지난달 26일 고려대 백주년 기념관에서 제13회 민·군 정보보호 발전 토론회에서 의미있는 발표가 있었다. 이 자리에서 그레이해쉬 이승진 대표는 ‘사이버위협 실체와 선제적 대응의 필요성’이란 주제로 초청강연을 진행했다. 강연의 핵심은 “진정으로 해커 양성을 원한다면 이렇게 해야 한다”라는 그의 생각이 관통하고 있다.
 
그의 발표내용은 사이버 영역에서 공격의 역할과 공격 연구자(Offensive Researcher) 양성의 필요성 그리고 해커 양성이 실패하는 이유, 경제적 지원이 정말 해커를 춤추게할까, 실제 사이버 취약점 사례 등에 대해 발표해 큰 관심을 끌었다.

 
◇ Offensive Researcher 양성의 필요성=우선 이 대표는 “보안에서는 공격과 방어에 들어가는 노력이 다른 분야와 다르다. 사이버 분야는 공격이 방어에 비해 훨씬 쉽고 상대적으로 방어는 어려운 상황이다. 공격이 방어에 비해 비용이 저렴하고 쉽다”며 “방어 아무리 열심히 해도 해커 한 명이 취약점 찾아 공격하면 한번에 뚫리고 한곳만 뚫려도 전체를 장악할 수 있다. 1%의 실수로도 모든 방어가 무너질 수 있다”고 강조했다.
 
이어 그는 “사이버보안을 잘하는 국가의 가장 큰 특징은 바로 공격 리서치도 잘한다는 것이다. 특히 양질의 공격 연구자들을 충원하기 위해서는 커뮤니티가 중요하다. 그래서 커뮤니티가 잘 돼 있는 나라가 사이버보안도 잘하고 있다”고 강조하고 “공격 연구 커뮤니티를 활성화시켜 그 안에서 좋은 인력들이 양성되어야 하고 그들이 사이버보안의 중추적인 역할을 할 수 있도록 환경을 만들어줘야 한다”고 전했다.
 
그렇다면 한국의 공격 연구 환경은 어떨까. 이 대표는 “발달된 IT 인프라에 비해 소프트웨어 마인드는 후진국 수준이다. 특히 정부에 소프트웨어 출신이 많지 않기 때문에 보안에 대한 이해가 부족하다”며 “보안 강국이 될 수 있는 조건이 충분하지만 정책 문제로 인한 어려움이 있다. 특히 예산 집행 능력 부족이 문제다”라고 지적했다.
 
그러한 이유에 대해 “보안은 근본적으로 산출물에 대해 장담할 수 없는 분야다. 하지만 이를 이해하지 못하고 산출물이 보장되지 않으면 투자를 하지 않는 등 보안에 대한 이해가 부족하다. 이는 미국과 한국의 큰 차이 중 하나다. 이런 분위기에서는 진정한 오펜시브 리서치가 나오기 힘들다”라고 강조했다.
 
즉, 해커를 단순한 기술자로 취급하고 새로운 시도를 하지 않는 조직문화에서 책임 소재에 대한 두려움, 눈에 보이는 결과, 직접적 도움이 아니라면 투자를 하지 않는 문화, 이런 문화들이 복합된 관료적 마인드가 창의성이 필요한 해커를 양성하는데 걸림돌이 되고 있다는 것이다.
 
반면 오펜시브 리서치에 많은 투자를 하고 해커를 양성하고 있는 미국과 중국의 예를 들었다.
 
미국의 경우는 정부와 산업에서 자본으로 해커들을 양성 중이다. 소프트웨어에 대해 잘 이해하고 있는 정부 요직의 인력들이 사이버보안에 대한 심각성을 깨닫고 기민하게 정책을 펼치고 있다. 특히 미국 보안기업들은 지역에 따라 편차가 있겠지만 기업 보안담당자 초봉이 대략 8만~12만불부터 시작한다. 또 정부나 기업들이 실력있는 오펜시브 리서처들에 대해서는 원격 근무도 허용하며 환상적인 조건으로 대거 스카우트를 하고 있다. 이런 환경이 만들어지면서 양질의 해커들이 자연스럽게 양성되고 있다고 한다.
 
중국은 어떨까. 중국은 미국과 다른 스타일로 해커를 양성한다. 자국내 해커가 타국 해킹시 보호조치를 하고 있다. 또 애국적인 마인드를 고취시키는 전략으로 언더그라운드 해커를 활용하고 있다. 그리고 인구가 많기 때문에 자체 리소스가 풍부하며 영어를 배울 필요가 없을 정도로 자국 커뮤니티에 거의 대부분의 기술과 리소스가 존재하고 있다.
 
◇적극적인 외부 리소스 활용 필요해=커뮤니티 활성화와 더불어 그가 강조한 한가지가 바로 외부 리소스 활용에 적극적이어야 한다는 것이다.
 
이 대표는 “외부 리소스 활용에 대한 필요성을 인식하고 활용방안을 개발해야 한다. 미국이나 중국도 처음에는 외부 리소스 활용에 적극적이지 않았지만 최근에는 적극적이다. 그 이유는 민간 해커들이 정부 조직내에 속해 활용하기가 어렵다는 것을 알았기 때문이다. 그래서 이들을 외부 리소스로 활용하는 시스템을 만들어 적극 활용 중에 있다”고 밝혔다.
 
