보안 컨퍼런스에서 해킹시연이 빠지면 뭔지 모르게 허전하달 정도로 요즘은 해킹시연 발표가 많이 이루어지고 있다. 좋은 현상이다. 새로운 취약점을 찾아 발표하는 것은 해커들에게도 도움이 될 뿐만 아니라 보안담당자 입장에서도 새로운 공격방법을 알고 대처할 수 있는 방안을 고민해 볼 수 있는 귀한 시간이 될 수 있기 때문이다.
(사진출처. www.flickr.com / vonguard)
 
하지만 해킹시연자들에게는 남모를 고충들이 있다. 얼마전 열린 모 보안 컨퍼런스에서 해킹시연팀은 황당한 경험을 했다. 앞선 기조연설이 늦게 끝나면서 시간이 밀려 원래 확보된 25분도 채 사용하지 못하고 20분도 안되는 시간 안에 부랴부랴 시연을 끝내는 상황이 발생했다. 25분이라는 시간도 짧은데 잘 듣지도 않는 기조연설에 밀려 며칠 밤샘 작업을 하며 준비한 시연을 시간에 쫓겨 망쳐버린 것이다.
 
한국에는 아직 해킹시연을 깔끔하게 할 수 있는 발표자들이 손에 꼽을 정도로 부족한 상황이다. 그래서 기존에 발표를 해본 해커나 보안담당자들이 해킹시연 요청을 많이 받게 된다. 이중 몇몇 발표 경험이 있는 분들과 해킹시연에 대해 이야기를 나눠봤다.
 
◇해킹시연자들, 라이브 무대 심적 부담 커=크고 작은 보안 컨퍼런스에서 여러 번 해킹시연과 PPT발표경험이 있는 그는 “PPT 발표와는 달리 해킹시연은 상당히 부담되는 발표다. 20분짜리 발표라 하더라도 그것을 청중들 앞에서 제대로 보여주기 위해 며칠 밤을 새는 경우는 허다하다”며 “시연이라는 것이 라이브로 진행되는 것이라 준비를 제대로 하지 않으면 발표가 엉망이 되는 경우가 많기 때문에 대부분 해킹시연자들은 엄청난 준비과정을 거쳐 발표를 하게 된다”고 말했다.
 
그래서 해킹시연자들은 발표요청이 오는 순간부터 새로운 발표주제를 찾고 해외사례도 분석하고 새로운 발표주제를 선정해 팀을 꾸리고 동료들과 함께 시나리오, 프로그램 작업 및 테스트 환경을 만들고 PPT 자료도 만들고 만약을 대비한 동영상 촬영까지 준비한다.
 
발표 막바지 며칠 전부터는 리허설과 모의 테스트, 실수를 줄이기 위한 현장 테스트 등등 최고의 해킹시연을 위해 며칠 밤샘작업은 필수라고 한다. 대부분 1시간, 짧게는 30분 정도 이루어지는 해킹시연은 보는 사람입장에서는 간단해 보일지 모르지만 준비하는 시연자 입장에서는 엄청난 정신적 육체적 에너지 소모가 이루어지고 있다.
 
그럼에도 불구하고 시연의 법칙이란 것이 존재한다. 모 해커는 “발표직전 리허설까지도 잘되던 시연이 정작 본 시연 시간에 들어가면 네트워크에 문제가 발생하고 공격이 제대로 이루어지지 않는 등 이상하게 문제가 발생한다. 이것이 시연의 법칙”이라며 “이런 경우를 대비해서 꼭 동영상 시연자료를 준비해야 하고 청중들의 집중도가 떨어지지 않도록 유모와 위트로 상황대처를 잘해야 한다. 발표를 많이 하다 보면 상황대처 능력도 길러 지는 것 같다”고 말했다. 
 
◇적정 시간배정과 현실성 있는 발표료 책정돼야=시연자들이 가장 애로사항으로 생각하는 것은 무엇일까. 바로 시간이다. PPT 발표는 어느 정도 발표자가 시간 조절이 가능하지만, 해킹시연은 여러가지 변수가 발생할 수 있기 때문에 너무 짧은 시간배정은 위험할 수 있다. 그래서 해킹시연 경험자들은 최소 1시간은 확보돼야 제대로 된 시연을 할 수 있다고 말한다.
 
