17일 열린 제18회 정보통신망 정보보호 워크샵(Netsec-kr 2012)에서 의미있는 토론회가 열렸다. ‘해커가 바라보는 올바른 정보보호 인력 양성 방안’을 주제로 국내 대표적인 해커 3명이 모여 자신들의 생각을 말한 것이다. 기존 정부기관이나 학계에서 말하는 정보보호 인력양성 주장과는 달리 이들 해커들의 입에서 나온 내용들은 현실적이고 직설적이어서 마음에 들었다. 
 
토론자로 나선 해커들은 김진국 안랩 A-FIRST 연구원과 해커 커뮤니티 beistlab 운영자 이승진, 심준보 블랙펄 시큐리티 선임연구원이다. 모두 해킹 보안분야에서 독보적인 영향력을 행사하고 있는 국내 탑클래스 해커들이다. 이들은 정보보호 인력양성에 대해 어떤 생각들을 가지고 있었을까. 토론 내용을 풀버전으로 전한다.

 
◇우후죽순 해킹대회, 과연 이대로 좋은가
김진국=국내 해킹대회가 몇 년 사이 급증했다. 정보보호에 대한 관심이 높아지면서 정부 각 기관에서 너도나도 해킹대회를 개최하고 있다. 해킹대회가 과연 정보보호 인력양성에 도움이 되는 것일까?
심준보=국내에서 손에 꼽을 만한 해킹대회가 10여 개에 달하고 있다. 실력파 해커들은 상금만 타도 먹고 살겠다는 소리가 나올 정도다. 하지만 해킹대회가 실무에 도움이 된다고 생각진 않는다. 해킹대회의 태생은 해커들이 재미를 위해 만든 퀴즈대회라고 보면 된다. 보안이 이슈가 되면서 해킹대회에 큰 상금이 걸리고 취업과 진학 등이 엮이면서 본질이 변해가고 있다. 지금 너무 많다고 생각한다. 많은 기관들이 각기 따로 대회를 개최하고 그렇다고 대회마다 성격이 다른 것도 아니고, 왜 같은 형식의 비슷한 대회를 따로 개최하는지 이해할 수 없다.
이승진=해킹대회 주기를 나눠야 한다. 형식도 차별화 돼야 한다. 현재는 인력양성에도 도움이 안되는 것 같다. 너무 많은 대회를 하다 보니 운영방식이나 문제의 질이 떨어지고 있다. 횟수보다는 대회의 퀄리티를 높이는데 집중해야 한다.
심준보=요즘 해킹대회 문제를 보면 개판이다. 특정 해킹그룹은 1년에 4개 대회를 운영하는 경우도 있다. 아무리 능력이 뛰어나도 문제를 출제하는데 한계가 드러날 수밖에 없다. 그래서 말도 안되는 문제들이 출제되고 있는 것이다. 이렇게 되면 대회 공신력이 떨어진다. 참가팀들도 상금이 걸려있기 때문에 운영상 문제나 문제출제가 이상해도 그냥 넘어간다. 한국 문제 수준 너무 떨어져서 한국 대회에 참가하기 싫다는 해외 해커들도 있다. 이런 상황이 계속되면 운영진도, 참가 해커들도 얻는 것이 없게 된다. 오로지 상금만 존재할 뿐이다.
김진국=해킹대회를 행안부도 하고 지경부도 하고 방통위도 하고 KISA도 개최한다. 또 민간에서도 하고 있다. 정부에서 계획을 잡고 대회별로 아젠다를 정해 실시해야 한다. 지금 상태라면 대회 질적인 문제가 계속 대두될 것이다. 해킹대회 수를 정리하는 것이 필요하다. 대회마다 독특한 특색을 갖추고 퀄리티있게 진행될 수 있도록 정부의 컨트롤이 필요하다.
 
