2017.07.27

"해커들의 여름 캠프", 블랙햇과 데프콘의 진화

George V. Hulme | CSO
사이버 보안 산업의 상징을 찾아야 한다면 블랙햇 브리핑스(Black Hat Briefings)와 데프콘(DEF CON)보다 더 나은 선택을 하기가 어려울 것이다. 이 두 행사는 여러 컨퍼런스 참가자들의 해커 여름 캠프(Hacker Summer Camp)로 알려져 있다. 블랙햇과 데프콘은 1997년과 1993년에 시작된 이후로 큰 변화를 이뤄냈다. 사람들로 넘쳐날 뿐 아니라 디지털 기술의 특성을 그대로 갖고 있다.



수십 년 동안 이 컨퍼런스들은 참가자와 콘텐츠 측면에서 크게 확대됐다. 예를들어, 블랙햇은 기업 보안 레드팀에 초점을 뒀던 것에서 벗어나 시스템 활용 외에 더욱 방어적인 보안 작업 및 보안팀 관리까지 포함하게 되었다.

컨퍼런스의 변화상
심지어 이 컨퍼런스는 일정에 시스코 서밋(CISCO Summit)을 추가하면서 일정이 하루 더 연장됐다. 이 컨퍼런스들이 지난 수년동안 어떻게 변화했는지 살펴보도록 하자.

해커 그룹 L0pht의 7번째 구성원이자 현 소프트웨어 보안업체 베라코드(Veracode) CTO 크리스 위소펄은 데프콘과 블랙햇 컨퍼런스 초기에 여러 번 참가했었다. 시간에 지나면서 주중 이벤트 수가 증가하고 일정이 더욱 길어지면서 무엇인가를 포기해야 했고 위소펄은 데프콘을 한동안 포기했다. 위소펄은 "블랙햇이 시스코 서밋을 추가한 이후로 4일짜리 행사가 되었고 나는 데프콘을 포기하기로 결정했다"고 회상했다. "너무 지루해졌다."

데프콘 20(DEF CON 20)이 출범하면서 위소펄은 이 행사가 어떻게 바뀌었는지 궁금해지기 시작했다. 위소펄은 "데프콘의 20주년이었으며 나는 확인해 볼만한 가치가 있다고 생각했다"고 회상했다. 위소펄은 "정말 깜짝 놀랐다. 규모가 3배나 증가했다. 더 이상 컨퍼런스같은 느낌이 아니었다. 하나의 축제같았다"고 평가했다.

위소펄은 "록피킹(Lock-picking) 빌리지 같은 활동이 추가됐을 뿐 아니라 기존의 활동도 확대되었다. 캡처 더 플래그(Capture the Flag) 대회는 보통 5~6개 테이블로 진행되었지만 약 50개의 테이블로 확대되었다. 모든 것이 확대되었다"고 말했다.

물론, 첫 번째 블랙햇 이후로 모든 것이 확대됐다. 첫 번째 블랙햇에서의 프레젠테이션에는 로컬 네트워크 보안 평가, 방화벽 관리, 인터넷을 통한 공격 기법에 관한 이야기들이 포함되어 있었다. 저명한 보안 연구원 머지(Mudge)는 보안 코딩 활동과 소스코드 분석에 대한 기조 연설을 진행했고 아담 쇼스탁(Adam Shostack)은 코드 검토와 이로부터 가치를 파생시키는 방법에 대해 이야기했다. 슬러고(Sluggo)는 서비스 거부 공격에 대한 방어에 중점을 두었다.

데프콘 4부터 데프콘 25까지 2번을 제외하고 모두 연사로 참여했으며 여러 블랙햇 컨퍼런스에 참여한 저자이자 전문 연사 리차드 티엠은 자신이 진행했던 첫 번째 블랙햇에서의 기조 연설을 회상했다. 티엠은 "많은 사람이 모였고 보안을 파악하기 위해 처음부터 노력한 매우 중요한 사람들이었다"고 말했다.

