?화이트 해커? 이승진(29)씨가 연구실에 있는 3대의 컴퓨터 앞에 앉아 있다. 영화와 드라마에서 그려지는 해커와 달리 이씨는 겉보기에도 평범한 젊은이였다. 최정동 기자 2000년 강원도 속초에 중학교 3학년 학생 한 명이 있었다. 고교 입학을 앞둔 그는 겨울방학 내내 온라인게임 ‘라우레시아’에 푹 빠졌다. 당시 PC통신 천리안에서 제공했던 이 게임을 한답시고 한 달간 통신비와 서비스 사용료를 수십만원이나 내야 했다. 그래픽도 전혀 없고 텍스트로만 진행하는 게임이었지만 소년은 밤을 새울 만큼 탐닉했다고 한다.
그는 어느 날 컴퓨터 온라인게임 접속을 시도하는 과정에서 모니터에 숫자로 된 인터넷 주소(IP)가 뜬 것을 봤다. 이런 생각이 퍼뜩 떠올랐다. ‘원격접속(telnet)으로 바로 게임에 접속할 수 없을까. 그러면 공짜로 할 수 있겠지.’ 문제는 포트(port·데이터를 주고받는 통로) 번호를 모른다는 점이었다. 현실 공간의 주소로 비유하자면 시·군·구까진 아는데 번지를 모르는 셈이었다. 그래서 소년은 단순하고 무식한 방법을 사용했다. 1부터 6만5535까지 모든 포트번호를 하나하나 입력했다. 1, …, 4442, 4443, 4444. 포트번호 4444에 드디어 라우레시아의 문이 열렸다. 소년에게 또 다른 신세계가 펼쳐지는 순간이었다. 바로 해커의 세계였다.
해킹 첫 성공 뒤 관리자에게 허점 제보
이 얘기의 주인공 ‘소년’은 한국의 제1세대 해커 이승진(29)씨다. 그는 정보보안 컨설팅사인 ‘그레이해시’의 대표다. 고려대 사이버 국방학과에서 강의도 한다. 이씨는 한국을 대표하는 해커로 유명하다. 그는 이제까지 참가했던 국내 해킹대회에선 단 한 번도 1등을 놓치지 않았다. 2006년 세계 최대 해킹대회 데프콘 CTF에서 아시아 출신으론 최초로 본선에 진출했다. 당시 미국 비자 문제에 걸려 본선 무대에 오르진 못했다. 그러나 이후 네 차례 더 데프콘 CTF 예선을 통과했다. 지금은 해킹대회 출전을 접고 운영진으로만 활동한다. 그는 각종 국제 해킹 콘퍼런스의 단골 초청대상이다. 지난달에도 독일·캐나다의 해킹 콘퍼런스로부터 각각 초청을 받았다.
이씨에겐 애초부터 화이트 해커(white hacker)의 싹이 보였다. 네트워크에 침입해 정보를 빼내거나 시스템을 파괴하는 블랙 해커(black hacker)와 달리 화이트 해커는 시스템의 취약점을 발견해 관리자에게 알려주고 대책을 마련하도록 도와준다. 말 그대로 ‘백기사’다. 이씨도 첫 번째 해킹에 성공한 뒤 곧바로 관리자에게 허점을 제보했다. 그는 “게임을 하는 것보다 해킹 과정 자체가 너무 재미있었다. 그래서 본격적으로 해킹을 공부하려고 마음먹었다”고 말했다. 이씨는 이후 네트워크·프로그래밍·운영체제 등 필요한 지식을 쫙 빨아들였다. 고1 여름방학 때는 웹 게시판을 만들어주는 아르바이트를 할 정도로 실력을 길렀다. 온라인 세계에서 이씨의 아이디 ‘비스트(beist)’는 컴퓨터 고수를 뜻하는 단어로 통한다. 그해 가을 한 정보보안 컨설팅사가 그를 수습 연구원으로 스카우트했다.
