 동아리를 영화 <메트릭스>의 ‘네오’와 같은 이들이 있는 모임으로 생각했다. 낮에는 건실한 프로그래머지만 밤에는 유명한 해커가 되는 사람들이 활동하는 곳을 해킹동아리로 여긴 것이다. 와우해커를 비롯한 해킹동아리 회원들이 입을 모아 ‘화이트 해킹’과 ‘블랙 해킹’의 차이를 설명하면서 사회의 부정적인 인식을 해소하고자 했으나 언론에 의해 대대적으로 보도된 이 사건으로 인해 사람들은 해킹동아리에 대한 선입견을 떨치지 못했다.

해킹동아리에 대한 인식 전환을 위해 동아리들은 ‘정보보호 동아리’로 이름을 바꾸어 활동하고 있으며 정부에서도 한국정보보호진흥원(KISA) 등을 통해 이들을 지원하기 위한 여러 정책을 펼치고 있다. 하지만 사람들의 뇌리 속에 한번 각인된 인식이 바뀌는 것은 쉽지 않다.

정보보호 동아리에 들어오는 대학 신입생 중에도 이런 생각을 가진 이가 적지 않아 컴퓨터 관련 동아리에 가입하면 모두들 해커가 된다고 생각하는 이들이 종종 나타나곤 한다. 꿈이 ‘야무진’ 신입생 중에는 세계를 뒤흔들 사건을 만들어 전설의 해커가 되겠다는 포부를 자랑스럽게 밝히는 학생도 있다. 해킹으로 명성을 얻겠다는 것이다.

“신입회원 중에는 정보보호 동아리에 대한 잘못된 생각을 갖고 들어오는 경우도 있어요. 처음 동아리에 들어왔을 때 자신들의 ‘과도한 창의력’ 때문에 적응을 잘 못하고 방황하지요. 하지만 체계적인 동아리 활동을 하다보면 정보보호 전문가에 대한 인식을 새롭게 하고 보안 전문가로 새롭게 거듭날 수 있죠.”

정홍순 시큐리티 퍼스트 회장(정보보호학과 3학년)의 말이다. 상당수준의 지식을 갖고 있는 학생 중 일부가 정보보호 동아리에 대한 편견을 갖고 동아리에 들었다가 ‘조직’에 적응하기까지 다소 어려운 시간을 보내는 경우가 있다는 말이다.

그러나 시큐리티 퍼스트에서 활동을 하다보면, 정보보호의 중요성에 대해 알게 되고 악의적인 공격자들에게 100% 승률로 대항할 수 있는 방어자가 되기 위해 밤낮으로 매달리게 된다. 이를 위해 시큐리티 퍼스트에서는 조직에 합당하지 않은 생각을 무조건 잘라내지 않는다. 신입회원의 지극히 ‘야생마’적인 습성은 해커를 이해하기 위해 꼭 필요한 요건이기 때문이다. 조직에 적응하는 능력은 “같이 밤새며 프로젝트를 하면서 저절로 익힐 수 있다”고 시큐리티 퍼스트 회원들은 자신 있게 말한다.

민간기업 연계 프로젝트 등 다방면 활동

시큐리티 퍼스트는 단순한 동아리가 아니다. 순천향대학교 시스템의 취약성을 분석하고 정보보안 컨설팅을 하는 어엿한 사업체다. 정보보호학과 개설과 함께 동아리가 만들어지고 이와 동시에 창업을 했다. 학교 시스템 관리 뿐 아니라 아산시청·교육청 등 공공기관의 네트워크보안 관리와 교육도 한다. 대학원생이 수행하는 다양한 프로젝트를 공동으로 수행하기도 하고 민간기업과 연계한 프로젝트도 진행한다.

