블랙햇 vs 데프콘

나름대로 뛰고 날며 개인플레이를 중요시하는 해커들도 함께 모일 때의 시너지효과는 잘 알고 있는 듯하다. 1세대 해커들 때부터 중요하게 여겨온 6가지 ‘해커 윤리’에 묘사된 해커 정신을 생각해보면 이들이 모여서 자신의 노하우를 자랑하듯 공유하며 이를 확산하려는 모임은 어쩌면 당연한 현상일지도 모른다.

해커들의 모임은 우리나라를 포함해 전 세계적으로 수십 개가 있다. 누가 그 모임을 이끄느냐에 따라 크게 두 가지로 분류된다. 첫 번째 부류는 ‘컴퓨터 보안 컨퍼런스’라고 불리는 모임으로 보안 제품을 만드는 회사나 보안 관련 기구가 행사의 중심에 서 있다. 대표적인 예로 BlueHat 컨퍼런스를 꼽을 수 있다. BlueHat 컨퍼런스는 마이크로소프트사가 주관하는 모임으로서 마이크로소프트사 내부 보안 전문가들과 외부 보안전문가(해커)들과의 만남이 이루어진다. 물론 아무나 참여할 수 없고 초청을 받은 사람들만이 BlueHat에 참여할 수 있다. 이외에 Cisco와 같은 보안 제품 회사들이 참여해 보안교육과정을 제공하는 Black Hat 컨퍼런스, IT 보안에서의 윤리와 교육을 장려하고자 유럽연합에서 주관해 개최하는 Hacker Halted 컨퍼런스 등이 있다.

두 번째 부류는 ‘해커 컨퍼런스’라고 불리는 모임으로서 해커들에 의한 해커들의 협의회라고 할 수 있다. 대표적인 해커 컨퍼런스로는 매년 여름 미국 라스베가스에서 열리는 세계 최대의 해커 협의회인 DEF CON이 있다. 이외에도 독일 해커 그룹 CCC가 유럽에서 주최하는 가장 오래된 해커 협의회인 Chaos Communication Congress, 미국 해커 그룹 2600이 뉴욕에서 개최하는 H.O.P.E, 말레이시아서 개최되는 아시아 최대의 해커 협의회인 HITB 등이 있다.

두 번째 부류의 모임들에서는 보안 관련 이슈에 대한 발표와 토론 뿐 아니라 해킹 공격과 방어 경기인 CTF(Capture The Flag)와 같은 해킹 시합, Hackathon과 같은 상호 협력 개발 이벤트도 제공한다. 2009년 HITB (Hacker In The Box)에서는 우리나라 팀이 CTF에서 우승하기도 했다.

이상과 같은 두 부류의 해커 모임을 비교하여 이해하는데 있어서 ‘제프 모스(Jeff Moss)’라는 인물이 큰 도움이 된다. 제프 모스는 ‘다크 탄젠트(Dark Tangent)’라는 이름으로 활동한 현존하는 해커다. 그는 앞서 설명한 두 부류의 해커 모임 모두를 만들었던 인물이다. Black Hat 컨퍼런스와 DEF CON 컨퍼런스가 제프 모스가 시작한 해커 모임이다. 현재 그는 보안 컨설턴트로 활동하고 있는데 2009년 버락 오바마 대통령이 집권하면서 16명으로 구성된 국가 보안 자문위원회(Homeland Security Advisory Council)에 최초의 해커 출신 자문위원이 돼 세간의 큰 주목을 받기도 했다.

Black Hat 컨퍼런스는 1997년 시작됐다. 이 모임은 크게 브리핑 영역과 교육 영역으로 진행된다. 브리핑 영역의 경우 케빈 미트닉과 같은 유명 해커들의 연설을 비롯해 다양한 보안 주제들에 대한 발표가 이뤄진다. 교육 영역의 경우 여러 컴퓨터 보안 업체들에 의해 최대한 제품 중립적인 시각으로 교육 프로그램이 진행된다.

