국제해킹대회 우승자가 조언한 보안 수칙의 기본
지난 11월 29일 행정안전부·지식경제부·방송통신위원회의 주최로 ‘ISEC 2010'(제4회 통합 정보보호 구축전략 컨퍼런스)이 서울 코엑스 그랜드볼룸에서 개최되었다. 컨퍼런스의 중요 행사 중 하나는 세계 각지의 해커들이 실력을 겨루는 CTF(Capture The Flag; 팀 간 상호 공격과 방어를 하며 점수를 획득하기) 대회였다. 이번 대회에서는 '30대 중반부터 고등학생까지'라는 슬로건을 내건 nnns(남녀노소) 팀이 우승을 차지했다. 박원현씨(좌)와 이용일 팀장(우) ‘ISEC 2010' 대회 당일 전체 팀원과 함께 ‘ISEC 2010' 대회 당일 현장 모습
말 그대로 다양한 구성원이 모인 '남녀노소'팀의 우승 비결은 무엇일까? 또 이들이 생각하는, 일반인이 지켜야 할 정보보안 팁은 무엇일까? 이용일 팀장과 박원현씨를 직접 만나 이야기를 들어보았다.
팀원은 8명이고요. 홍일점인 안철수연구소 시큐리티대응센터 연구원, 다른 보안 회사 연구원, 대기업 보안 부서 직원, 정보 보호를 공부하는 대학원생, 고등학생이 한 명씩 있고, 세 명이 대학생입니다.
-다양한 배경을 가진 성별의 팀원이 모인 계기가 있나요?
사실 '남녀노소'팀은 이번 대회 준비를 위해 만들어진 팀이에요. 작년 데프콘에 'Song of freedom(자유의 노래)'라는 팀으로 출전하면서 알게 된 사람들인데, 이번 ISEC 대회는 최대 인원이 8명이라서 팀을 반으로 나누어 참여했습니다. 대회 때문에 생긴 팀이긴 하지만 앞으로도 계속 팀을 유지할 계획입니다.
-대회에 참가한 다른 팀은 대부분 직장인 모임이거나 대학교 동아리처럼 공통 분모가 있는 경우가 많은데 남녀노소 팀은 그에 비해 상당히 조건(서로 직업이 다르고, 사는 지역 역시 제각각)이 불리한 것 같아요. 이런 점을 극복하고 우승을 거머쥔 비결은 뭘까요?
팀원들이 서로를 존중하고 일을 맡기면 해낼 거라는 믿음을 가진 것이 비결인 것 같아요. 또 평소에 마주칠 일이 거의 없으니 그만큼 부딪힐 일도 없어서 떨어져 있다는 것이 오히려 플러스로 작용했던 것도 같고요. 사실 해킹 대회 우승은 운도 많이 따라야 해요. 해킹은 이론적으로 문제 풀이 방법이 적립된 분야가 아니라서 현업의 실무자로 구성된 출제 위원의 성향에 따라 문제가 나오는 경우가 많거든요. 또, 밤을 새면서 문제 풀이를 해야 하기 때문에 당일 컨디션도 중요하고, 이런저런 변수가 있어 팀 간 실력 차는 있지만 부동의 1위는 존재하기 힘들다고 봐요. 저희도 이번에 우승을 했지만, 다음 대회에도 또 우승하리라고는 장담할 수 없죠.
지루함을 거쳐 문제를 풀어냈을 때의 쾌감으로 버텨내죠. 밤 새우며 10시간씩 같은 문제에 매달려서 결국 공격에 성공했다는 메시지를 보면 그 느낌은 말로 표현할 수가 없어요. 모래 사장에 숨겨져 있던 보물을 발견한 느낌이랄까요? 작년에 나갔던 대회에서 어떤 분은 너무 흥분한 나머지 다른 사람이 옆에 있다는 것마저도 잊고 크게 "만세!"를 외치기도 했어요. 옆에 있다가 깜짝 놀랐죠. (웃음) 해킹 동아리에 있는 친구들은 다 그 쾌감을 아는 친구들이에요. 이걸 못 느끼고 지루하다고 포기해 버리는 친구들은 금방 나가죠.
