대한민국 인터넷 설치를 위한 사이버물리적 노다가에 동참해 대한민국 인터넷 역사를 빛낸 산 증인이자 생존자. DOS의 원형인 Digital Research CP/M, 포트란, 어셈으로 컴퓨터에 입문한 이후 수많은 사건, 사고, 인물, 역사의 현장을 경험하며 업계 알만한 사람은 다 아는 오랜 경력과 후덕함의 소유자. 어느날 불현 깨달음을 얻어 ‘시스템 해킹’에서 ‘인생 해킹’으로 목표를 전환한 이후 ‘인생해커’ 수업을 착실히 쌓고 있는 그는 대한민국 보안의 과거와 현주소, 전망을 ‘역사란 현재와 과거의 끊임없는 대화’라는 E.H 카의 접근방식으로 예리하게 조명하고, 진귀한 사료 보따리를 풀어 그동안 알려지지 않았던 ‘전설’, 비화, ‘화석’, 비하인드 스토리를 재미나게 들려준다.
본인 소개를 부탁드립니다.
안녕하세요, 저는 김양욱이라고 합니다.
어쩌다 과학기술원이라는 곳에 입사하게 되서 팔자에 없는(입사동기들은 전부 MIS부서 발령) CSRC(전산연구실)에서 테크니션으로 일하게 되었습니다. 그곳에서 당시 실장을 겸임하시던 전길남 박사님의 연구소(SALAB)와의 인연이 시작되었고, 그렇게 해서 저는 이른바 대한민국 인터넷을 연결한다는 역사적 작업에 네트웍구축 담당자로 참여 하게 되었답니다.
56K,64K,256K를 지나 T1까지 .kr 도메인을 관리하던 SUN4를 운영하던 그 시절… 그러다가 1994년 인터넷 상용화의 물결을 타고 KORNET으로 인터넷 운영이 넘어갔습니다. 산학협동공개강좌 등을 맡으며 일의 재미를 상실하고 있던 참에 삼성의 제안으로 삼성 인력개발원(삼성국제경영연구소)에서 새롭게 일을 시작했습니다. 이른바 성인교육(HRD) 영역에 인터넷을 결합하는 일(웹기반교육)을 시도했습니다. 그곳에서 저는 제가 10여년을 숙성시켜온 사업 아이디어를 회사에 제출했는데(당시 유행하던 “eSAMSUNG”) 채택되지 않는 쓰라린 좌절을 겪어 홧김에 해커스랩으로 옮겼고, 교육사업본부 해커아카데미의 수장으로서 해커스랩에서의 일은 이렇게 시작이 되었습니다.
이후 SecurityMAP, STG시큐리티, KCC시큐리티등을 거쳐 주꾸미 잡는 어부가 되겠다는 평생의 꿈을 이루기 위해 위해 배 한척 사기 위해 얼마 전 SECUMINE이라는 회사를 만들어 스타트업 흉내를 내고 있습니다. 시큐마인을 통해 저는 보안에서 금광 찾기, Security Publishing을 이루어 보고자 합니다.
1. 해킹은 언제 어떻게 왜 시작하셨는지요?
저는 해커가 아닙니다. 다만 해킹을 잘하는 사람들 속에서 무려 27년을 살아 왔습니다. UNIX의 U자도 모르던 테크니션이 ELEXI, BSD시스템운영부터 각종 잡무(dacom을 거쳐 수령한 USENET NEWS REEL TAPE 로딩, 천장과 액세스플로어를 넘나들며 ThickCable 가설…)를 수행 했습니다. 그때 당시 한국의 인터넷 게이트웨이 시스템인 설악(sorak.kaist.ac.kr:VAX-11/750)의 console이 라인프린터 였습니다.
