보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[대한민국 차세대 화이트해커 열전-2] 강인욱·이영주 해커가 말하는 보안의 ‘희로애락’

입력 : 2023-11-01 16:36
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
세계 최고 권위 해킹대회 DEFCON CTF에서 매년 우수한 실력 뽐내는 강인욱·이영주 해커
화이트해커 2인이 말하는 보안의 기쁨, 분노, 슬픔, 즐거움


[보안뉴스 박은주 기자] 미디어 속 해커의 모습을 보고 해커의 꿈을 꾸었던 화이트해커 2명이 있다. 세계 최고 권위의 해킹대회 DEFCON CTF에서 매년 본선에 진출해 우수한 성적을 거두고 있는 강인욱·이영주 해커다. 올해는 ‘SuperDiceCode’팀 소속으로 출전해 종합 8위를 차지했다. 두 해커는 선린인터넷고등학교 선후배이자, 차세대 보안 인재양성 프로그램 ‘BoB(Best of Best)’에서 강인욱 해커는 멘토로, 이영주 해커는 교육생으로 만났다. 또한, 국내에서는 코드레드(Code Red)팀에서 함께 활동하며 국내외 여러 해킹대회에서 수상한 경험이 있다. 오랜 시간 보안을 함께한 이들의 희로애락을 들어봤다.

▲(왼쪽부터) 이영주·강인욱 해커[사진=보안뉴스]


희(喜) : 수많은 사용자를 보호하다
보안은 ‘티’ 나지 않는 업무다. 한때 취약점 찾는 일을 ‘긁어 부스럼 만들기’로 취급 당하기도 했다. 혹은 보안이 철저해 취약점이 발견되지 않으면 해커로서의 역량을 의심받기도 했다. 이제 보안은 ‘안전’이라는 인식이 생겨났고, 이는 보안을 유지하고자 노력하는 화이트해커들에게 중요한 가치가 됐다. 강인욱·이영주 해커에게 ‘화이트해커’로서 보람이 무엇이냐 묻자 “시스템 보안을 유지하는 일은, 수많은 사용자를 보호하는 것이다. 그럴 때 보람을 느낀다”고 답했다. 일례로 이영주 해커는 “구글 크롬 브라우저의 취약점을 찾아낸 적이 있다. 30억 명이 넘는 사용자의 안전에 기여했다는 점에서 매우 뿌듯했다”고 덧붙였다.

로(怒) : 성낼 로(怒)가 아닌 수고로운 로(勞)
차세대 화이트해커들이 보안을 배우며 겪는 어려움을 이야기할 때 ‘정보에 대한 접근성 결여’는 빠지지 않는 항목이다. 보안은 배우기 불편한 분야이기 때문이다. 마치 영어, 수학을 배울 때 문제집을 사고 강의를 듣는 것처럼 쉽게 접근할 수 없다는 얘기다. 강인욱 해커는 “공부를 시작한 중학생 시절 새로운 기술을 배울 수 있는 한국어 서적이 없었다”고 말했다. 그는 “먼저 해외 자료를 통해 공부를 마친 사람이 작성한 텍스트 파일을 보고 공부했다”며 “이해가 안 되는 부분은 텍스트 작성자에게 이메일을 보내 친분을 쌓은 후 정보를 얻었다”고 밝혔다.

반면, 이영주 해커는 “해킹 공격·기술 트렌드를 쫓아가는 게 여전히 힘들다”고 말했다. 해킹사고 후 발생하는 손실과 충격을 최소화하는 접근법인 미티게이션(Mitigation)을 예로 들며 “1년, 2년만 지나도 프로그램 구조가 바뀌고 알아야 하는 내용이 늘어난다”고 설명했다. 이어 “중간에 한 번이라도 멈추면 더욱 어려워져 꾸준히 따라가야 한다”고 고충을 토로했다.

애(哀) : 보안의 높은 문턱과 직무에 대한 정보 결여
이영주 해커는 고등학교 시절 보안을 희망하는 사람과 진학하는 사람 간의 괴리를 느꼈다고 한다. “고등학교에 입학할 때는 정보보호 전문가를 꿈꾸는 사람이 많았다, 그런데 졸업할 때가 되고 보니 보안을 전공하겠다는 사람이 눈에 띄게 줄었다”고 말했다. 초심과 다르게 보안을 중도 포기하는 학생들이 많았다는 것. 이영주 해커는 그 이유로 ‘높은 진입 장벽’과 ‘보안 직군에 대한 정보 부족’을 꼽았다.

보안을 공부해 보면 ‘생각보다 어렵다’는 의견이 많다는 것. 이영주 해커는 “기본적으로 공부할 게 많아 진입장벽이 높다”며, “적어도 1년 정도는 보안에 푹 빠져 있어야 문턱을 넘었다고 할 수 있을 것 같다”고 말했다. 이어서 “보안 전문가가 아니어도 컴퓨터를 배워서 선택할 수 있는 직업이 많다. 예를 들어 개발자는 하는 일에 대한 정보도 풍부하고, 처우도 좋은 편”이라며 “직업에 대해 잘 알고, 구체적으로 계획을 세워 공부를 시작해야 하는데, 보안 분야는 하는 일과 직업군에 대한 정보가 부족한 상태”라고 설명했다.

이에 강인욱 해커는 ‘BoB(Best of Best)’나 보안 입문단계에서 인재를 교육하는 ‘화이트햇 스쿨(Pre-BoB)’과 같은 인재양성 프로그램이 보다 다양하게 만들어져야 한다고 제언했다. 더불어 “공공과 민간 모두에서 인재 교육 시스템에 대한 지속적인 투자가 병행돼야 한다”고 말했다.

락(樂) : 피할 수 없다면 즐겨라!
어려움을 피할 수 없을 때, 어려움을 즐기는 태도로 대처하라는 의미인 ‘피할 수 없다면 즐겨라’라는 말이 있다. 이는 보안에도 마찬가지도 적용된다. 강인욱 해커는 “어차피 화이트해커를 택했다면 공부에는 끝이 없다”며 “이 때문에 무엇보다 끈기와 자신감을 가져야 한다”고 강조했다. 그는 “새로운 기술을 접할 때 ‘일단 해보자, 막상 해보면 어렵지 않다’고 스스로를 격려해야 한다”고 조언을 건넸다.

이영주 해커 또한 “보안 공부에 즐거움을 느낄 줄 아는 사람이 진정한 화이트해커로 성장할 수 있는 것 같다”고 말했다. 그는 “일주일을 꼴딱 세워서 취약점을 찾을 때도 있지만, 그렇지 못할 때도 많기에 좌절감을 느끼기도 한다”며 “해커에게는 비일비재한 일인데, 이때 정신 건강을 챙길 줄 알아야 한다. 이 모든 일이 화이트해커가 되는 과정이라 생각한다”고 말했다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)