“보안도 해킹도 100%는 없어... 연구하는 과정이 기쁨”

매년 미국 라스베거스에서 열리는 데프콘(Defcon)은 해킹과 보안을 공부하는 사람이라면 꿈의 축제라고 할 수 있다. 특히 그 축제중에서 메인 이벤트를 차지하고 있는 것이 바로 ‘CTF’라고 할 수 있다.

‘CTF’는 전세계 수많은 해킹 그룹이 치열한 예선전을 거쳐 본선에 올라온 8개 팀이 다시 우위를 가리는 그해 최고의 해킹팀을 가리는 자리라고 할 수 있다. 바로 그 대회에서 1위를 차지한 팀의 리더라면 일단 수준은 언급하지 않아도 알만하다.

이번에 POC2007 발표로 한국을 방문한 2007년 데프콘 ‘CTF’ 우승팀 리더 ‘@tlas’는 “CTF 우승은 큰 의미가 없다. 더 중요한 것은 CTF에 참가했다는 것이 중요하다. 그리고 그 대회에 함께 참가했던 한국팀의 초청으로 이번 POC2007에서 발표를 할 수 있게돼 기쁘다”고 밝혔다. 인터뷰 자리에는 그의 와이프 ‘줄리’도 함께 동행했다.

Interview _  @tlas

한국 방문이 처음이라고 들었다. 느낌이 어떤가?

처음 방문했다. 한국은 도시와 시골, 두 문화가 절묘하게 공존하는 것 같아 인상깊다. 어제는 인사동과 삼청동, 국립중앙박물관 등을 돌아봤다.

데프콘 CTF에서 2회 연속 우승을 차지했다. 당시 우승소감은 무엇이라고 말했나?

특별한 말은 없었다. 다만 우승은 주위의 훌륭한 친구들 때문에 가능한 것이었다고 말했다. 

계속 우승을 독식하면 경쟁자들이 싫어하지 않을까?

그렇게 생각하지 않는다. 왜냐하면 CTF에 참가한 것 만으로도 해커로서는 영광이다. 참가팀마다 악수하고 만나고 친분을 쌓았기 때문에 우승 때문에 싫어하거나 그런 일은 없을 것이다. CTF에 참가한 자체가 모두가 승리자이기 때문에 서로 그런 생각은 하지 않는다. 하지만 내년에도 우승하기 위해 노력할 것이다. 그리고 한국팀은 뛰어난 실력을 가지고 있다. 만약 시차적응이라는 변수가 없었더라면 우리팀의 우승도 장담할 수 없었던 상황이었다.

이번에 POC2007에서 발표하게 된 소감이 있다면?

긴장된다. 이렇게 동양권에서 연설을 하고 이것이 다른 언어로 통역되는 경우는 처음이다. 미국내 데프콘이나 여러 컨퍼런스에서 발표하고 교육도 많이 해봤지만 이런 경우는 처음이라 흥미롭게 생각한다. 한국 친구들이 어떤 반응을 보일지 궁금하다. 청중들의 반응을 보면서 발표를 진행해 나갈 것이다. 

미국은 해커들의 커뮤니케이션이 잘되고 있나?

우선 정보교류를 위한 의사소통 인맥들은 많은 편이다. 하지만 어떤 그룹간 정보공유나 교류는 그리 활발하지 않은 편이다. 그 이유는 지극히 미국적이다. 바로 해커가 연구한 결과물은 바로 돈과 직결된다. 해커들은 자신이 연구한 결과물을 보안업체나 기관에 적당한 대가를 받고 공개한다. 이러한 문화가 일반화됐기 때문에 자신이 연구한 것을 공유하는 것은 드물다고 볼 수 있다. 해커들도 자신의 결과물에 대한 대가를 받아야 한다고 생각하고 있다.

@tlas도 대가를 받고 해킹 정보를 제공한 경우가 있나?

나는 정보를 그냥 제공하는 편이다. 왜냐하면 정규적인 일을 통해 급여가 나오고 있기 때문에 구태여 돈을 바라고 연구를 하진 않는다. 그리고 가르치는 것을 좋아한다.

하루에 컴퓨터와 보내는 시간은?

하루에 대략 12시간에서 13시간 정도를 컴퓨터와 함께 보낸다. 업무 특성상 집에서 재택근무를 하고 있다. 가족과 함께 보낼 수 있는 시간이 많아 집에서 근무하는 것에 만족한다. 가끔 아내가 컴퓨터를 너무 오래하면 꺼버리는 경우도 있지만. 그리고 아내가 밤늦게까지 작업하는 것을 좋아하지 않기 때문에 보통 5시반 정도에 기상해서 작업을 시작한다. 일반적인 해커들이 주로 늦은 밤시간을 이용하는 것에 반해 오전 일찍부터 작업을 하는 습관을 들여왔다. 다른 해커 친구들에게도 오전시간을 이용하라고 권하고 싶다. 건강에도 좋다고 생각한다.

보통 하루 일과는 어떻게 되나?

매일 매일이 다르다. 기상하면서부터 컴퓨터와 씨름한다. 아이 둘이 있고 한명을 입양했다. 그리고 3명을 더 입양할 예정이다. 그래서 아이들이 놀아달라고 하면 컴퓨터 앞에 안고 놀아주면서 일을 하곤 한다. 그리고 긴장하지 않고 일하려고 한다. 여유로운 기분으로 연구를 즐기려고 한다. 그래야만 능률도 높다.

해커와 크래커의 구분에 대해 어떻게 생각하나?

