| 반젤리스의 ‘쉬무콘(ShmooCon)2008’ 참관기 | 2008.03.12 | ||||||||
“해커들은 회사를 발전시키고 이익을 창출할 수 있는 원동력”
인천공항을 출발한지 약 13시간 후에 현지 시간 2월 14일 오전 워싱턴 델라스 국제공항에 도착했다. 우리나라와는 14시간의 시차가 있어 밤낮이 완전히 바뀌게 되었다. 비행기 안에서는 잠을 깊게 잘 수가 없었다. 처음부터 시차 적응을 못하고 있었다. 차를 타고 숙소로 이동하는 중 연방준비위원회와 백악관 건물이 눈에 들어왔다. 세계의 경제와 정치를 좌지우지하는 곳을 지나면서 미국의 중심에 왔다는 생각이 들었다.
워싱턴은 아주 깨끗했다. 높은 건물들이 없어서 그런지 도시 전체가 안정적인 느낌을 주었다. 워싱턴 지리를 익히기 위해 일부러 택시를 탔었다. 택시기사는 내가 외국인임을 고려해서인지 특별한 의미를 가진 건물을 지날 때마다 어떤 건물인지 설명을 해주었다. 숙소에 도착한 후 늦은 점심을 먹었다. 점심을 먹은 후 숙소 주변을 잠시 걸었다. 극도로 피곤한데 잠은 오지 않는 상태였다. 방에 가서 잠을 자기 전에 노트북을 꺼냈다. 내가 머물렀던 숙소는 다소 외곽에 위치했다. 주위에는 오피스텔 같은 건물들이 있었다. 호텔에서는 인터넷 라인을 제공했으나 모두 무선랜이었으며, 인터넷을 이용하려면 돈을 내야 했다. 그래서 무료로 이용할 수 있는 AP가 있는지 찾아보았다. 로그인과 같은 민감한 정보가 오고가는 것을 제외한 단순한 웹 서핑은 무료 AP를 이용했다.
ShmooCon은 2007년에 Billy Hoffman이 Jikto를 발표함으로써 전세계적으로 유명해졌으며 올해는 약 1200명이 참가했다. 매년 300명 정도 참가자들이 늘어난 셈이다. ShmooCon2008 첫날은 오후 1시쯤 시작했다. ShmooCon은 독특한 등록 방식(3 rounds of sales, 3 prices, 최초 구입비 - $75, $150, $300)을 가지고 있다. 먼저 티켓을 구입한 후 현장에서 등록을 하는데, 세 번의 등록일이 있으며, 각각 등록비가 다르다. 각 등록일이 하루에 이루어지는데, 등록 경쟁이 치열하다. 가끔 등록자들이 Ebay 등을 통해 티켓을 판매하는데, 이것 때문에 티켓 가격이 많이 오르기도 한다. 필자는 세 번의 등록일에 등록을 하지 못했다. 티켓을 구하지 못해 참가를 포기하고 있다가 ShmooCon 운영자 Bruce에게 메일을 보내 티켓을 구할 수 있는 방법이 있는지 확인해보았다. 그러나 구할 수 없다는 답변만 있었다. 거의 포기하고 있다가 ShmooCon2008 발표자 중에 atlas가 최종적으로 포함된 것을 보고 그에게 메일을 보냈다. atlas는 Defcon CTF 2회(2006 ~ 2007) 우승팀의 리더였고, POC2007의 발표자이기도 했다. Defcon CTF 참가와 POC2007를 통해 생긴 우정을 무기 삼아 도움을 요청할 수 있었다. 그에게 메일을 보내 티켓을 구할 수 있는지 여부를 알아보았고, 그는 티켓을 구해줄 수 있다고 했다. ShmooCon2008을 2주 남겨두고 티켓을 겨우 구했다.