관리자로서 전산학과 학생들을 조교로 채용해 일하던 시절을 통해 수많은 사건과 천재 해커들을 알게 되었습니다. 가장 기억에 남은 사람은 전설의 해커 박모씨입니다. 그는 byte당 과금 하던 BSD기반 UUCP시스템 해킹을 식은죽 먹듯이 했고, 시스템을 자유자재로 활용했고, 해킹 흔적을 열심히 지워 누구도 모를거라고 휘파람 불던 그런 해커였죠. 그러던 그가 조교로 전산실에 들어와 콘솔에 몇 박스 쌓여 있는 로그를 보고 자지러지더군요. (로그는 분석하는 게 아니라 박스 교체용이라고 생각했던 담당자… 바로 저였습니다..) JAIST라는 일본의 KAIST 비슷한 곳을 넘나들고 CRAY에 계정 없으면 바보 취급(?)하며 과기대 기숙사에 근거지를 둔 ‘빠르다5’ 전사들도 기억에 남습니다. 그 외에 포항공대 사건, 인공위성센터나 바람의 나라 시스템 연동 등등 수많은 많은 보안 사건사고들을 거치거나 곁눈질 해왔죠. … 이후 해커스랩에 둥지를 틀고 보안교육사업에 본격적으로 매진했고요.
KUS, SPARCS 동아리 활동을 하던 시절,이 업계의 전설이던 친구들을 포함 학부생들은 저를 양팔이 아저씨라고 불렀습니다 (나이로 따지면 몇 살 차이도 안 나는데 40넘은 녀석들이 아직도.. TT). HANA 이사기관이었던 SERI 시스템공학연구소나, 포항공대, ETRI 등과의 업무를 통해서 실로 많은 일들을 겪었습니다.
그러다 보니 27년이 훌쩍 지나더군요. 이대로 멈출 수 없다는 생각에 몇년 전부터 인생을 해킹하는 방법은 무엇일까 ? 를 고민하게 되었고, 그러던 참에 HANA/SDN의 핵심 기관이었던 KORNET의 박모 아저씨의 이야기를 듣고 큰 깨달음을 얻었습니다. 수십년의 존재이유에 대한 고민 이야기였죠. 그때부터 저는 “관찰” 을 통한 “인생 해킹”을 목표로 인생해킹공부를 진행 중에 있습니다.
해킹해서 좋은 점:
해킹해서 좋은 점은 “0day에 만나는 극단의 희열”이라고 생각합니다. “성취의 자존을 만나는 순간” 이지요. 고요한 명상을 통한 삶의 한 장면에서 진정한 자아를 만나야 한다는 말이 있습니다. 도전(삽질)과 몰입(우연)으로 만나게 되는 0day 취약성도 이와 같은 맥락이 아닌가 생각합니다.
왜 사는가? 에 답해야 하는 인생해킹은 쉽게 되는 것이 아닌듯합니다. 평생의 과업이고, 숙련의길, 도의 길과 맞닿아 있기에 난해 하기도 하지만 재미가 있습니다. 창조의 과정, 반성의 삶, 보편적 가치의 삶과 맞닿아 있기에 무슨 일을 하더라도 병행 하면서 할 수가 있기 때문입니다.
내가 살다가 간 곳을 조금이라도 나은 곳으로 만드는 것을 목표로 삼는 인생 해커의 삶은 “배워서 남주자” 는 가치와도 연결되고,자손들에게도 부끄럽지 않는 삶을 안겨주는 효과도 있습니다.
해커스랩 관련해서 재미난 에피소드는 해커스랩 해커아카데미에서 만들었던 보안교육체계와 커리큘럼을 그대로 일본으로 수출했던 일입니다. 그 때를 생각하면 아직도 가슴이 두근거립니다. 공공기관과 대기업에서 돈을 쓰는 일을 하다가 돈을 벌어야 하는 사업 관점으로의 변화는 제 인생에 있어 새로운 경험이었습니다.
HACKERSLAB.ORG를 근간으로 KISA에 해킹대응훈련장 구축, 해커스랩 공인 자격 커리큘럼을 통한 보안 경력 관리 등 많은 일들을 했지만 가장 즐거웠던 건 젊은 피 해커들과 함께 한다는 그 자체였습니다.HACKERSLAB.ORG 프리해킹존을 통해 노는 것과 돈 버는 것 두가지의 조화를 모색하면서젊은 피들의 자유로운 발상과 상상력, 한계없는 능력에 감탄하고 공감하면서 함께 만들어 가는 작업은 엔도르핀이 치솟는 즐거움 그 자체였습니다. 제 인생 두고두고 잊지못할 행복한 순간이자 소중한 경험, 도전의 시간으로 기억될 것입니다.
