카이스트 출신 한국 해커의 미국 유학 생활 적응기

해외 보안 컨퍼런스중 가장 유명한 것이 블랙햇, 데프콘이다. 2011 8월 초, 라스베가스에서 열린 두 컨퍼런스에 참여하면서 국내에서는 잘 볼 수 없었던 여러 친구를 만날 수 있었다. 해킹대회(CTF)에 참여하는 해외팀 멤버뿐 아니라 카이스트 'GON' 팀의 멤버이자 현재는 조지아텍에서 박사 과정을 밟는 장영진 군을 만나 미국 유학 생활에 관한 이야기를 들어 보았다.

-언어, 문화적 차이 때문에 힘든 점과 한국의 대학원과 다른 점은 무엇인가?


# Conference Call(전화 회의)

상대방을 직접 만나서 대화를 하면 말뿐 아니라 제스처나 다른 방법으로 전달할 수 있지만, 전화 회의로는 말로 모든 것을 전달해야 한다. 숨겨진 의미를 모른다거나, 한국식 영어 때문에 의사 전달이 제대로 안 되는 문제도 있고, 전화 상에서 누가 말하고 있는지 헷갈리는 경우가 많았다. 외국인 입장에서 아시아권의 말이 모두 비슷하게 들리는 것처럼 전화 상에서 외국인의 목소리, 억양으로 사람을 구분하는 것은 쉽지 않다. 그래서 전화 회의가 있으면 한 시간 반 전부터 발표 연습하듯이 미리 준비하여 이제는 많이 익숙해졌다.

# Privacy

전화번호나 집주소 같은 것은 굉장히 사적인 것으로 생각하여 지금도 지도 교수의 핸드폰 번호를 모른다. 한 번은 여러 사람이 만나기로 한 자리에서 몇 시간을 기다렸는데 한 사람도 나타나지 않았다. 서로 전화번호를 모르니 E-mail이 오기만을 기다렸다. 전화 회의를 할 때도 약속 시간 두 시간 후에 사고가 나서 못 온다는 E-mail을 받은 적도 있다. 업무 시간에 전화로 상대방의 시간을 방해하지 않는 것이 한 편으로는 상대방을 배려하는 문화로 생각된다.

# 6시 신데렐라

위와 비슷한 맥락으로 자기 시간을 보내는 것을 매우 중요시한다. 공부하다가 5~6시 정도 되면 다들 집에 가고, 우리나라에서 공부하다가 다같이 술 한 잔 하러 간다거나 MT, 워크숍 같은 문화가 없다. 친한 친구 2~3명끼리 놀고, 어쩔 수 없이 모두 모였을 때 식사를 같이 하는 정도이다.


언어 장벽을 극복하기 위해 노력하는 모습이 가상한 한편, 몇 시간이나 자신의 시간을 허비할 만큼 남의 프라이버시를 존중하는 것이 놀라울 따름이다.   

-그렇다면, 미국이어서 좋은 점은 뭐가 있을까?

#  연구 환경

상대적으로 연구비가 많고 기자재 구입이 매우 자유로워 장비 지원에 어려움을 겪는 일은 없다. 또 연구해야 할 주제가 매우 다양해서 많은 경험을 쌓을 수 있다. 교수와는 수평적 관계로 서로 이름을 부르고 턱도 괴면서 말할 정도로 자유롭다. 우리나라에서는 밑에서 일하는 느낌을 받는 경우가 대부분이지만 여기서는 본인이 일을 도맡아 하고 교수는 지원해주는 형태로 자기 주도 문화가 강하다.
 