티엠은 "어떤 면에서는 이런 컨퍼런스가 보안 커뮤니티의 성숙을 보여주는 영상이라고 할 수 있다"고. 티엠은 데프콘 4에 모여 자신의 기술이 다른 전문가들에게 필요한 기술이며 컨퍼런스를 통해 이런 기술에 기여할 수 있다는 사실을 깨달은 해커들의 대화를 회상했다.

티엠은 "초기에는 자산을 보호하는 방법 등의 가치있는 것을 중요한 사람들에게 제공할 수 있는 방법을 스스로 직접 파악해야 했다. 초기에는 자신들의 길을 찾고 있었다"고 말했다.

데프콘은 분명 그 길을 찾았다. 샌즈 호텔 & 카지노(Sands Hotel & Casino)에서 열린 첫 번째 데프콘에는 약 100명이 참가했다. 2016년에는 2만 2,000명이 데프콘에 참가했고 블랙햇에는 1만 5,000명이 참가했다.

블랙햇은 분명 수년 동안 역사적인 순간을 함께 했다. 이런 순간들의 대부분은 경계 보안 연구로부터 발견된 영향력이 큰 보안 취약점 공개가 핵심이었다. 여기에는 데이비드 리치필드의 SQL 서버(SQL Server)에 대한 개념 증명 공격이 포함되며 이로 인해 머지않아 2003 SQL 슬래머(2003 SQL Slammer) 웜이 생겨났다.

보안 연구원 마이클 린은 시스코로부터 압박을 받았던 업체인 ISS(Internet Security Systems)를 퇴사하고 시스코 라우터를 구동하는 운영체제에서 자신이 발견한 결함에 관한 정보를 공개해야 한다고 느꼈다. 2015년 찰리 밀러와 크리스 발라섹은 원격 지프(Jeep) 해킹을 공개한 바 있는데, 오늘날 이런 연구는 실제 행사 이전에 공개될 가능성이 더 높다.

사회적 인맥형성의 가치
대부분의 컨퍼런스 참가자들은 역사적인 대규모 이벤트는 차치하더라도 초기 컨퍼런스에 대한 그들의 추억과 이런 행사에서 얻은 가치에 대한 질문에 대해 일반적으로 따로 만나기가 어려운 보안 전문가들을 만날 수 있는 인맥형성과 기회에 대해 언급할 것이다.

정보 보안 컨설턴트 겸 연구원이자 블랙햇 검토 위원회 구성원인 스테파노 자네로는 자신이 연사로 참여했던 첫 번째 블랙햇(2004)에 대해 회상했다. 자네로는 "나는 어린 박사과정 학생으로서 그렇게 다양한 국적을 가진 사람들 앞에서 발표하는 것이 처음이었다. 그래서 유독 기억에 남는다"고 회상했다.

자네로는 "블랙햇은 매우 매력적이었다. 이 컨퍼런스는 당시에는 규모가 작았고 연사로 참여하면서 보안 부문의 종사자들을 모두 만나볼 기회가 있었다. 규모가 성장하면서 그런 특성이 분명 바뀌었다"고 말했다.

하지만 그런 성장에도 불구하고 자네로는 수년 동안 소중한 사람들과 연락을 유지할 수 있었다고 말했다. 자네로는 "인맥형성과 직접 만남이 컨퍼런스의 실질적인 가치이긴 하지만 사이버 보안 세계는 여전히 좁다. 내가 블랙햇에서 수년 동안 쌓은 인맥은 매우 귀중한 자산이다"고 말했다.

ACE 핵웨어(ACE Hackware)에서 오랫동안 근무한 보안 연구원 겸 수석 해커학자 테일러 뱅크스는 "블랙햇에 처음 참가했을 때는 정보 보안을 중심으로 해커 문화와 비즈니스적 초점이 특수하게 융합된 것처럼 보았다. 기술 전문가를 포함한 모든 사람들에게 기술이 우선순위가 되기 위해 필요한 관심과 예산을 모으기 위한 참신하면서도 필요한 행사였다"고 평가했다.

