2024-04-15 12:55 (월)
해커와 기업, 상호 신뢰 부족 심각...실타래 풀어야
상태바
해커와 기업, 상호 신뢰 부족 심각...실타래 풀어야
  • 길민권
  • 승인 2011.10.24 16:29
이 기사를 공유합니다

김승주 교수 “기업들, 해커의 전문성 인정하고 예를 갖춰 대우하라”
해커들, 미래를 준비하라…방향성없이 연구만 하면 안돼
SECUINSIDE, 해커중심의 축제로…데프콘 아시아 개최도 목표
[SECUINSIDE 2011-고려대 김승주 교수 인터뷰] 국내 해커들에게 새로운 방향성이 제시되고 있다. 그동안 국내 보안 컨퍼런스에서 해커들은 컨퍼런스를 돋보이기 위해 이용(?)돼 왔다고 볼 수 있다. 해커들이 주인공이 아니었던 것이다. 해킹시연으로 관중만 모아주고 뒤로 빠지는 식이었다. 하지만 10월 24일부터 25일까지 열리고 있는 SECUINSIDE 2011은 해커들이 주인공이다. 그 중심에는 연합해킹그룹 HARU가 있었다.

 
HARU와 함께 공동 주관을 맡은 고려대학교 정보보호대학원 김승주 교수는 “미국 데프콘이나 블랙햇을 보면 격식이 없고 자유롭게 의견교환을 할 수 있도록 축제처럼 진행된다”며 “SECUINSIDE도 해커들의 잔치로 발전해 갈 것이다. 해커들이 만들고 해커들 관점에서 모든 행사가 진행되는 그런 축제로 만들어 갈 것이다. 물론 그 중심에는 HARU가 있을 것이고 고려대는 뒤에서 지원하도록 하겠다”고 밝혔다.
 
누구나 그렇겠지만 해커들도 이용당하는 것을 싫어한다. 김승주 교수는 “국내는 화이트해커들을 양성해야 한다고 말만할 뿐, 있는 해커도 제대로 활용못하고 있다. 가장 큰 이유는 해커의 눈높이에서 그들을 바라보지 않기 때문”이라며 “해킹과 보안에 최고 실력을 가진 해커라면 교수이상으로 전문가 대우를 해줘야함에도 불구하고 국내 현실은 그렇지 못하다”고 지적했다.
 
예를 들면, 해커의 작업이 필요해 업무계약을 했음에도 불구하고 나이가 어리다고 함부로 대하는 경우가 많다. 또 처음 계약에는 상주하지않고 자유롭게 일해도 된다고 했지만 결국 해커를 믿지 못하고 상주해서 일을 하라고 지시하는 등 이외에도 해커의 능력은 필요하지만 이들을 믿지못해 발생하는 문제들로 인해 기업과 해커간의 불신의 벽이 커진 상황이다.
 
김 교수는 “기관이나 기업들이 해커들에게 과제를 의뢰할 때는 전문가에 대한 예우를 갖춰야 한다. 서로에 대한 불신이 커져 있다”며 “그들을 해킹 보안 분야 최고 전문가로 인식하고 대학에 과제를 의뢰할 때와 같이 예와 격식을 차려 의뢰해야 하고 계약 조건도 성실히 이행해줘야 불신의 벽이 사라질 것”이라고 강조했다.
 
한편 화이트해커 양성은 사실상 말뿐이다. 한국은 그들에게 취약점 발표도 두려워하게 만드는 사회다. 취약점은 해커들의 연구 결과물이다. 이를 못하게 하고 억압하고 압력을 행사하는 경우가 다반사다. 이런 상황에서 해커들의 실력 발전과 화이트 해커 양성은 기대할 수 없는 것이다.
 
김 교수는 “정부기관들이 해커들의 실력을 어떻게 활용할지에 대해 아이디어를 못만들고 있다. 기껏 해킹대회해서 상금 주는 것만 생각한다. 이들에게 연구할 수 있는 환경을 만들어 주는 것이 가장 중요하다”며 “교수들이 취약점 발표하면 아무소리도 못하다가 해커가 크리티컬한 취약점을 발표하면 압력을 행사하려 한다. 물론 해커들의 취약점 발표도 악의적 해커들이 악용하지 못하도록 절차와 방법을 따라야 하겠지만 무조건 취약점 발표는 안된다는 것은 구시대적 발상”이라고 꼬집었다.
 