# 수업 시간

흔히, 한국 사람은 사고가 닫혔다고 하는 경우가 종종 있다. 이곳에 와서 왜 우리 사고가 닫혀 있다고 하는지 알게 되었다. 열린 사고의 단적인 예는 모르는 부분을 남 눈치 보지 않고 누가 어떻게 생각하든 상관 없이 질문한다는 것. "몰라야 창의성이 발휘된다"라는 말이 있듯이, 본인이 틀려도 상관 없이 질문을 하다보면 쓸데없는 질문에서조차 좋은 내용을 건지는 경우가 있다. 실제 이런 질문에서 얻은 내용이 논문으로 작성된 적도 있다고 한다. 


금요일에는 파티 복장을 입는 자유로움과 개인의 개성을 인정하는 이들의 삶에서 우리도 생각해 볼 부분이 있다. 남을 인정해주는 문화, 그 사람의 가치를 찾아주려는 것이다. 못하면 낙오자가 되는 것이 아니라 잘하는 것을 더 북돋워주는 부분은 우리도 배워야 할 자세가 아닐까. 마지막으로 (화이트 햇) 해커에 대한 질문을 던졌다.

-당신은 해커인가?

굳이 해커라기보다 재미있는 것을 하고 싶어서 해킹대회에 나간 것이다. 현재는 연구하는 것이 곧 게임같이 느껴진다. 다른 취미 생활을 찾지 않아도 여기서 재미를 느낀다.
 


-우리나라에 해커가 있다고 생각하는가?


2~3명 정도 있다고 생각한다. 우리나라는 해커가 만들어지기 어려운 환경이다. 남들이 주목하는 것을 하는 게 아니라 자기가 열심히 한 결과가 다른 사람들로부터 주목 받는 것이 되어야 한다. 돈이 되는 대세에 흘러가는 사람이 많은 것 같다. 안드로이드가 대세다 하면 갔다가 하는 식으로. 자기가 좋아하는 것을 하는 것이 맞지 않은가.


그리하여 그가 던진 마지막 메시지는 이것이었다.

많은 것을 잘하기보다, 

주변 사람들이 좋다고 하는 것을 하는 것보다, 
 
자기가 좋아하는 것을 해라!
 
Ahn

사내기자 박정우 / ASEC A-FIRST


사람이지만 주로 '개구리'로 많이 알려져 있으며,


재밌고 따뜻한 보안세상을 만들기 위해 연구하고 있습니다 


댓글을 달아 주세요

  1. 노펫 2011.08.17 10:30  Address |  Modify / Delete |  Reply

    재밌는 글 잘봤습니다.
    인생은 여러가지 길이 있는 것 같습니다.
    성공적인 유학생활하시기를 바래봅니다.
    노펫

  2. 작두 2011.08.17 17:08  Address |  Modify / Delete |  Reply

    영진이형 짱♥

  3. 하하 2011.08.17 18:13  Address |  Modify / Delete |  Reply

    영진이형 짱♥

  4. 하나뿐인지구 2011.08.18 12:48  Address |  Modify / Delete |  Reply

    안철수 교수님께서도...
    미국 유학 두번(?) 다녀오신 걸로 알고 있는데...
    ...
    한국 사람들은...문제 해결을 하라면 잘 하는데...
    왜 하는 건지 물으면 그다지 잘...
    미국 교수분이 말씀했다고 인터뷰서 말씀하셨던 게 생각이...
    http://news.naver.com/main/read.nhn?oid=032&aid=0002130825

  5. phantom0308 2014.08.15 01:14  Address |  Modify / Delete |  Reply

    와... 정말 명언이네요.

국제해킹대회 참가해 목격한 한국인의 활약상

현장속으로/세미나 2010. 9. 13. 06:00

올해로 18회를 맞은 데프콘(DEFCON, http://defcon.org)은 매년 미국 라스베이거스에서 열리는 세계 최대의 해커 컨퍼러스로서 각종 해킹/보안 관련 발표와 이벤트가 진행된다.

데프콘이 열린 Riviera 호텔. 내년에는 Rio 호텔에서 열릴 예정이다.

