영국의 한 연구원, 지인들과 재미로 퍼즐과 수수께끼 공유하다가
문제 해결 능력 배양되고 있다는 뜻밖의 성과 이뤄내...블랙햇서 퍼즐들 공유

[보안뉴스 문가용 기자] 보안 전문가들이 매일처럼 하는 일은 ‘문제 해결’이다. 기술적인 방법을 쓰기도 하고, 전략을 변경하기도 하며, 법과 규칙을 활용하기도 한다. 그렇기 때문에 보안 전문가들은 그 무엇보다 ‘문제 해결 능력’을 줄기차게 가다듬고 벼려야 할 필요가 있다. 보안과 다른 분야인 퍼즐과 수수께끼를 풀어내는 훈련이 이것에 도움이 될 수 있다는 연구 결과가 발표됐다.


PwC 영국(PwC UK)의 수석 연구원인 맷 윅시(Matt Wixey)는 비슷한 분야의 동료들과 소그룹을 만들어 여러 가지 퍼즐 문제와 수수께끼를 공유하기 시작했다. 학술적인 목표는 전혀 없었다. 그냥 재미로 같이 풀어본 것이었다. 그러다가 이 취미가 발전해 윅시가 스스로 퍼즐을 만드는 지경에까지 이르렀다. 그러면서 그룹에 참여하고자 하는 사람들도 서서히 늘어났다고 한다. 급기야는 회사 내 공식 모임으로 자리 잡았고, 더 격식을 갖추게 되었다.

결국 2년 동안 PwC의 보안 전문가 300명이 여기에 합류했다. 윅시가 내는 문제를 정기적으로 푸는 것이 일종의 행사처럼 되어 버렸다. 윅시는 기술적인 문제, 논리적 문제, 단어 맞추기, 수학 퍼즐 등을 동원해 그들의 머리를 뒤흔들었다. 회사는 빨리 푸는 자들을 위해 상품을 지원해주기도 했다.

그런데 생각지도 않은 결과가 나타나기 시작했다. 이 ‘행사’에 참여하고 있는 사람들 사이에서 ‘업무 수행에 필요한 문제 해결 능력이 상당히 향상됐다’는 증언이 나오기 시작한 것이다. “놀랍기도 하고, 어느 정도 예상하기도 했어요. 문제를 만들면서 ‘업무에 도움이 되는 문제는 무엇일까?’를 제 편에서도 고민했었거든요. 그런데 그 말이 사용자 편에서 나오니까 놀랍긴 합니다.”

당연히 그의 고민은 문제에 반영되어 있었다. “다양한 스킬을 가진 사람들이 퍼즐 풀기에 참여하고 있다는 걸 늘 생각하려고 했습니다. 모의 해킹과 관련된 문제를 낼 때는 단계별 과제를 줌으로써 기획부나 위협 첩보 분석 팀 같은 곳의 사람들의 시각이 반드시 필요하게끔 했습니다. 모의 해킹 문제나, 암호화 관련 문제나, 캡처 더 플래그 문제나, 답을 내는 데 다양한 시각이 공존할 수 있도록 만들었습니다. 당연히 과제는 복잡했고, 풀기가 쉽지 않았습니다.”

하지만 지나치게 어렵게 문제를 낸다면 참여를 유도할 수 없다는 것도 기억해야 한다. “제 경험으로 봤을 때 수학 문제를 바탕으로 한 퍼즐과 단어 맞추기 종류가 가장 인기가 있었습니다. 즉 문제를 이러한 유형으로 내거나, 혹은 사람들이 좋아하는 형태의 풀기 과정이 들어가게끔 구성해야 합니다. 시작도 못하게 할 정도로 어렵게 만드는 건 바람직하지 않습니다.” 시작은 쉽게, 그러나 마무리 하기에는 어렵게 하는 게 열쇠란다.

이런 문제 풀기 과제를 끊임없이 내고, 사람들이 풀도록 함으로써 “문제 해결 과정 자체에 대한 두려움을 제하고, 논리적 사고 방식을 보다 탄탄히 굳혀갈 수 있었다”는 게 윅시의 설명이다. “규칙적으로 문제를 풀다보니, 문제를 해결한다는 과정 자체에 대한 다른 시각이 생기는 걸 느낄 수 있었다고 합니다. 특히 거대한 최종 목표만 보고 막연하게 달려가는 게 아니라, 눈 앞의 문제를 하나하나, 차근차근 풀어가다 보면 어느 새 도착해 있더라는 경험이 큰 도움이 되었습니다.”

또한 “문제를 진짜 현명하게 푸는 사람들에게서 보이는 공통적인 현상이 있었다”고도 한다. 그건 바로 “어느 정도 시간이 지나니까 자신이 문제를 풀면서 느낀 것들을 실제 업무에 활용해보는 것”이었다. “그런 사람들은 보통 사고가 경직되어 있지 않은 부류였습니다. 그렇기 때문에 여러 가지 시도를 혼자서도 해볼 수 있는 것들이죠. 문제 해결에 능한 사람들의 특징이 바로 이겁니다. 선입견에 사로잡히지 않고, 따라서 겁부터 먹지 않는 것 말이죠.”

이런 ‘퍼즐 풀기 시간’을 도입하고 싶은 사람들에게 윅시는 “작고 쉬운 퍼즐부터 시작하라”고 제안한다. “처음부터 퍼즐과 문제를 자체 제작하기는 힘들 겁니다. 저도 처음부터 문제를 잘 만든 것이 아니고, 심지어 매번 좋은 문제를 만드는 것도 아닙니다. 퍼즐 책을 사서 재미로 풀어보는 시간부터 가지세요. 다만 제한 시간을 설정하는 게 훈련이라는 측면에서는 좋습니다. 그리고 상을 줘야 해요. 풀 이유를 만들어 줘야 한다는 거죠. 이걸 그냥 회사에서 시키는 거니까 하라고 하면 아무도 진심으로 풀지 않습니다. 그러면 성과도 없고요.”

윅시는 8월 6일 가상 공간에서 열리는 블랙햇 행사를 통해 자신이 여태까지 만든 퍼즐과 도전 과제들 중 일부를 공유할 예정이라고 한다. 또한 이와 관련한 발표 세션도 가질 것이다.

3줄 요약
1. 퍼즐과 수수께끼만 주기적으로 풀어도 문제 해결 능력 배양됨.
2. 영국 한 보안 연구원이 재미로 퍼즐 공유 시작했다가, 본업 비슷하게 되어 버림.
3. 이미 시중에 나와 있는 작은 퍼즐들부터 시작하고, 제한 시간과 인센티브 두는 것이 중요.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>