“영어도 컴퓨터 언어로 여기니 재밌더라”
이씨의 업무는 컨설팅을 의뢰한 회사의 시스템에 침입해 취약점을 알려주는 것이었다. 1992년 영화 ‘스니커즈’에서 로버트 레드퍼드가 주축이 된 보안 전문가팀의 일을 떠올리면 된다. 이씨가 뚫을 수 없는 서버는 없었다. 짧게는 몇 시간, 길게는 하루 이틀이면 충분했다. “그만큼 우리나라 정보보안이 허술했다”고 이씨는 설명했다. 한번은 금융사로부터 컨설팅 의뢰가 들어왔다. 며칠을 궁리해도 그 회사의 서버를 해킹할 방법이 도무지 없었다. 외부망과 전혀 연결이 안 됐기 때문이었다. 사실상 포기했다. 하지만 ‘혹시 관리자가 테스트 목적으로 외부와 잠깐 연결할 수도 있다’는 생각이 들었다. 그럴 경우 바로 문자메시지로 알려주도록 프로그램을 짜뒀다. 어느 날 연결 사실을 알리는 문자가 들어오자마자 해당 금융사의 전산망을 단숨에 해킹한 적이 있었다. 이씨는 “처음에는 불법 해킹이 더 멋있어 보일지도 모른다. 그러나 불법 해킹보다 취약점을 찾고 보완책을 마련하는 연구가 더 어렵고 도전적”이라며 “전 세계의 내로라하는 해커들은 대부분 화이트 해커”라고 소개했다. 불법 해킹에 빠진 후배를 만날 때마다 이씨는 “왜 쉬운 해킹만 고집하냐”고 설득한다. 이렇게 자존심을 건들면 대부분 불법 해킹에서 손을 뗀다.
고교 2학년 때 이씨는 자신의 웹사이트를 통해 자신이 직접 쓴 『웹 해킹의 진수』라는 책을 팔았다. 출판사를 통하지 않고 자비(自費)를 들여 인쇄소에서 찍은 도서였다. 400쪽이 넘는 분량에 가격도 2만원이었지만 모두 팔렸다. 그는 “출판비를 떼는 게 아까웠다”고 웃었다.
2010년 미국의 해킹대회 데프콘 CTF 본선에 진출한 이씨(오른쪽).
“한국 해커는 일에 치여 연구할 여력 없어”
이씨가 국제 해커 세계에서 이름을 알리게 된 계기는 해킹 실력에다 영어 실력을 갖추었기 때문이라고 한다. 2008년까지 이씨는 영어를 거의 한마디도 못했다. 당시 해외 해커들과 IRC(인터넷 채팅)에서 정보를 교환할 때도 ‘콩글리시’만으로 충분했다. 어차피 기술적인 내용이고 전문용어도 영어로만 돼 있어 대충 뜻이 통했다. 그러나 2008년 인터넷을 통해 친해진 미국인 해커가 해킹대회 참가차 한국을 방문했다.
그는 이씨의 집에 머물렀다. 서로 의사소통을 할 길이 없어 너무나 불편했다. 이씨는 바로 영어학원에 등록했다. “프로그램을 짤 때 사용하는 C와 같은 컴퓨터 언어에도 문법이 있다. 영어도 컴퓨터 언어라고 생각하니 배우는 게 너무 흥미로웠다. 이제 국제 콘퍼런스에서 영어로 발표를 하고 질문에도 답변할 수준은 됐다”고 이씨는 설명했다.
영화나 TV드라마에 나오는 해커는 골방에 처박혀 하루 종일 컴퓨터만 들여다보는 사람으로 흔히 묘사된다. 반(反)사회적 성향을 지닌 인물로도 그려진다. 해커는 제대로 씻지도 않고, 방에는 라면과 같은 인스턴트 식품 쓰레기가 가득하기 일쑤다. 영어 단어 가운데 너드(nerd·멍청하고 따분한 사람)와 긱(geek·괴짜)은 해커의 동의어로 통용된다. 그러나 이씨는 그런 이미지와 정반대다. 그가 연구실로 쓰는 방은 깔끔하게 정리돼 있다. 컴퓨터가 여러 대 있는 게 좀 다를 뿐이다. 외모상으로도 평범한 젊은이다. 이씨는 “국제 해킹대회를 가보면 문신을 하거나 기괴한 헤어스타일을 한 해커를 가끔 볼 수 있는데 대부분의 해커는 외모로 구분할 순 없을 것”이라고 설명했다. 그는 “화이트 해커의 경우 사회와의 협업이 중요하기 때문에 외부 소통능력은 필수 자질 중 하나”라고 설명했다. 그가 속한 한국의 해커 친목회 KORSEC에서 월례 모임을 할 때면 70명이 넘는 해커가 참석한다.
