2024-03-29 04:40 (금)
[인터뷰] 회원수 21만…해킹보안 커뮤니티 '해커스쿨'
상태바
[인터뷰] 회원수 21만…해킹보안 커뮤니티 '해커스쿨'
  • 길민권
  • 승인 2012.02.21 01:51
이 기사를 공유합니다

초급부터 고급까지 재미있는 만화로 해킹강좌
해커들에게 윤리의식 강조…다양한 해킹보안 컨텐츠 가득
제5회 해킹캠프를 주관한 해커스쿨(www.hackerschool.org)은 2000년 12월 처음 문을 열어 12년간 명서을 이어온 해킹보안 커뮤니티로 2012년 2월 현재 회원수만 21만명에 달하는 국내 최대 커뮤니티다.
 
해커스쿨 사이트를 보면 만화라는 매개체를 이용해 자칫 딱딱해질 수 있는 해킹의 다양한 분야를 초급부터 고급과정까지 재미있게 공부할 수 있도록 꾸며놓았다. 그래서인지 해킹보안 공부를 처음하려는 학생들의 방문이 계속 증가하고 있고 해커스쿨을 거쳐 사회에 나온 많은 해커나 보안전문가들이 후배들에게 도움을 주기 위해 그리고 자신들의 지식을 공유하기 위해 좋은 정보를 올리고 있어 12년간 그 명성을 이어온 것으로 보인다.


<오른쪽부터. 운영자 정구홍, 홍정우, 신정훈, 김재용>
 
그래서 해킹캠프에 참가한 김에 해커스쿨 운영자와 맴버들을 만나 인터뷰를 진행했다. 인터뷰에 참가한 맴버는 정구홍(31. 해커스쿨 운영자), 신정훈(26. 세종대. 해커스쿨연구소), 김재용(25. 동국대 대학원 정보보호학과. 병특중), 홍정우(28. 서경대 졸업) 등이다.
 
정구홍-20살때부터 해커스쿨을 운영해 왔다. 해킹사이트에 문서만 제공하면 너무 심심할 것 같았다. 그래서 해킹강좌를 만화로 만들어보면 어떨까 생각이 들었고 마침 아는 지인중에 만화를 그리는 분이 있어서 해킹공부 내용을 만화로 올리기 시작했다. 해커스쿨 운영자체가 재미있었고 운영하면서 스스로 공부도 많이 됐다. 지금은 많은 친구들이 찾아주는 사이트가 된 것같아 자부심과 보람도 느끼지만 그만큼의 책임감도 느끼고 있다.
 
한번은 해커스쿨 사이트에 해킹툴을 공개적으로 게시하는 바람에 곤욕을 치룬 적이 있다. 특히 리눅스 백도어를 올려 그것이 문제가 돼 법원에서 벌금형을 받기도 했다. 그래서 회원들에게도 항상 악용될 수 있는 툴은 올리지 말 것을 당부하고 있고 자체적으로 주의를 기울이고 있다.
 
해킹강좌나 해킹보안 정보를 올리는 것 이외에 해킹대회도 개최하고 있고 해킹캠프도 POC와 함께 운영하고 있다. 그리고 해커스쿨은 회원들은 공부도 열심히 하지만 인생을 즐길줄도 알아야 한다고 생각한다. 그래서 음악에 관심있는 회원들과 밴드를 결성해 주말에 모여 연습도 하고 공연도 하고 있다. 컴퓨터 해킹만 해킹이 아니다. 우리 생활의 모든 것이 해킹의 대상이 될 수 있고 연구대상이 될 수 있다. 즉 창의적 발상을 하려면 놀줄도 알아야 한다고 생각한다.
 
◇해커를 바라보는 시각=요즘 해킹문화와 해커를 바라보는 사회적 시각이 얼마나 변했는지 궁금했다.
 
신정훈-예전처럼 경찰에서 기획수사를 통해 해킹 공부하는 학생들을 마구 조사하는 행태는 어느정도 사라진 것 같다. 해커 출신중에 경찰이나 검찰에서 포렌식 업무를 맡고 있는 경우도 많다. 조금씩 긍정적인 방향으로 변해가고 있다. 기사에서도 해킹과 크래킹을 구분해 사용하는 경우도 있다. 해커에 대한 시선이 조금씩 변하고 있다는 것을 느낀다.
 
