오는 9월 KAIST에서 정보보호 관련 의미있는 강의가 열릴 예정이다. 미국 미네소타 대학에서 10년간 정보보호 분야 교수로 활발한 연구활동을 해 오던 김용대 교수가 한국 학생들에게 들려주는 첫 강연이다. 강의 제목은 ‘해킹의 이해’. 과연 어떤 내용들로 강의가 이루어질지 벌써부터 기대가 된다. 왜냐면 현실과 동떨어진 이론으로서의 해킹을 말하는 교수가 아니기 때문이다.
 
기자는 올 가을학기부터 미네소타 대학에서 KAIST 전산과 교수로 연구소를 옮기게 될 김용대 교수를 어렵사리 만났다. 새롭게 시작할 한국 생활 준비를 위해 잠시 한국에 들른 김 교수와의 인터뷰 내용이다. 한국인중 미국에서 정보보호를 전공해 미국대학 교수가 된 사례는 3명 정도에 불과하다. 그래서 그의 히스토리도 궁금했고 향후 한국에서 어떤 연구활동들을 하고 싶은지 그리고 한국 학생들에게 전달하고자 하는 메시지가 무엇인지 들어봤다.
 
◇미국 미네소타 대학 교수로 10년간 정보보호 연구=우선 김 교수가 미네소타 대학 교수가 되기까지의 히스토리가 궁금했다. 그는 연세대학교 수학과를 졸업하고 동 대학원 수학과에서 연구활동을 하던 중 석사 3학기부터 암호를 시작했다. 이후 특례로 현재 ETRI에서 6년간 근무했다.
 
김 교수는 “ETRI에서 일한 6년 중, 5년 정도는 암호 알고리즘 분야에서 일했고 마지막 1년 정도는 시큐리티 장비와 시스템 분야에 대해 연구하던 중 유학을 결심했다”며 “하지만 전산과로 유학을 가야 했는데 학부와 대학원에서 수학과를 전공했기 때문에 학교 선정도 힘들었고 학비도 걱정됐다”고 당시 어려움을 이야기했다.  
 
하지만 기회는 준비하는 자에게 손을 내밀 듯, 당시 서던 캘리포니아 대학(University of Southern California) 전산과 교수가 쓴 논문을 보고 A4 2장 분량의 비판적 리뷰를 작성해 그 교수에게 보냈다. 리뷰를 읽어본 교수는 김 교수에 대해 궁금해 했다. 당시 USC 전산과 교수는 그룹 통신을 시큐어하게 만들어 달라는 과제를 맡고 있었다. 그래서 대학원 학생이 필요했던 차였고 김용대 교수의 리뷰를 보고 흔쾌히 그를 석사과정에 받아들여 준 것이다. 물론 학비도 장학금으로 지원받으며 유학생활을 시작할 수 있게 된 것이다. 김용대 교수는 암호학을 기반으로 USC랩에서 활발한 연구와 논문발표를 하며 석사와 박사과정을 3년6개월 만에 패스했다.
 
김용대 교수는 “짧은 시간에 많은 연구와 논문을 발표했다. 암호프로토콜을 네트워크 시스템에 구현해 한국과 미국, 유럽 서버 등에 실제로 실험해 보니 이론으로 도출됐던 결과값들이 현실과 차이가 많이 난다는 것을 배울 수 있었다”며 “논문을 쓰기 위한 연구가 아니라 실제 프로젝트를 통해 나온 논문들이 대부분이다. 논문이 이론에만 그치는 것이 아니라 실재 현실에 변화를 주고 기술을 선도할 수 있어야 한다는 것을 연구과정에서 깨달았다. 한국에서 공부와 가장 큰 차이점이었다”고 말했다.
 
이후 그는 석박사 과정에서 발표한 논문으로 미국 여러 대학에 전산과 교수로 이력서를 보냈고 결국 몇몇 대학에서 교수직 제의를 받게 됐다. 그의 최종 선택은 미네소타 대학 전산과 교수였다.
 
