본문 바로가기

현장속으로/세미나

착한 해커 키우는 무료 보안 전문가 양성 과정

올해 초 ‘3.4 DDoS’ 에 연이어 4월에는 현대캐피탈, 농협의 개인정보보호 유출 사고가 있었다. 이와 같은 사고는 저절로 일어나는 것은 아니다. 사고 뒤에는 사고를 일으키는 ‘사람’이 있기 때문이다. 역으로 생각하면 보안 문제를 ‘사람’이 해결할 수 있는 것이다.

이처럼 중요한 '사람'을 진정한 인재로 양성하기 위해서 정부가 발 벗고 나서 올해 처음 ‘사이버 보안 전문가 실무 인재 양성 과정’을 개설했다. 보안에 관심을 갖고 공부를 하고 싶은 사람은 눈여겨볼 만하다. 무료라 금상첨화이다. 모의해킹, 침해대응, SW보안의 세 가지 분야를 다루는데, 이 중 ‘모의해킹 과정' 개강식과 첫 수업에 참석했다.

‘모의해킹 전문가’라는 단어에서 볼 수 있듯이, ‘해킹’에 대한 교육을 하는 과정이다. 이 교육은 동전의 앞뒤와 같다고 생각한다. 해킹을 막기 위해서 모의 해킹을 하는 것이다. 하지만 전문적인 소양만 갖고 윤리성이 없다면 악의적 해커로 전락할 수 있다. 이번 '모의해킹 전문가 과정'은 이 점을 사전에 방지하기 위해 윤리적인 면에 대한 교육 내용도 포함되어 있다. 한국정보기술연구원장이 개강식에서 "해킹은 칼의 양날이 될 수 있다. 이 칼은 사람을 해칠 수 있는 강도의 칼이 아니라 사람을 살릴 수 있는 의사의 메스가 되어야 할 것이다."라고 말한 것도 이런 의미일 것이다.

강도의 칼이냐 의사의 메스냐

개강식에 앞서 초청 교수 강연이 있었다. 임종인 고려대학교 정보보호대학원장은 6개월 전에 발생한 멕시코 만 기름유출사고와 후쿠시마 원전의 방사능 누출 사고를 농협의 전산 장애 사고와 연결해 전문가의 역할을 강조했다.

고려대학교 정보보호대학원장 임종인

"과학 기술이 발달할수록 이득이 될 수 있지만, 그로 인한 사고가 벌어지면 모든 이들이 수습을 할 수 없을 정도의 일로 커진다. 여러분과 같은 전문가가 문제를 어떤 식으로 보는지에 따라 인류에게 큰 역할을 할 수 있고, 큰 피해를 줄 수도 있다."

이어서 나도성 한성대 지식서비스&컨설팅연구원장은 우선 혼, 창, 통이 필요하다고 역설했다. '이 분야에서는 내가 없으면 안 된다'는 열정(혼)악의적 해킹을 차단하기 위해 새로운 것을 창안하는 것(창), 주변과의 소통(통). 특히 기술자가 놓치기 쉬운 것이 소통이라며 " 열심히 좋은 것을 개발하는 것도 좋지만, 소통이 없는 기술자는 사회에 악이 될 수도 있다. 기술자는 시장이나 고객에게 득이 되는 기술을 개발해야 하기 때문에 소통이 필요하다."라고 설명했다.

이어서 마켓3.0 시대'이 필요한 인재상과, 시대 변화에 따른 보안 전문가의 중요성을 언급했다.

이 시대를 경영학에서는 ‘마켓3.0 시대'라고 한다. 지금까지는 단순히 좋은 제품을 만들어서 소비자들의 필요에 따라 주는 것으로 끝났다. 하지만 우리는 더 나아가 금융전산망 마비와 같은 사고를 생각해 보아야 한다. 개인의 잘못으로 인해 여러 사람이 피해를 입을 수 있다. 기술의 발달만 생각하고 그 기술로 인한 사고를 사전에 생각하지 못한다면 인류가 공멸할 수도 있다. 즉, 제품, 고객만 중요한 것이 아니라 사회에 공헌할 수 있는 것이 무엇인지 고민해 보는 것도 중요한 것이 될 것이다. 이런 생각을 갖고 공부를 하면 머릿속에도 잘 들어올 것이다.
 
세계적으로 큰 공장들이 지어지고 재벌들이 커지는 과정에서 공부 별로 안하고 그냥 대학을 다녔다. 그 결과 위에서 시키는 대로 하면 먹고 살 수 있는 공장의 부품처럼 일을 했다. 시대의 흐름을 몰라도 한 제품을 위해 오랫동안 일하면 최고였지만 시대가 바뀌었다. 지금은 부품화가 아니라 독창성과 창의성 중심의 시대이다. 세계적인 거대기업을 끌어가고 있는 사람들을 보면 남이 시키는 대로 하는 사람들이 아니었다. 이런 사람들을 ‘린치핀’이라고 한다. 과거처럼 몇 사람 시켜서 하는 것이 아니라 앞으로 모든 분야에서 내가 주인이라는 생각을 갖고 행동해야 한다.
 