해커들은 일반적인 접근 방식으로는 컨트롤하기 어렵다. 특히 관리 측면에서 검증되지 않은 해커를 고용하는 것은 위험성이 존재한다. 직접고용이 어렵다면 해커들이 가진 리소스를 활용해야 한다는 것이다. 즉 내부 보안인력 양성과 외부 리소스 활용은 별개로 보고 그에 맞는 시스템을 만들어야 한다는 것.
 
이 대표는 “외부 리소스 가치에 대한 이해가 필요하다. 한국에서 1년에 발견하는 제로데이는 몇개나 될까. 반면 VUPEN이란 회사는 1년에 100개 이상의 제로데이를 발견하고 Tavis Ormandy는 매년 혼자 어도비 제품에서 수십개 이상의 제로데이를 발견한다”며 “대부분 해킹은 결국 언더그라운드에서 나온 기술을 재활용하는 것이다. 외부 리소스는 비용대비 효율적이란 것을 인식해야 한다”고 강조했다.
 
투자한 만큼 가치가 있을까란 걱정을 할 수도 있다. 투자대비 소득이 없을 수도 있다. 하지만 장기적 안목을 가지고 국내 커뮤니티에 투자해야 한다는 것이다. 관료적 마인드로 단기적 결과물만 바란다면 진정한 커뮤니티 활성화도 어렵고 양질의 해커 양성도 어려우며 이들이 가진 리소스를 활용할 수도 없다는 것이다.
 
이 대표는 “대부분의 해커는 많은 돈을 원하는 것이 아니라 본인의 연구를 유지하기 위한 생계 자금 정도가 필요한 것이다. 지적 만족과 동시에 경제적 문제도 해결하려는 해커들이 대부분이다. 이들을 잘 활용한다면 외부 리소스 활용 효과를 거둘 수 있다. 정부는 장기적 안목으로 투자하고 해커는 연구 결과물을 낸다면 서로가 윈-윈하는 것”이라고 설명했다.
 
◇한국형 Cyber Fast Track 만들자=그는 미국의 Cyber Fast Track을 참고해야 한다고 강조했다. 지금까지 제시된 해커 활용방안 중 최고라고 추천했다. 정부가 해커를 이용하려고만 하면 안되고 서로 협력관계로 인식하고 일해야 한다고 강조했다.
 
Cyber Fast Track(CFT)은 미국 DARPA에서 정식 운영하는 해커 활용 시스템이다. 정부는 돈을 주고 해커는 연구하고 결과물을 주는 방식이다. 이를 가장 먼저 제안한 Mudge는 “왜 해커를 제대로 활용하기 힘든가”란 문제제기부터 시작했다.
 
그 이유는 이렇다. 정부의 정책은 해커를 불편하게 만든다. 복잡하고 느려서 개인 해커나 작은 회사는 정부와 일하기 불가능하다. 결과물을 정부가 독점한다. 정부는 본인들에게 이익이 될만한 조직과만 계약을 맺는다. 좋은 결과물을 보장할 수 없는 상태에선 절대 투자하지 않는다. 정부와 해커는 마치 갑과 을 관계와 같다.
 
Cyber Fast Track은 위 문제를 해결하기 위해 다음과 같은 체질개선에 나섰다.  2주 안에 모든 검증 절차가 끝나고 계약을 진행한다. 제안, 계약, 실제 업무 수행, 보고까지 모든 과정을 최소화한다. 연구 결과가 보장되지 않아도 주제가 흥미롭다면 계약을 진행한다. 정부용 라이선스 외에는 연구자가 결과에 대한 저작권을 가진다. 그외 해커의 특징을 파악해 해커가 불편을 느낄만한 요소를 최대한 배제하는 등의 방식을 채택하고 있다. 미국은 이 시스템에 우리 돈으로 3조 6천억원 규모를 투자하고 있다.
 
특히 Cyber Fast Track의 핵심 사상은 “보안 분야에는 쓸모 없는 연구 결과는 없다”는 것이다. 해커들의 자유로운 발상과 연구 주제 그리고 결과물을 인정해 준다는 점이 핵심이다.
 
이 대표는 “한국만의 Cyber Fast Track을 만들어야 한다. 기본 뼈대는 DARPA를 따르고 자본은 기관에서, 관리는 민간에서 공개적으로 할 수 있도록 추진되어야 한다”며 “정책 모토는 빠른 연구 진행, 간소한 정책, 경제적 지원이 되어야 하며 기관만 득을 보려는 생각은 버려야 한다. 그리고 이미 우리는 잘하고 있다는 착각은 버려야 하며 우리는 관료적이지 않다는 착각도 버려야 한다”고 강조했다.
 
또 “이런 환경이 조성된다면 해커들은 경제적 걱정 없이 연구에만 몰두할 수 있게 되고 CFT 프로그램에 참가하고 있다는 자긍심도 가지며 일할 수 있는 롤모델을 제시해 주는 것이 가능하다. 또 질적으로 향상된 커뮤니티 인력풀에서 인재 확보가 가능할 것이다. 현재 많은 한국 해커들이 이러한 사업에 기대를 하고 있기 때문에 활발한 참가가 예상된다”고 밝혔다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com