오정욱 운영자 “한국 사회 억압적 분위기 벗어나 자유롭게 공유할 수 있는 문화 자리잡길”
지난 6월 26일 대전 KAIST ITC빌딩 다목적홀에서 ‘보안과 해킹’이라는 열정 하나 만으로 100여 명이 넘는 국내 보안전문가와 하드코어 해커들이 한 곳에 모여 의미있는 컨퍼런스와 교류의 시간을 가졌다. 국내 대부분의 보안컨퍼런스는 정부기관이나 기업 혹은 자본에 종속된 보안컨퍼런스가 대부분이었다. 자유로운 해커들을 새장에 가두고 여기서 저기까지만 관여하고 발표도 문제가 될 만한 것은 발표하지 말라는 식의 답답한 컨퍼런스였던 것이다. 양복을 입고 축구를 하는 것과 비슷하다고나 할까. 그래서 해커들의 생명과 같은 자유로움과 독창적인 창의성을 엿볼 수 있는 국내 컨퍼런스는 손에 꼽을 만한 실정이다. 화이트해커 양성을 외치기 전에 해커들을 이해하는 마인드가 우선 되어야 하지 않을까.
해커들, 그들 스스로 준비하고 그들만을 위한 자리가 그동안 너무 부족했다. 그들이 손수 준비한 컨퍼런스는 어떤 컨퍼런스였을까. 데일리시큐가 그 현장 속으로 잠시 들어가 봤다.
하지만 김치콘에서 기자는 ‘초대받지 못한 손님’이었다. 초대권을 받지 않고 등록도 못한 상태였기 때문이다. 이때 이번 컨퍼런스를 준비하는데 애쓴 NSHC 허영일 대표가 반갑게 맞아 주었다. 그리고 김치콘이 초대권을 받은 해커나 보안담당자만 발표장내 입장이 가능하고 이외는 참석이 어렵다는 것을 설명해 줬다. 특히 기자들 출입을 제한하는 컨퍼런스로 김치콘 스탭들이 의견을 모았다며, 그 이유는 크리티컬한 내용들을 발표하는데 있어 해커들이 위축되지 않고 자유롭게 발표할 수 있도록 하기 위함이라고 전했다.
충분히 이해가 되고 해커 컨퍼런스라 공감이 되는 부분이었다. 다행히 등록대 근처에 자리를 마련해줘 노트북을 열고 안면이 있는 많은 해커들, 보안담당자들과 인사를 나눴다. 한 자리에서 정말 핵심적 전문가들을 만날 수 있었던 것만으로도 기자 입장에서는 의미있는 시간이었다.
그 자리에서 몇 몇 분을 만나 ‘김치콘’을 개최하게 된 이유와 왜 이런 컨퍼런스가 필요한지 대화의 시간을 가졌다.
◇김승주 고려대 교수=우선 김승주(사진) 고려대학교 정보보호대학원 교수는 “김치콘이 갖는 의미는 바로 해커들이 컨퍼런스의 자발적 주인이라는 점이다. 이를 통해 기존 격식을 파괴하고 자유롭게 가감없이 연구내용들을 발표할 수 있게 되는 것”이라며 “온라인이나 페이퍼로는 공유하는데 한계가 있는 내용들이 오늘 많이 발표됐다. 이런 과정을 통해 국내 해커들이 서로 많은 정보들을 공유할 수 있고 같이 성장해 나갈 수 있게 될 것”이라고 설명했다.또 김 교수는 “국가나 정부기관에서 해킹보안 컨퍼런스를 소유하려고 하기 보다는 해커들의 자발적 컨퍼런스가 활성화될 수 있도록 스폰서 해 주는 것이 중요하다. 스폰서 해주면서 대가를 바라거나 자신들의 방식을 요구해서도 안된다. 해커들의 방식대로 맡겨야 한다. 구글 등 해외 글로벌 기업들은 아무 조건 없이 중소규모의 해커 컨퍼런스를 상당히 많이 지원해 오고 있다. 국내 대기업들은 이런 마인드가 부족하다”며 “정부나 기업들의 대가 없는 스폰서가 활성화된다면 국내 화이트해커 양성이나 보안 수준은 깊이와 넓이를 더욱 확장시켜 나갈 것이다. 특히 해커들이 연구하고 활동할 수 있는 인프라 투자에 초점이 맞춰져야 한다”고 말했다.