티켓을 보면 알겠지만 인터넷을 통해 다운 받고, 바코드 부분을 가지고 가면 된다. 영수증 역할도 같이 한다. 현장 등록 시 바코드를 통해 신속한 등록이 진행되었다. 이런 것은 우리나라에서도 도입해볼 만하다는 생각이 든다. 2월 15일, 아침 겸 점심을 먹고 컨퍼런스가 열리는 호텔로 갔는데, 호텔 입구에서 마침 atlas를 만났다. 그는 Defcon에서 만나 익히 얼굴을 알고 있던 뉴욕 출신의 보안회사 CEO인 Marco와 그의 사촌 Kevin과 함께 있었다. 정말 세상 좁다는 생각이 들었다. 워싱턴에서 이 친구들을 만나다니. 예상도 못한 상태에서 만났던 Marco 형제는 ShmooCon 기간 동안 Back Track 개발자 Mati와 같은 중요한 인물들을 소개해주었다. 그들의 호의에 다시 감사의 마음을 전하고 싶다. ShmooCon은 사진촬영을 금지하고 있다. 컨퍼런스 풍경 사진이라도 찍어야지 하는 바램이 있었지만 철저하게 사진을 찍지 못하게 했다. 등록을 마치고 전체를 둘러보았다. 각종 이벤트들이 준비되고 있었다. 등록은 바코드 시스템을 통해 아주 신속하게 끝났다. 오프닝은 3시부터였다. 오프닝까지는 시간이 남아 등록 후 ShmooCon에서 만난 친구들과 이야기를 나누었다. Defcon CTF를 운영하고 있는 kenshoto 그룹의 멤버인 Bob을 우연히 만났는데, 그는 ShmooCon의 스탭으로 활동하고 있었다. 그는 Shmoo 그룹의 멤버이기도 했다. 그와 이야기를 나누고 있는데, kenshoto 그룹의 리더 invisigoth가 저 멀리 보였다. Bob이 전화를 해서 그가 우리쪽으로 왔다. 이제 3년 째 만남이고, 두 번의 CTF 참가를 통해 서로에 대한 신뢰를 쌓았기 때문에 우리는 진심으로 반가워했다. 그는 Vtrace와 같은 디버깅 프로그램을 발표했는데, 그에게서 느껴지는 카리스마는 대단하다. 4시부터 주제 발표가 시작되었다. 제일 먼저 발표된 주제는 ToorCon의 운영자 H1kari의 Intercepting Mobile Phone/GSM Traffic였다. 개인적으로는 많은 관심을 가지고 들었는데, 주로 GSM에만 초점을 맞춰 발표가 되었다. 또한 발표시간 역시 30분 정도여서 자세하게 다루지 못하는 한계가 있었다. 그의 발표에 대한 판단은 이 글의 독자들 몫으로 남긴다. 이 주제 발표 동영상은 필자가 현장에서 구해왔는데, 다음에서 www.securityproof.net/sh2008/intercepting.zip에서 구할 수 있다. ShmooCon 측에서 아직 발표자료를 공개하지 않았다. 하지만 곧 공개할 것이라는 공지가 올라왔으니 조그만 기다리면 될 것 같다. 첫 날 keynote address는 Princeton 대학의 Edward W. Felten 교수가 하기로 되어 있었으나 같은 연구실에서 연구를 같이 했던 대학원생이 발표를 대신 했다. 발표 내용은 미국의 전자 투표 시스템의 문제점에 대한 것이었다. 국내의 경우에도 전자 투표 시스템이 언젠가는 도입될 것으로 예상된다. 자료가 공개되면 미국이 전자투표 시스템에 어떤 문제들이 있었는지 미리 알아두고 나중에 참고하면 좋을 것 같다.
첫 날 주제 발표가 끝난 후 8시부터 ┖Hack or Halo┖ 연습이 있었다. Hack or Halo는 Xbox 게임 대회이며, 첫 날 현장에서 접수를 받아 7개 팀이 참가했다. Hack or Halo가 뭘까라는 호기심을 가지고 있었던 나로서는 다소 실망을 했다. 본게임은 둘째 날 저녁에 있었다.
