대한민국 보안 역사에서 빠지지 않는 사건인 KAIST와 포항공대(현 POSTECH)의 해킹 전쟁(1996년)으로 유명한 KAIST의 해킹 동아리 쿠스(KUS) 해커 출신 보안전문가 김휘강 교수는 해커스랩 리뉴얼을 축하하며 대한민국 보안을 조망하고, 후배들을 위한 조언과 근황을 전한다.
안녕하세요, 저는 김휘강이라고 합니다. 에이쓰리시큐리티컨설팅(현 에이쓰리시큐리티)을 1999년 8월에 창업해서 보안컨설팅 분야에서 일을 제법 오래 했었고요, 그 뒤에 엔씨소프트에 입사해서 정보보안실장을 맡아 2004년부터 2010년 2월까지 본사, 지사들의 보안업무를 했었습니다. 2010년 3월부터는 고려대학교 정보보호대학원, 그리고 사이버국방학과에서 부교수로 재직 중에 있습니다.
1. 해킹은 언제 어떻게 왜 시작하셨는지요?
해킹을 시작하게 된 계기: 고등학교 때 전산실에 UNIX 실습환경이 구축이 되어 있어서 운이 좋게 1992년 정도부터 UNIX 를 써볼 수 있었던 것이 계기가 되었습니다. 고등학교 시절에야 UNIX 에서 C언어 개발하는 실습을 배우던 시절이라서, 할 수 있는 장난이라고는 퍼미션 세팅이 잘못 된 친구 홈디렉토리에 들어가서 파일 만들어 놓아서 놀라게 해주고 온다거나, 여학생 터미널에 write 로 메시지 계속 보내 본다던지, 시스템에 장난스러운 wall 메시지 보낸다거나… 하던 것들이 고작이었으니 실제로 고등학교 때에 해킹을 했다거나 한 것은 아닙니다. 다만 고등학교 2학년 방학 때 서점에 가서 UNIX SYSTEM V 관련된 책을 (그 때 당시로는 제법 주머니 돈을 털어서) 구매한 뒤에, 명령어 샅샅이 외우면서 공부했던 것이 보안분야 내지는 해킹을 시작하게 된 본격적인 계기였던 것 같습니다.
KAIST에 진학한 후에 SPARCS 라고 하는 동아리와 KUS 라고 하는 동아리 활동을 열심히 했었는데요. 두 동아리 활동이 현재 제 진로를 만들어내는데에 큰 영향을 주었습니다. 동아리 선배님들이 워낙 출중하셔서 선배님들 활동 덕분에 동아리의 이름이 잘 알려져 있던 상태였고요. 그 덕분에 프로그램 알바, 전문서적 번역 알바, 학교 전산실이나 시스템공학연구소 (SERI)에서 UNIX 서버 관리 알바, CERT 알바를 다양하게 할 기회가 많이 주어졌습니다. 또 제가 워낙 공부 보다는 일하는 걸 더 좋아했고요. 보안쪽 일을 학부생 시절부터 자주 하다 보니 결국은 창업으로 이어져서 보안이 결국은 제 평생의 종사 분야가 되었습니다.
해킹해서 좋은 점: 고등학교 때부터 노력을 해도 따라가기 힘든 친구들을 하도 많이 보다 보니, 의외로 제가 경쟁력 없을 것 같다 싶은 분야에서는 포기가 빠르고 남들이 손 안대고 제가 잘 할 만한 일들을 빨리 찾아내는 데 익숙한 편입니다. 😉 학부생 시절에는 남들이 잘 안 하던 분야로 들어가다 보니 조금만 노력을 해도 두각을 보일 수 있어서 자신감을 얻는데 꽤 도움이 되었습니다. 어찌보면 철없던 대학생 시절인지라, 나는 남들이 못하는 거 할 줄 안다는 것에 기분이 우쭐우쭐 했던 면이 제법 있었고요. 남들이 쉽게 만지지 못하는 시스템들 관리하다 보니 더 시스템 쪽 공부를 하게 되고 학생 기준에서는 제법 큰 돈을 만지는 아르바이트들이 지속적으로 들어오다 보니 경제적으로 풍족한 면도 있었고, 일종의 선순환이 계속 발생할 수 있어서 즐거웠습니다.
즐겁기도 했지만 가장 도전적인 일들이 많았던 시절은 에이쓰리시큐리티 재직시절인데요. 어린 나이에 컨설팅 일을 하면서 사업을 꾸리다 보니 힘든 일도 무척 많았습니다. 젊은 나이에 납득하기 어려운 고객들의 갑질도 있었고, 밤샘도 수시로 하고, 사업 스트레스도 있고… 그래도 실력이 뛰어난 분들과 같이 일할 수 있었고 정말 많은 경험을 한 것 같아 좋았습니다.
