체코에서 비슷하면서 다른 공방대회 운영...장단점 배워가
10세 때 이미 부모님 컴퓨터 뚫어...소설 책 읽으며 환상 갖기도

[보안뉴스 문가용 기자] 제주도에서 열리고 있는 ‘사이버 공격방어대회’를 위해 체코의 전문가 팀이 초대됐다. 이들은 ‘팀 체키아(Team Czechia)’라는 이름으로 이틀간의 일정을 소화했으며, “꽤나 재미있는 경험을 하고 간다”고 말했다.


한국에 온 건 총 6명이지만 규정 상 4명만이 실제 대회에 참여했는데, 이들은 개발자와 모의 침투 전문가들로 구성되어 있다. 또한 전부 체코의 국가 사이버정보 보안국(Czech Nation Cyber and Information Security Agency)에서 근무 중이다.

두 공방 대회 이야기
또한 이들은 이번에 국보연이 진행한 사이버 공격방어대회와 비슷한 행사를 체코에서 운영하고 있기도 하다. 게임 참여자로서만이 아니라 운영진으로서 행사를 관찰하는 것도 가능했다.

“저희가 체코에서 진행하는 행사는 ‘사이버 체크(Cyber Czech)’라고 합니다. 공방대회와는 다르게 방어에 집중하는 대회죠. 즉 블루 팀만을 위한 행사입니다. 레드 팀은 운영진 내부에서 꾸리고요. 또한 교육적인 목적을 가진 행사이기 때문에 우승 상금이 없습니다.”

행사의 진행 방식도 조금은 달랐다고 한다. “사이버 체크는 일반적인 서버 강화(server hardening) 및 애플리케이션 강화(application hardening)를 목적으로 합니다. 참가자들이 보다 많은 공격 시나리오에 대한 방어를 해내야 합니다. 이번 사이버 공격방어대회는 운영진으로부터 과제가 주어지고, 그걸 풀어가는 방식이더군요.”

운영진이자 참가자의 시선으로 봤을 때 이 두 가지 방식의 장단점은 정확히 반대였다. “사이버 공격방어대회는 특정 상황이나 공격 유형에 대해 충분히 배우고 연습할 수 있게 해줍니다. 하지만 보다 전반적인 측면에서의 방어 훈련의 기회까지 제공하기는 힘든 것이 아닐까 합니다. 사이버 체크의 경우 장단점이 정 반대가 되겠죠.”

그러면서 그들은 “사이버 체크에는 블론디(Blondies)라는 요소가 있다”고 덧붙였다. 현실 세계의 일반 사용자들과 같은 역할로, “사이버 체크 대회에 참여하는 블루 팀들은 블론디들에게도 상황을 인지시키고, 블론디가 알맞은 행위를 할 수 있도록 해야 한다”고 설명한다. 일반 사용자를 포함시키는 전반적인 ‘보안’을 훈련한다는 것이다.

체코에서의 보안
팀 체키아는 전원이 IT와 관련된 교육 과정을 거쳤다. 그것이 체코에서는 최근까지 가장 일반적인 보안 전문가 육성 과정이었다고 한다. “하지만 요 몇년 사이 사이버 보안 교육 과정이 보다 세부화되기 시작했습니다. 사이버 보안은 기술만이 아니라 정치와 법 등의 요소들도 가지고 있는 분야죠. 최근 체코의 보안 교육 과정도 이러한 부분들을 담아내기 시작했습니다.”

그러면서 정부, 군, 민간 기업 등 다양한 분야로의 진출도 가능해졌다. “게다가 각종 해킹 사고가 뉴스에 보도되기 시작했죠. 데이터가 유출되고, 클라우드에서 사고가 나고, 기업이 큰 손해를 입는 등의 사건이 뉴스에 실리기 시작하면서 보안 전문가라는 직업군의 인기가 올라가고 있습니다.”

팀원 중 한 명인 이안 알렉산더(가명)는 보통 보안 전문가와 충돌하기 일쑤인 프로그래머로서 IT 업계에 진출했다고 한다. 하지만 오래전부터 보안 문제에 관심을 가지고 있었다.

“9~10살 때 아버지가 집 컴퓨터에 윈도우 98을 설치하고 암호를 걸었어요. 제가 컴퓨터에 너무 많은 시간을 쏟지 않도록 접근 금지 조치를 취한 것이죠. 하지만 전 로그인 과정을 우회하는 법을 알아냈고, 오히려 그래서 더 많은 시간을 컴퓨터 앞에서 보낼 수 있었습니다. 그때부터 알게 모르게 보안에 대한 관심이 생긴 것 같습니다.”

유명 작가 댄 브라운(Dan Brown)의 소설 ‘디지털 포트레스(Digital Fortress)’의 영향력도 무시할 수 없다. “물론 소설이지만, 컴퓨터로 이런 멋진 일을 할 수 있다는 것에 매료됐습니다. 나도 이렇게 하고 싶다, 이런 기술들을 익히고 싶다는 생각을 갖게 됐죠. 물론 훗날 어느 정도 기술을 익힌 후 이런 류의 해킹이나 사이버 보안 관련 책들을 다시 읽었더니 불가능한 부분이 눈에 많이 띄긴 하더군요.”

개발자와 보안
최근 서드파티 코드 보안 문제가 전 세계적으로 불거지고 있다. 완전 백지에서부터 개발을 하는 행위는 사라지고, 여기 저기서 서드파티 코드들을 가져다가 새롭게 조합함으로서 애플리케이션들이 개발되는데, 그 서드파티 자체에서 보안 구멍이 발견되면서 수많은 플랫폼과 애플리케이션들이 덩달아 위험에 처하게 되는것이다.

하지만 개발자와 보안 담당자는 그리 사이가 좋지 않다. 개발자에게는 보안 담당자가 귀찮은 존재고, 보안 담당자에게 개발자는 말 안 듣는 사고뭉치이기 때문이다. 개발자로서 보안에 오랜 관심을 가지고 성장했고, 실제로 보안 전문가로 활동 중인 알렉산더는 “개인적인 의견이지만, 개발자들도 보안을 받아들이는 때가 올 것”이라고 예측한다.

“데브옵스라는 개발 프로세스가 점점 대세가 되고, 자동화 기술이 발전하면서 사이버 보안 요소가 개발 과정에 자연스럽게 녹아들 것이라고 봅니다. 물론 제 개인적인 의견이지 팀 전체가 그렇게 생각하는 건 아닙니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>