"스스로 터득한 해커가 최고다"...일리야 콜로첸코

"사이버보안의 향상은 화이트 해커와 정부의 엄격한 보안 기준 위반시 처벌 강화에 달려있다."

스위스 보안업체인 하이테크 브리지(High-Tech Bridge) CEO 일리야 콜로첸코는 지난 20일 오만(Oman)에서 열린 지역 사이버보안 총회(Regional Cybersecurity Summit)에서 사이버 보안에 대한 정부의 역할에 관한 기조연설을 진행했다.

콜로첸코는 연설 전 "독학한 해커가 일반적으로 정식 인증 프로그램을 거친 해커보다 뛰어난 이유와 각국 정부가 사이버 보안 기준을 미준수한 조직들에게 혹독한 대가를 치르도록 하지 않는 한 보안 수준은 낮을 수 밖에 없다는 이야기를 했다.

Q. 인디펜던트(The Independent)의 최근 기사에서 영국의 정보통신본부(Government Communications Headquarters)가 특정 마스터(Master) 프로그램 승인을 통해 "최초의 스파이 자격증(the first certified degrees for spies)"이 탄생했다고 밝혔다. 과연 사이버 보안 자격증을 스파이 자격증이라 부르는 것이 정확한 표현일까?
A. 아니라고 생각한다. 분명 일부 정부의 활동을 '스파이 활동'이라 부를 수 있지만 국가 보안 전문가는 침투 기술을 이용해 국가의 이익을 보호하기 위해 필요한 존재라는 사실을 잊어서는 안 된다.
이것은 경찰관이나 군인이 총을 가졌다는 이유만으로 '살인자'라 부르는 것과 같다. 중요한 것은 정부가 국민을 보호하고 그 힘을 남용하지 않도록 하는 것이다.

Q. 영국 정보통신본부의 계획으로 사이버보안 기술 그리고/또는 스파이 활동의 수준이 높아질까?
A. 학습 또는 자격증이 국가 전체의 사이버보안 상황을 크게 바꿀 수 있으리라고는 생각하지 않는다. 하지만 이런 프로그램이 학교와 대학에 존재한다는 것은 사람들이 그 중요성을 이해한다는 것을 의미한다.

Q. 자격증의 질은 어떨 것이라 생각하는가?
A. 많은 학교가 사이버보안, 해킹, 윤리적 해킹 등에 대해 다양한 자격증을 제공하는 기업, 기관, NGO의 지원을 받고 있다. 일부 프로그램은 괜찮은 것도 있지만 상대적으로 열악한 것들도 많다.
2001년에 설립된 EC-카운실(EC-Council)이라는 업체는 CEH(Certified Ethical Hacker) 학위라는 프로그램 때문에 유명세를 탔다. 이 프로그램은 IT 또는 정보보안 부문에 입문하려는 사람들이 해킹과 정보 보안에 대한 개괄적인 정보를 얻기에는 괜찮지만 고급 수준은 아니다.
이 업체는 사람들이 어떻게 해킹을 당하는지 보여줌으로써 스스로를 보호할 수 있도록 가르치고 있다.
하지만 개인적으로 그리 달갑게 생각하지는 않는다. 프로그램명을 CEH라고 정한 것은 다소 과하다는 느낌이다. 최근 그들은 해킹을 당한 적이 있다. CEH라고 하면 그들이 가르치는 것보다 훨씬 광범위한 것을 의미하기 때문에 자격증을 다른 이름으로 변경하는 것이 옳다.
게다가 많은 사람이 자신의 이력서를 향상시키려는 이유로 해당 학위를 취득한다는 것이 문제다. 이들은 단지 학위 취득을 위해 해결책을 암기하고 있을 뿐이다. 이들은 해킹 방지와 보안 부문의 실력 향상을 신경쓰지 않는다.
자격증은 한 사람이 기술과 능력이 있음을 입증하기 때문에 유용하다 할 수 있지만, 그 우선순위가 학위이고 기술을 나중에 습득하게 된다면 우리 사회의 보안 향상에는 도움이 되지 않는다.

Q. 해커를 교육하는 좋은 프로그램이 있는가?
A. 아는 한 뛰어난 보안 전문가를 양성하는 가장 좋은 프로그램은 오펜시브 시큐리티(Offensive Security)의 교육 서비스다.
3개월에 15명 정도를 교육하는 소규모 프로그램인데, 이 사람들은 비용이나 가격 등에 타협하지 않는다. 이들은 "가격은 정해져 있고 우리는 우리가 원하는 것을 할 것이다. 마음에 안 들면 참가하지 않으면 된다"고 말한다. 기업들은 대부분 고객을 반드시 만족시켜야 하며 이를 위해 가격이나 시점을 조정하지만, 오펜시브 시큐리티는 그렇게 하지 않는다.