그때 쌓았던 경험이 엔씨소프트에 가서도 안착하는데 큰 도움이 되었습니다. 온라인 게임의 전성기에 최고의 회사에 들어가서 흥미진진하게 일을 정말로 미친듯이 했던 것 같습니다. 운이 잘 따라서 좋은 동료들을 만났고, 부서에서 해냈던 일들도 인정을 잘 받았고, 저도 또 있는 힘껏 회사를 위해 일하고 너무나 즐거웠던 나날이었습니다.
요약하면… 결국 좋아하는 이유는 해킹, 보안을 해온 덕분에 훌륭한 분들도 많이 만날 수 있었고 적성에 맞는 일이 직업으로 잘 이어져서 인 것 같습니다.
2. 해커스랩과 얽힌 기억에 남는 일은? 해커스랩은 어떤 곳이었습니까?
사실 인터뷰 요청을 해주셔서 놀랐습니다. 왜냐면 저는 해커스랩에 근무해 본 경험은 없고요, 오히려 해커스랩 경쟁사에서 근무한 ^^;; 경우이기 때문입니다. 해커스랩은 제가 에이쓰리시큐리티컨설팅에서 일하던 당시에 꽤나 포지셔닝이 비슷한 (모의해킹, 취약점 분석에 강점이 높은) 컨설팅 서비스를 제공하고 있었기 때문에 컨설팅 프로젝트 RFP가 뜰때마다 경쟁자로 만나게 되는 관계였습니다. 하지만 선배나 지인들도 많이 해커스랩에 있고 때로는 컨소시엄을 맺어서 같이 수주한 프로젝트도 있었기 때문에 에이쓰리시큐리티컨설팅과 해커스랩은 다소 고상하게 표현하면 경쟁적 협력관계 내지는 협력적 경쟁관계였던 것 같습니다.
해커스랩은 저와 타고 있는 배는 달랐지만 모의해킹이라든가 기술이 중심이 된 컨설팅을 하는 회사로 인재풀이 많은 곳이었다는 것이 기억에 남습니다.
3. 보안에 관하여 하고 싶으신 말씀은?
음, 2000년대 후반까지라면 보안분야에서 일하는 것이 처우가 좋지 않거나, 처우가 좋더라도 격무에 시달린다거나 두가지로 요약될 수 있었고요. 배움의 길도 넓다고 볼 수는 없어서 독학을 하거나 커뮤니티 활동을 하면서 배우거나, 아니면 현업에 들어가서 현장업무를 구르면서 배우는 경우들 정도라고 해도 과언은 아닌 정도였습니다.
지금은 보안회사에서 일하는 것 외에도 회계법인, 법무법인, 민간기업의 보안담당자, 수사기관 등 길이 다양하게 열린 것 같고, 처우도 좋은 기업들도 늘어나고 있고요. 배움의 기회나 다양성이 열린 점이 긍정적인 것 같습니다.
물론 기업에서 보안에 대해 투자를 늘리고, 보안담당자들에 대해 더 처우를 개선되고 더 다채로운 직무가 열리면 좋겠습니다. 특히 20~35세에 가장 절정의 역량을 보이며 집중적으로 할 수 있는 업무 – 예컨데 모의해킹, 제로데이 취약점 발견과 같은 일들은 이쪽 업의 특성을 이해해서 단가를 높여야 좋다고 생각됩니다.
현재는 기본적으로 많은 직장들이 경력 년차에 따른 연봉테이블을 기본으로 삼고 거기에 능력치와 성과에 따른 부가 성과급을 부여하는 연봉체계가 많아서 훌륭한 역량을 가졌어도 학력이나 경력이 짧다는 이유로 적절한 대우를 받기 어려운 면도 있습니다. (물론 기왕 조직에 소속되어 일을 소위 ‘잘’ 한다면 조직에 적응하는 능력도 있어야 하고, 협업능력이나 커뮤니케이션 스킬도 뛰어나야 합니다. 또 대개는 이런 역량들이 연륜과 상관관계가 있기도 하고요.)
음 다만 사족이지만, 요즘 일부 분들이 ‘취약점 연구만 하면서 살고 싶다’ 라든가 ‘버그바운티 만으로 평생 먹고 살고 싶다’ 라고 말씀하시는게 아직은 지속적으로 가능하다고 보긴 어렵습니다. 산업이 그만큼 성숙해서 고도화 되지 않은 데다가, 이렇게 cutting-edge 까지 간 분야는 정말로 뛰어난 소수의 분들이 그 열매를 얻는 것인데, 아무래도 화려하고 멋져 보이다 보니 저 길만이 유일한 길인 것처럼 다들 특정 분야에만 편중해서 자신의 공부나 업무범위를 좁혀 잡는 것은 피하면 좋지 않을까 생각됩니다.