ShmooCon 홈페이지에 나와 있는 Hacker Arcade라는 것도 조그만 방이 여러 개 있는데, 우리나라 오락실에서 볼 수 있는 게임기를 넣어두고, 참가자들이 게임을 할 수 있게 해둔 공간이다. 물론 게임기만 있는 것이 아니다. Defcon에서 볼 수 있는 자물쇠 따기 같은 게임도 진행되었다. ShmooCon은 막 시작된 컨퍼런스들이 그러하듯 아직 이벤트 부분에서는 많이 부족했다. Hack or Halo에 실망한 필자는 숙소로 돌아가려고 컨퍼런스 장소로부터 나왔다. 호텔 로비 옆에 있는 바에서 일부 ShmooCon 참가자들이 모여 맥주를 마시고 있었다. 거기서 Marco와 그의 사촌 Kevin이 나를 보고 술 한잔 하자고 했다. 그들에게로 다가가는데 누군가 한국말로 나에게 말을 걸었다. 누굴까. 주위를 둘러보아도 한국 사람은 없었다. 그때 미국인 한 명이 다가와 필자에게 말을 걸었다. 그는 미국 한 대학의 로봇 공학과 Ryan Clarke 교수였다. 그는 Defcon에서 CTF 다음으로 큰 규모의 이벤트인 Mystery Box Challenge를 운영하는 LosT였다. LosT는 Ryan 교수가 사용하는 닉인데, 나도 그가 로봇 공학과 교수라는 것을 이번에 처음 알게 되었다. 그와 인사를 나누었다. 인사를 나누는데, 이상한 상황이 일어났다. 나는 영어로 말하고, LosT는 한국말로 말하는 것이었다. 주위에 있던 사람들이 호기심을 가지고 쳐다보았다. 상황을 바꿔보자고 제안했다. 나는 한국말로 하고, 그는 다시 영어로 말했다. 그는 한국어와 중국어 공부를 하고 있었다. 한 나라의 문화를 이해하기 위해서는 그 나라의 언어 공부가 필요하다고 말했다. 그는 작년에 Defcon CTF에 참가했던 한국팀 Song of Freedom 팀에 대해서도 잘 알고 있었고, 국내에서 개최되는 국제 해킹/보안 컨퍼런스 POC에 대해서도 잘 알고 있었다. Defcon에서 봤던 그의 이미지와 ShmooCon에서 봤던 그의 이미지는 완전히 달랐다. Defcon에서 그가 보여준 모습은 열정적으로 자유를 추구하는 히피족 같았으나 ShmooCon에서 그의 모습은 다른 문화를 깊게 이해하고자 하는 온화한 교수로 보였다. POC2008에도 오겠다는 말을 했는데, 정말 올지는 모르겠다. 다만 그가 진지하게 말해서 접대성 발언으로만 여기지는 않았다. 대학교수가 Defcon 같은 해커들의 축제에서 이벤트를 운영하며 상상력과 독창성을 추구하고 있다는 사실을 알고서 다분히 보수적이고 비창조적인 성향을 가진 우리나라 교수들의 모습들과 비교해보았다. 둘째 날은 3개의 섹션으로 구성되어 있다. 처음 들은 주제발표는 Dino Dai Zovi의 “Virtual Worlds - Real Exploits”이었다. Dino Dai Zovi는 “The 15 Most Influential People in Security Today”에서 뽑은 인물에 포함되기도 한다. “Virtual Worlds - Real Exploits”는 온라인 게임 해킹에 대한 내용이다. 처음에 예상했던 가상 시스템에 대한 해킹은 아니었다. 이날 첫날에 오지 않았던 Dave Aitel을 만났다. Dave Aitel은 Dino Dai Zovi와 친하다며 그를 나에게 소개해주었다. Dave Aitel은 미국 NSA 출신으로, POC2007에서 발표를 했던 사람이다. 둘째 날 오전 발표 중에서 필자로 하여금 가장 많은 생각을 하게 한 것은 Jay Beale의 “They┖re Hacking Our Clients! Why are We Focusing Only on the Servers”이었다. Jay Beale은 Bastille Linux 개발자이다. 