김 교수는 “한국에서는 대학교수를 하기 힘들었을 것이다. 한국은 학부 성적도 보고 전공도 본다. 하지만 미국은 논문이 모든 것을 말해준다. 오로지 메이저 학회에 발표한 논문으로만 평가하는 것이다. 학부성적도 좋지 않았고 전공도 전산과가 아니었던 내가 미국 대학에서 전산과 교수로 부임할 수 있었던 사실은 한국과 미국의 또 다른 차이점일 것”이라고 말했다.
 
이 부분은 한국 대학에서 SCI의 문제점이 드러나는 대목이다. 김 교수는 저널논문을 미국 석박사 과정에서 한편도 쓰지 않았다고 한다. 즉 한국에서라면 김 교수는 대학교수가 될 수 없는 자격미달이다. 한국 대학들도 논문 편수에 집중하기 보다는 메이저 학회에 얼마나 크리티컬한 논문을 발표하느냐에 집중해야 하지 않을까 생각해 본다. 교수의 연구 방향성이 잘못돼 있는데 제자들이 제대로 배울 수 있을까. 한국 대학 교수들의 논문 문제는 거론할 일이 많지만 이쯤에서 접어두겠다.
 
그는 2002년 한국에서 한창 월드컵으로 들떠있던 시기에 미네소타 대학의 전산과(the Department of Computer Science and Engineering) 교수로 부임했다. 올해로 10년째다.
 
김 교수는 미네소타 대학에서 다양한 연구활동을 전개해왔다. 2005년에는 연구성과에 대해 대학측으로부터 교수로서 영예로운 상도 여러번 수상했다. (NSF career award on storage security and McKnight Land-Grant Professorship Award)  
 
그는 주로 어떤 연구활동을 해 왔을까. 김 교수는 자신의 연구 관심사에 대해 “소셜 네트워크, 통신 네트워크, P2P 시스템, 메디컬 디바이스, 스토리지 시스템, 센서, Ad hoc 네트워크 이외 다양한 커뮤니케이션 시스템 등 네트워크 시스템 상에서 일어날 수 있는 보안 이슈가 연구 과제”라고 소개했다.
 
또 네트워크 시스템의 시큐리티 이슈를 연구하기 위해 그는 “모든 네트워크 시스템과 디바이스들에 대해 공격자 입장에서 생각하고 연구하는 것이 기본이다. 미네소타 대학의 현재 제자들도 자신이 잘 알고 있는 시스템과 디바이스에 대해 항상 공격자 입장에서 생각하고 연구하는 분위기가 조성돼 있고 논문이 발표된다”고 전했다.
 
그래서 그의 연구들은 현실과 밀접하게 연결돼 있고 소통하고 있다.
 
◇학생들, 단순 해킹을 넘어 더 현실적인 분야에 관심 가져야=김 교수는 “시큐리티 리서치에서 순수 해킹이라고 할 수 있는 버퍼오버플로우나 SQL인젝션도 연구하고 있지만 전자파를 이용해 심장박동기를 원격에서 제어할 수 있는 공격, GSM(Global System for Mobile communications)과 같은 디지털 이동통신 방식의 프로토콜 취약점을 연구해 어떤 공격들이 가능한지, 라우터의 취약점을 이용해 어떤 공격이 가능한지, 공장자동화 센서의 취약점을 찾아내고 이를 공격할 수 있는 방법은 무엇인지 이외에도 P2P 사이트를 컴퓨터 한대로 어떻게 다운시킬 수 있는지, 자동차를 원격에서 어떻게 공격할 수 있는지 등 현실에 직접적으로 영향을 줄 수 있는 연구들이 활발히 진행되고 있다”고 소개했다.
 