그는 또 이날 ‘Why (and how) we should move from Security to Dependability’라는 주제로 키노트 발표를 통해 “한국은 여전히 시큐어 시스템에 머물러 있지만 외국은 이를 포괄한 개념인 디펜더블 시스템에 집중하고 있다. 그들은 사람의 실수나 외부 해킹, 에러, 자연재해 등 모든 위협들에 대해 견딜 수 있고 신뢰를 줄 수 있는 시스템을 구축하려 한다”며 “신뢰할 수 있는 시스템을 구축하기 위해서는 보안전문가를 비롯한 다양한 분야의 전문가들이 연대해야 한다. 폐쇄적이고 타 분야를 배척해서는 안된다. 정보보호 분야 내에서도 각 분야별로 배척하는 경우가 있다. 이러면 안된다. 서로 연대의식을 가지고 서로를 인정해 줄 수 있어야 한다”고 강조했다.
◇허영일 NSHC 대표=다음은 허영일 대표와 잠시 인터뷰를 진행했다. 허 대표는 “김치콘은 새로운 형태의 컨퍼런스다. 발표내용도 자유롭고 과감하게 구성했다. 올해 첫 해인만큼 매년 독특하고 특색있는 컨퍼런스로 발전되길 희망한다”며 “발표장 내 기자 출입을 제한한 이유도 발표자들이 자유롭게 발표할 수 있도록 배려한 것이니 이해해 주기 바란다”고 말했다.
허 대표는 이날 ‘IoT Security & Cyber-espionage activities from China’란 주제로 발표도 진행했다. 그는 “CCTV 홈네트워크 라우터 대상으로 연구하던 중, 중국산 특정 장비 내부에 의도된 혹은 의도되지 않은 백도어들이 존재하고 심각한 프라이버시 문제가 발생할 수 있다는 것을 KAIST와 공동으로 최근 데일리시큐 등 언론을 통해 최초 공개한 바 있다”며 “오늘 발표에서는 중국 이외 미국 라우터 제품에도 백도어가 존재한다는 내용과 각종 IoT 디바이스를 검증하는 방법, 관련 취약성과 발생할 수 있는 위협 등에 대해 상세히 설명하는 시간을 가졌다”고 전했다.
더불어 그는 “지난번 연구를 바탕으로, 큰 규모의 엔터프라이즈급 스위치, 라우터 등에 어떤 취약점들이 존재하는지 연구해 나갈 것”이라며 “기업용도 비슷한 결과를 예상하고 있고 소규모 가정용 보다 파급력은 더 클 것으로 예상된다”고 밝혔다.
◇오정욱 김치콘 운영자=마지막으로 이번 김치콘을 최초 기획하고 준비한 오정욱(닉네임 Matt. 사진) 운영자와 인터뷰를 진행했다. 그는 현재 미국 마이크로소프트 본사 보안팀에 근무하고 있다.그는 “몇 년 전 한국에서 열리는 보안컨퍼런스에 스피커로 참석한 적이 있다. 하지만 생각했던 것과 너무 달라 충격이었다. 너무 형식적이고 너무 많은 사람들이 참석해 참관객들과 대화도 힘들었고 해커 컨퍼런스라는 색깔도 흐려진 느낌을 받았다. 그래서 김치콘은 기획 초기부터 100명 정도 소규모로 준비했다”며 “해외 다양한 해커 컨퍼런스에서 스피커로 참석해 본 경험을 바탕으로 가장 합리적인 컨퍼런스 체계를 도입하려고 노력했다. 모든 준비는 자원봉사자들로 구성된 스탭들이 준비사항들을 완전히 공개하고 협의해 가며 완성됐다. 너무 감사할 따름이다”라고 소감을 전했다.