그래서 모 해커는 “처음 시연요청을 받으면 시연 시간을 꼭 체크해야 한다”며 “시연을 하다 보면항상 시간이 부족하기 때문에 20분이나 30분을 주고 시연을 요청하는 경우는 하지 않는 것이 좋다. 망신만 당할 수 있다”고 지적했다.
 
특히 문제가 되는 부분이 발표료다. 이 부분은 시연을 요청하는 주최측에서 시간배정과 함께 가장 신경을 써야 할 부분이다.
 
현재 발표료는 컨퍼런스의 규모, 주최측의 의식, 발표주제, 발표자의 인지도, 발표시간 등등을 고려해 책정되고는 있지만 시연자 입장에서는 아쉬운 부분들이 있다고 한다. PPT 발표자들은 대부분은 아니겠지만 상당수가 지금까지 발표한 내용에 추가하거나 변형 혹은 추려서 PPT자료를 만들고 발표를 하는 경우가 많다.
 
하지만 해킹시연의 경우는 새로운 주제 개발, 팀 구성, 시나리오 작업, PPT작업, 프로그래밍 작업, 계속되는 테스트, 문제해결, 동영상 작업, 리허설 그리고 일주일 이상 야간작업과 그 과정에서 발생하는 여러가지 경비 등등 정신적 노동 이외에 사적인 경비지출이 의외로 많이 발생한다고 한다.
 
모 시연자는 “해커들은 대부분 발표료를 바라고 돈 때문에 시연을 준비하는 경우는 거의 없다. 준비하면서 강연료 이상을 쓰는 경우도 많다. 하지만 최근의 강연료는 좀 현실성이 없는 것 같다”며 “은연중에 해커들은 발표료를 적게 줘도 군말하지 않고 해킹시연을 하더라는 인식이 자리잡은 것 같다. 실제로 내가 얼마 받고 해킹시연을 했다고 말하면 잘 모르는 분들은 설마 그 금액으로 발표를 했을까라고 의심할 정도로 최근 발표료들은 현실적이지 못하다”고 토로했다.
 
이 부분은 해킹시연을 요청하는 컨퍼런스 주최측들의 의식이 바뀌어야 할 부분이다. 기조연설이나 간단한 PPT 발표를 한 정부기관 고위급 관료나 대기업 임원들의 발표료와 해킹시연자들의 발표를 동등하게 취급해서는 곤란하다. 
 
누구나 알고 있는 사실이다. 소위 VIP 연설은 자신들이 노력해서 만든 PPT 자료도 아니고 대부분 보좌관이나 부하 직원들이 만들어준 PPT 내용을 전달하는 것이 대부분이다. 그런 발표와 몇 날 며칠 밤샘작업을 하며 여러 명이 고생해서 발표하는 해킹시연과 동급으로 발표시간만 따져 발표료를 책정하는 것은 말이 안된다.
 
또 다른 해커는 후배들에게 미안한 마음을 표현했다. 그는 “발표료 문제는 참 치사하다. 발표료가 적다고 하기도 뭐하다. 적다고 더 달라고 하면 지금까지 다른 사람들은 별 말 없이 잘 했는데 왜 그러냐는 눈치다. 돈을 밝히는 사람으로 찍힐 수 있다”며 “그런 상황을 선배들이 만들어 놓은 것 같아 미안하다. 이 부분은 앞으로 개선해 나가야 할 문제인 것 같다”고 말했다.  
 
이 부분은 해킹시연자들을 앞세워 컨퍼런스에 많은 사람들이 오게 하는 데만 신경을 쓰는 컨퍼런스 주최자들이 반성해야 할 몫이다. 명목상으로는 정보보안 인력 양성을 위해 개최하는 컨퍼런스라고 떠들지만, 들여다보면 해킹시연자들이 원래 정보보안 전문가들임에도 불구하고 정작 이들에 대한 대우가 제대로 이루어지지 않고 있다는 것은 모순이다.
 