더불어 그는 “한국 학생들도 남들이 만들어 놓은 익스플로잇으로 해킹하는 단순한 해킹수준을 넘어 다양한 디바이스와 OS, 각종 시스템에 대한 연구를 기반으로 이를 해킹할 수 있는 방법을 연구해야 한다”며 “예를 들어 웹공격이나 DDoS 공격으로 인한 피해와 비교해 원전이나 수력발전소, 자동차 해킹, 스카다 시스템에 대한 해킹 중 어떤 것이 더 큰 피해를 유발할 수 있을 것인지 생각해 보면 된다. 기본적인 해킹 기술도 중요하지만 실생활과 밀접한 것들에 대한 연구에 힘을 쏟길 바란다. 그러기 위해서는 해킹기술 이전에 해당 분야 전문가 보다 더 깊이 있는 이해와 공부가 우선돼야 한다”고 강조했다.
 
그런 관점에서 김 교수는 정보보호를 전공한 학생들이 유학도 적극적으로 생각해야 한다고 조언했다. 미국과 유럽 등 선진국들이 정보보호에서 어떤 연구들을 하고 있는지 직접 보고 연구에 참여해 봐야 한다. 한국에서는 주로 웹이나 DDoS, 봇넷 등에 연구가 집중되고 있지만 선진국에서는 보다 현실적인 문제들에 활발한 연구가 이루어지고 있다는 것이다.
 
◇저널논문보다는 메이저학회에 논문 제출 힘써야=김 교수는 “현재 한국 학생중 미국 주요 대학에서 정보보호를 공부하고 있는 수가 손에 꼽을 정도다. 그리고 한국 대학에서 정보보호 관련 메이저 컨퍼런스에 논문을 발표하는 경우도 드물다. 이런 실정이니 선진국에서는 한국이란 나라가 어떤 정보보호 연구를 하고 있고 어느 정도 실력을 가진 인물들이 있는지 모르고 있다”고 지적하고 “한국에 이렇게 많은 사람들이 정보보호를 공부하고 있는데 실상은 글로벌에서 연구하는 내용들과 동떨어져 있거나 뒤처진 혹은 핵심에서 비켜나 있는 연구들을 하고 있는 것이 아닌지 고민해 봐야 한다”고 말했다.
 
또 “유학을 가는데 영어보다 더 중요한 것은 실력이다. 영어가 좀 부족해도 실력만 있다면 교수들이 적극적으로 도와준다. 특히 학부 때부터 저널논문 보다는 메이저 컨퍼런스에 논문을 발표해야 한다”며 “논문이 현재 미국에서 필요한 내용이라면 얼마든지 장학금을 받으며 공부를 할 수 있다. 저널논문 편수 채우는데 급급하기 보다는 하나를 쓰더라도 메이저 학회에 논문을 제출하는 것이 유리하다. 미국 교수들은 학회논문을 주로 보고 제대로 된 논문을 쓴 학생이 입학을 원한다면 당연히 받아들인다. 그리고 연구 방향성을 정확히 잡아야 한다. 너무 오래된 주제나 리서치 방향 자체가 잘못된 경우가 있다. 이렇게 되면 아무리 논문을 많이 써도 전혀 인정을 못받게 된다. 글로벌 메이저 논문들의 흐름을 잘 파악하고 연구 주제를 잡길 바란다”고 충고했다.  
 
◇KAIST에서 9월부터 강의, 첫 강좌는 해킹의 이해=그는 오는 9월부터 KAIST에서 강의를 시작하게 된다. 어떤 강의가 이루어질지 기대가 된다. 김 교수는 “ 강의 주제는 해킹의 이해다. 다양한 종류의 공격을 다루는 수업이 될 것이다. 어떤 시스템의 약점을 어떻게 찾아내는지 그 과정을 보여주고 싶다”며 “학생들에게 공격자 입장에서 모든 시스템과 디바이스를 볼 수 있도록 하는 것이 목표”라고 소개했다.
 