이 발표에서는 그는 근본적인 발상의 전환을 요구하고 있다. 오늘날 서버에 대한 보안 강화로 해커의 입장에서 내부 네트워크에 대한 직접적인 공격이 힘들어졌다. 방화벽, 침입 탐지 시스템 등 보안 장치의 발전으로 인해 내부 시스템이나 서버 시스템에 대한 직접적인 공격이 힘들어진 상태인데, 그러다 보니 모의해킹은 웹 해킹에만 초점을 맞춘다는 것이다. 물론 웹 해킹을 통한 DB가 노출되는 경우도 많이 발생하는 현실은 무시할 수 없다. 그가 주제 발표에서 제시한 것은 클라이언트를 공격할 방법을 해커들이 찾아보자는 것이다. 클라이언트에 대한 공격이 가능해지면 내부 네트워크에 대한 공격도 가능해진다. 따라서 보안의 패러다임도 수정되어야 한다. 둘째 날 오후 첫 주제 발표들은 엉망이었다. 특히 “Why are Databases so Hard to Secure”와 같은 발표는 아주 원론적인 이야기만 나왔고, “TL1 Device Security”는 15분만에 발표가 끝나는 해프닝이 발생했다. 이 시간에 Marco가 BackTrack의 개발자 Mati Aharoni를 소개해주었다. Mati는 현재 인도에 거주하고 있었다. POC2008의 발표자로 초정하겠다고 했더니 진지하게 고려하겠다고 말했다. 그는 내가 미국에서 돌아왔을 때 나에게 “BackTrack 3 Beta 비공개 Advanced 버전”을 보내주었다. 이 버전은 Securityproof 오프라인 세미나를 통해 세미나 참가자들에게 제공했다. 그와의 약속 때문에 인터넷 상으로 공개할 수가 없는 것이 안타깝다. 혹시라도 이 버전이 필요한 사람이 있다면 메일을 주길 바란다. 다음에 이어진 Simple Nomad의 “Practical Hacker Crypto”는 아주 인상적이었다. 개인 보안에 대해 그동안 생각지 못한 것들이 언급되었고, 암호학에 대한 관심을 유도했다. ‘무료 메일은 자유롭지 않다’라는 그의 말이 아직도 머리 속 깊이 남아 있다. ‘자유롭지 않다’라는 말이 가지는 다양한 의미를 굳이 이 글에서 말하지는 않겠다. 아마도 말하지 않더라도 그 함축된 의미를 다들 알 것이다. 그의 발표 동영상은 Securityproof(파일1, 파일2)에 올려두었으니 독자들은 다운받아 꼭 보길 권한다. 아울러 “gpg4win을 이용한 안전한 메일, 파일 전송”이라는 글도 이 주제 발표를 보고 필자가 작성했으니 참고하길 바란다. 오후 시간에 atlas가 Jay Beale과 BASE의 개발자 Kevin Johnson을 소개해주었다. Kevin Johnson은 Jay Beale이 운영하는 회사의 직원이었다. Jay Beale은 유명세만큼 사람들 사이에 인기가 아주 높았다. Daniel Mende 이 발표한 “Advanced Protocol Fuzzing - What We Learned when Bringing Layer2 Logic to "SPIKE Land"”에 대해 제일 관심이 높은 사람은 역시 Dave Aitel이었다. SPIKE라는 프로그램이 Dave Aitel의 작품이기 때문이다. 자기 제품이 가진 한계를 지적하는 발표자의 말에 Dave는 귀를 기울였다. 기분 나빠하지 않으며 좀더 발전시키는 계기로 사용하고자 하는 Dave의 태도에 많은 공감을 받았다. 셋째 날 첫 주제발표로 Dan Griffin의 “Hacking Windows Vista Security”를 들었는데, 발표 내용은 다소 실망스러웠다. 혹시라도 이 주제를 그대로 Black Hat USA와 같은 곳에서 들을 예정이라면 추천하지 않겠다. Shmoo 그룹의 “0wn the Con” 발표시간에 전체 컨퍼런스에 대한 평가와 참가자들의 의견을 듣는 시간을 가졌다. ShmooCon에 대한 스폰서가 점차적으로 늘어나고 있다고 했다. 