◇권위도 없고 특색도 없는 한국의 정보보호 컨퍼런스
김진국=정보보호 컨퍼런스 문제로 넘어가보자. 국내에서 보안 컨퍼런스도 많이 열리고 있는데 권위있는 컨퍼런스의 자격은 무엇일까. 바로 어떤 주제로 발표를 하느냐가 가장 중요하다. 독창적이거나 혹은 전세계적으로 크리티컬한 취약점을 발표하는 해커들은 대부분 해외에서 발표한다. 국내에서는 권위있는 컨퍼런스가 거의 없다. 문제점은 무엇이고 개선방안은 무엇일까.
심준보=컨퍼런스는 보통 3가지 목적으로 개최된다. 기업을 홍보하고 제품을 마케팅하는 방법으로 혹은 학회 논문을 발표하는 자리로 혹은 해커들의 기술공유를 위한 컨퍼런스 이렇게 3가지로 압축할 수 있다. 해외는 컨퍼런스마다 이런 성격이 뚜렷한데 국내는 대부분 3가지 모두를 한꺼번에 하려고 하고 특색도 없다. 발표자 입장에서도 해외 유명 컨퍼런스에 발표를 하면 강연료를 떠나 명예를 얻을 수 있다. 하지만 국내 컨퍼런스에서 발표했다고 해서 명예를 운운하기는 부끄러운 일이다. 기관은 보여주기 위해 매체는 돈을 벌기 위해 우후죽순 컨퍼런스만 늘어나고 있다. 정부 예산을 쓸데없는데 사용하고 있다는 생각까지들 정도다.
이승진=해킹대회나 컨퍼런스를 10차례 운영해봤다. 문제는 돈이 너무 많이 든다는 것. 해커들은 돈이 없기 때문에 기업이나 정부로부터 스폰을 받을 수밖에 없다. 이렇게 되면 스폰서인 정부나 기업의 요구를 들어줘야 한다. 해커 분위기로 컨퍼런스를 만들고 싶어도 스폰서 눈치를 볼 수밖에 없다는 것이 현실이다. 해커들이 진정으로 원하는 컨퍼런스를 만들기 힘든 상황이다. 데프콘은 해커들이 만든 컨퍼런스다. 우리는 기업이나 정부 돈으로 한다. HARU 커뮤니티에서 개최하는 컨퍼런스는 이런 점을 타파하기 위해 노력하고 있다. 해커들이 주도적으로 만드는 컨퍼런스가 이루어진다면 많은 문제점들이 개선될 것으로 보인다.
심준보=그런 의미에서 파도콘 컨퍼런스도 의미있는 행사라고 생각한다.
김진국=국내 컨퍼런스에서 발표를 해도 명예롭게 생각하거나 이력서에 기재하는 해커는 거의 없을 것이다. 미국 컨퍼런스에서 발표하면 해당 분야의 실력가들 앞에서 발표하고 인정받기 때문에 모두가 인정해준다. 국내는 그런 전문가들이 많이 없기 때문에 발표를 해도 인정도 못받고 이슈도 되지 않는다. 국내에서 머물기 보다는 아시아를 대표하는 컨퍼런스로 규모나 질적인 면을 키워 나갔으면 한다.
 
◇보안산업 발전없으면 진정한 보안인력 양성도 없다
이승진=정보보호 인력을 양성하기 위해서는 현재 일하고 있는 우리의 모습이 중요하다. 우리가 일하기 힘든데 누가 이 분야에 일하러 뛰어들겠는가. 최근 몇 년 전부터 기관이나 기업에서 해킹기술에 관심이 높다. 하지만 발주자는 프로젝트 발주를 했으면 결과가 나와야 한다는 고정관념을 가지고 있다. 해커들에게 의뢰했지만 결과가 나오지 않을 수도 있다. 연구과정 자체를 프로젝트로 봐야 하는데 결과만 보고 있어 답답하다.
심준보=우리나라가 소프트웨어를 공짜로 생각하는 것도 문제다. 백신을 무료로 배포하면서 사실상 보안소프트웨어 시장은 무너진 것이다. 공짜라는 인식이 자리 잡혔다. 한 달에 몇 만원 내고 백신 사용하라고 하면 쓸 사람 몇 안될 것이다. 이런 이유로 보안시장은 작아지고 기업도 영세한데 직원들에게 좋은 대우를 해줄 수 있겠는가. 인력양성을 저해하는 근본적인 문제다.
이승진=정부기관들도 문제다. 정부에서 거시적 안목으로 사업을 못하고 있다. 그해 집행해서 그 기간에 결과물이 나와야 한다. 그래야 자신들의 성과로 인정받기 때문이다. 정부 프로젝트들도 거시적 안목이 필요하다.
김진국=보안산업이 성장하기 위해서는 정부지원이 필요하다. 제품구매 비용만 생각하고 사후 서비스 비용은 무시하고 있다. 국내 기업 매출 대부분이 장비판매 매출이다. 서비스 비용에 대해 정부에서 좀더 높은 마지노선을 지정해 줄 필요가 있다. 보안산업이 성장하지 못하는데 인력양성 운운은 어불성설이다.
 