김재용-해킹은 남에게 피해를 주지 않는 선에서 자신이 하고 싶은 분야를 파고들어 연구하는 것이다. 좋은 의도든 나쁜 의도든 남에게 피해를 주는 것은 크래킹이다. 예를 들어 3.1절에 한국 학생들이 일본의 유명 사이트를 DDoS 공격하는 것은 결국 호스팅업체가 공격을 받는 것이다. 그렇게 되면 피해 호스팅업체에 서비스를 받고 있는 다른 많은 사이트들이 피해를 입게된다. 그래서 크래킹이란 것이다. 해킹캠프에서 학생들에게 윤리의식을 강조하는 것도 한국의 해킹문화가 더욱 성숙해 지기를 바라는 마음에서다. 해커 스스로가 사회적 시선이 변화할 수 있도록 노력해야한다.
 
정구홍-부모님들의 시선도 많이 바뀌었다. 초기에는 나 자신도 부모님께 해킹공부한다고 떳떳하게 말씀못드렸다. 하지만 지금은 해킹캠프에 어린 학생들도 많이 참석하기 때문에 부모님들의 문의 전화를 많이 받게 된다. 부모님들 대부분 “아이를 잘 부탁한다. 보안쪽 공부하면 어떤 비전이 있는지” 문의한다. 그러면 사회 여러분야에서 보안인력을 많이 채용하고 있고 사회에 보탬이 되는 보람된 직업이다라고 설명하면 모두 좋아하신다. 지난번 캠프때는 부모님이 직접 학생을 데리고 와서 운영진과 이야기를 나누고 가신적도 있다. 그래서 해킹공부에 입문하는 학생들에게도 학교 공부에 최선을 다하라고 조언한다. 스팩을 강조하는 것이 아니라 학교 공부가 결국 해킹과 보안을 공부하는데 도움이 되기 때문이다. 그렇게 되면 부모님의 시선도 달라진다. 해커는 사회적으로 필요한 존재다. 긍지와 자부심을 가지고 학생들이 공부에 임했으면 좋겠다.
 
해커스쿨연구소에 대해서도 이야기가 나왔다.
 
홍정우-2002년에 해커스쿨연구소가 처음 만들어졌다. 30명 정도 활동하고 있다. 오프라인으로 주말에 만나 해킹기술 보다는 기본적인 프로그래밍 언어, 운영체제, 커널, 하드웨어, 리버스엔지니어링 등 해킹공부를 위해 근본이 되는 내용들을 공부하고 있다. 물론 친목활동도 중요한 요소다. 맴버들간 화합을 위해 인간적 교류도 나누고 각종 컨퍼런스나 해커들 모임에도 함께 참여하고 있다. 또 맴버들과 같이 POC 행사도 지원해 주고 있다. 
 
◇정보공유, 왜 안되고 있을까=해커들 사이에서 정보공유가 잘 안되고 있다는 말이 나오고 있다. 이에 대해서는 어떻게 생각할까.
 
홍정우-우리나라에서는 기술공유가 안된다. 내가 아는 것을 다른 사람이 몰라야 내 가치가 더 올라간다고 생각하는 경향이 있다. 외국은 다른 사람과 공유하는 문화가 잘돼있다. 잘 정리된 문서는 대부분 해외 문서들이다. 서로 공유하고자 하는 마인드를 갖는 것이 중요하다.
 
정구홍-그렇지 않다. 국내 해커들도 많이 공유한다고 생각한다. 다만 공유할 만한 컨텐츠가 있느냐는 것이다. 어느정도 실력을 갖춘 해커나 보안담당자들에게서 컨텐츠가 나와야 하는데 대부분 회사일에 치여 개인공부를 할 만한 시간들이 없다. 컨텐츠를 만들 기회가 차단되고 있기 때문에 그런 것 같다. 공유할 컨텐츠가 없는 것이다. 가지고 있으면서 안한다고는 생각지 않는다.  
사이트를 운영하면서 해커스쿨을 거쳐간 후배들을 보면, 취업전까지는 열심히 연구활동을 하다가 취업만 하면 공부를 하지 않는 경우를 많이봤다. 그 부분이 아쉽다. 취업 여부를 떠나 연구하려는 의지가 있어야한다. 나이가 들수록 더 깊이 있게 공부하고 연구하는 것이 진정한 해커라고 생각한다. 초심을 잃지말자.
 
◇해커스쿨의 비전=그렇다면 이들은 해커스쿨을 어떻게 발전시켜 나가고 싶어할까. 해커스쿨의 비전에 대해 들어봤다.
 