언론사와 금융권이 피해를 본 ‘3·20 해킹 사건’이 북한의 소행이라는 발표가 최근 있었다. 또 국제 해킹그룹인 어나니머스가 북한의 선전 사이트 ‘우리민족끼리’를 해킹해 회원 정보를 외부에 공개했다. 이런 사건들에 대해 이씨는 “해커의 탄생기인 1980년대부터 해커 세계에선 아나키즘(무정부주의) 성향이 강했다. 이념이나 정치적 목적을 내세워 해킹을 자행하는 핵티비즘(hacktivism)이 주류를 이뤘던 적도 있었지만 2000년대 이후 인터넷이 폭발적으로 성장한 다음엔 화이트 해커가 대세를 이루고 있다. 어나니머스처럼 목적이 수단을 정당화해선 안 된다”고 강조했다.
다만 한국의 현실에 대해선 걱정이 많다. 정보기술(IT) 인프라가 잘 갖춰진 데 비해 정보보안을 비용으로만 생각해 정부·기업 모두 투자를 꺼리고 있기 때문이다. 이씨는 3·20 해킹사건을 비롯해 한국의 전산망을 공격해 온 북한의 악성코드를 예로 들었다. “미국이 이란의 원전시설을 공격한 것으로 알려진 바이러스 ‘스턱스넷’에 비하면 북한의 악성코드엔 고급 기술이 포함돼 있지 않다”며 “이런 수준의 악성코드에 전산망이 다운되는 게 바로 한국 정보보안의 현실”이라고 개탄했다. 미국의 경우 정보보안 기술도 뛰어나고 관련 투자가 활발한 데도 해외로부터의 해킹에 수없이 당하고 있는 게 작금의 현실이다.
그는 “한국 해커는 다른 나라에 비해 실력이 상대적으로 떨어진다. 야근에다 휴일근무 등으로 연구할 여력이 없기 때문”이라고 진단했다.
미국 해커 파이터 잣커가 롤 모델
이씨에 따르면 미국은 국방고등연구계획국(DARPA)을 통해 해킹 양성화 프로그램인 ‘사이버 패스트 트랙(Cyber Fast Track)’을 운영 중이다. 엄격한 심사를 거쳐 선발된 해커들은 국가로부터 지원을 받아 정보보안 연구를 수행한다. 연구에 실패해도 책임을 묻지 않는다. 실패가 두려워 성공이 보장되는 연구에만 몰리지 않도록 하기 위한 조치다. 그 덕에 미국의 해커들은 끊임없이 자신의 실력을 향상시킬 수 있다. 지난해 우리 정부가 시작한 ‘베스트 오브 베스트(BOB)’ 프로그램은 한국판 사이버 패스트 트랙이다. 이 프로그램은 10대 후반∼20대 초반의 해커들을 선발해 장학금을 주고 해킹 관련 교육을 실시한다. 이씨와 같은 선배 해커들이 멘토로 붙는다.
이씨와 같은 화이트 해커는 현재 1000명 정도로 추산된다. 그 가운데 특급으로 인정받을 경우 연 3억~4억원을 버는 것으로 알려졌다.
이씨는 현재 스마트 가전기기의 보안문제를 연구하고 있다. 지난달 캐나다에서 열린 해킹 콘퍼런스 ‘캔섹웨스트(CanSecWest)’에서 이씨는 스마트 TV를 해킹해 시청자의 사생활을 몰래 촬영한 뒤 이를 인터넷으로 생중계했다. 이론상으로만 가능하다고 여겨진 스마트 가전기기의 해킹이 현실로 드러난 것이다.
그가 벤치마킹 대상으로 삼은 해커는 미국의 파이터 잣커다. 잣커는 90년대 최고의 해커그룹인 ‘LOpht’의 리더였다. 그의 아이디 ‘멋지(Mudge)’는 해커들의 우상이었다. 그러던 그가 자신이 한때 수차례 해킹했던 미 국방고등계획국과 손잡고 후배 해커를 위한 사이버 패스트 트랙 프로그램을 운영 중이다. 이씨는 “잣커처럼 후배 해커들에게 마음 놓고 연구할 수 있는 환경을 제공하는 게 나의 꿈”이라고 말했다.
이철재 기자 중앙 2013.04.14