◇대학교육, 인력양성에 긍정적
김진국=대학 이야기로 넘어가자. 최근 정보보호학과가 늘어나고 있다. 과연 대학의 정보보호학과가 인력양성에 도움이 되고 있는가.
심준보=정보보호학과 커리큘럼을 보면 네트워크 보안을 배운다. 네트워크 보안을 하려면 네트워크에 대해 완벽할 정도로 알아야 한다. 과연 학부에서 네트워크에 대한 완전한 이해와 더불어 보안까지 교육이 이루어질 수 있을까. 그런 의미에서 학부과정에서 네트워크에 대한 교육을 받고 대학원과정에서 보안을 심도있게 배우는 것이 맞는 것 같다. 대학 때는 기본적인 IT 전반에 대한 지식을 배우고 이후 대학원에 가서 보안을 전공하는 것이 순서라고 생각한다.
이승진=대학이나 학원 등 배우는 학생들 입장에서는 다양한 루트가 필요하다고 생각한다. 다양한 경로로 접할 수 있는다는 점에서 긍정적이다. 사이버국방학과를 졸업하면 장교로 근무할 수 있듯 학생들에게 다양한 선택권이 주어질 수 있도록 하는 것은 중요하다. 하지만 어떻게 해커를 키울 수 있을지는 어려운 문제다.
김진국=정보보호학과 등 대학에서 다양한 노력들에 찬성한다. 정보보호 일하려고 무조건 대학원을 갈 필요는 없다. 대학 학과들도 사회적 흐름에 맞춰 개설되기 때문에 지금 필요한 학과라고 생각한다. 4년이라는 긴 시간동안 기초도 배우고 정보보호 실무도 배워야 하는데 이를 대학에서 체계적으로 잘 해준다면 도움이 된다고 생각한다.
 
◇학원, 선배들 가이드가 필요해
김진국=입문자 중에 학원을 선택하는 경우도 있다. 학원들 중에 문제있는 학원들도 있다. 마치 3개월만 수강하면 보안전문가가 되는 것 처럼 학생들을 현혹해 수강하게 하고 있다. 잘하는 곳도 있지만 학원이 보안인력들을 망가뜨리는 부분도 있다고 본다.
심준보=일부 악덕 학원을 제외하고 다양성 측면에서 학원도 긍정적으로 본다. 대학보다는 대중화 측면에서 도움이 될 것 같다.
이승진=학원가면 수료증을 주고 있는가. 그래서 수료증을 받기 위해 학원을 가는 상황인가?
심준보=수료증 보다는 자신의 커리어를 쌓는 것으로만 생각해야 한다. 정보보호자격증도 어찌보면 쓸데없는 것 많다. 수료증이 중요한 것이 아니다. 수료증이나 자격증이 사회적으로 크게 인정못받는다.
이승진=학원도 제대로 배울 수 있는 기회를 제공해 주는 곳이다. 그래서 긍정적이다. 하지만 문제는 제대로된 교육기관이 없기 때문에 사설 학원으로 눈을 돌리는 것 같다. 이 문제는 보안 커뮤니티 선배들의 잘못이기도 하다. 커뮤니티에서 제대로 활동하지 못했기 때문에 후배들이 학원으로 가는 것이다. 선배들의 제대로된 가이드가 필요한 상황이다.
 
