이뮤니티 CEO 데이브 아이텔(Dave Aitel)이 한국을 방문했다. 한국에서 적극적으로 자사 침투테스팅 플랫폼인 캔바스와 실리카를 홍보하기 위한 방문이었다. 사실 지난 12일 데이브는 제1회 이뮤니티 세미나에서 강연을 하기 위해 한국에 오기로 돼 있었다. 오후 2시부터 데이브와 만나기 위해 세미나 참관객들이 모였지만 그는 그날 그 자리에 오지 못했다.
 
문제는 데이브가 오래전부터 앓고 있었던 천식때문이었다. 한국으로 오는 비행기를 천식 때문에 타지 못하고 다음날 비행기로 한국에 온 것이다. 그런 그를 16일 삼성동에 있는 커피점에서 만났다. 35살 치고는 어려보이는 얼굴이었고 대화내내 유쾌함을 잃지않고 질문에 답해줬다. 다음은 그와 나눈 일문일답 내용이다.
 
이뮤니티(Immunity)를 설립한 계기가 있나?
즐기기 위해서다. 이뮤니티는 해킹이라는 기술을 가진 사람들이 모여 즐겁게 일하기 위해 모인 기업이다. 침투능력을 가진 해커들이 모여 즐겁게 일할 수 있으면 좋겠다는 생각에 회사를 만들게 됐다. 본사도 마이애미 비치에서 5분도 안되는 거리에 있다. 그래서 분위기 자체가 항상 즐겁다.   
 
해커들마다 특색이 있기 때문에 연합하기가 쉽지 않았을텐데 어떻게 했나?
나도 해커다. 그래서 해커들을 어떻게 대해야 하고 어떻게 운영을 해야하는지 잘 알고 있었다. 그 사람들을 메니징하려면 안된다. 그들을 이해하고 즐겁게 일 할 수 있도록 환경을 만들어주는 것이 가장 중요했다. 그래서 모두들 즐겁게 일하고 있다.
 
어떤 식으로 즐겁게 일하나?
해킹대회도 열어 게임형식으로 하기도 하지만 해커의 본질은 모르는 것을 알아내고 부시고 뜯어내면서 뭔가를 찾아내는 사람들이다. 그 일 자체가 즐거움이다. 그 일에 몰두할 수 있도록 환경을 만들어 주면 즐겁게 일 할 수 있다. 즉 일 자체가 즐거움이다.
또 얼마전에는 해커컵을 열었다. 각국의 해킹그룹들을 초청해 축구대회를 열었다. 거기서 스페인팀이 우승을 차지했다. 이뮤니티 대표로 아르헨티나팀이 출전했는데 좋은 성적을 거뒀다. 이런 이벤트도 즐거운 일들이지만 일 자체의 즐거움이 더 크다.
 
해커로 인생을 살아가게된 동기가 있나?
어려운 질문이다. 어렸을 때부터 컴퓨터 게임을 즐겼다. 그것에 몰두하다 보니 컴퓨터 게임 브레이킹 방법을 찾아내게 되고 컴퓨터 공부에 심취하게 됐다. 만약 해커가 안됐다면 컴퓨터 프로그래머가 됐을 것이다. 지금 생활에 너무 만족하고 있다. 삶에서 즐거움과 행복을 돈이 가져다 준다고 생각하지 않는다. 자기가 하고싶은 일을 할 때 행복이라고 생각한다.
 
해킹기술을 비즈니스로 승화시켰다. 한국 해커들과 같이 할 수 있는 부분이 없을까?
그렇지 않아도 이뮤니티코리아에서 해커들과 함께 이뮤니티 서비스를 하면 어떨까 생각하고 있었다. 한국은 굉장히 돈 벌 일이 많다. 이뮤니티와 같은 서비스를 아무도 하지 않고 있기 때문이다. 침투테스트가 아직 일반화되지 않았기 때문에 비즈니스 적으로도 성장 가능성이 있을 것이고 이를 이뮤니티 이름으로 함께 해도 좋고 한국 해커들이 모여서 이런 일을 해도 좋을 것이다. 하지만 이뮤니티와 함께한다면 실수를 줄이면서 비즈니스를 하는데 도움이 될 것이다.
 