이 과정은 KAIST 전산과 학부생과 정보보호대학원생들이 공동으로 수강할 수 있다. 김 교수는 “모든 강의는 프로젝트에 의해 이루어지고 프로젝트 자체가 논문지도가 될 것”이라며 “학생들은 프로젝트 과정에서 문제점을 찾아내고 과연 논문을 쓸만한 글로벌적이고 독특한 주제인지 지도를 받게 될 것이다. 학부와 대학원에 따라 차이는 있겠지만 수업은 대부분 논문으로 이루어지며 단순 해킹기술보다는 자동차, 스마트그리드, 메디컬 디바이스 등의 취약점을 찾아내고 공격하는 방법을 배우게 될 것이다. 그야말로 본격 해킹의 이해다. 공격자 입장에서 생각하길 바란다”고 밝혔다.
 
◇기본을 지키지 않는 한국의 보안현실=그는 또 한국의 보안상황에 대해서도 언급했다. “한국의 몇몇 대형 보안사고 내용을 보면 IT 아키텍처가 기본에서 벗어나 있다는 생각이 든다. 대형은행 시스템을 아웃소싱 직원이 아카이브를 삭제할 수 있는 권한을 가지고 있었다는 것도 문제다. 구글의 경우 어떤 직원도 단독권한으로 삭제할 수 없는 구조다. 사내 여러 명이 동의를 해야 삭제할 수 있도록 설계돼 있다”고 지적했다.
 
또 “선거관련 기관에 166메가급 라우터를 설치해 둔 것도 말이 안된다. 최근 봇넷의 규모는 500만대에서 700만대 규모다. DDoS 장비 앞 단에 설치된 라우터가 감당할 수 없는데 DDoS 장비가 무슨 소용이 있는가. 전체적으로 네트워크 플랜이 잘못돼 있다. 정상적인 상황만 생각해 설계를 하니 공격이 발생할 때 무방비로 당할 수밖에 없는 것이다. 공격자를 우습게 보고 설계를 하고 있다”고 안타까워했다.
 
김 교수는 한국에서 학생들을 가르치고 논문을 지도하는 일과 더불어 논문을 통해 한국 보안현실의 문제점들에 대해서도 문제제기를 하고 지적해 나갈 것이라고 한다. 또 연구활동에도 기대를 걸고 있다. 미국에서 어려웠던 연구들을 통신사들과 협력해 인터넷망과 3G, 4G망, GSM망 등에 대한 본격적인 시큐리티 리서치를 해보고 싶다는 포부도 밝혔다.
 
그는 더불어 “정보보호를 공부하는 학생들이 SCI 기준에 얽매이지 말고 보다 글로벌적인 시각으로 논문도 발표하고 해외에서 공부하겠다는 목표를 가지길 바란다. 또 단순 해킹기술보다는 보다 다양한 시스템과 디바이스에 대한 공부를 확실히 해서 그를 기반으로 해킹기술과 방어기술을 연구했으면 한다. 그래야 자신이 할 수 있는 선택의 폭도 넓어지고 한국의 정보보호 연구도 보다 발전할 수 있을 것”이라고 밝혔다.  
 
다음은 김용대 교수가 소개한 정보보호 분야 4대 메이저 컨퍼런스다. 학생들은 이 컨퍼런스에 어떤 논문들이 발표되고 있는지 눈여겨 봐야 한다. 그리고 이곳에서 인정받는 논문을 발표하기 위해 노력하길 바란다. 
1. IEEE Symposium on Security and Privacy
2. ACM CCS (Computer and Communication Security)
3. ISOC NDSS (Network and Distributed System Security)
4. Usenix Security
 
아래는 김용대 교수가 학생들에게 읽어보길 권하는 추천도서 2권이다. 아직 한국어 번역본은 출간되지 않았다.
-Ghost in the Wires: My Adventures as the World's Most Wanted Hacker [Hardcover]
-Kingpin: How One Hacker Took Over the Billion-Dollar Cybercrime Underground [Paperback]
[데일리시큐=길민권 기자]