Q. 좋은 해커가 되기 위해서는 무엇이 필요한가?
좋은 해커가 되고 싶다면 삶은 일과 배움의 연속이 되어야 하고, 많은 시간을 키보드 앞에서 쏟아야 한다.
초등학교 시절에 바비큐 파티 등 가족이나 친구와 시간을 보내는 개방적인 사람이었더라도, 매일 낮과 밤을 키보드 앞에서 보내는 것은 새로운 스타일의 삶이다.
이 때문에 그 사람의 정신과 모습이 달라지게 되고, 사람들과 대화를 나누는 것보다 키보드를 선호하게 되기 때문에 아웃사이더가 된다고도 할 수 있다.
개인적으로 PC 앞에서 오랫동안 작업하고 난 뒤에는 전화하는 것보다 이메일을 보내는 것이 편하게 느껴질 때가 있다.
일반적으로 뛰어난 해커는 사람들과의 대화를 즐기지 않는다.
물론 권투, 가라데, 주짓수 등의 스포츠를 취미로 즐기는 해커도 있다. 취미로 주식을 하는 사람도 있다. 이들 대부분은 친구들과의 대화 또는 식당 또는 나이트클럽 방문 등을 즐기지만, 이 친구들 또한 대부분 IT 종사자들이다. 그리고 주로 정보 보안과 해킹에 대한 대화를 나눈다.
꿈과 인내심이 충분하다면 누구든지 해커가 될 수 있다. 하지만 끊임없는 학습과 연습을 위한 동기, 인내, 꿈이 있어야 한다. 매우 복잡할 수도 있다. 수준이 아주 높아지면 중국어처럼 스스로 전혀 이해할 수 없는 경우도 있다. 그리고 필자가 아는 대부분의 해커는 수학, 기하학, 금융 등 과학 분야에 능통하다. 역사 또는 지리를 공부한 해커는 거의 없는 것 같다.

Q. 스스로 터득한 해커가 공식 교육을 거친 사람보다 뛰어나다는 것인가?
A. 당연하다. 뛰어난 해커들은 대부분 학위 또는 자격증이 전혀 없으며, 이런 것들이 필요없다.
"해커 학원" 또는 세미나에서 배울 수 있는 방법론과 트릭 등 거의 90%는 복잡한 텍스트와 코드를 읽고 배울 시간과 의지만 있다면 인터넷에서 무료로 배울 수 있다.
교육을 통해 할일, 숙제, 팀워크를 갖춘 사람들이 괜찮기는 하지만, 자신이 사용하는 툴을 대중과 공유하지 않는 경향이 있는 범죄 해커들보다는 다소 약한 편이다.

Q. 최고의 해커들이 학교에서 배우는 것 이상을 스스로 터득할 수 있다면 GCHQ 자격증은 무의미한 것 아닌가?
A. 최고의 해커는 정부가 고용하기에 비용이 너무 비싸거나 해커 자신이 정부를 위해 일하고 싶어하지 않는다. 정부가 최고의 해커들을 원한다면 돈, 경력 발전 잠재력, 흥미, 의미 있는 업무, 독립적인 업무 환경 등이 조합되어야 한다.

Q. 영국 정부의 목표는 "2015년까지 영국은 활기차고 탄력적이며 '안전한' 사이버 공간으로부터 막대한 경제 및 사회적 가치를 이끌어 내는 것"이다. 이런 계획을 통해 달성 가능하다고 보는가?
A. 자격 프로그램은 단순히 그 과정의 일부에 지나지 않기 때문에 보장된다고 볼 수는 없다. 큰 변화를 일으킬 수 있는 유일한 방법은 2025년까지 모든 국민이 윤리적 해킹과 정보보안 자격증을 취득하는 것이라 생각한다.
하지만 이는 현실적으로 불가능하다. 마치 길거리 범죄 소탕을 위해 모든 국민이 격투기와 권투를 배우도록 하는 것과 같다.