2. 해커스랩과 얽힌 기억에 남는 일은? 해커스랩은 어떤 곳이었습니까?
올해 ORG 재건의 과업을 눈팅을 하면서 보다가 이어지는 인터뷰 글들을 보면서 숙제 안 한듯한 죄책감에 이제서야 털어 놓습니다. 가장 기억에 남는 일은 교육사업본부 구조조정을 마치고 회사를 떠나기 며칠 전 해커스랩 김창범 대표님과 지하에서 나눈 대화입니다. “ 소 잡은 갈이 있고 닭 잡는 칼이 있는데….” 지금 다시 생각해도 인생에 절절히 울리는 한마디가 아닐 수 없다는 생각이 듭니다.
어느 해 겨울이던가 눈이 겁나게 많이 온 날 해커스랩 사무실이 위치한 논현동 언덕길을 스노우보드 타고 스키타던 청춘들… 해외 보안 사정에 어두운 국내 언론의 허점을 이용해 사기를 치던 사기꾼 이 모씨의 행적을 추적했던 일, 모 정부부처의 비밀 프로젝트를 위한 T/F를 만들어 합숙하며 2G에 달하는 증적과 함께 취약점을 보고했으나 (정치적인 이유로) 장렬히 산화시켰던 일… 추억에 추억이 꼬리를 물고 떠오르네요.
해커스랩은 소 잡는 무딘 칼과 닭 잡는 예리한 칼을 하나로 합쳐 놓았던 것 같아요. 다용도 칼이었는데 그 칼을 만든 재료가 투탕카멘의 칼처럼 귀하디 귀한 외계에서 공수되었던 원철 이었던거 같습니다. 그런데 그런 장점이 오히려 세상이 요구하는 세련된 요리에는 케미를 맞추지 못하지 않았나 싶습니다.
실력에 따른 파격적 대우가 가능했던 곳, 보안교육의 메카. 상상을 현실로 만들어 내던 곳, 망함으로서 많은 인력을 국가에 봉사(?)하도록 하였던 곳. 그곳 출신들이 아직도 보안 업계를 접수하도록 각자 스스로들 단련했던 곳. 다양한 구성원이 다양한 목소리를 내던 곳 .. 그런 곳으로 기억됩니다.
해커 아카데미의 교육체계를 일본에 수출하고 일본을 방문했을 때 상대방 회사에서 나온 경력 간부들과의 술자리에서 느낀 야쿠자스런 분위기도 생각나고, 소주를 조금 따라 물로 희석해 마시던 그들에게 폭탄주 원샷을 연발하여 쓰러뜨린, 지금도 포렌직 전도사로 활동 중이신 이정남 원장님도 생각이 납니다. ㅎㅎ
3. 보안에 관하여 하고 싶으신 말씀은?
보안 업계에 계신 분들이나 사용자로 계시는 분들이 들으시면 집단린치를 하실지 모르겠는데 제 생각에 보안은 사기인 것 같습니다. 성숙하지 못한 컨설팅, 관제, 솔루션, 아키텍쳐, 방법론, ISP, 센터구축….등등 많은 영역에 사기가 존재한다고 봅니다.
어떤 분은 인생이 연극이듯 모든게 그러하다고도 하시던데… 음…. 가짜들에 의함 사기가 없어지지 않는 이유는 100% 완벽한 보안이 있을 수 없고, 아직까지는 절대적으로 공격자가 유리한 게임이기 때문이 아닌가 싶습니다.
보안은 사기다라는 명제 앞에는 “진실하지 않은” “성숙하지 않은” 이라는 접두사가 붙습니다. 교과서에 나오는 CIA를 지나고 , 보안은 관리다 와 Risk모델을 지나 컴플라이언스, 글로벌 스탠더드, 안전진단과 ISMS를 거쳐.개인정보영향평가. GRC의 성공사례를 보고자 많은 업계 종사자들이 오늘도 현장에서 열심히 일하고 있습니다.