뱅크스는 데프콘과 해외 해커 커뮤니티에서 블랙햇 컨퍼런스를 처분 경매로 보았다고 말했다. "개인적으로 블랙햇은 훌륭하게 융합되어 있었고 정보 보안 컨퍼런스를 통해 높은 가격의 정당성을 입증함과 동시에 인맥형성과 채용을 위한 훌륭한 환경을 제공하면서 참가자들과 고용주들에게 훌륭한 가치를 제공할 수 있다는 점이 놀라웠다"고 말했다.

솔직히 블랙햇과 데프콘과 비교하는 것이 적합하지 않다. 두 행사에서 같은 정보를 제공하는 경우가 많고 그리고 같은 사람들이 참가한다. 하지만 최근 데프콘의 가치가 크게 성장했다.

많은 조직의 경우 직원들을 "해커 컨퍼런스"에 보낸다는 오명으로 인해 기술에 대해 잘 모르는 주주 및 이사회 구성원들에게 소액의 비용의 정당성을 입증하기가 훨씬 힘들었다. 뱅크스는 "이런 환경 때문에 이 분야에 대해 잘 모르는 사람들은 데프콘이 꽤 위협적이라고 생각했으며 블랙햇은 참가가 훨씬 쉬운 행사처럼 보였다"고 말했다.

성장과 함께 의미가 달라진 보안 컨퍼런스 
블랙햇은 수년 동안 어떻게 바뀌었을까? 자네로는 "분명 큰 성장을 이뤘다. 그런 성장으로 인해 더욱 광범위한 사람들이 참여하게 되면서 인맥형성 활동과 기회가 크게 바뀌었다"며, 수년 전 좀 더 친밀한 커뮤니티가 그립다고 말했다. 자네로는 "지금의 전시관은 압도적이다"며, "개인적으로 대화의 질과 수준은 유지되는 것 같지만 좀 더 광범위한 주제로 확대된 것 같다"고 덧붙였다. 

수년 동안 이 컨퍼런스에 참가해 본 사람들과 만나보면 대화의 질이 여전히 높은 지에 대한 의견이 분분하다. 티엠은 "블랙햇이 첨단 해킹 대회였던 시대는 끝났다"고 평가했다.
티엠은 "매각된 이후로는 소규모 RSA가 되었다. 개발업체 주도적이며 기술 전문가들이 핵심 안건을 결정하지만 시장의 필요를 명확히 표명하며 이런 부분이 반드시 기술적인 것은 아니다"고 말했다. 티엠은 "예전에는 도전 정신이 강한 사람들이 더 많았던 것 같다. 지금은 성공 가능성이 있는지 여부를 스스로 검열하는 장인들이 더 많은 느낌이다. 이들이 주류가 되었다"고 설명했다.

참가자들의 성장과 함께 행사장도 성장했다. 위소펄은 "예전에는 전시장이 훨씬 작았고 기업들은 항상 블랙햇의 행보에만 집중했다. 행사장에는 침투 시험 또는 하드코어 보안 업체들이 넘쳐났고 보안 제품이나 서비스가 있는 기업만 참가하는 것도 아니었다"고 말했다.

컨퍼런스 가치 찾기
모든 성장 그리고 광범위해진 행사라는 점을 고려할 때 이런 질문이 떠오른다. 아직도 가치가 있을까? 거의 대부분이 "그렇다"고 대답할 것이다. 단지 자신이 행사에서 원하는 것을 찾아 얻기 위해서는 좀 더 노력해야 한다. 티엠은 "가치를 표적으로 삼고 사냥하는 방법을 알고 있다면 이 곳에서 많은 사냥감을 얻을 수 있다"고 말했다.

