23일 열린 카이스트 사이버보안 워크숍에서 전상훈 카이스트 사이버보안연구센터 R&D 팀장은 중고생을 대상으로 ‘해커의 길’이라는 제목으로 주제강연을 했다.
 
전상훈 팀장은 “예전에 해커는 불법을 저지르고 어두운 곳에서 나쁜 짓을 하는 자들로 인식됐지만 이제는 시스템에 몰입하고 열정을 가지고 우월한 지식을 가진 자들을 말한다”며 “하지만 해킹을 잘한다고 해서 보안을 잘하는 것은 아니다. 해커의 길은 보안전문가의 길과 동의어라고 말할 수 있으며 전문가라면 자신의 말과 행동에 책임을 질 수 있어야 한다”고 강조했다. (사진출처. www.flickr.com / by ssoosay]
 
그럼 해커가 되기 위한 바이블은 있는 것일까. 전 팀장은 후배들에게 “진정한 해커 즉 보안전문가가 되기 위한 바이블은 없다. 단순히 프로그래밍이나 공격코드를 만들 수 있다고 되는 것도 아니고 타인이 만든 해킹프로그램을 이용해 공격한다고 해서 해커가 되는 것도 아니다”며 “결국은 인내하고 끝까지 즐기며 할 수 있는 마음가짐이 있어야 가능한 일”이라고 전했다.
 
전 팀장은 4단계로 중고생들에게 해커의 길을 구분해서 쉽게 설명해주었다.
 
◇4단계로 구분해 본 해커의 길=1단계에서 필요한 작업들은 무엇이 있을까. 이 단계에서는 모든 시스템과 디바이스에 대해 적극적으로 사용해보고 익히고 즐기기를 두려워하면 안된다. 기법은 항상 변하고 지나가기 때문에 근본을 익히려고 끊임없이 노력해야 한다. 공격기법을 익히기 보다는 근본이되는 네트워크, 시스템, 어플리케이션 등을 부지런히 익히는 것이 중요한 시기다.
 
다음 2단계는 여러 종류의 운영체제 즉 시스템을 통제하고 운영할 수 있는 능력을 길러야 한다. 또 여러 분야중 자신의 전문분야를 설정하고 노력해야 한다. 특히 아주 특정 분야를 정해 극한까지 공부한 후 다음 영역으로 넓혀 가야 한다. 또 국내 번역본이 너무 부족하기 때문에 영어문서를 보기위한 영어공부에도 주력해야 하는 단계다.
 
3단계는 자신의 전문분야에서 세계 최고의 전문가가 되야 한다. 처음에는 범위를 좁게 잡고 점차 범위를 넓혀가야 한다. 남이 만든 도구를 쓰기 보다는 스스로 필요한 도구를 만들어 활용할 수 있는 단계다. 이 정도 경지에 도달했다고 끝나는 것이 아니다. 더욱 자만하지 말고 자신만의 특징을 살려나가야 하는 단계다.
 
마지막 4단계는 시스템, 네트워크, 어플리케이션을 자유롭게 넘나드는 절대 강자가 되는 것이다. 모든 부분을 통찰하고 전략적으로 움직일 수 있는 단계다. 또 새로운 주제에 도전하고 항상 새로운 영역에 도전하고 스스로의 성과를 널리 공유하고 활용할 수 있는 단계다. 자신이 알아낸 지식이라할지라도 대의를 위해 비워야 새로운 지식을 채울 수 있기 때문에 지식의 공유를 주저하면 안된다.
 
◇무엇을 공부해야 하나=그렇다면 실제로 어떤 공부들을 해야 할까. 정리를 해보자면 이렇다.
프로그래밍 분야는 C, C++, Perl, CGI, Script(asp, jsp, php 등), Assembly 지식 및 코딩 역량, Exploit에 대한 작성, 취약성에 대한 이해, 대책을 위한 부분이다.
 
시스템 지식은 Windows계열, Linux, Unix, SunOS, MacOS에 대한 이해 그리고 시스템에 대한 지식과 프로그래밍, 네트워크가 결합된 종합적인 인식 능력이 필요하다.
 
네트워크는 TCP/IP, 유무선 프로토콜에 대한 이해, 라우터, 스위치에 대한 이해와 설정, 또 네트워크상에서 일어나는 위험과 리스크에 대한 분석 경험과 역량이 중요하다.
 
보안 장비에 대한 이해에는 ID/PS, Firewall, WebFW, ESM 등에 대한 이해 및 활용 능력과 문제 해결 역량 특히 침해사고 대응에 대한 경험이 중요하다.
 
영어능력도 빼놓을 수없다. 습득해야 될 지식의 절반 이상은 영어 권역에 존재한다. 영어를 익히지 못하면 반쪽이 된다. 전 팀장은 “이중 최소한 세가지 이상은 익혀야 중간은 간다”고 조언했다.

 
◇장기적 로드맵을 가지고 공부하라=전 팀장은 또 후배들에게 장기적 로드맵을 가지고 공부하라고 강조했다. 그는 첫 단계로 ‘분야별 전문가’를 말했다. 이 단계는 모의해킹, 진단, 관제, 분석 등 해당 분야에 권위를 가지는 전문가로 성장하는 것이라고 말한다.
 
다음단계가 ‘보안전문가’다. 이 단계는 종합적인 대응체계 수립과 각 영역별 보호 대책 설계가 가능하고 침해사고에 대한 종합적 분석이 가능한 시기라도 설명했다.
 
최종 단계인 ‘보안전략가’는 산업차원의 대응전략 수립이 가능하고 전략적, 장기적 대응 그리고 미래 발생 가능한 위협에 대한 준비와 대책, 기술에 대한 파급효과 분석이 가능한 지존의 경지라고 말했다.
 
전 팀장은 “보안전략가라고 할 수 있는 사람은 과연 우리나라에 몇 명이나 있을까. 물론 전세계적으로도 몇 명 안될 것”이라며 “이를 위해서는 끊임없는 노력과 날마다 새로워지려는 피나는 노력이 요구된다. 하루만 손을 놔도 뒤쳐지는 것이 이 분야다. 겸허하게 하지만 자신을 믿고 또 하지만 자신의 지식을 과시하는 순간 퇴보가 된다. 기술은 항상 변화하고 지나간다. 안주하지말고 보안전략가가 되기 위해 미쳐야 가능하다”고 강조했다. [데일리시큐=길민권 기자]