◇해킹보안 커뮤니티, 사회를 위해 일 할 때다
김진국=해킹보안 커뮤니티의 역할은 그럼 무엇인가?
심준보=국내는 리서치 수준이 많이 떨어진다. 연구결과물만 봐도 국내 커뮤니티들이 연구도 잘 이루어지고 있지 않다. 커뮤니티에서 활발한 연구활동들이 제대로 이루어졌으면 하는 바람이다.
이승진=연구결과가 제대로 안나오는 문제는 보안산업이 뒷받침 못하기 때문이다. 해커라고 연구만해서는 살 수 없다. 연구를 할 수 있는 사회적 환경이 안되어 있기 때문이다. 기존 커뮤니티는 좋은 역할 많이 했다. 좋은 리서치도 많이 나왔다. 이제 후배들을 끌어줘야 한다. 그런데 아직 15년 전을 답습만 하고 있다. 사회를 위해 일해야 한다. 그래야 사회도 보안 커뮤니티를 달리 볼 것이다. 커뮤니티 OB들이 사회 기여 방법을 찾아야 한다. 실질적으로 사회에 도움을 줄 수 있는 부분을 찾아야 한다.
심준보=해커가 바라보는 시각이 중요하다. 출중한 해커중에 정부기관에 들어가서 정책을 바꿀 수 있는 희생양이 필요하다.
이승진=꼭 국가기관에 가서 희생할 필요는 없다. 언더그라운드 해커에서 교수로 활동하시는 김휘강 교수님처럼 다양한 형태로 사회에 기여할 수 있다.
 
◇해커를 신뢰할 수 없다?
김진국=정부기관에서 해커들에게 프로젝트를 맡기고 싶어도 신뢰 부분이 약해 꺼리는 경향도 있다. 정부와 해커간 신뢰관계를 정립하기 위한 방안은 무엇일까.
이승진= DARPA(미국방위고등연구계획국, Defence Advanced Research Projects Agency)에서는 해커들과 프로젝트를 진행할 때, 취약점 연구나 보안방식 등 결과가 나오지 않을 수 있는 연구도 많이 진행한다. 국내와 다른 점이다. 이때 다르파는 비용을 분할해서 지급한다. 단 모든 플랜을 해커에게 맡긴다. 진행과정 별로 비용이 지급된다. 한국은 프로젝트 발주하는 기관에서 연구가 실패하더라도 연구성과로 받아줘야 하는데 그렇지 못하다.
 
◇BoB 프로그램, 인력양성에 도움되나
김진국=한국정보기술연구원(KITRI)이 추진중인 정보보안 인재 발굴 'BoB(Best of the Best) 프로그램'과 같은 것으로 실력있는 해커를 양성할 수 있다고 포장하고 있다. 과연 가능할까.
심준보=BoB 프로그램이 이 분야에 대해 공부하지 않았던 새로운 인력을 양성하자는 것인지 아니면 기존 해커중에 최고를 뽑겠다는 것인지 애매하다. 기존 실력있는 해커들은 대부분 BoB에 참여하지 않을 것이다. 새로운 인력을 발굴하겠다는 취지라면 긍정적이라고 본다.
김진국=새로운 인력 100명 키운다고 뭐가 달라질까. 그 예산으로 차라리 DARPA Cyber Fast Track (CFT) 프로그램과 같은 프로젝트에 투자하는 것이 더 좋을 것 같다. (DARPA CFT 프로그램은 사이버 시큐리티 연구에 있어 Fast Track Process를 촉진시키기 위한 것으로, 현행 제도가 인재 획득 관점에서도 개발 관점에서도 너무 복잡한 프로세서를 갖고 있는 경우가 많기 때문에 소규모 그룹에 자금을 제공하고 시큐리티 연구를 지원하는 프로그램이다. 미국은 새로운 힘과, 기존 제품 카테고리로 분류될 수 없는, 보다 신속하며 창조성이 높은 솔루션을 원하기 때문에 이러한 투자를 하고 있다.)
이승진=BoB 시스템은 좋다고 생각한다. 하지만 목적이 최고 해커를 양성하겠다는 것이라면 아니다. 우리나라 최고 해커들 100명 넘으면 서로 할 일 없어진다. 산업구조가 약하기 때문이다. 최고 해커들이 100명 나오면 뭐하나 할 일이 없다면 무용지물이다. 
 