학과 내 동아리가 창업까지 했다면 모든 학교에 있는 흔한 동아리는 아닐 것이다. 분명히 비범한 무언가가 있을 것이다. 시큐리티 퍼스트는 2002년 설립되자마자 KISA 대학동아리 정보보호활동 지원사업 대상으로 선정됐다. 이후 각종 연구사업, 해킹대회, 세미나, 컨퍼런스를 진행하고 해킹시연을 했다. 수상내역도 일일이 거론하기 힘들다. 작년 한해만 해도 해킹방어대회 특별상, 웹SW 취약점찾기대회 동상, 와우코리아 해킹챌린지 2006 특별상, KISA 대학 정보보호 동아리 지원사업 최우수상 수상 등의 기록을 갖고 있다.

이외에도 시큐리티 퍼스트는 대학 보안동아리 연합인 ‘파도콘’에서 활동하면서 해마다 열리는 컨퍼런스에서 허니넷(악성 봇 분석), 중국해킹기법 시연, 대학 침해사고대응팀(CERT : Computer Emergency Response Team) 지침마련, 악성코드 전파방법 분석, RFID(Radio Frequency Identification) 해킹시연, 중국발 해킹시연 등을 맡았다.

학교 내에서는 도서관과 가상대학, 대학본부, 대학원 서버를 매월 점검하고 해킹사고가 발생했을 때 분석과 복구 후 문서작업을 맡고 있다. 학교 내에서 운영되는 홈페이지와 각종 서비스를 모의해킹해 침해사고를 방지하고 취약점을 발견했을 때 학교에 분석보고서를 제출해 해결키도 했다. 기숙사 컴퓨터를 관리하는 것도 시큐리티 퍼스트의 몫이다. 매주 세미나를 통한 학술교류와 주제에 따른 그룹별 학습, 신입생을 대상으로 한 C언어, 리눅스 스터디 등 동아리 회원과 학교 학생들을 상대로 한 연구·교육활동도 꾸준히 하고 있다.

올해 시큐리티 퍼스트의 목표는 학교 내에 CERT망을 구축하는 것이다. 현재까지 진행된 수준으로도 거의 완료단계에 있는 것이나 다름없지만 보다 견고한 시스템 구축을 위해 허니넷 등을 통해 철저하게 점검하고 취약성을 보완하고 있다.

“후배의 앞날을 열어주는 선배 될 터”

시큐리티 퍼스트의 회원은 50여 명에 이른다. 정보보호학과 전체 학생 180명의 4분의 1이 넘는다. 매년 입학하는 신입생의 절반 이상이 시큐리티 퍼스트에 지원할 만큼 학과 내에서 인기가 대단하다. 최근 많은 대학들이 학부제로 바꾸면서 신입생들이 학교생활에 적응을 못하고 겉돌면서 우울증 증세를 호소하고 있다고 하지만 시큐리티 퍼스트에서 이는 ‘남의 일’이다.

같은 학과 학생들이 모인 모임이어서 결속력이 남다를 뿐 아니라 학과에서 배운 것을 자유롭게 실습할 수 있고, 대학원 선배들로부터 도움을 받기도 수월해 동아리 활동에 더욱 빠져들게 된다.

“가입은 자유지만 탈퇴는 자유롭지 못해요. 시큐리티 퍼스트에는 한번 빠져들면 헤어 나오기 힘든 매력이 있거든요.” 부회장인 김해리(3학년) 양은 웃으면서 말했다. 그는 “학과수업이 없을 때는 언제나 동아리방으로 간다. 동아리방에서 무언가 하다 보면 새벽 2시를 넘기기 일쑤”라고 덧붙였다. 참새가 방앗간을 못 지나가는 것이 아니라 방앗간에서 살고 있는 셈이다.

많은 학생들이 일상을 함께하다 보면 의견충돌이나 갈등이 일어나게 마련이다. 대부분의 동아리에서 갖고 있는 고민 중 하나가 회원간 갈등이 심해져 마음의 상처를 입고 탈퇴하는 회원이 생긴다는 것이다. 일상생활의 대부분을 회원들과 함께 하는 시큐리티 퍼스트 역시 마찬가지다. 때로 의견충돌도 있고 갈등도 발생하지만 결코 오래 가지 않는다. 회원들은 “싸울 일은 밥 먹을 때 뿐”이라고 ‘농담 반 진담 반’의 이야기를 하며 “간혹 실수가 발생해도 웃으며 넘어간다”고 말한다.