워낙 출중한 해커들이 모이다 보니 Black Hat 컨퍼런스를 개최하는 호텔에서는 갖가지 해킹 사건들로 조용한 적이 없다. 예를 들어 호텔 TV 과금 시스템을 해킹해 공짜 영화를 본다든지 심지어 ATM 기계를 해킹하기도 하며 이상한 컴퓨터 바이러스가 갑자기 출현하기도 한다.

이러한 잡음들에도 불구하고 많은 회사들이 자사 보안제품들에 대한 기술 사양을 이 Black Hat 컨퍼런스에 기꺼이 제시한 후 해커들이 제기하는 취약성들을 적극적으로 경청해 이를 반영하려는 노력을 계속하고 있다.

DEF CON 컨퍼런스는 Black Hat보다 앞선 1993년부터 시작됐다. 올해 2010년에는 DEF CON 18회가 열리게 된다. DEF CON은 매년 미국 라스베가스에서 열린다. 거기에는 나름대로 사연이 있다. 원래 DEF CON의 시작은 제프 모스가 미국을 떠나는 자신의 친구 해커를 위해 마련한 송별파티에서 출발했다. 이 송별파티가 바로 라스베가스에서 여러 날 동안 진행됐던 것이다. 미리 초청을 받아 이 송별파티에 참석한 해커만 해도 100명이 넘었다. 송별파티에 참석한 해커들은 지속적인 모임의 필요성에 공감해 DEF CON이 정례화됐다.

DEF CON이라는 명칭은 제프 모스가 감명 깊게 보았던 해킹 영화 War Games 중에 나오는 DEFCON(데프콘: 외부 공격 정도에 대비하여 발령하는 1부터 5까지의 미군 방어 준비 수준)이라는 군사용어의 중간에 빈칸을 삽입해 만들었다. 이는 전화기의 3번 버튼이 DEF라는 알파벳을 나타내고 있다는 점에 착안해 폰 프리커(Phone freaker)들의 모임(Conference)라는 의미도 중첩해 내포한다.

DEF CON에서도 여러 보안 주제에 대한 발표 행사가 이뤄지지만 CTF와 같은 해킹 경쟁 프로그램들이 다양하게 제공돼 참여하는 해커들의 열정과 실력을 한껏 과시하도록 해준다. DEF CON의 CTF는 대회 준비위원회에서 제시한 문제들을 참가자들이 팀별로 분석하며 공격과 방어를 진행함으로써 획득한 최종 점수를 기준으로 등수를 결정한다.

이 CTF는 3일 밤낮 동안 진행되는데 공식적으로 참석한 팀원들만의 힘으로는 우승하기 힘들고 강력한 IT 지원시스템을 활용하고 별도의 해킹 전문 지원단의 도움을 동시에 받아야만 우승할 수 있는 총체적 팀 경쟁 성격이 강하다. 작년 2009년 DEF CON 17회 때는 우리나라 팀이 상대적으로 열악한 지원에도 불구하고 6위까지 올라가기도 했다.

우리나라에도 한국인터넷진흥원(KISA)이 7년째 주관해온 HDCON(해킹방어대회)이나 소프트포럼이 주관해온 CODEGATE 같은 유사한 해커 모임들이 있다.

이러한 국내 모임들이 Black Hat이나 DEF CON과 같은 규모와 역량으로 성장해 글로벌 정보보호 분야에 있어서 우리의 위상을 한껏 높일 수 있기를 기대하는 마음이 크다.

아울러 우리나라에도 유능한 화이트 해커들이 많이 등장해 DEF CON과 같은 세계적인 해커 컨퍼런스의 CTF에서 좋은 성적들을 낼 수 있기를 기대해본다.

<글 : 김명주 서울여자대학교 정보보호학과 교수(mjkim@swu.ac.kr)>

[월간 정보보호21c 통권 제118호(info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)