또 해킹시연 요청이 대부분 지인을 통해 구두로 받는 경우가 많기 때문에 발표시간과 발표료 요구에 있어 껄끄러운 점이 많은 실정이다. 이를 개선하기 위해서는 구두로 결정이 났다 하더라도 주최측에서 정돈된 계약서 형식으로 다시 한번 정중히 요청하면서 금액과 시간에 대해 불만이 없는지 준비해야 할 것은 무엇인지 등등 세밀한 배려가 필요하다. 스폰서 기업 잡는 데만 주력할 것이 아니다.
 
◇컨퍼런스 문화 바뀌어야 하고 매체 기자들도 변화해야=이에 모 해커는 “국내 컨퍼런스 환경이 무료이다 보니 주최측에서 비용절감 노력을 많이 하게 된다. 그래서 발표료도 현실성이 부족한 점 이해는 된다”며 “지금과 같은 무료 컨퍼런스 형식만 할 것이 아니라 해외처럼 제대로 발표내용을 준비해 유료 컨퍼런스가 활성화되면 국내에서도 더 많은 발표자들이 기회를 가질 수 있고 제대로 대우도 받고 참관객들도 발표 내용에 만족하는 선순환 구조를 만드는 것이 중요하다”고 강조했다.
 
또 하나 발표시 주의 사항에 대해 “예전에 민감한 주제로 해킹시연을 하면 제재도 많았고 압력도 많았다. 하지만 최근에는 해킹과 보안의 경계가 어느 정도 완화되면서 인식이 바뀌어서 그런지 민감한 주제라도 압력은 크게 없지만 해킹시연자 입장에서는 특정 업체나 제품을 가지고 공개석상에서 거론하는 것은 주의해야 하며 참관객들도 특정 제품이 거론됐다고 해서 그 제품을 비난할 것이 아니라 어떻게 이 문제를 보안할 수 있을까에 관심을 가지는 긍정적인 발표의 장이 됐으면 좋겠다”고 말했다.
 
매체 기자들도 해킹시연자 입장에서는 신경 쓰인다고 한다. “특정환경을 만들어 놓고 그 상황에서 해킹시연을 보여주는 대도 불구하고 마치 모든 환경에서 공격이 가능한 것처럼 언론 기사를 쓰는 경우가 많다”며 “해킹시연자들이 말하는 바를 정확하게 인지하고 확대 해석해서 기사를 작성하지 말았으면 좋겠다. 그런 문제로 많은 해커들이 상처를 받았다”고 정확한 기사 작성을 당부했다.  
 
해킹시연자들이 원하는 것은 이렇다. 최소 한달 전에 해킹시연 요청을 해야 하고 구두로 결정났더라도 정식 계약서 형식으로 금액과 발표시간을 명시해 줘야 한다. 터무니 없는 발표료는 시연자를 불쾌하게 한다. 또 20분이나 30분 정도로 해킹시연을 부탁하는 것은 실례일 뿐만 아니라 컨퍼런스 질을 생각해서라도 그렇게 하면 안된다. 최소 1시간 이상 해킹시연에 시간을 배정해야 한다.   
 
◇왜 해킹시연 발표를 하는가=그렇다면 왜 악조건 속에서도 해킹시연을 하는 것일까. 모 해커는 “자기 개발을 위해서다. 시연 준비하면서 새로운 것을 배우고 익히게 된다”며 “그리고 커리어도 쌓이게 되고 발표장에서 여러 사람들을 만날 수 있다는 것도 장점”이라고 말했다.
 
또 다른 해커는 “IT 인력뿐 아니라 보안인력들이 타부서 인력에 비해 다소 커뮤니케이션 능력이나 프리젠테이션 능력이 떨어지는 경우가 많다. 이를 개선하기 위해서라도 많은 청중들 앞에서 발표해보는 경험을 쌓는 것은 중요한 자기 개발이 될 수 있다”고 강조했다.  
[데일리시큐=길민권 기자]