데프콘 행사장에 입장하려면 먼저 등록을 해야 한다. 데프콘은 온라인 사전 등록 없이 직접 현장에서 등록해야 하며, 시작 전날부터 행사장 입구에서 가능하다. 당일 오전에는 엄청나게 긴 줄을 서서 기다려야 하고, 전날 하더라도 약간 줄을 서서 기다려야 하므로 서둘러 해야 한다. 앞서 열리는 블랙햇 행사장에서도 마지막 날 데프콘 등록을 할 수 있는데 역시 줄을 서서 기다려야 한다. 그만큼 인기가 높다. 등록을 빨리 해야 하는 또 다른 이유는 등록자에게 지급되는 뱃지의 수량이 넉넉하지 않기 때문이다.

데프콘18 뱃지

데프콘 뱃지는 전자 기판과 여러 가지 방법으로 출력이 가능한 LCD, 그리고 각종 회로와 칩으로 구성되어 있다. 발표 자료와 함께 제공되는 CD에는 해당 뱃지를 조작할 수 있는 메뉴얼과, 프로그래밍된 ROM의 원본 소스도 들어있다. 참가자는 이것들을 이용해 직접 자신의 뱃지를 멋있게 바꾼 뒤, ‘뱃지 해킹 컨테스트’에 참가할 수 있다.

이 뱃지는 데프콘에 참석하는 전체 인원만큼 제작되지 않으며(사실 정확한 참가 인원도 알 수 없다), 대부분 등록 초기에 동이 난다. 올해는 시작 전날 이미 물량이 소진되었다. 안타깝지만, 그 후에 등록하는 사람은 종이로 만들어진 뱃지를 받는다.

입장한 뒤 가장 먼저 접할 수 있는 곳은 이벤트 룸이다. 이곳에서는 대부분의 컨테스트와 재미있는 이벤트가 진행되며, 참석한 전세계 해커들이 서로 이야기를 나누며 쉴 수 있는 공간도 있다.

535개 팀 중 3위 차지한 카이스트-포항공대 연합 팀


데프콘 이벤트 중 국내에 잘 알려진 CTF(Capture The Flag; 팀 간 상호 공격과 방어를 하며 점수를 획득하기)는 본 컨퍼런스에서 진행되는 가장 큰 컨테스트이다. 이를 포함해 다채로운 행사 중 특기할 만한 것은 다음 7개이다. 

- Toxic BBQ : 데프콘 시작 전날 저녁에 선셋 파크(Sunset Park)에서 열리는 BBQ 파티다. 참가자들이 준비해온 음식을 서로 나눠 먹으며 돈독한 우정(?)을 쌓을 수 있다.

다양한 행사가 이벤트가 열리는 이벤트 룸

- CTF : 국내에도 잘 알려진 해킹대회로서 좋은 성적을 거두려면 다양한 분야의 전문적인 기술은 물론, 팀원 간 호흡과 믿음이 중요하다. 우리나라 팀도 2006년(데프콘14)부터 꾸준히 본선에 진출했으며, 올해는 카이스트(KAIST)와 포스텍(포항공대) 연합 팀이 본선에 진출했다. 대회 초반부터 1위 자리를 지켰지만 결과는 아쉽게 3위에 머물렀다. 하지만 총 535개 팀 중 3위이니 매우 좋은 성적이다. 또한, 국내 대학생들이 서로 도와 힘을 합쳐서 이루어낸 결과이기 때문에 더욱 더 의미가 크다. :)

CTF에 참가한 KAIST-POSTECH 연합 팀 (출처 : 보안뉴스)