그는 “교수들이 논문으로 평가 받듯이 해커들이 한해동안 발표한 취약점 수와 크리티컬 등급을 객관적으로 DB화하는 작업이 필요하다. 이를 통해 해커들의 평가가 이루어져야 하고 이를 정부나 기업이 긍정적으로 받아들이고 정당한 대가를 지불하고 활용할 수 있도록 해야 한다”고 덧붙였다.
 
그리고 가장 중요한 것은 정부기관이나 기업들이 해커들과 생각하고 의견을 교환하는 프로토콜을 서로 맞추는 부분이다. 이 부분은 해커와 기업들이 상호 노력해야 할 부분으로 보여진다.
 
또 김 교수는 “SECUINSIDE는 향후 데프콘과 블랙햇 아시아를 한국에서 개최할 수 있도록 노력할 것이다. 이를 통해 해외 최신 기술들을 국내 해커 커뮤니티와 정부, 기업들이 받아 들일 수 있도록 만들어나가겠다”고 밝혔다.
 
그는 더불어 해커들에게 당부의 말도 잊지 않았다. “해커들이 자유롭게 연구활동하는 것 지지한다. 하지만 나이가 드는 것도 생각해야 한다. 어느날 30대 후반이 됐을 때 제도권에 들어가고 싶어도 나이 때문에 힘들 수 있다”며 “그때를 대비해 준비해야 한다. 학위를 취득하는 것도 좋고 해커 커뮤니티를 형성해 파워를 기르는 것도 방법이다. 지금 해커들이 후배 해커들에게 롤 모델이 되어야 한다. 보안업체 CEO도 나와야 하고 교수도 돼야 하고 보안관련 기관장도 나와야 한다”고 당부했다.
 
엽합해킹그룹 HARU가 만들어진 계기도 김 교가 해커들을 대상으로 “보안전문가로 사는 법”에 대해 강연을 하면서 구체화됐다. 방향성없이 연구만 하면 안된다. 자신의 연구활동을 알리는 활동도 중요하다. 사회적 발언권을 확보하는 것도 중요하다. 그래야만 세력을 키울 수 있고 능력에 대한 올바른 평가도 받을 수 있다. 김 교수는 “해커들도 미래를 준비해야 한다. 그리고 후배들에게 롤 모델이 될 수 있도록 노력하고 해커들의 세력화가 필요하다. 그래서 HARU가 만들어졌다”고 밝혔다.
SECUINSIDE의 특징은 상업적 모략이 없다는 것이다. 전시 부스가 몇 개 있지만 모두 해커가 CEO인 기업들이며 이들에게 무료로 부스를 지원해 주었다. 돈벌이로 해커를 이용해 컨퍼런스를 키우려는 상술은 보이지 않는다.
 
24일 리츠칼튼에서 개최된 SECUINSIDE 2011 멘토링 프로그램에는 200여 명이 참석한 가운데 구사무엘(Dual5651)의 ‘윈도우8, 새로운 플랫폼과 해킹 기법에 대한 고찰’, 신정훈(Singi)의 ‘시스템 해킹 공격코드 작성과 분석’, 장상근(Maxoveroro)의 ‘악성코드 제작 기술과 분석 그리고 대응 전략’, 지현석의 ‘키보드 해킹’에 대한 발표와 시연이 이루어졌다. 또 고려대 김승주 교수의 ‘개인정보보호법 및 안전조치’와 행복마루 구태언 변호사의 ‘금융보안관련 법 해석’에 대한 발표가 있었다.
 
 
또 8개 팀이 참가한 해킹대회 본선이 진행되고 있으며 내일 25일은 개회식과 함께 다양한 국내외 해커들의 발표 및 해킹대회 시상식이 있을 예정이다. [데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★