국내 정보보호시장은 1조2천억의 규모를 형성하지만 김밥산업,커피산업에도 미치지 못하고 있는 것 역시 부정할 수 없는 현실입니다. 가장 주요한 한계는 글로벌로 나가지 못한 것에 있다고 봅니다.
이십년이 지난 현재 국내보안업계에 불고 있는 젊은 보안 스타트업의 최근 행보는 전통적인 보안시장에서 벗어나 이미 글로벌을 염두에 두고 움직이고 있습니다. 그간의 시행착오(시장을 위한 거름형성)를 바탕으로 국내보안시장의 한계를 극복하기 위한 발상의 전환이 도래하고 있다고 봅니다.
많이 회자되는 이스라엘의 모델도 좋겠지만 남북의 분단과 글로벌 강자의 사이에서 실력으로 무장한 젊은 기업인에 의해 우리의 지정학적 특성을 잘 활용하는 한국형 보안모델이 한류 문화의 한 축이 될 날을 기대해 봅니다.
공무원에 정보보호직렬이 신설되어 안정적인 공무원에 정착하는 경우도 많이 있을 것입니다. 사이버국방학과를 나온 신예인력들이 현업에서 일을 시작하였습니다. 경험 많은 1세대 해커들이 자동차회사,학교,회사 설립등으로 본질적인 변화를 위해 몸을 던지고 있습니다. 그 뒤를 이어 젊은 기업들이 글로벌 시장에서 능동적으로, 대표가 모범적으로 움직이고 있습니다.
보안에 있어 핵심적인 문화코드인 해킹을 바라보는 시각을 대승적으로 할 필요가 있다고 봅니다. 그러면 가능성을 가진 우리네 인력들은 그들의 존재를 글로벌 무대에서 꽃피우게 될 것입니다.
“보안은 사기(詐欺)를 넘어 국가의 사기(士氣)를 드높이는 사기(史記)에 남을 일 입니다.”
국내 보안 문제점:
국내 보안의 문제점은 많습니다. 그러나 좋은 사례들이 점점 더 많아지고 있다고 봅니다. 시행착오를 거쳐서 점점 더 본질적인 아키텍처를 고민하고 컴플라이언스와 통합모델을 만들어 내고,업종별 우수사례라 할만한 경험들이 늘어나고 있습니다.
이미 고가로 취약성분석 시장이 형성되어 있어 기존 산업군과 달리 실력대로 인정받을 수 있는 시장이 만들어져 있고, 각종 교육제도와 육성방안 및 지원체계의 구축, 그리고 실력 있는 보안분야 경력자들의 보안 창업이 계속되고 있습니다.
정보보호전문기업이 18개인가요 ? 정보보호전문 컨설팅을 할 수 있는 회사는 40개를 넘을 것입니다. 연륜과 규모, 라이센스보다는 전문적인 실력을 인정해주는 분위기는 점점 더 가속화 될 것입니다. 법률의 부띠끄 로펌의 경우처럼, 부띠끄 보안회사(보안의 넓은 영역에서 고유한 전문영역을 개척해 집중하는 전문회사)들이 점점 많아 지고 있습니다.
글로벌 제품이 소개되고 2년여 걸리던 과거와 달리 국산솔루션들이 1년이면 나오는 일들이 많아지고 있습니다. 격차가 줄은 것이지요. 이제 얼마 안 있어 개념을 선도하는 회사들도 곧 등장할 것을 믿습니다. 분명 업계에는 문제점도 많지만 긍정적인 시장의 신호도 점점 더 많아지고 있다고 생각합니다.
문제점이라기보다는 안타까운 점이 생각이 듭니다. 이제 정보보호개론을 넘어 보안관제학,보안경제학,보안경영학,취약성분석학,금융보안학,의료보안학,산업보안학,자동차보안학… 등등 전문적인 학문영역으로서 지속적으로 개발되고 고도화 되었으면 합니다.