이처럼 회원들의 관계가 돈독한 시큐리티 퍼스트라 해도 회원관리에 관심을 갖지 않을 수 없다. 시큐리티 퍼스트가 가장 중점을 두고 추진하는 일로 ‘훌륭한 후배양성’을 꼽는 것은 실력을 쌓지 않고는 동아리가 유지될 수 없다는 분명한 사실 때문이다.

화려한 경력에 어울리는 실력을 가진 선배들이 동아리 발전의 토대를 닦았다면 이를 이을 뛰어난 실력을 가진 후배가 반드시 있어야 하기 때문이다. 시큐리티 퍼스트는 모의해킹과 허니넷, 시스템 해킹, 웹, RFID 등 다섯 개의 소모임을 구성해 각 팀별 스터디와 세미나를 실시하면서 선배들의 명성을 이어갈 수 있도록 노력하고 있다.

또 하나 시큐리티 퍼스트의 중요한 활동은 실제 현장에서 쓰일 수 있는 실력을 쌓는 것이다. 기업이 토로하는 불만 중 하나가 “학교에서는 이론 위주의 수업 때문에 현장으로 나온 학생들은 처음부터 다시 가르쳐야 한다”는 것이다.

직원 교육과 연수에 비용이 많이 소요되며, 교육이 끝나고 실제로 업무를 시작하면 경쟁업체로 가버린다는 것도 기업이 직면한 문제 중 하나다. 시큐리티 퍼스트는 학교 시스템 등을 모의해킹 하고 취약점을 분석하며, 공격방식을 연구해 실제 현장에서 어떤 기법이 사용되고 있는지 알아낸다.

또한 기업과 연계된 프로젝트를 통해 회원들이 언제라도 현장에 투입될 수 있도록 ‘내공’을 쌓고 있다. 이러한 활동을 거친 결과 시큐리티 퍼스트를 거쳐 간 선배들은 정보보호 관련 기관과 업체로 진출해 정보보호 산업의 일꾼으로 활동하고 있다.

우리나라에서 몇 손가락 안에 드는 우수한 정보보호 동아리이지만 회원들은 아직도 부족한 점이 많다고 느낀다. 정보보호 전공에 정보보호 동아리 활동을 하고 있지만 의외로 관련 분야에 대한 정보는 많지 않다. 특히 학생들이 가장 관심을 갖고 있는 진로문제에 대해 누구도 확실한 답을 주지 않아 답답하다고 한다.

“학생이라는 한계 때문에 외부의 정보를 많이 얻고 있지 못합니다. 4학년 과정에 진로에 관한 과목이 개설돼 있기는 하지만 정보보호 전문가는 아직도 추상적이고 이상적으로만 느껴집니다.” 3학년의 이민섭 군은 이렇게 말하며 “동아리가 개설된 후 배출한 졸업생이 10여명에 불과해 실제 현장에서 보안전문가가 어떤 일을 하는지 구체적으로 다가오지 않는다”고 밝혔다.

김해리 양도 “4학년 선배들은 취업이야기만 나오면 불안해한다. 취업을 한 선배들도 학교에서 배운 것과 현장에서 느끼는 것이 완전히 달라 힘들어한다. 동아리 활동은 재미있지만 본업이 됐을 때도 재미있을지 모르겠다”고 털어놓는다.

시큐리티 퍼스트 회원들은 “미래의 계획이 있다면, 우리처럼 정보가 없어서 방황하는 후배들을 위해 앞날을 열어주는 선배가 되는 것”이라고 당당하게 밝힌다. “비싼 돈 들여 학원에 다니지 않아도 학교와 동아리 활동만 하면 정보보호 전문가 자격증을 취득하고 전문직업을 가질 수 있도록 후배들을 지원해주겠다.” 시큐리티 회원들의 다짐이다.

[월간 정보보호21c 통권 제81호 김선애 기자(info@boannews.com)]

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>