정구홍-고1때 <마지막 해커>라는 소설책을 읽으면서 해커의 꿈을 키웠다. 해커들 중에서도 만화, 영화, 소설, 게임 등 컨텐츠를 통해 해커의 꿈을 키우고 자극을 받은 분들이 많다. 해커스쿨도 주 컨텐츠들이 대부분 만화로 이루어져 있다. 앞으로의 계획은 다양한 컨텐츠를 통해 사람들이 보안에 관심을 가질 수 있도록 하고 싶다. 일반인들도 보안에 관심을 가질 수 있도록 재미있는 컨텐츠를 개발해 보급할 생각이다. 또 온라인 뿐만 아니라 오프라인으로 컨퍼런스나 해킹캠프도 더 발전시켜 나갈 것이다.
 
◇해커와 취약점 공개=한편 취약점을 찾아내고 이를 발표하는 문제로 해커들을 고민하고 있다. 기업들의 인식은 어떻게 바뀌어야 할까. 그리고 해커들이 바라는 점이 있다면 어떤 것들일까.
 
홍정우-자기 회사 제품의 취약점을 숨기려는 것은 문제다. 기업 이미지도 있겠지만 다르게 생각하면 만약 크래거가 먼저 취약점을 발견하고 이를 악용해 공격을 할 수 있다는 것을 생각해야 한다. 실제로 그 취약점을 통해 엄청난 피해가 발생할 수 있다는 것을 생각하면 취약점을 찾아 알려주는 해커들을 대하는 기업들의 마인드가 달라질 것이다.
 
정구홍-모든 개발에서 보안이 필수적인 시대가 왔다. 개발업체들이 보안업무에 신경을 못쓰는 만큼 이를 대신해 주는 것이 해커라고 생각한다. 그럼에도 불구하고 합당한 대가를 받기는커녕 법의 처벌을 걱정해야 할 판이다. 개인적으로 해킹에 대한 법률적 완화나 개정이 필요하다고 생각한다. 건설적 의미에서 리버싱 분석행위는 허용되는 것처럼 해커들의 리버싱에 대해서도 연구목적이라면 허용해줄 수 있는 법률상 완화나 개정이 필요하다. 이렇게 되면 취약점을 찾아주는 해커들도 늘게 되고 국내 프로그램 품질도 향상될 것이다. 개발업체들도 해커들이 자신들을 공격하는 것이 아니라 도움을 주는 존재라는 인식을 가져야 한다.
 
신정훈-예전에 취약점을 찾아 관련회사에 취약점을 알려줬는데도 패치를 거부했다. 너가 공개만 안하면 다 모를 것이라는 생각에서다. 그래서 국정원에 취약점을 전달했던 적이 있다. 이런 마인드를 가진 기업들이 있기 때문에 보안을 한다고 말만할 뿐 실질적인 보안은 이루어지지 않고 있는 것이다.
 
김재용-제로데이를 발견하면 국정원보다는 해당 기업 관계자에게 메일로 보내준다. 이후 답장이 오고 패치가 나오면 익스플로잇을 제외하고 블로그에 포스팅하는 순서를 따르고 있다. 다른 제품들도 주의하라는 메시지 차원에서 올리고 있다. 하지만 마인드가 돼 있지 않은 기업들의 제로데이는 어떻게 처리해야 할지 고민중이다.
 
홍정우-리버싱 이야기가 나와서 말인데, 예전에 취약점을 찾는 과정에서 리버싱을 하는데 그 과정이 불법이란 것을 얼마전 알게됐다. 유지보수를 위한 리버싱은 합법이지만 그이외 리버싱은 불법이란 것이다. 취약점 찾는 과정에서 리버싱이 불법이란 것을 알고나서 마음이 편치않았다. 그래서 국정원이나 기업으로 보내는 권고문에는 리버싱 과정을 보여지 않는다.
 
정구홍-그래서 처음 해킹공부하는 친구들에게 리버싱이 불법이며 다른 사이트를 허락없이 스캐닝하는 것도 불법이라는 법률적 이야기를 많이 해준다. 그래서 공부하고 싶다면 비슷한 시스템을 만들어서 거기서 공격연습을 하라고 권하고 있다. 워게임 사이트를 이용하면 합법적으로 해킹공부를 할 수 있다. 해커스쿨에서 FIZ 워게임 서비스를 제공하고 있다. 회원들이 편하게 해킹공부를 할 수 있는 공간이다. 해커스쿨에 꼭 가입하지 않아도 접속방법만 알면 누구나 접속해 사용할 수 있는 열린 공간이다.  
 
