[박춘식 교수의 보안이야기] 미국 국방고등연구계획국(DARPA)는 해커전용 엔젤투자가였다. L0pht Heavy Industries가 활약하고 있던 1990년대를 알고 있는 Old School한 사람들이라면 Mudge가 지금의 DARPA에 재직하고 있다고 듣게 된다면 속절없이 미소만 지을 것이 틀림없다.
 
이렇게 말하는 것은 Mudge는 해커 그룹의 원조이며 대가인 L0pht의 리더였기 때문이다. 그때 활약했던 L0pht나cDc（Cult of the Dead Cow）등은 당시, 군사용 신기술 연구소인 DARPA（Defense Advanced Research Projects Agency：국방고등연구계획국）를 해킹하여, 몰래 입수하였다고 말하는 외계인이나 UFO에 관한 서류를 유출하려는 행위를 하였기 때문이다.
 
물론 유출한 서류는 위조물이었지만, 그럴지라도 당시의 L0pht의 멤버로서는 동경하던 DARPA에 재직, 그것도 상급 직원으로 활약하고 있었다는 것에 대해 Mudge 자기 자신도 재미있다라고 말하는 것도 이해할 것 같다.
 
이 Mudge인 Peiter Zatko가 BlackHat컨퍼런스에서 Key Note 연설을 하였다. 연설 내용은 2가지로 어느 쪽도 Mudge가 프로그램 매니저로 하나는 「Analytic Framework for Cyber Security」、DRPA의 새로운 사이버 시큐리티 연구 방법에 관해서 그리고 다른 하나는 Cyber Security Fast Track에 관한 것이었다.
 
Cyber Security Fast Track（CFT）은 간단하게 말하면, “작은 시큐리티 기업도 국방부의 예산을 받도록 한다”라는 Mudge의 프로젝트다.
 
“정말로 최신의 연구라는 것은 이와 같은 컨퍼런스의 연사나, 연구자의 본업 이외의 취미로서 생겨나는 경우가 많다. 이러한 우수한 연구자가 주간은 본업, 야간에는 연구라는 생활을 하지 않고도 끝내기 위해 DARPA로부터 예산을 간편하게 받도록 하는 것”이 이 프로젝트의 목적으로 보인다.
 
CFT프로젝트가 존재하기 전에 DARPA로부터 영세 기업에 예산이 주어지지 않았던 것은 아니다. 단지 예산을 얻기 위해서는 뜻도 알 수 없는 정부 용어를 이해하지 않으며 안되며 예산 획득의 Proposal을 작성하는 데에만 5명에서 10명의 전문가 팀이 필요할 정도다. 또 한번 예산이 주어지면 대기업과 동등한 회계사나 세무사가 필요하기 때문에 실제 예산을 받아내기가 불가능에 가깝다.
 
CFT는 이러한 실무상의 장해들을 걷어 낸 것이다. 먼저 프로젝트는 「Fast＆Cheap」한 것. 연구 기관은 1년 미만으로, 1년 사이에 10부터 100개의 프로젝트에 예산이 주어질 예정이다. Proposal도 지금까지와는 다르게 한 사람으로도 간단하게 작성할 수 있는 간단한 템플레이트가 준비되어 있어 1회 proposal을 제출하였다면 약 2주 만에 회신을 받을 수 있도록 되어 있다.
 
예산이 주어지는 것은 모든 형태의 사이버 시큐리티 연구로 특히 “공격 표면을 축소하는 것, 현행의 비대칭을 수정하는 것, 전술적（Tactical）이 아니라 전략적（Strategic）인 것이 중심”이 되어 “기술적으로는 하드웨어, 소프트웨어, 둘의 결합”으로 창조성과 기민성이 있는 것이 좋은 것이다.
 
CFT의 그 외 특징으로는 “개방”이 있다. CFT의 예산을 받아서 연구한 성과는 “정부용으로 사용에는 Government Purpose Rights（GPR）가 적용되지만, 연구자가 그 외의 권리를 가진다. 따라서 연구자가 자신 연구 성과를 판매하는 것도 가능하다.
 
또한 예산이 주어지는 것은 대학이나 작은 기업 등도 포함되어 미국 이외의 단체도 그 나라의 법률에 제한되어 있지 않는 한 가능하다.
 
정부 국가에 의한 미국 기업이나 정부 기관에 대한 사이버 공격이 빈번한 지금. 사이버 시큐리티의 혁신이 생겨나는 약소 기업이나 개인 기업에 예산을 주어서 그 연구 성과를 이용할 수 있는 것은 미국 정부로써도 즐거울 따름이며, 간단하게 예산을 받아서 연구할 수 있는 것은 개인 시큐리티 연구자에게 있어서도 즐거울 따름이다. Win-Win 관계를 만드는 프로젝트가 아닐까. [박춘식 서울여자대학교 정보보호학과 교수]