- oCTF(Open CTF) : 앞서 언급한 CTF는 전세계의 수많은 팀과 온라인으로 예선을 거친 후 본선에 진출해야 참가 가능하지만, 이러한 절차 없이 데프콘 현장에서 바로 즐길 수 있는 것이 바로 oCTF이다. 예전에는 aCTF(amateur CTF)라는 이름을 사용했다. 실제로 CTF 문제와 비교해봐도 결코 쉬운 문제는 아니다. 다만, CTF는 바이너리와 리버싱이 꼭 필요한 문제가 주로 출제되지만, oCTF는 웹과 프로그래밍 관련 문제도 많이 출제된다. 온라인 워 게임(war game)이나 국내 해킹대회에 익숙한 우리나라 사람이 비교적 쉽게 접근할 수 있는 대회인 것 같다. 실제로, 데프콘16 oCTF에 우연히 출전한 우리나라 팀 ‘DDUCK’이 룰도 잘 모르는 상태에서(심지어 대회가 끝날 때까지도) 엄청난 집중력(?)을 발휘해 준우승을 차지하기도 했다.

- Wall of Sheep : 데프콘 측에서 공식적으로 인터넷을 사용할 수 있도록 무선 네트워크를 제공하지만, 이 네트워크를 사용하는 사람들에 대한 개인 정보를 와이파이(wifi) 스니핑 등으로 마음껏 수집해 이벤트 룸의 스크린에 공개한다. 해당 네트워크에서 어떠한 사이트에 로그인을 하면 ID와 PW가 모든 사람에게 공개된다. 물론 전부 보여주지 않고 일부는 *표 처리한다.

Wall of Sheep (출처-vissago)

- CTP(Capture The Packet) : 올해 처음 시작된 패킷 분석 대회이다. 예선에서 우승한 팀들이 마지막 결선에서 최종 우승을 놓고 겨룬다. 각 팀은 문제 페이지에서 각 문제를 확인하고, 네트워크에 발생하는 패킷을 분석한 뒤 답을 찾는다. 이번 대회의 1등에게는 아이패드(세상에!)가 제공되었다. 우리나라 팀인 't2'(팀명을 'tg'라고 제출했는데, 운영진이 g를 2로 해석했다는 안타까운 이야기)가 2위를 차지했는데, 대회가 끝난 후에야 1등 하면 아이패드를 받을 수 있다는 사실을 알았다. 알았다면 더 열심히 했을 듯.

- Crack Me If You Can : 암호화한 패스워드를 최대한 많이 크랙(복호화하여 원본 패스워드 찾기)하는 대회이다. 크랙 방식에 제한이 없기 때문에 최대한 효율적인 알고리즘과 컴퓨팅 파워를 이용해야 한다.

- Beverage Cooling Contraption Contest : 데프콘이 시작되기 전에 진행되는 것으로서 맥주를 최대한 빠르고 차갑게 만드는 것이 목표이다. 역시 방식은 제한이 없다. 수상자들이 사용한 방식과 결과는 데프콘 마지막에 진행되는 폐회식(closing ceremony) 때 공개된다.

모든 이벤트와 발표가 끝나면, 모든 참가자와 발표자가 한 곳에 모여서 폐회식을 진행한다. 각종 이벤트에 대한 시상이나, 이번 데프콘 운영에 관한 평가 등이 자유로운 분위기에서 진행된다. 데프콘 행사 일정에 나와 있지 않더라도(올해가 그랬다) 꼭 참석해야 하는, 재미있는 순서이다.

자신감으로 해낸 생애 첫 국제 컨퍼런스 발표

 
한편, 올해 데프콘에는 총 5개의 트랙(발표장)에서 다양한 발표가 진행되었다. 발표 내용은 웹사이트(https://www.defcon.org/html/defcon-18/dc-18-speakers.html)에서 확인할 수 있다. 주요 발표 자료가 공개되며, 추후에는 발표 동영상도 공개된다. :)

나는 작년까지 CTF에 참가하거나 각종 이벤트를 즐기고 발표를 들으러 참가했지만, 이번에는 직접 발표를 했다. '임베디드 시스템 환경에서의 보안문제'로 휴대용 게임기와 콘솔 게임기가 해킹에 이용되면 얼마나 위험한지를 발표했다.
*관련 인터뷰 “게임기도 해킹 도구로 이용될 수 있어요!!!”