수익금은 EEE와 같은 단체에 기부하거나 다른 컨퍼런스에 후원금으로 사용한다고 했다. 정말 부러운 부분이다. POC2006과 POC2007의 경우 스폰서 구하기가 정말 힘들었다. POC2007의 경우 후원사가 모두 외국 업체였다. 자존심도 많이 상했다. 국내 보안을 위한 컨퍼런스가 외국 기업들의 도움으로만 운영되고, 국내 업체들로부터는 지원을 받지 못하는 현실이 많이 안타까웠다. 최근 국내에도 보안 컨퍼런스가 많이 열리고 있는데, ShmooCon의 경우 전체 컨퍼런스 관리를 위해 OpenConf라는 관리 시스템을 사용하고 있었다. 참고하길 바란다. ShmooCon의 마지막은 “On the Social Responsibility of Hackers”이란 주제로 참가자들과 발표자들 사이에 토론이었다. ShmooCon의 운영자 Bruce를 비롯해 구글해킹으로 유명한 Johnny Long, 그리고 특이하게도 해킹 관련 소설을 쓴 경험이 있는 소설가 한 명 등이 패널로 참가했다. 이 토론에서는 미국 해커들의 역할에 대한 진지한 고민들이 있었다. 미국의 경우 몇 년 전부터 자국의 웹 서버 등에 존재하는 취약점을 발견하여 해결책을 제시하는 움직임이 있다고 한다. 우리나라의 경우는 어떤가? 취약점이 보여도 관리자에게 문제점이 있다고 말도 마음 놓고 하지 못하는 것이 현실이다. 우리나라 보안 발전을 위해 해커들의 역할이 강조되어야 하는데, 우리나라의 법과 언론은 해커들에 대해서 왜곡된 인식을 가지고 있는 것이 현실이다. 애초부터 윤리적인 해커들이 긍정적인 역할을 할 수 없는 구조가 해커들을 짓누르고 있다. 이런 상황은 우리나라의 보안에 기여할 수 있는 뛰어난 해커들이 탄생할 수 있는 분위기를 조성하는데 전혀 도움이 되지 않는다. 최근 국내 보안계가 어렵다고 한다. 어떻게 보면 당연한 결과가 아닌가 싶다. 국내 보안계가 녹녹지 않은 지경까지 오게 된 것은 여러 가지 이유가 있겠지만, 독창적인 연구를 할 수 있는 인력 육성 소홀, 무거운 분위기의 법, 뛰어난 해커들이 지속적인 연구를 통해 기업의 이익을 창출할 수 있는 문화 부재, 자신의 노력에 대한 정당한 대가를 요구할 수 있는 실력 부족과 제품 부재, 외국어 실력 부족으로 인한 국제적인 시각 결핍, 토론하고 공유하며 서로 함께 발전해나갈 수 있는 커뮤니티의 비활성화, 해커들 스스로의 지독한 노력과 신념 부족 등이 일부에서는 부정할 수 있지만 여전히 거부할 수 없는 주된 이유가 될 것이다. 몇 년 전에 해커들을 양성하자는 움직임이 있었다. 그 움직임이 꽃을 제대로 피우기도 전에 싹이 먼저 짓밟혔다. 누구의 시선으로부터 보든 ‘싸구려’ 보안 전문가만 양성하고 있지는 않은지 의구심이 든다. 국내 보안 회사들은 해커들을 채용하면 늘 같은 비생산적인 업무만 시키지는 않는가? 해커들의 독창적인 연구를 막지는 않는가? 그들이 국내외 보안 커뮤니티에 자신의 연구 결과를 발표해 공유하고 이에 대한 논의를 진전시켜 좀더 발전시키고 이것이 회사에 기여할 수 있는데 말이다. 회사는 해커들이 발전할 수 있는 시스템을 만들어 두었는가? 해커들의 연구를 통해 회사가 발전할 수 있음을 회사는 알고 있는가? 알고 있다면 온당한 기회를 제공하고 있는가? 해커들의 피나는 노력에 정당한 대가를 지불하고 있는가? ‘몇 년 근무하다가 다른 곳으로 옮기겠지’라고 생각하고 있지는 않은가? ‘몇 년 근무하다가 다른 곳으로 옮겨야지’라고 생각하게 만들지는 않는가? 해커들은 언제라도 버릴 수 있는 회사의 소모품이 아니다. 