한국 해커에 대해서 알고 있나? 그리고 한국 해커들이 더 성장할 수 있도록 조언을 해준다면?
개인적으로 아는 해커들도 있다. 또 한국은 영어권이 아니기 때문에 주로 구글 번역기를 통해 한국 해커들의 소식을 접한다. 실력있는 해커들이 많다고 생각한다.
또 한국은 지리학적으로 중국, 일본, 러시아와 같은 강대국 사이에 위치해 있다. 그래서 무조건 강해져야 한다. 특히 해커들은 더욱 강해져야 한다. 하지만 해커들만의 노력으로는 강해질 수 없다. 해커들이 교육을 받고 배운 지식을 가지고 열심히 일 할 수 있는 기반을 정부와 기업들이 적극적으로 만들어 줘야 한다.
해커들이 실력이 좋다면 기업에서 채용해 이들이 실력을 발휘할 수 있도록 길을 열어줘야한다. 그렇지 않으면 음성적 해커가 될 수 있다. 한국에는 큰 조선소들이 많다고 들었다. 예를 들어 그 회사에 봇이나 웜이 침투해 업무를 할 수 없도록 한다면 어떻게 될까. 해커들이 교육받고 일 할 수 있는 토대를 만드는 것은 해커가 할 수 있는 것이 아니라 정부와 기업들이 해줘야 한다.
 
한국에 최근 대형 보안사고들이 많이 발생했다. 혹시 그 이유에 대해 생각해 본적 있나?
보안사고는 한국만의 문제가 아니다. 어느 나라에서든 발생하고 있다. 미국도 포춘 500대 기업 대부분에서 해킹사고가 발생한다. 한국도 밝혀지지 않아서 그렇지 대부분 기업들이 해킹사고를 당하고 있을 것이다. 중요한 것은 우리가 안전한지 그렇지 않은지 아느냐 모르느냐의 차이다. 안전하지 못한 부분을 알고 있어야하고 그것에 적극적으로 대처하는 것이 무엇보다 중요하다.
 
이뮤니티 툴(캔바스, 실리카)과 서비스를 이용하면 어떤 도움이 될까?
우리가 안전한지 그렇지 않은지 명확하게 알 수 있다는 점에서 큰 도움을 줄 것이다. 기업과 기관들은 보안을 위해 무엇을 확인해야 하는지 모르는 경우가 많다. 월드와이드적 관점에서 보안을 볼 수 있어야 한다. 사이버 공격이 월드와이드로 이루어지기 때문이다. 이뮤니티 제품뿐만 아니라 모든 보안솔루션들은 베이스 라인이다. 이것을 넘어 기업의 비즈니스 목적을 정확하게 이해하고 있어야 하고 이것에 위협을 가할 수 있는 리스크가 어디에서 발생할지 명확하게 알아야 한다. 그 후에 보안 제품이 필요한 것이다.
그래서 이뮤니티 직원들은 업무를 시작하기 전에 고객에게서 모든 것을 듣는다. 그래야 보호해야할 대상이 명확하게 정해지고 타깃을 정해 보안을 할 수 있기 때문이다. 또 우수한 해커들은 고객과 충분히 이야기하는 과정에서 무엇이 문제인지 알게되고 어떻게 보안을 해야할지 맵을 그릴 수 있다.
 
NSA(美 국가안보국)에는 어떻게 일하게 됐나?
대학에 가고싶었는데 돈이 없었다. 학비가 2만5,000불 정도였다. 돈이 필요해서 NSA에 지원하게 됐고 정부장학금을 받고 일하면서 그 돈으로 학교를 다녔다. 돌이켜 보면 정말 열심히 일한 것 같다. 만약 그런 시스템이 없었다면 지금의 나도 없었을 것이다. 그렇기 때문에 정부의 지원과 기업들의 역할이 중요하다. 정부와 기업이 공조해 적극적으로 역량있는 해커들을 지원해야 하고 교육시켜야 한다. 그렇지 않으면 그들은 정상적인 사회생활을 할 수 없게 되고 음지로 숨어들 수밖에 없다. 그들에게 기회를 만들어 줘야 한다. 이뮤니티도 기업 입장에서 그들에게 기회를 주고 있는 것이다. 한국에 이러한 시스템이 없다면 미래를 위해서라도 지금부터 준비해야 한다.
 
