본문 바로가기

현장속으로/주니어안랩

해킹 실력으로 대학 합격한 과학영재 만나보니

입학사정관제.
다소 낯선 이 제도는 올해부터 국내 몇몇 대학에서 실시한 것으로 내신 성적, 수능 성적만이 아닌 다양한 요소를 가지고 신입생을 선발하는 전형 방식이다. 지원자는 수상 경력, 봉사 활동 등 다양한 증빙 자료로 자신을 부각해야 한다.

올해
포스텍(포항공대)에는 그 누구보다 특이한 자기 증빙 자료를 제출한 학생이 나타났다. 바로 수많은 보안 대회 수상 경력을 가진 전자전기컴퓨터공학부 10학번 이지용 군. 그는 파도콘(Padocon) 라이브 해킹 CTF 2008, 2009 연속 1위, 코드게이트(CodeGate) 2008 해킹대회 2위, 코드게이트 2008 방어기술 콘테스트 수상, KISA 제 6회 해킹방어대회 1위, CyberWarfare Isec 2009 CTF 1위의 화려한 수상 경력을 가졌다한국과학영재학교 출신으로 언더그라운드 보안 단체인 비스트랩(Beist Lab) 멤버이며, 포스텍 입학 후에는 보안 동아리 플러스(PLUS)에서 활동 중이다.

이렇게 어린 나이에 많은 것을 이룬 비결은 무엇일까? 대답은 정말 단순했다. 그는 대회에서 상을 받거나 대학 진학을 위해서가 아니라 자신이 좋아하고 매 순간 집중할 수 있는 일에 매달렸을 뿐이다. 공부를 하면서 힘들었던 순간도 많았을 테지만, 자신을 즐겁게 하는 일이었기에 힘든 순간을 이겨내고 지금의 멋진 모습을 가질 수 있었던 것이 아닐까. '자신이 하고 싶은 일, 그리고 하면서 자신이 즐거울 수 있는 일을 하면 그 보상은 자연스럽게 따라올 것'이라는 사실을 다시 한번 상기하게 하는 친구이다.


 

포스텍의 보안 동아리 플러스가 지용 군의 대학 선택에 영향을 많이 줬다고 하던데, 플러스와는 어떻게 알게 되었나요?
고등학교 1학년 때 비스트랩의 멤버로서 2008지식경제부의 후원으로 매년 개최되는 보안 기술 경연 대회인 코드게이트(CodeGate)에 출전했는데, 그 대회에서 플러스와 비스트랩이 1, 2등을 나란히 차지했어요. 뒤풀이 자리에서 서로 그쪽 실력이 대단하던데요?” 같은 대화를 나누면서 알게 되었고, 또 고등학교 선배가 플러스에 있어서 지속적으로 교류가 있었어요. 대학에서도 보안 공부를 계속 하고 싶어서 플러스가 있는 포스텍에 지원했죠.

수상 실적이 화려한데, 언제부터 컴퓨터를 했나요?

컴퓨터를 처음 접한 건 초등학교 2학년 때예요. 다른 아이들처럼 컴퓨터 게임을 좋아했는데, 제가 게임을 잘 못했어요. (웃음) 열심히 게임 하는데 제 맘대로 안 되면 열 받잖아요. 그래서 인터넷을 뒤져서 방법을 찾다가 컴퓨터 메모리 값이나 세이브 파일을 수정하는 방법을 알게 되었어요. 컴퓨터 속의 작은 값을 바꾸면 그게 바로 게임에 영향을 미친다는 사실이 마법 같고 신기하더라고요. 그래서 이런 것들은 어떻게 만들어지는 걸까, 그게 궁금해서 인터넷에 질문을 올리니 사람들이 ‘C언어를 배우라고 해서, 초등학교 6학년 때 프로그래밍을 공부하기 시작했어요. 그렇게 시작해서 중학교 2학년 때 해커스랩(Hackerslab)에서 개최하는 모의해킹대회 문제를 풀면서 본격적으로 컴퓨터 보안을 공부하기 시작했죠.

 

컴퓨터 보안을 공부하는 특별한 이유라도 있나요?

재미있어서요. 처음에는 호기심으로 시작했는데, 문제를 하나씩 풀다 보니 점점 재미있더라고요. 문제를 풀려고 끙끙대고 있으면 물론 머리도 아프고 짜증이 날 때도 있지, 문제를 푼다는 것은 퍼즐을 맞추는 것과 비슷해서 힘든 만큼 성취감이 있어요. 고생해서 문제 하나를 결국 풀어냈을 때의 성취감은 정말 엄청나죠. 이런 것 때문에 누군가 굳이 동기부여를 하거나 칭찬해주지 않아도 계속 공부를 하게 되는 것 같아요.

