17일 열린 NETSEC-KR 2013 마지막 시간에 패널토의가 열렸다. 주제는 “한국에서 해커로 살아가기”. KAIST 김용대 석좌교수의 사회로 진행된 토의에는 김휘강 고려대 교수, 염동복 삼성SDS 수석, 양정규 라온시큐리티 대표, 유동훈 한국과학기술정보연구원 연구원(전 아이넷캅 연구소장) 등이 참여했다. 이하는 패널토론회 전문이다.(존칭 생략)

 
-김용대: 패널들 직업의 단점을 들어보고 싶다.
-김휘강: 예전 직장(엔씨소프트)에 비해 연봉이 1/3로 줄었다. 또 교수가 되면 연구시간, 책읽는 시간, 캠퍼스의 낭만이 보장될 거라 생각하지만 그렇지 않다. 연구 이외 잡무도 많고 돈에 구애받지 않고 연구할 수 있는 시간은 많이 부족하다.
-염동복: 해커로 활동 할 때는 새벽에도 연구하고 자유로웠는데 직장생활을 하다 보니 활동이 자유롭지 못하다. 또 개인적으로 연구한 결과물을 외부에 공개할 수 없다는 것도 단점이다.
-양정규: 작은 기업을 운영하고 있어 잡일이 많다. 직원들 월급도 챙겨야 한다. 사원들에게 비전도 제시해야 한다. 모의해킹을 주로 하는 기업이기 때문에 돈을 받고 하는 모의해킹은 항상 부담이다. 그래서 매순간 긴장해야 한다. 그리고 자녀들에게 해커를 인식시키는 것도 어려움이 있다.
-유동훈: 어린 나이에 창업을 해서 회사 운영에 대한 어려움을 알고 있다. 어린 나이에 창업은 말리고 싶다. 월급날만 되면 피가 마른다. 연구와 상관없는 회의참석, 영업, 전화응대, 잡무 등 어려움이 있다.
 
-김용대: 후배들에게 잘 했다고 생각되는 것 한가지만 이야기 해달라.
-유동훈: 2003년 경에 제로데이로 비즈니스를 해보자고 생각했다. 취약점이 돈이 된다고 생각했다. 이제는 취약점을 판매할 수 있는 시대가 온 것 같다. 취약점을 해외에 발표하고 이런 것도 발표할 수 있구나라는 것을 후배들에게 보여준 것을 잘 한 점으로 들 수 있을까. 
-양정규: 후배들이 지금 내 나이에 실전 해킹을 하고 있다는 것만으로도 도움을 주고 있다고 말해준다. 지금도 실제 모의해킹을 하고 있다. 그 경험을 살려 KISA 해킹방어대회 문제 출제 및 운영을 6년째 해 오고 있다. 실전에서 익힌 문제들을 후배들에게 간접경험 할 수 있도록 해 주고 있다는 것.
-염동복: 해커로서 대기업에 입사할 때 면접관이 몇번이고 조직생활을 할 수 있냐고 물어보더라. 이제는 해커를 빨리 뽑아오라고 한다. 나름 열심히 해서 이제는 해커들도 대기업에 취업할 수 있는 길을 조금이나마 열었다는데 의미를 두고 싶다.
-김휘강: 99년 이전 알바 형식으로 해킹을 해 오던 것을 99년부터 비즈니스 모델로 잡아서 보안컨설팅 전문업체라는 분야를 만들었다는 점을 들고 싶다. 또 이제는 학교로 왔다. 해킹과 학문은 거리가 먼 것 같았는데 예전 경험을 살려 게임보안 영역도 학문의 영역으로 만들어 가고 있다.
 