최근 해킹유형을 소개해 준다면?
유행은 돌고 돈다. 해킹유형도 오래된 것이 새로운 것이 될 수 있다. 굳이 꼽자면 SQL인젝션 공격이다. 이 공격은 지금까지 계속 돼 왔지만 앞으로도 계속될 것이다. 대부분 미국 기업들도 이를 방어하는 것을 힘들어 하고 있다. 또 멀웨어 공격, 특정인을 타깃으로 한 공격 등은 앞으로 지속적으로 있을 것이다. 왜냐하면 이 공격들이 탐지가 힘들기 때문이다. 탐지가 힘들기 때문에 사이버 범죄자들이 계속 그러한 방법으로 공격하는 것이다. 이뮤니티 서비스는 이러한 공격들에 피해정도를 확인하도록 하고 피해발생이 최소화되도록 할 수 있다.
 
한국 시장을 어떻게 보나?
한국에서도 기존 제품과 서비스 그리고 웹 애플리케이션 취약점 진단과 공격이 가능한 새로운 제품 등이 성장 할 것으로 본다. 특히 공공기관이나 금융권 등에서 계속 성장하리라 예상한다. 교육이 잘 받쳐준다면 빠르게 성장할 것이다.
특히 한국은 일본보다도 성장이 클 것이다. 왜냐하면 한국은 사건사고가 많다. 보안사고가 터질 때마다 기업들의 보안에 대한 두려움, 성숙도가 높아진다. 그런 차원에서 한국은 이뮤니티에 유리한 여건이 형성돼있다고 본다.
 
한국 해커들은 취약점 발표를 꺼린다. 좋은소리 못듣기 때문이다. 해외에서는 어떤가?
외국도 마찬가지다. 범죄자 취급한다. 왜 그런걸 공개하느냐, 와서 증명해봐라 그런식이다. 그래서 많은 경우 자기만 알고 있고 소수만 공유하고 있다. 이유는 공개됐을 때 공격받을 수 있기 때문에 기업들이 싫어하는 것은 당연하다. 이 문제는 공통의 문제고 정부차원에서 이러한 취약점을 공유하고 긍정적으로 사용될 수 있도록 환경을 만들어주면 좋을 것이다.
이뮤니티는 이를 극복하기 위해 취약점을 팀별로 구성해 우선순위를 정해 찾아낸다. 원격명령 수행이 가능한지, 인증우회가 가능한지, 시스템권한을 획득할 수 있는지, 로컬페이지를 바꿀 수 있는지 등의 범위를 정해놓고 이 범주 안에서 취약점 테스트를 주로 한다.
 
MS와 인텔 등 레드팀(순수 공격팀)을 운영하고 있는 것으로 알고 있다. 다른 기업들은 어떤가?
해킹당하고 나면 많이들 운영한다. 해킹당할 때마다 성숙도가 올라간다. 포춘 500대 기업들 대부분 레드팀을 운영하고 있다고 봐야 한다. 규모가 크면 반드시 가지고 있다. 소니는 예외였다. 사고당시 레드팀도 없었고 CSO도 없었다. 지금은 CSO를 두고 있다.  
 
레드팀은 어떻게 운영되고 있나?
미국의 큰 기업들은 대부분 보통 정규직 직원으로 3~5명 정도 레드팀으로 일하고 있다. 하지만 이 인원으로 부족하기 때문에 외부 용역인력들도 같이 한다.
또 하나 중요한 것은 레드팀도 관리를 해줘야 하기 때문에 레드팀 이전에 CSO가 필요하다. CSO는 보안관련 업무를 완벽하게 이해할 수 있어야 한다. 비즈니스와 IT기술을 이해할 수 있어야 하고 IT와 물리적 보안 전체를 이해하고 이를 조직화 할 수 있는 사람이 최고의 CSO다. 그래서 CSO란 무지 힘든 일이다.   
 