이에 위소펄도 동의했다. "이런 행사에는 다양한 사람들이 참가한다. 대화에 참여하고 싶어하는 사람들이 있고 그들은 그걸 통해 배운다. 인맥을 위해 가는 사람들이 있다. 일자리를 찾고 있거나 단순히 매년 컨퍼런스에서만 만나는 사람을 보러 가는 것일 수도 있다. 그리고 제품과 솔루션을 찾는 사람들도 있다. 이 모든 일들이 한 곳에서 이루어지며 모두가 모든 것을 추구하지는 않는다. 여러 다양한 사람들을 충족시킬 수 있다면 성공적인 컨퍼런스가 되는 것이다"고 말했다.

그리고 이를 통해 블랙햇과 데프콘은 분명 성공을 이어가고 있다. editor@itworld.co.kr 


2017.07.27

"해커들의 여름 캠프", 블랙햇과 데프콘의 진화

George V. Hulme | CSO
사이버 보안 산업의 상징을 찾아야 한다면 블랙햇 브리핑스(Black Hat Briefings)와 데프콘(DEF CON)보다 더 나은 선택을 하기가 어려울 것이다. 이 두 행사는 여러 컨퍼런스 참가자들의 해커 여름 캠프(Hacker Summer Camp)로 알려져 있다. 블랙햇과 데프콘은 1997년과 1993년에 시작된 이후로 큰 변화를 이뤄냈다. 사람들로 넘쳐날 뿐 아니라 디지털 기술의 특성을 그대로 갖고 있다.



수십 년 동안 이 컨퍼런스들은 참가자와 콘텐츠 측면에서 크게 확대됐다. 예를들어, 블랙햇은 기업 보안 레드팀에 초점을 뒀던 것에서 벗어나 시스템 활용 외에 더욱 방어적인 보안 작업 및 보안팀 관리까지 포함하게 되었다.

컨퍼런스의 변화상
심지어 이 컨퍼런스는 일정에 시스코 서밋(CISCO Summit)을 추가하면서 일정이 하루 더 연장됐다. 이 컨퍼런스들이 지난 수년동안 어떻게 변화했는지 살펴보도록 하자.

해커 그룹 L0pht의 7번째 구성원이자 현 소프트웨어 보안업체 베라코드(Veracode) CTO 크리스 위소펄은 데프콘과 블랙햇 컨퍼런스 초기에 여러 번 참가했었다. 시간에 지나면서 주중 이벤트 수가 증가하고 일정이 더욱 길어지면서 무엇인가를 포기해야 했고 위소펄은 데프콘을 한동안 포기했다. 위소펄은 "블랙햇이 시스코 서밋을 추가한 이후로 4일짜리 행사가 되었고 나는 데프콘을 포기하기로 결정했다"고 회상했다. "너무 지루해졌다."

데프콘 20(DEF CON 20)이 출범하면서 위소펄은 이 행사가 어떻게 바뀌었는지 궁금해지기 시작했다. 위소펄은 "데프콘의 20주년이었으며 나는 확인해 볼만한 가치가 있다고 생각했다"고 회상했다. 위소펄은 "정말 깜짝 놀랐다. 규모가 3배나 증가했다. 더 이상 컨퍼런스같은 느낌이 아니었다. 하나의 축제같았다"고 평가했다.

위소펄은 "록피킹(Lock-picking) 빌리지 같은 활동이 추가됐을 뿐 아니라 기존의 활동도 확대되었다. 캡처 더 플래그(Capture the Flag) 대회는 보통 5~6개 테이블로 진행되었지만 약 50개의 테이블로 확대되었다. 모든 것이 확대되었다"고 말했다.