-김용대: 한국에서 해커출신으로 회사를 운영하는데 어려움은 없나.
-양정규: 모의해킹 컨설팅을 하다보면 의뢰 기업 담당자들이 신뢰를 안하는 경우가 있다. 아무리 작은 기업이지만 같이 협력해서 취약점을 찾아 자사 보안에 도움을 주는 회사인 만큼, 존중해주고 협조해 주는 문화가 필요하다는 것을 느낀다. 취약점 찾아주면 별거 아니라는 식으로 치부하기도 한다. 취약점 찾아 고치는 걸로 끝나면 되는데 담당자가 징계를 받거나 심지어 회사를 그만둬야 하는 경우도 있어 이런 문제가 발생하는 것 같다. 고쳐졌으면 좋겠다. 그리고 갑을 관계도 아니고 병, 정 관계에서 일을 시작하는 경우도 있다. 이때 모든 공이 을에게 돌아가는 경우도 있는데 좀 억울한 기분도 든다.
 
-김용대: 모의해킹을 하면서 실패 해본 경험은 없나.
-양정규: 취약점의 크리티컬한 정도는 있겠지만 취약점을 찾지 못한 경우는 거의 없다. 따라서 3.20 사건과 같은 사고가 다시 재발할 수도 있는 것이고 더 큰 사고가 발생할 수도 있다. 예전에 비해 공격범위가 넓어졌기 때문에 방어도 더욱 힘들어 진 상황이다.
 
-김용대: 회사에서 해커에게 무엇을 바라고 채용했나.
-염동복: 처음 회사를 들어가서는 기존 직원들이 모르는 부분에 대한 교육을 담당했다. 해커의 눈으로 본 여러가지를 교육했다.
해커가 회사에서 성공하려면, 자신의 역량과 비전을 키우는 것 아니라 직속 상사를 승진시키는 것이다. 상사를 승진시키려고 생각하다 보면 나도 성장한다.
 
-김용대: 직장에서 해킹 경험자와 없는 자의 차이, 무엇일까.
-염동복: 해킹 경험자는 밴더의 감언이설에 넘어가지 않는다. 밴더 영업사원의 말을 필터링 없이 받아들이면 안된다. 해킹 경험자는 안되는 부분을 알고 있기 때문에 밴더가 말하는 그대로를 믿지 않는다. 그래서 더 좋은 솔루션을 선택하거나 회사에 진정 도움이 될 수 있는 솔루션을 선별할 수 있는 남다른 눈을 가지고 있다.
 
-김용대: 학자로서 해커 후배들에게 해주고 싶은 말이 있다면.
-김휘강: 최 상위 클래스 해커들은 학위가 없어도 먹고 산다. 하지만 훗날을 위해서 학위를 취득하기 바란다. 인생에서 선택의 카드가 넓어질 것이다. 언젠가는 학위가 인생을 구원해 줄 수 있는 기회로 작용할 수도 있기 때문이다.
 
-김용대: 취약점 발견시 책임있는 공개, 어떤 어려움이 있나.
-김휘강: 교수가 되어서도 취약점을 발견하고 공개하면 상대방이 다치는 것을 걱정하게 된다. 대학이라고 자유로울 수는 없다. 취약점 발견했다고 해서 강하게 발표하면 당시에는 언론에도 노출되는 등 유명세는 탈 수 있겠지만 또 제자들 취업도 생각해야 하기 때문에 여전히 조심스럽다. 그리고 내용도 없는 빈수레로 보일 수 있어 염려스럽기도 하다.
-유동훈: 취약점 발견시 밴더에 대한 조금의 배려가 있어야 한다. 무조건 배려하고 봉사할 필요는 없지만 적어도 대비책을 마련할 수 있는 시간은 줘야 한다.
2007년까지만 해도 취약점 발견되면 대외적으로 발표했다. 그런데 어느날 모 기관에서 연락이 와서 가보니 내가 만든 익스플로잇 툴이 해외에서 해커들이 한국 기관을 공격하는 툴로 개조해서 사용하고 있다는 말을 들었다. 그 뒤로 취약점 공개 잘 하지 않는다.
취약점 공개전, 해당 기업이나 기관에 준비할 수 있는 시간을 줘야 한다. 요즘은 보상을 받을 수 있는 기회도 있어 잘 활용하기 바란다.
 