◇해커스쿨, 해결해야 할 과제=해커스쿨 운영이나 해킹캠프를 개최하면서 어려운 점은 어떤 것들이 있을까. 이야기를 들어봤다.
 
김재용-해킹캠프의 어려움이라기 보다는 아쉬움이 있다. 이번에도 150명 정도가 지원했는데 사정상 올 수 있는 인원은 50여명뿐이다. 신청하면 누구나 참여할 수 있도록 했으면 하는 바람이다. 하지만 캠프 참가비를 받고 있지만 적자라고 알고 있다. 운영자 사비로 충당되고 있는 상황이라 안타까운 부분이 있다.
 
정구홍-결혼전에는 사비로 사이트 운영도 하고 스터디룸도 운영했다. 그런데 결혼을 해보니 금전적 문제가 현실로 느껴졌다. 지금까지 스폰서 없이 자발적으로 운영되고 있다. 제일 좋은 것은 스폰서를 받는 것 보다는 해커스쿨 내부에서 수익이 발생해 운영될 수 있는 것이 가장 좋다. 그래서 서적을 제작해 판매하거나 유료세미나 등도 구상중이다.
 
◇후배들에게 한마디=해킹과 보안을 공부하는 학생들에게 선배로서 어떤 말을 해줄 수 있을까.
 
정구홍-보안분야는 일방적 교육을 받는 것 보다 스스로 학습할 수 있는 자생력을 키워야 한다. 해킹과 보안은 특성상 계속 새로운 것이 나오기 때문에 평생공부하지 않으면 안된다. 그래서 단기 과정으로 해킹과 보안을 공부하면 다 할 수 있다는 생각은 버려야 한다. 스스로 공부할 수 있는 힘을 키워야 한다. 이를 위해서 지속적으로 컨텐츠와 이벤트가 마련돼야 한다. 해커스쿨과 기업들 그리고 정부차원에서 노력을 해줘야 한다.
그리고 취업하고 나면 공부를 하지 않는 경우가 많다. 환경적 요인도 있겠지만 그래도 초심잃지말고 꾸준히 공부해 나가길 바란다. 또 현재 하드웨어와 소프트웨어의 경계가 모호해지고 있다. 서로 융합하고 있기 때문에 해킹공부도 소프트웨어에 너무 집중하지 말고 다양한 분야를 섭렵하길 바란다. 해킹이란 기존 틀에서 벗어나 새로운 생각과 방법을 찾아내는 것이다.
 
김재용-후배들을 위해서라도 해커들의 문화가 좀더 활성화됐으면 좋겠다. 그리고 아직 우리나라 해커문화는 너무 경직돼 있다. 해외의 데프콘과 기타 여러 해커들 행사를 보면 정말 자유롭고 흥미진진하게 진행되는데반해 아직 우리나라는 딱딱하다는 느낌이 많이 든다. 말랑말랑한 분위기에서 창의적 생각이 용솓음 칠수 있다고 생각한다. 자유로운 분위기를 만들어 나갔으면 하는 바람이다. 그리고 영어공부를 열심히 하라고 말해주고 싶다. 영어공부를 미루다 보면 나이들면 더하기 힘들어진다. 영어가 지원되지 않으면 스스로 레벨업이 안된다. 데프콘 같은 곳에 가는 것도 중요하지만 그쪽 해커들과 대화를 통해 커뮤니케이션이 가장 중요할 것이다. 그러기 위해서 영어는 반드시 해킹공부를 위해서라도 해둬야 한다.
 
신정훈-해킹이라고 해서 컴퓨터만 생각하지말자. 각종 하드웨어도 해킹의 대상이 될 수 있다. 대상을 넓게 보고 공부하라고 말해주고 싶다. 컴퓨터 뿐만 아니라 스마트폰, 자동차, 가전제품 등 우리 일상생활의 모든 것에 관심을 가져보길 바란다. 아직 그런 분야에 연구들이 활발이 이루어지지 않고 있다. 좀더 시각을 넓혀 해킹을 바라보기 바란다.
 
홍정우-해킹을 공부하는 나이가 점점 줄어들고 있다. 해킹캠프만 봐도 중고생들이 대부분을 차지하고 있다. 그래서 더욱 강화해야 할 것이 윤리의식이다. 해킹캠프뿐만 아니라 학교에서 모든 학생들에게 사이버 윤리의식 교육을 제대로 실시해야 한다. 특히 해킹공부를 시작하는 학생들에게는 가장 중요한 것이 윤리의식이다. 꼭 명심하기 바란다.
[데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★