농담반 진담반 삼아서 말씀드리면, 이런 광경을 상상해 보세요. 나이 50세에 자녀가 대학에 들어가야 해서 등록금 부담이 시작되고, 프리랜서로 뛰다보니 벌이가 들쭉날쭉하고, 오늘은 모의해킹 일감 안들어오나 지인들에게 카톡 문자 돌리고… 지난번에 발견한 버그는 고생해서 발견했건만 상금 100만원 밖에 안준다고 하고, 이번달에 모처럼 발견한 버그는 남이 이미 발견한 거라고 상금 줄수 없다고 하고… 집에 우유랑 쌀이 떨어져 간다고 일주일 째 부인이 화가 나 있는데 분석 중인 크롬 브라우져에 취약점이 안터지고 이번달도 굶는 건가… 100세까지 사는 시대인데 지속가능한 업은 없을까, 보안을 선택한 것은 잘못이었나 라고 후회하는 중년의 광경 말이지요. 🙁
네, 이야기가 길어졌습니다. 결론적으로 처우에 대한 것은 점차 나아질 것이라 기대를 하고요.
국내 보안 문제점: 국내 보안의 문제점은 비용효율성만 따지다 보니 출시한 제품에 대해 지속적으로 보안 업데이트를 제공해 준다거나, 개발 단계부터 취약점을 제거하려고 노력 한다거나 하는 문화가 확산이 덜 된 점인 것 같습니다. 포털, 온라인게임, 뱅킹과 같이 지속적으로 노력을 해온 분야도 있지만, 기존 전통적인 제품들 (자동차, 제어센서 등)에까지 보안업계 종사자들이 기대하는 수준만큼으로 확산이 되려면 시간이 최소 5~10년쯤은 더 걸릴 것 같습니다. 확산이 되면서 보안 종사자들이 일할 수 있는 기회는 점점 커지면서 선순환이 이루어지지 않을까 생각됩니다.
4. 10년 전과 지금과 비교해 보안은 어떻게 달라진 것 같습니까? 향후 전망은?
2010년 6월말에 버그트럭 행사인 ‘버그를 마시자’ 에서 “학생 vs 회사내보안담당자 vs 보안회사종사자” 라는 제목으로 발표(PDF)를 했던 적이 있습니다. 지금 돌이켜 보면 여전히 그때 생각과 맞는 부분도 있고, 일부는 생각이 변한 점도 있습니다. 사실 해커가 인위적으로 육성한다고 길러지는 것은 아니다라고 생각을 하고 있었고, 해커를 기르자, 화이트햇 해커 육성하는데 투자하자라고 공염불을 들어온 것도 한두 번이 아니었던 지라 인위적으로 보안인력양성을 하는 것에 회의적이었는데요. BoB 와 같은 성공사례들을 보면서 훌륭한 리더와 예산, 그리고 정열적인 멘토들이 모이면 달라질 수 있구나 라고 생각을 바꾼 부분도 있습니다.
5. 해킹을 하거나 정보보안 관심있는 후배에게 들려주고 싶은 말씀이 있다면?
저 스스로를 냉정히 돌아보면, first mover 의 이점을 많이 누린 것 같습니다. 먼저 보안을 시작했고, 그 덕에 조기에 안착하고 더 좋은 기회를 먼저 누렸고요.
프로그래밍 언어, OS, 네트워크에 더 기초를 다지고 나서 보안을 시작했어야 하는데 기초 공사 없이 남들과 달라보이고 싶어서 보안 쪽에 발을 들여놓게 되었는데요. 지금 뒤돌아 보면 제대로 전산학의 깊은 곳을 가보기도 전에 좁은 분야를 먼저 선정한 것이 꼭 잘한 것은 아닌 것 같습니다. 좀 더 프로그래밍과 시스템과 네트워크를 깊이 공부하고 자연스레 보안을 익혔다면 더 큰 성과를 냈을 것 같다고 후회가 되기도 하고요. 그래서 가끔 밑천 없이 (근본 없이) 보안만 익혀 보려는 학생들을 보면 걱정이 되기도 합니다.
6. 그밖에 하고 싶은 말씀, 앞으로 바라는 점은?
해커들이 놀 수 있는 여러 훈련장이나 교육 지원 체계들이 제법 생겨났지만, 사람들이 해커스랩을 많이 추억하는 이유는, 90년대 말에 정말 이른 시기에 해킹 연습을 해볼 수 있는 프리해킹존을 과감히 서비스 했었고 그 덕에 많은 사람들이 보안에 관심을 갖고 즐겼으며, 결국은 보안 1~2 세대들이 크는 데 밀알이 되었기 때문인 것 같습니다. 사이트 리뉴얼 하신 것 진심으로 축하드리고요, 앞으로도 많은 발전 있으시길 기원드립니다.
요 근래 저희 연구실에서 주력으로 하고 있는 연구 주제는 대략 3가지로 온라인게임보안 (Online Game Security), FDS (Fraud Detection System), 자동차 보안입니다. 특히 온라인게임보안 분야에서는 게임로그분석을 통해서 BOT, 계정도용, 작업장 이슈를 해결하는 연구프로젝트를 하고 있고요. 게임보안 분야에서는 논문, 프로젝트 실적을 가장 많이 쌓은 연구실이 되었습니다. 연구실 홈페이지는 ocslab.hksecurity.net 입니다. 많은 관심 부탁드립니다!