국외에서 하는 발표는 처음인데다가 꿈에 그리던 엄청난(?) 곳에서 해야 했기 때문에 떨리고 무섭기까지 했다. 물론 혼자가 아닌 듬직한 동생과 함께 하는 발표였기에 자신은 있었다. :) 영어 때문에 국제 행사에서 발표하기가 부담스러운 건 사실이다. 하지만 블랙햇이나 데프콘 등 국제 컨퍼런스의 영어 발표를 들어보면, 모든 발표자가 영어를 잘하는 것은 아니기 때문에 자신 있게 도전하는 것이 좋다! 

<데프콘에서 발표하기까지 과정> 

-발표 내용, 어떻게 발표할 것인지를 알리는 CFP(Call For Paper)를 제출한다. CFP 제출 기한과 방식은 웹에 공개되며, 정해진 양식에 따라 작성하면 된다.

-발표 수락 메일이 오면 지정된 날짜까지 발표 자료와 발표자 소개 등을 보낸다. 혹시 기한 내에 전달하지 못하더라도 담당자와 연락해 진행 상황만 알려주면 문제 없다.

-발표 준비를 열심히 한 뒤, 발표 전날 발표자 등록 장소에 가서 등록한다.

-발표 당일 30분 전까지 발표자 대기 장소로 가서 발표 준비가 되었음을 알리고 기다린다. 자원봉사자의 안내에 따라 발표장으로 이동해 준비한 대로 잘 발표하면 된다. Ahn 
 

사내기자 하동주 / 시큐리티대응센터(ASEC) 주임연구원

'착한 아이'라는 뜻이지만 '착잡한 아이'라고 더 많이 불리는 '착이'라는 별명을 가진 하동주 연구원은 오늘도 안철수연구소에서 동료들과 함께 우리나라를 지키고 있다.


 

댓글을 달아 주세요

  1. 율무 2010.09.13 10:56  Address |  Modify / Delete |  Reply

    굉장하네요! 뭔가 이렇게 많은 일들이;;; 거기다 무려 영어로 발표까지 하셨다니.. 영어로는 맥도널드에서 빅맥도 못사먹을거 같은 저로서는 그저 대단하단 생각이 들 뿐입니다!

  2. 꼬마낙타 2010.09.13 11:17  Address |  Modify / Delete |  Reply

    한국 해커들의 실력이 점점 상승하고 있다죠..
    보안 강국으로 발돋움 할 수 있기를 바랍니다. ^^

  3. 우끼끼양 2010.09.16 13:39  Address |  Modify / Delete |  Reply

    월간 마소에 나온 관련 기사도 잘 보았습니다!! ㅎㅎ

  4. 해커팬 2016.09.28 18:10  Address |  Modify / Delete |  Reply

    우리측 고위관료가 3위했다고 폐인을 분석하고 보고하라내요 우리나라팀이 10명밖에 안되는데
    2박3일동안 쉬지않고 굴렸으면서

보안 세미나, 국제해킹대회 기출문제풀이

현장속으로/세미나 2010. 7. 5. 06:30


7월 3일 숭실대에서 ‘코드엔진 2010(CodeEngn 2010)’이 개최되었다. 올해로 4회를 맞는 '코드엔진'은 리버싱을 주제로 공부를 하는 해커들이 모여서 발표하는 세미나이다. 그러다 보니 기술적인 발표가 이루어졌다. 국내에서 유명세로는 손꼽히는 세미나여서 그런지 세미나실에는 학생, 회사원 등으로 가득 메워졌다. 
 

첫 발표는 심준보(passket)씨의 'taint analysis for vulnerability discovery'였다. 프로그램의 취약점을 찾기 전에 하는 과정인 taint를 설명을 했다.