글자를 배우는 순간 인터넷으로 연결이 가능한 시대가 되었다. 새로운 정보가 나오면 일단은 긍정적인 면을 생각한다. 즉, 새로운 정보에 대한 생각이 한 쪽 방향으로 흐르고 있는 것이다. 하지만 다른 시점으로 보았을 때의 문제는 생각을 안 한다. 그 결과 새로운 정보로 인한 사고가 발생하면 엄청난 피해가 생길 수 있다.
  
갈수록 많은 사건이 일어나고 비슷한 사건의 재발을 방지하기 위한 제도를 만들고 있다. 이렇게 되면서 시장은 성장하기 마련이다. 이제는 보안 시장이 커질 수밖에 없는 시기가 되었다. 보안 사고로 인해 각 은행과 공공기관에서 제도를 만들어서 시장이 커졌다. 그래서 교육을 잘 받아 보안 전문가가 되는 것은 유망주가 되는 것이다. 능력만 키워 준다면 전망이 밝다. 새로운 시장 확장이라는 것을 알고 이 기회를 잘 활용했으면 한다.


보안 전문가가 제시하는 효과적인 공부 방법


개강식에 이어 김태일 FSK 시큐리티 부장이 본격적인 첫 수업을 진행했다. 그는 '정보 보안은 IT 종합 예술'이라며 전 분야에 대한 전문가가 되어야 살아남는다고 강조했다. 

"유사한 과정을 이수한 분들을 보면서 차이는 단 하나라는 것을 느꼈다. 바로 얼마만큼 공부를 하느냐는 것. ‘무료 교육 과정이니까 자신의 돈을 낸 것도 아닌데 다음에 다른 곳에서 배워야지’ 하는 생각을 할 수 있다. 하지만 절대적인 시간을 투자해야 한다. 이 과정이 끝이 아니고 정보보안 전문가의 출발점이 될 것이다. 그때부터는 알려주는 사람이 없다."

김태일 FSK 시큐리티 부장

이어서 보안 전문가가 되려면 어떻게 공부하는 것이 효과적인지 경험자로서 실질적인 가이드라인을 제시했다.

1. 검색엔진 활용하지 마라.

바보가 되고 싶으면 검색엔진을 사용해라. 문제에 봉착하면 생각을 안 하는 것이 문제다. 검색으로 기초자료를 수집하는 것은 좋다. 그러나 문제가 생길 때마다 고민을 안하고 답을 찾아서 하면 훌륭한 엔지니어가 될 수 없다. 
평소에는 차이가 나지 않으나 문제 해결 능력에서 차이가 난다. 이런 차이는 평상시 작은 습관에서 나온다. 충분히 생각한 다음에 주변에 물어본 뒤 사용하라. 그리고 강사들을 검색 엔진처럼 사용하지 마라. '제 생각은 이런데 어떻게 해야 합니까?' 이런 식으로 문제를 충분히 생각한 뒤에 질문을 했으면 한다. 덥석덥석 받아먹지 말고 문제를 스스로 해결하는 자세로.

2. 매뉴얼 파일 잘 읽어라. 

Help나 매뉴얼에 답이 나와 있다. 사용법을 모르는데 어떻게 해야 할 것인가? 바로 Help 파일에 있다. 그만한 정보는 어디에도 없다. 모든 명령어가 Help, 매뉴얼에 있으니 스스로 터득하는 능력을 길러라.

3. 툴 사용법에 목메지 마라.
 
무림의 절대고수는 나뭇가지로 싸운다. 보안도 마찬가지다. 기술의 뿌리를 익혀야 하는 것이다. 툴 사용법을 마스터하는 것만큼 시간 낭비가 없다. 
해킹 공격 기법의 근본, 취약의 원인을 분석하다보면 툴 사용법은 자연스럽게 익히게 된다. 아무거나 주어도 사용할 수 있는 사람이 되어야 한다. 원리 위주로 학습을 해라.

4. 실 사이트를 대상으로 테스트하지 마라. 
 
지금은 '소림사'에 입문을 한 것이다. 5개월 동안 수련한 '정권 지르기' 하나로 강호에 나가면 얻어맞는다. 
모의해킹 컨설턴트에게 가장 필요한 것은 '윤리의식'이다.

3~4년 전에 사건 하나가 있었다. 교육을 받았던 모 수강생이 수업 시간에 배운 내용으로 해당 사이트가 아주 좋은 교보재가 되어서 DB를 긁어왔다. '해킹'을 한 것이다. 모 수강생을 그렇게 교육 과정을 수료하고 '해킹' 사실을 잊고 있었다. 
하지만 취업 후, 해당 사이트의 관리자가 그 사실을 발견해서 손해배상을 요구했다. 결국 벌금형을 받았다.
 
모의해킹을 하면 지식경제부에서 정보보호 전문 인력으로 등재하는데 범죄 기록이 있으면 등재가 안 된다. 교육을 시작할 때 '윤리 서약서'를 줄 것이다. 모든 책임을 지는 것이다. 실제 상황이다. 조금 더 나아가고 싶은 마음이 들겠지만 제한된 환경에서도 충분히 할 수 있다. Ahn

 
대학생기자 김재기 / 한양대 안산 컴퓨터공학과

해보지도 않고 포기하는 것은 현명하지 않은 일이라고 생각합니다.
타고난 천재가 아닌 이상 처음부터 잘하는 사람은 없겠지요.
새로운 것에 도전하고 항상 노력하는 대학생기자 김재기입니다.