레드팀으로 일해 본적이 있나?
기업 내부 직원으로 레트팀에 일한 적은 없다. 주로 외부팀에서 일했다.
 
레드팀 보수는 어느정도 수준인가?
내부 정규직에 비해 외부 용역팀의 보수가 일반적으로 더 많다. 하지만 여러가지 보장되는 것이 없기 때문에 비슷하다고 봐야 한다.
정규직 기준으로 레드팀 보수는 8만~15만달러(우리 돈으로 대략 9,000만원~1억 7,000만원) 선이다.  이 수준이 사람마다 돈 쓰는 습관이 다르기 때문에 많다 적다는 개인적인 기준일 것이다.
 
한국에서는 보안직종이 유망직종으로 분류된다. 미국은 어떤가?
미국도 비슷하다. 보수도 괜찬은 편이다.
 
해커로 일하며서 검은 제의를 받은 적은 없나?
(크게 웃으며)나는 몸값이 비싸다. 나한테 그런 제안은 해오지 않았다. 싸게 일할 수 있는 사람들이 많기 때문에 그런 사람들에게 제안했을 것이다. 능력있는 해커는 돈이 궁하지 않기 때문에 사실 그런 제안이 와도 하지 않는다. 그 이전에 능력있는 해커들이 사회에 나와서 일할 수 있는 환경을 만들어준다면 그런 제의가 와도 거절할 것이 분명하다. 해커들이 즐겁게 일할 수 있는 사회적 환경을 만드는 것이 그래서 중요하다. 
 
룰즈섹이나 어나니머스 해커들을 어떻게 생각하나?
실제로 그렇게 하면 안된다. 하지만 이 친구들이 세상을 바꿔놓고 있다. 이들이 매일 뉴스에 나오면서 많은 기업들이 보안에 더욱 신경을 쓰고 있고 투자도 늘고 있다. 이는 전세계적으로 비슷한 현상이다. 룰즈섹이나 어나니머스가 보안 비즈니스 측면에서는 긍정적인 역할을 했다고 볼 수 있다.
 
룰즈섹이나 어나니머스 맴버를 알고 있나?
나는 해커들 사이에서 구시대다.(하하하) 그네들은 10대 20대들이다. 그쪽 맴버들은 알지 못한다.
 
언제 결혼했고 부인이 해커라고 들었는데 불편한 점은 없나?
7년전에 결혼했다.(데이브는 지금 35살이다.) 와이프도 해커다. 그래서 내 일을 잘 이해해주고 있어서 행복하다. 너무 잘 알아서 불편할 때도 있긴 하지만(하하하) 전혀 문제 없다.
 
컴퓨터 이외에 다른 취미는 없나?
취미를 가져야 한다고 생각만 하고 있지 아직까지 특별한 취미를 만들지 못했다. 술마시는 것을 좋아하는데 요즘 와이프가 임신을 해서 집에 일찍 들어가야 한다.(데이브는 현재 아들이 둘 있고 출산 예정인 뱃속의 아기도 아들일 확률이 높다고 한다.)
 
한국 해커를 면접본적이 있나?
말레이시아와 싱가폴 해커들과는 일을 많이 한다. 하지만 아직 한국 해커와 면접을 보거나 비즈니스를 같이 한 경우는 없는 것 같다. 영어 문제가 큰 것같다. 해커들이 실제 업무를 수행하려면 영어로 커뮤니케이션이 돼야 하는데 힘든 것같다. 나도 다음에는 한국어를 열심히 공부해 한국어로 인터뷰를 하도록 노력하겠다.
 
데이브 아이텔은 한국이 두번째 방문이다. 2008년 POC컨퍼런스에 참석하고 이번이 두번째다. 그는 한국에 도착해서 비오는 것이 좋다고 한다. 공기가 맑은 것같고 호텔에서 가까운 봉은사에 가 봤는데 너무 좋은 느낌을 받았다고 한다. 그렇다고 그가 불교신자는 아니다. 종교는 없다.
[데일리시큐=길민권 기자]