CPU에 instruction이 전달되기 전에 에뮬레이션에 입력되는 값을 가져와서 taint 검사를 한 후 CPU에 보낸다. 이로써 전달되는 값이 달라졌는지 확인하는 것이다. 그는 "zero-day(제로데이)를 찾기 위해 스스로 코드를 구현하는 것보단 버그를 찾기 위한 목적에 충실하여 taint 검사 후 다른 사람의 코드를 이용하는 것도 좋다."라고 말하였다.

다음은 KAIST의 보안 동아리인 Gon 소속이면서 Beistlab 소속인 김은수(hahah)씨의 ‘데프콘(DEFCON) 18 CTF 문제풀이’였다.

올해로 18번째를 맞은 데프콘은 매년 라스베이거스에서 개최되는 국제적인 해킹 컨퍼런스이다. 올해 예선은 다른 분야와 다른 난이도로 치러졌고, 그 중 바이너리 리버싱과 리모트 취약점 공격에 대한 문제 풀이를 했다. 발표자는 총 7문제의 문제 풀이를 하면서 기술적인 면과 해커의 센스를 보여주었다.

강병탁(window31)씨는 'Art of Keylogging'을 발표했다. 비밀번호를 바꾸고, 키보드 보안 솔루션을 깔아도 계정 해킹이 빈번하게 발생한다. 윈도우, 웹, 사회공학적 키로깅을 보여주었다.

윈도우와 웹의 경우 ID와 PW가 저장되는 구조체들로 인하여 후킹을 해서 정보를 빼오는 키로깅을 보여주었다. 또한 사회공학은 사람들의 ctrl+c 와 ctrl+v로 메모장에 ID와 PW를 저장하는 습관으로 인해 간단한 코드로 그 데이터를 해킹해가는 키로깅을 보여주었다.

장상근(MaX)씨의 ‘Fighting against Botnet'이란 제목으로 봇넷의 특징과 역사, 그리고 봇넷이 현재 어떠한 곳에 사용되는지 등을 발표했다.

봇넷이 피싱이나 스팸 등에 이용되어서 경제적으로 이득을 취하는 해커들이 있다는 것을 알리고, 봇넷을 최근 이슈인 차두리 로봇설에 빗대어 쉽게 설명했다.

'코드엔진'에서는 발표 외에도 4가지 이벤트를 준비했다. 일찍 온 참석자에게는 상품을, 가장 멀리서 온 사람에겐 다음 코드엔진 세미나 때 무료로 올 수 있는 기회를 제공했다. 또한 각 발표자가 내는 퀴즈를 맞추는 사람에겐 책을 증정하고, 집에서 자는 책을 저렴한 가격에 팔기도 했다. 리버싱을 공부하는 학생이나 회사원이라면 좋은 정보를 얻을 수 있는 추천할 만한 행사이다. 내년 5회 세미나를 기대하시길... Ahn
  

대학생기자 윤소희 / 순천향대 정보보호학과


윤소희가 '보안세상'에 왔습니다. 아직도 절 모르신다구요 ? 더 강한 파워, 더 색다른 매력, 더 불타는 열정으로 ! 풋풋함과 눈웃음까지 겸비한 여자! 그리고 뻔뻔함까지 ! 누구라도 기억할 만하지 않나요?



댓글을 달아 주세요

  1. 하나뿐인지구 2010.07.05 18:57  Address |  Modify / Delete |  Reply

    내년엔...쿨캣님이 발표하신다는 소문이...^^;...
    http://xcoolcat7.tistory.com/706

    • 쿨캣 2010.07.07 10:12  Address |  Modify / Delete

      이런... 안 뽑아주면 못하겠죠 @.@ 내년에 신청해볼까 합니다.

    • 하나뿐인지구 2010.07.08 14:26  Address |  Modify / Delete

      이 댓글 보고...당첨되신 줄...생각했...
      http://xcoolcat7.tistory.com/706#comment4793620

  2. 2010.07.09 10:43  Address |  Modify / Delete |  Reply

    비밀댓글입니다