미국에서도 둘의 구분이 명확하지 않다. 큰 의미가 없다고 생각한다. 중요한 것은 해커가 기술을 가지고 그것을 좋은 곳에 사용하느냐 그렇지 못하냐에 달렸다. 그래서 나도 크래커와 해커를 딱히 구분하지는 않고 있다.

해킹 연구를 하는데 어려움은 없나, 미국에서?

타인 혹은 기업에 대한 공격 액션 정도에 따라 다르겠지만 크게 구애받지 않고 있다. 또 영화에서 보면 국가정보기관에서 해커들의 리스트를 가지고 있는 것처럼 묘사되는데 실제로 그렇지 않다. 나쁜 짓을 하지 않고도 얼마든지 연구할 수 있다. 그것은 해커 자신의 마음가짐에 달렸다고 생각한다. 

영화이야기가 나와서 하는 말이다. ‘다이하드4’를 봤나?

한국으로 오는 비행기 안에서 봤다. 나름대로 재미있게 봤다. 또 실제로도 가능한 상황이라고 생각한다. 하지만 영화상에서 나온 기술은 조잡하고 후진 기술들이다. 지금은 그것보다 훨씬 앞선 기술들이 많이 나와 있다. 영화를 좀 제대로 만들었으면 좋겠다. 

그런 영화들 때문에 해커의 이미지가 좋지 않아진다고 생각진 않나?

그렇게 생각하지 않는다. 영화에서도 나왔다시피 한쪽이 공격을 하는 반면 다른 한쪽 친구들은 이를 막기 위해 노력하는 장면들이 나온다. 결국은 그들을 막아내는 것을 볼 수 있다. 그런 면에서 해킹은 공격과 방어가 공존해야 한다고 생각한다. 공격자들을 어떻게 막을 것인가를 연구하는 것도 해커들의 몫이다. 

해킹을 연구하면서 기억에 남는 일이 있다면?

지난 13회 데프콘 CTF 예선전을 치루고 있을 때 일이다. 그때 아이들이 한밤중에 너무 울어서 도저히 예선전을 치룰 수 없는 상황이어서 포기를 했다. 그전까지 계속 보안업계에 몸담아왔고 그 와중에서도 해킹에 대한 관심이 있었다. 그래서 참가했는데 예선전도 제대로 치루지 못해 안타까웠는데, 주위 친구들이 다시 한번 해보자고 격려와 믿음을 보내줘 CTF에서 우승까지 할 수 있었다고 생각한다.   

아내가 남편이 해커인 것에 대해 걱정하지 않나?

처음에는 컴퓨터 네트워크 엔지니어였다. 그래서 자연스럽게 해킹에 관심을 가지게 됐다. 결혼후에 더욱 열심히 연구한 것 같다. 아내는 나를 믿고 나의 기술로 나쁜 짓을 하지 않는다는 믿음이 있기 때문에 크게 걱정하진 않는다. 그리고 해커라고해서 배고픈 것은 옛말이다. 해킹으로 얼마든지 돈을 벌 수 있는 방법이 있다. 물론 합법적인 방법이어야 할 것이다. 자신의 기술을 최고로 연마한다면 경제적인 문제는 자연스럽게 해결될 것이라고 생각한다. 물론 나쁜 짓은 절대 금물이다. 

아내와 컴퓨터, 둘중 하나만 택한다면?

당연히 아내를 택한다. 가족 이상 중요한 것은 없다. 이것은 중요한 의미를 포함한다. 해커는 윤리적인 기반이 없으면 나쁜 길로 빠질 수 있다. 그것을 절제하고 통제할 수 있는 것이 바로 가족이라는 울타리다. 이를 소홀히 하고 해킹 연구를 해서 뭐하겠는가.

해킹에 대한 철학이 있나?

해킹은 호기심이다. 그것이 가장 중요한 요소이다. 내 능력을 항상 테스트해보려고 노력하는 과정에서 오는 즐거움은 이루 말 할 수 없다. 내가 무엇을 할 수 있을까. 나는 항상 현재보다 더 잘 할 수 있다고 가정과 기대를 걸고 일을 한다. 그리고 기업에서는 앞으로 해킹의 중요성을 더욱 느낄 것이다. 기업에서 자신의 기업에 취약한 점이 무엇인지 해커들보다 먼저 알아내는 것은 중요한 일이다. 이는 앞으로 비즈니스에 치명적인 영향을 미칠 수 있기 때문에 해커들의 비전도 그만큼 크다고 할 수 있다. 다시말해 비전이 있다는 말이다.

해킹을 통해 나쁜 짓을 하는 친구들이 있다. 한마디 해달라.

우선 ‘인생 똑바로 살아라’라고 말해주고 싶다. 조급하게 생각하지 말고 연구에 연구를 거듭하다보면 반드시 그에 따른 보상은 따라올 것이다. 또 내가 타인에게 나쁜 짓을 해서 이익을 얻었다면 누군가 나보다 실력이 좋은 해커가 나에게 피해를 입힐 수 있다는 점을 명심해야 한다. 즉 나도 당할 수 있다는 것을 알아야 한다. 순수한 연구에 몰두하다보면 자연히 보상도 따른다는 것을 말해주고 싶다. 

해커가 되고 싶은 사람들에게 한마디.

컴퓨터에 마법은 없다. 마법사만 있을 뿐이다. 노하우나 지식보다 알고자 하는 열망이 더 중요하다. 해법도 없고 비법도 없다. 그것을 찾기 위한 노력만 있을 뿐이다. 해킹이 100% 완벽한 것이 없는 것처럼, 그리고 보안에 100%가 없는 것처럼 완벽한 마법이란 존재하지 않는다. 꿈을 가지고 열정과 노력이 가장 중요하다고 생각한다. 

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>