또 “서울 보다는 대전에서 개최하니 대부분 참석자들이 하루 전 대전에 내려와 서로 끈끈한 커뮤니케이션의 장을 여는 모습도 보기 좋았고 보다 집중된 커뮤니티가 된 것 같다”며 “김치콘은 완벽한 컨퍼런스를 추구하지 않는다. 처음부터 완벽할 수는 없다. 계속 수정해 나가겠다. 운영자가 원하는 방향이 아니라 참관객이 원하는 방향으로 개선해 나가겠다. 대형 컨퍼런스에서는 얻을 수 없는 부족한 부분을 김치콘으로 채울 수 있을 것으로 기대한다”고 말했다.
오정욱 운영자는 또 “스피커 선정에 있어서 리뷰어들도 커뮤니티의 추천을 받았다. 그들이 인정하는 스피커와 내용들이 발표되니 발표 퀄리티도 높았고 그로 인해 컨퍼런스 신뢰성도 올라 갔다”고 밝히고 한편 “너무 해외 발표자만 생각할 필요 없다. 국내 해커들끼리 먼저 공유가 중요하다. 너무 큰 컨퍼런스만 하려다 보니 검증된 해외 스피커만 선호하는 것 같다. 실패하면 큰 손해를 볼 수 있다는 부담감 때문이 아닐까. 이러면 실험정신도 사라진다. 김치콘은 소규모라 모험을 할 수 있다. 위험요소가 상대적으로 적기 때문이다. 또 국내 해커들이 김치콘 발표를 통해 자신감을 얻고 해외 스피커로 많이 나갈 수 있길 바란다”고 말했다.
그와 이야기를 나누다 보니 김치콘을 관통하는 명사는 ‘자유’였다. 자본과 형식에 종속된 컨퍼런스에서 탈피해 스탭들이 자율성을 가지고 자발적으로 참여해 준비하고 규모와 참관객 수를 제한해 해커 컨퍼런스로서 색깔을 잃지 않고 언론으로부터 벗어나 자유롭게 연구한 내용들을 공유할 수 있는 김치콘.
그는 내년에 김치콘은 또 어떤 식으로 변할지 모른다고 했다. 다만 한국 사회의 억압적인 분위기에서 벗어나 자유롭게 공유할 수 있는 문화가 자리잡길 원하고 있다. 그래서 김치콘이 어떻게 변화하고 발전해야 한다는 큰 지향점도 가지고 있지 않다고 말한다. 이 점이 오히려 김치콘의 힘이 아닐까 생각한다.
그동안 국내 해커들은 이런 컨퍼런스를 원해왔다. 하지만 국내 해커들 중 리더십을 발휘해 이끌고 가려는 해커는 등장하지 않았다. 해커 자신들 각자의 생활들이 너무 바쁜 요즘이 돼 버렸다. 혹은 자칫 실패할 수도 있다는 두려움도 없지 않았을 것이다. 그래서 이런 컨퍼런스가 필요하다는 생각들을 가지고 있으면서도 누구도 선뜻 나서지 못했다.
오정욱 운영자는 이 질문에 대해 “해외에 있기 때문에 할 수 있었던 것이 아닐까. 한국 커뮤니티 분위기를 잘 몰라서 가능했던 것 같다. 실패해도 자유로운 위치에 있기 때문이다. 모두가 필요했지만 아무도 총대를 메지 않아 준비하게 됐다”고 전했다.
제1회 김치콘을 후원한 곳은 카이스트, 한 시큐리티, 타이거팀, 그레이해쉬, 씨엔시큐리티 등이다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