-김용대: 패널들은 10년 전으로 돌아가도 지금과 같은 길을 갈 것인가.
-모두: 지금과 같은 길을 갈 것이다.
-유동훈: 창업만 빼고, 지금과 같은 길을 갈 것이다.
 
-김용대: 취약점 찾아주면 공식적으로 보상해 주는 제도가 있다 어떻게 생각하나.
-양정규: 금액이 너무 작아 취약점 보상금 만으로는 회사운영 정도는 힘들지 않을까.
-유동훈: 국내는 상한 금액이 정해져 있다. 해외는 크리티컬한 정도에 따라 보상해 준다. 또 실제로 밴더에 어떻게 접촉해야 하는지도 모르는 사람들 많다. 이를 관련 기관에서 중계를 해주고 밴더에서 적절한 금액으로 보상해 주면 좋지 않을까. 중계기관은 해커를 보호해 줘야 한다.
 
-김용대: 국가가 원한다면 내 양심에 반하더라도 해킹을 할 수 있나.
-김휘강: 국가에서 필요한 상황이라면 가능할 것 같다.
-염동복: 국가가 필요하다면 할 것이다.
-양정규: 안 할 것 같다. 양심에 떳떳하지 않으면 하지 않겠다.  
-유동훈: 현재 군 복무기간이라 답변할 수 없다.
 
-김용대: 해커 양성, 어떻게 이루어져야 할까.
-김휘강: 예전 KUS(현재 GoN) 맴버들 중에 지금까지 보안쪽에 몸담고 있는 사람은 둘 뿐이다. 모두 기본들이 탄탄하기 때문에 현재 보안 이외에도 게임, 벤처기업 등 다양한 분야에서 활동하고 있다. 즉 다른 것도 할 수 있어야 한다. 얄팍한 응용 기술만 익혀 해킹을 하다보면 트렌드가 바뀌면 힘들어 진다. 그래서 돈의 유혹에 넘어가 블랙해커로 전락하게 된다.
국가에서 최근 해커 양성을 위해 지원을 하고 있는데 탑클래스 해커들은 지원없어도 살 수 있다. 중요한 것은 성장 가능성이 있는 해커들을 집중 육성하는데 초점이 맞춰져야 한다. 너무 지원 대상 폭이 넓어지면 이슬비 형식의 지원밖에 안될 것이다.
-염동복: 사건 터지면 지원이 늘고 안터지면 줄고 하는 국가차원의 지원만 믿으면 안된다. 국가지원은 어떻게 될지 모르는 유동적인 것이다. 굳이 국가 예산이 아니더라도 해커 인력들을 키울 수 있는 방법을 찾는 것이 중요하다. 인력들을 민간에서 흡수해야 한다. 대기업들이 흡수해 지속적으로 키워나가는 것이 효과적이다. 민간에서 활발하게 이루어져야 한다.
-양정규: 말로만 해커 양성이 이루어져서는 안된다. 예산의 크고 작음을 떠나 어디에 돈을 쓰느냐가 중요하다. 3.20 사건에도 봤듯이 보안장비 있다고 뚫리지 않는 것이 아니다. 소프트웨어적인 문제가 중요하다. 해커들 가치관 모두 다르다. 애국심, 돈, 재미 등 이런 해커들을 아우를 수 있는 대책마련이 필요하다. 실효성 있는 대책이 나오길 바란다.
-유동훈: 해커 양성 이전에 기존 화이트해커들을 보호할 수 있는 법적 장치들이 필요하다. 양성도 중요하지만 기존 해커들 관리하고 보호하는 것도 중요하다. 보상제도 이야기도 나왔지만, 보상보다는 해커들에게 명예와 행복감을 주는 것이 더 필요하다. 이런 것에 기반한 보상제도가 필요하다. 특히 기존 해커들을 잠재적 범죄자로 보는 기관도 있다. 해커라는 타이틀을 떳떳하게 말할 수 있는 사회가 되어야 한다. 나는 아직도 모르는 사람에게 내가 해커라고 말하기 부끄럽다. 사회적 인식변화가 먼저 있어야 할 것 같다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com