 

앞으로 목표나 계획은 무엇인가요?

그냥 제가 하고 싶은 공부를 하고 싶어요. 계속 실력을 쌓아서 데프콘(Defcon)같은 세계적인 대회에서 수상하거나, 블랙햇(Blackhat) 같은 세계적인 컨퍼런스에서 발표해보는 게 소원이예요. 한국 쪽에도 보안 관련 대회는 많이 있지만 그 역사가 짧고 성격이 데프콘하고는 좀 다르거든요.

대회 수상을 목표로 하는 사람들에게 조언할 만한 것이 있다면?

보안 실력을 높이는 데 가장 중요한 것은 문제를 풀어보는 것이라고 생각해요. 우선 내가 뭘 모르는지를 먼저 알아야 하거든요. 실제로 문제를 풀려면 많은 지식이 필요하지만, 내가 공부하는 내용이 어디에 쓰일지도 모르고 무작정 공부하는 것은 별 의미가 없어요. 대회에 나가보든지, 아니면 모의해킹대회 문제 같은 것을 찾아서 보세요. 문제 하나를 정해서 풀기 위해 노력하다 보면 무엇을 공부해야 할지 알게 될 거예요. 일단 부딪혀보고, 시행착오를 통해 공부해 보라고 조언해주고 싶네요.

 

컴퓨터로 하는 것 이외의 취미 생활은 있나요?

영화 보거나 기타 치는 걸 좋아해요. 대학교 입학해서 들어간 동아리가 보안 동아리 플러스와 통기타 동아리거든요. 기타는 배운 지 얼마 안 됐어요.

 

영화에 가끔 해커가 등장하는데, 그런 걸 보면 어떤 생각이 드나요?

영화로 보고 즐기면 별 문제가 없는데, 저게 실제로 가능한가?” 하는 의문이 들 때도 있어요. 영화에서는 키보드 몇 번 두드리면 해결되는 문제가, 실제로는 푸는 데 며칠 또는 몇 달이 걸릴 수가 있거든요. 그런 문제들을 풀기 위해 저는 엄청 고생하는데, 영화에서는 너무 간단하게 되니까 왠지 허탈하죠. (웃음)

 

보안 취약점을 발견하는 경우가 있을 텐데, 이걸 개인적인 이익을 위해서 사용해볼까 하는 유혹이 든 적은 없나요?

보안을 공부하는 사람이 제일 조심해야 하는 점이죠. 실제로 그런 유혹에 넘어가서 잘못된 길로 들어서는 사람도 꽤 있기 때문에, 항상 윤리적인 부분에 제일 많이 신경 써요. 아직까지 그런 유혹에 넘어가 본 적은 없어요. “여기를 이렇게 공격하면 될 것 같은데?”라는 생각이 들 때도 있지만, 실제로 실행해보지는 않아요. 사전에 허가 받지 않은 다른 컴퓨터를 공격하는 것은 모두 불법이거든요. 대신 제 컴퓨터에 그와 비슷한 환경을 구축해서 시뮬레이션을 해보죠.

 

그렇게 시뮬레이션을 해서 취약점을 발견하면 어떻게 하나요?

그 서버의 관리자에게 알려주죠. 이러이러한 취약점이 있으니 고치는 것이 좋겠다고요. 하지만 이렇게 알려줘도 그냥 아무 조치도 하지 않고 무시하거나 오히려 취약점을 발견한 저를 신고하려고 하는 경우가 있어요. 전 좋은 의도로 한 것인데, 좀 억울할 때도 있어요.

 

사람들의 보안 의식이 많이 부족한가 봐요?

요즘은 이런저런 일들이 계기가 되어서 조금 나아졌지만, 그래도 아직 부족하죠. 예전엔 보안이라는 개념 자체가 크게 중요하지 않았기 때문에 사람들이 전혀 신경쓰지 않았거든요. 하지만 많은 컴퓨터가 인터넷으로 연결되고, 거의 모든 정보가 인터넷 상에 올라가니 자신의 이익을 목적으로 다른 컴퓨터를 공격하는 사람들이 생겼어요. 이런 공격에 대한 방비책에 사람들이 조금 더 신경 써야 한다고 봐요. Ahn

 

대학생기자 한대희 / 포스텍 컴퓨터공학과

사람은 누군가가 되어가는 작은 과정을 거친다고 합니다. 이 글을 읽는 여러분이 저의 작은 과정이 되어주실 수 있기를 바라봅니다.