또한 국가직무능력체계인 NCS의 보안영역이 별도로 만들어지지 않고 게다가 등급이 4단계까지 밖에 개발이 안되어 있는 것도 아쉬움이 있는데 보안분야의 전문기관과 나름의 전문가들이 관심을 가지지 않는 것도 아쉽고…. 예전에 보안에 관한 최고의 실무 일을 하던 조직중의 하나가 일을 외주 주고 관리 하는 조직화 되어가는 것은……. 디스가 아닌 개인적 아쉬움입니다. ^^
4. 10년 전과 지금과 비교해 보안은 어떻게 달라진 것 같습니까? 향후 전망은?
10년전이면 …2006년. 한 120개정도 되었을까요? 보안회사다라고 이야기 하던 게…지금은 한 200개 되나요 ? 학교는 지금은 40여개가 되었고, 보안책임자를 두는 조직이 500개(수치는 4000개?)는 될 것입니다. 공공의 정보보호직렬도 자리를 잡아가고 있지요…
이제 얼마 있으면 10년을 훌쩍 넘어 이십년이 다되어 가네요 .. 음…해랩시절 공격자의 행위를 실시간으로 보던 김창범 대표님이 만든 툴을 개선해 관제 일을 하다, 지금은 국가기관에서 일하던 친구가 생각납니다. 이제 실무로 무장한 그들이 슬슬 산업으로 나올 때가 되지 않았나 생각해 봅니다. RSA Amit Yoran이나 DarkTrace의 Jasper Graham 등의 사례가 국내에서 나오지 말라는 이유는 없다고 봅니다.
글로벌 회사의 보안전문기업 M&A는 계속되고 있고 신개념의 혁신적 솔루션들이 AI/클라우드/빅데이터/모바일/앱과 결합하며 나타나고 있습니다. 대기업의 관심도 증가하고 있고 물리적보안 산업보안과의 융 복합도 더욱 가속화 될 것입니다.
더불어 양적 확대와 질적 성숙이 같이 일어나고 있다고 보는데요. 모든 신생 업계가 초기에는 적당한 스펙이면 자리 갖던 시기가 있습니다. 그러나 이제는 보안 영역에서도 점점 더 사다리를 걷어차는 현상이 나타나고 있다고 봅니다. 긴장해야 합니다. 목표를 집중하고 몰입의 정도를 강하게 해야 합니다. 시간 빠르게 지나갑니다.
이제는 홀로 높은 교도소 담장을 걷는 해킹의 스릴도 좋지만 선입견에 물든 모든 산업 영역의 정상에 올라 시원한 바람을 동료들과 함께 맞는 것도 추천하고 싶네요. 높은 곳엔 아래서 상상하는 것보다 넓고 편안한 자리가 있다고 아직도 믿고 있습니다. ^^
5. 해킹을 하거나 정보보안 관심 있는 후배에게 들려주고 싶은 말씀이 있다면?
해킹.보안은 사용하는 사람에 의해 칼의 용도가 바뀌듯 재미있는 영역입니다.
위험의 관리,안전의 추구는 인류의 탄생과 더불어 발생한 비즈니스 영역의 하나입니다. 정보보호는 알파고 할애비의 위협에도 사라지지 않을 직업군입니다. 복잡도는 증가하고 취약성은 항상 함께 상존합니다. 아인슈타인의 지적처럼 “상상력은 지식보다 중요”합니다.
앞서 해킹을 “Oday에 만나는 극단의 희열”이라는 표현을 했었습니다.만남, 나눔, 엮음, 공존의 가치로 보안은 계속 이야기 될 것입니다. 단순히 한 직업으로서만이 아닌 존재의 이유와 자신의 길을 발견하는 삶의 태도로서 정보보안을 추천합니다.
“ 단기적으로는 취약성에 집중하고 길게 인생을 해킹 하시기 바랍니다 “
“ 뭣이 중 헌 디 ? 멀리 보고 글로벌로 나아 가십시오”
“ 행운을 빕니다. 겅호 & Namaste ! “
뱀발: CSRC재직시절 프린팅 해 보관해온 우리나라 전용선에 의한 글로벌 연결이 언제였음을 알려주는 유일한 증거사진. (당시 박사과정 박현제님과 미국 하와이대 토번 교수와의 메일) 음..90년 3월24일 이었군요.