이번 대회도 비슷했어요. 오전 9시에 시작해서 밤 9시까지 12시간 정도 집중해서 문제를 풀었는데, 그 때 1등 팀과 점수 차이가 두 배 이상 났거든요. '안 되겠구나' 싶었지만 포기하지는 않았어요. 그렇게 밤새 조금씩 따라잡아 결국 대회 종료를 한 시간 남기고 역전할 수 있었죠.
-이번 대회의 컨셉이 '무선 인터넷과 스마트폰'이었는데 일반인에게 해당되는 내용도 있었나요?
실제로 대회는 일반 CTF 형식으로 이루어져서 그런 내용은 없었어요. 하지만 평소에 일반인도 보안에 신경 써야 한다고 생각해요. 당장 그 효과가 눈에 드러나는 건 아니지만, 한번 무너지면 그 피해가 막심한 게 보안이거든요. 우선 공용 컴퓨터에서 개인 정보가 유출될 수 있는 사이트에 로그인하거나 인터넷 뱅킹 등에 접속하는 것은 삼가는 게 좋아요. 컴퓨터에 백신이 깔려 있더라도 100% 안전한 건 아니거든요. 그리고 요즘 스마트폰이 보급되면서 무선 인터넷을 많이 쓰는데, 암호화하지 않아서 비밀번호 없이도 접속할 수 있는 무선 랜을 쓰는 건 위험해요. 마음만 먹으면 통신 내용을 가로채는 게 가능하거든요. PC용 웹브라우저로는 구글에서 만든 크롬을 추천하는 편이에요. 보안 관련 요소들을 잘 신경써서 만들었더군요.
(박원현) 보안 회사에 취업하고 싶어요. 게임 회사에도 관심이 있긴 한데, 게임 회사에서 일하더라도 따로 보안 공부는 계속 할 생각이에요. 제가 좋아서 하는 일이니까요.
(이용일) 저는 잘 모르겠어요. 보안으로 비지니스를 하는 건 힘들다는 것이 개인적인 생각이거든요. 실제로 실력이 있는 이들이 대기업이나 대학원처럼 안정된 진로를 택하는 경우도 많고요. 시장 규모도 작고 외국에 비해 보안 전문가에 대한 인식이 아직까지는 부족해서 망설여지네요.
-보안을 공부하고 싶은 사람에게 조언을 해준다면요?
특별히 보안을 공부하는 방법이 있다기보다는 그냥 좋아하고 잘하기 위해 노력하다 보면 길이 보이기 시작하는 것 같아요. 그래서 먼저 '좋아하는 것'이 제일 중요하다고 생각해요. 인터넷을 보면 보안 관련 컨퍼런스나 모임이 많은데, 그런 데 참석해서 사람들을 사귀고 정보를 얻는 것도 좋아요.
-마지막으로 하고 싶은 말은?
열심히 해 준 팀원들에게 감사의 말을 전하고 싶어요. 대회 준비를 가장 많이 하고 이번 대회에서 공격을 전담한 현우, 아침 일찍 대구에서 대회를 위해 올라와서 열심히 해준 해은님, 대회에서 마지막에 결정적 역할을 해준 승연이와 원현이, 회사 일로 바쁜 와중에 시간 쪼개서 대회에 참여해준 동기님, 본선 참여는 처음인데도 기대보다 굉장히 잘 문제를 풀어준 영빈이, 요즘에 몸도 안 좋고 여자라서 24시간 동안 체력적으로 부담도 컸을 텐데 열심히 해주신 정우님, 본선 진출에 가장 큰 일을 많이 한 막내 승연이. 모두에게 감사합니다. Ahn
사람은 누군가가 되어가는 작은 과정을 거친다고 합니다. 이 글을 읽는 여러분이 저의 작은 과정이 되어주실 수 있기를 바라봅니다.