해커들은 회사를 발전시키고, 이익을 창출할 수 있는 원동력이다. 글로벌 경영을 부르짖는 기업들은 영업 전략지에서 개최되는 해킹·보안 컨퍼런스에 해커들을 파견하여 그들이 발전할 수 있는 기회를 제공하고 있는가? 새로운 수익 구조를 만들고, 필요한 영업 전략을 세울 수 있는 기술과 사람을 만나게 하는가? 보안 회사와 해커들은 자신의 노력에 대한 정당한 평가와 대가를 요구할 수 있는 노력을 하고 있는가? 그 만한 실력을 갖추고 있는가? 세계적 경쟁력을 갖춘 제품은 있는가? 외국에서 발표된 오픈 소스 프로그램을 수정하여 마치 자신의 제품이라고 팔고 있지는 않은가? 갑을 관계의 부당성에 약해지고 있지는 않은가? 독창적인 연구 문화가 없는 보안회사는 경쟁력이 없으며, 또한 해커를 육성할 수도 없다. 진정한 글로벌 기업이 되고자 한다면 오픈 소스를 베끼지 말고 해커들의 독창적인 연구를 통해 창조할 수 있게 하라. 독창적인 연구의 한 편린이라도 세계 해킹·보안 커뮤니티와 공유하라. 그러면 굳이 비싼 돈 들여가며 광고 하지 않아도 된다. 뛰어난 해커가 세계적으로 유명한 커뮤니티나 컨퍼런스에서 자신의 연구 결과를 발표하면 그 해커가 속한 기업의 기술력에 대해 자연스럽게 홍보가 되지 않겠는가? 커뮤니티와 컨퍼런스의 문은 늘 열려 있다. 우리가 단지 그 문을 잠그고 있을 뿐이다. 좀더 정확하게 말하면 스스로 잠근 문을 열 방법과 수단이 지금 당장은 없다. 그래도 언젠가는 열어야 할 문이다. 나는 이 글을 통해 악성 범죄를 저지르는 크래커를 옹호하는 것은 절대 아니다. 크래커는 크래커일 뿐이기 때문이다. 범죄를 저지르거나 저지르는데 도움을 주는 일이 없도록 사전경고 제도를 도입하여 해커가 크래커가 되는 일이 없도록 유도하고, 이를 통해 진정한 해커들을 양성하는데 도움이 되도록 하자. 해커들의 경우 학습의지가 누구보다 강하고, 자료 수집 및 분석에 많은 관심을 가지고 있다. 그런 활동이 불법적인지의 여부를 판단하는 법적 지식이 부족하다. 마치 열매가 익을 때까지 기다리다 익으면 따먹는 과거의 전철은 이제 누구에게도 도움이 되지 않는다는 것을 모두 알고 있지 않은가. 서로에게 불신만 가지게 했던 ‘열매 따먹기’는 이제 없어야 한다. 열매 따먹기’가 지속되면 결국엔 서로에게 칼을 겨누게 될 것이다.
최근 일부 커뮤니티와 젊은 연구그룹들이 새로운 희망을 꿈꾸게 해주고 있다. 이 새로운 희망들이 꺾이는 일이 있어서는 절대 안될 것이다. 이 새로운 희망들이 꽃을 피우고 씨를 만들 수 있도록 서로가 서로를 소중하게 생각해주자.
ShmooCon2008은 17일 오후 3시쯤에 끝났다. 외국 컨퍼런스에 대해 무조건적인 우호적 평가는 경계해야 한다는 생각을 나는 늘 가지고 있다. ShmooCon2008은 질적인 면에서는 그렇게 만족스럽지 않았다. 그러나 그들의 해킹과 보안에 대한 태도는 나에게 많은 것을 고민하게 했다. ShmooCon2008이 열리던 호텔에서 나와 Washington Square 쪽으로 먼 길을 걸었다. 미국의회 건물 앞에서 잠시 숨 고르기를 했다. 아직은 미약한 우리들을 생각하면 눈물이 나올 것 같았다. 나는 좀더 적극적인 희망을 가지기 위해 앞에서 던진 많은 질문들에 대해 스스로 대답하며 Washington Square에서 Freedom Plaza로 이어진 길을 따라 걸었다.
[글 · 시큐리티프루프 운영자 vangelis (securityproof@gmail.com)]
[길민권 기자(reporter21@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|||||||||
 |