Q. 이에 대해 정부 정보 관료들에게 뭐라고 조언하고 싶은가?
A. 이번 4월 20일 지역 사이버보안 총회에서 정부를 위한 사이버보안에 관한 기조연설 프레젠테이션을 준비하는 가운데 색다른 접근 방식이 필요하다고 판단했다. 각국 정부는 더 나은 사이버보안 규정을 수립해야 한다.
실제로 해커들은 계속 발전하고 있기 때문에 사이버보안이 무산되고 있다고 생각한다. 문제는 기업들이 여기에 효율적으로 자금을 지출하기 위한 예산, 시간, 기술, 의지가 없다는 것이다. 기업들은 결국 쓸모없는 것을 구매하던가 "여기 서류가 있으니 구매 업무는 끝났다"는 식으로 PCI 등의 보안 인증을 통과하기 위해 무엇인가를 구매하고 있지만 실제로 여전히 해킹 가능성을 배제하지 못하고 있다.

Q. CEO에게 보안이 중요하며 그 결과가 엄청날 수 있기 때문에 의무적이라고 설명할 수는 있지만 정작 CEO는 이렇게 말할 것이다. "분명 나도 동의한다. 고맙다. 그럼 안녕." 아무것도 바뀌지 않는다.
A. 타겟(Target)을 생각해보자. 이 유통업체는 CSO를 해고하고 PCI 준수를 담당한 기업을 고소했다. 모든 사람들이 누군가에게 책임을 물으려 하고 있지만, 우리의 잘못은 아니다. 결과는 간단하다. 그 누구도 실제로 보안을 담당하고 있지 않다. 정부가 직설적이고 명확하며 포괄적인 규정을 마련하기 전까지는 기업들이 보안 조치를 취할 일은 없다.

Q. 예전에는 점차 더 많은 기업들이 해킹 피해를 입게 되면 보안에 대해 다시 생각하고 예산을 지출하기 때문에 좋을 수도 있다는 의견에 동의했다. 하지만 여러 실험, 분석, 사람들과의 논의를 거친 결과, 이전보다 더욱 안 좋아진다는 것을 발견했다.
A. 우선, 해킹 피해를 입은 기업들은 이렇게 말한다. "이미 해킹을 한번 당했으니 앞으로 10년 안에 다시 해킹을 당하지는 않을 것이다. 통계적으로 우리는 향후 10년 동안 보안에 예산을 낭비할 필요가 없다." 또한 이 기업들은 이 사건을 가급적 조용히 무마하려 시도하거나, 결국 언론에 공개되면 영향을 최소화하려고 한다.
"신용카드를 도난 당했지만 아무 일 없을 것이니 걱정할 필요 없다"는 말과 같다.

Q. 해킹 피해 기업들은 상황을 심각하게 받아들이려면 6개월에 한 번씩 해킹을 당하고 모든 신문의 1면을 장식해야 할 것이다.
A. 현재 문제는 기업들이 의무만 다하고 있다는 점이다. 우크라이나와 폴란드 등의 개발도상국에서는 비자(Visa) 카드에게 "PCI 인증이 없으면 앞으로 6개월 내에 거래를 정지시킬 것이다. 모든 것을 마스터카드(MasterCard)로 이관하면 2년 동안 컴플라이언스 문제는 없다"고 협박한다.
물론, 비자 카드는 "미안하지만 시간을 갖고 생각해 봐라"고 답변한다. 마스터카드도 마찬가지다.
또 다른 문제는 처리하는 카드의 수에 따라 PCI 컴플라이언스 수준이 달라진다는 것이다. 그래서 우리는 일부 국가의 대형 은행들이 5~10개의 소규모 기업을 설립하고 각 기업이 10만 개의 카드를 처리하는 것처럼 꾸미는 방법으로 100만 개의 카드를 처리하는 회사가 응당 감수해야 하는 컴플라이언스 수준을 높여야 하는 법적 규제를 우회한다.

Q. PCI 자체에도 문제가 있다.
A. 2012년, 필자는 PCI에 자체 웹 사이트가 해킹당할 수 있는 치명적인 SQL 인잭션 취약점이 있다고 알려줬다. 해당 기업은 아무런 답변도 하지 않았다. 그래서 개인적으로 PCI 기관이 별로라고 생각한다.
무엇인가를 정말로 바꾸고 싶다면 정부는 다양한 규모의 기업들을 위한 소프트웨어와 암호화 등과 관련된 최소 기준을 수립해야 한다.
그리고 규제를 준수하지 않는 기업에 대한 처벌 수위를 준수를 위한 투자보다 훨씬 높은 수위로 높여야 한다. 그 차이가 미미하다면 사람들은 개의치 않겠지만 비용이 10배라면 100%에 가까운 기업들이 이를 준수할 것이다. editor@itworld.co.kr