◇한국에 글로벌 스타급 해커가 없는 이유는…
김진국=우리는 왜 글로벌 스타급 해커가 나오지 않을까 생각해본다. 영어가 문제일까.
이승진=미국에 스타급 해커가 많다. 비교하자면 여유로운 환경의 문제라고 생각한다. 미국의 많은 해커들이 퇴근시간 후 여유시간이 많기 때문에 그때 연구를 해서 발표하는 식이다. 우리는 그럴만한 상황이 안된다. 개인역량의 문제가 아니라 사회환경적 문제라고 본다. 그래서 회사는 기술력 확보를 못하고 기술이 없으니 돈도 못벌고 직원들 연봉도 많이 못준다. 계속 악순환이 되는 것이다.
심준보=나의 경우도 먹고 살기위해 연구할 시간에 제안서 같은 문서작성을 해야 만 한다. 연구할 시간이 부족하다.
이승진=DARPA CFT와 같은 프로그램을 마련하라고 정부에 건의한다. 일반 기업에서는 현실적으로이런 프로젝트를 할 수 없다. 정부에서 책임의식을 느끼고 만들어 나가야 한다. 그래야 스타급 해커도 나올 수 있는 것이다.
심준보=아직도 큰 보안침해 사건을 겪은 기업만 피부로 느끼고 있다. 해커입장에서 볼 때 현재 기업들은 엄청난 보안문제들을 가지고 있다. 문제점을 인식해야 하는데 안타깝다. 국가가 책임의식을 가지고 지원해야 한다.
김진국=자발적으로 연구가 이루어져야 하는데 회사만 들어가면 연구할 수 있는 환경이 안된다. 오픈소스 국내에서 못하는 이유이기도 하다. 외국은 퇴근 후에 자기 연구개발한다. 한국이 공개소프트웨어 사업단을 만들었지만 오픈소스는 돈을 벌려고 하는 것이 아니다. 구조적 문제 해결이 이루어져야 하는 상황이다.
이승진=스타급 해커가 없다는 문제는 엔지니어관점에서 보면, 영어가 큰 문제다. 기성 해커들도 해외 이슈트랜드 못따라 가고 있다. 정보접근의 어려움이 크다. 우물 안 개구리가 될 수밖에 없다. 중국은 영어를 못해도 왜 잘하는가, 중국은 우리와 다르다. 자기 나라가 곧 세계다. 스스로 학습이 가능한 나라다.
심준보=중국 해커들 300만 명이다. 우리나라 해커는 고사하고 개발자 다 합쳐도 안된다. 이런 상황이니 국내 탑클래스라 할지라도 해외 해커를 못 따라 가는 것이다. 
 
◇보여 주기식 정부투자는 이제 그만
김진국=국내 환경이 좋은 점도 있을 것 같다.
이승진=해킹대회가 활발히 이루어지고 있다는 것을 해외 해커들이 부러워한다. 실력있는 해커를 만드는 문제는 제쳐두고 인프라 하나는 잘 만들어졌다고 볼 수 있다.
김진국=보안을 위한 긍정적 움직임들이 보이고 있다. 하지만 웹개발자는 많지만 창의적이고 보안능력도 있는 진정한 웹개발자는 찾아보기 힘든 것처럼 보안 인력들도 진정한 보안인력들로 성장하기 위해서는 정부의 투자가 제대로 이루어져야 한다. 보여 주기식 투자는 전혀 도움이 안된다.  
[데일리시큐=길민권 기자]