물론, 첫 번째 블랙햇 이후로 모든 것이 확대됐다. 첫 번째 블랙햇에서의 프레젠테이션에는 로컬 네트워크 보안 평가, 방화벽 관리, 인터넷을 통한 공격 기법에 관한 이야기들이 포함되어 있었다. 저명한 보안 연구원 머지(Mudge)는 보안 코딩 활동과 소스코드 분석에 대한 기조 연설을 진행했고 아담 쇼스탁(Adam Shostack)은 코드 검토와 이로부터 가치를 파생시키는 방법에 대해 이야기했다. 슬러고(Sluggo)는 서비스 거부 공격에 대한 방어에 중점을 두었다.

데프콘 4부터 데프콘 25까지 2번을 제외하고 모두 연사로 참여했으며 여러 블랙햇 컨퍼런스에 참여한 저자이자 전문 연사 리차드 티엠은 자신이 진행했던 첫 번째 블랙햇에서의 기조 연설을 회상했다. 티엠은 "많은 사람이 모였고 보안을 파악하기 위해 처음부터 노력한 매우 중요한 사람들이었다"고 말했다.

티엠은 "어떤 면에서는 이런 컨퍼런스가 보안 커뮤니티의 성숙을 보여주는 영상이라고 할 수 있다"고. 티엠은 데프콘 4에 모여 자신의 기술이 다른 전문가들에게 필요한 기술이며 컨퍼런스를 통해 이런 기술에 기여할 수 있다는 사실을 깨달은 해커들의 대화를 회상했다.

티엠은 "초기에는 자산을 보호하는 방법 등의 가치있는 것을 중요한 사람들에게 제공할 수 있는 방법을 스스로 직접 파악해야 했다. 초기에는 자신들의 길을 찾고 있었다"고 말했다.

데프콘은 분명 그 길을 찾았다. 샌즈 호텔 & 카지노(Sands Hotel & Casino)에서 열린 첫 번째 데프콘에는 약 100명이 참가했다. 2016년에는 2만 2,000명이 데프콘에 참가했고 블랙햇에는 1만 5,000명이 참가했다.

블랙햇은 분명 수년 동안 역사적인 순간을 함께 했다. 이런 순간들의 대부분은 경계 보안 연구로부터 발견된 영향력이 큰 보안 취약점 공개가 핵심이었다. 여기에는 데이비드 리치필드의 SQL 서버(SQL Server)에 대한 개념 증명 공격이 포함되며 이로 인해 머지않아 2003 SQL 슬래머(2003 SQL Slammer) 웜이 생겨났다.

보안 연구원 마이클 린은 시스코로부터 압박을 받았던 업체인 ISS(Internet Security Systems)를 퇴사하고 시스코 라우터를 구동하는 운영체제에서 자신이 발견한 결함에 관한 정보를 공개해야 한다고 느꼈다. 2015년 찰리 밀러와 크리스 발라섹은 원격 지프(Jeep) 해킹을 공개한 바 있는데, 오늘날 이런 연구는 실제 행사 이전에 공개될 가능성이 더 높다.

사회적 인맥형성의 가치
대부분의 컨퍼런스 참가자들은 역사적인 대규모 이벤트는 차치하더라도 초기 컨퍼런스에 대한 그들의 추억과 이런 행사에서 얻은 가치에 대한 질문에 대해 일반적으로 따로 만나기가 어려운 보안 전문가들을 만날 수 있는 인맥형성과 기회에 대해 언급할 것이다.

정보 보안 컨설턴트 겸 연구원이자 블랙햇 검토 위원회 구성원인 스테파노 자네로는 자신이 연사로 참여했던 첫 번째 블랙햇(2004)에 대해 회상했다. 자네로는 "나는 어린 박사과정 학생으로서 그렇게 다양한 국적을 가진 사람들 앞에서 발표하는 것이 처음이었다. 그래서 유독 기억에 남는다"고 회상했다.

자네로는 "블랙햇은 매우 매력적이었다. 이 컨퍼런스는 당시에는 규모가 작았고 연사로 참여하면서 보안 부문의 종사자들을 모두 만나볼 기회가 있었다. 규모가 성장하면서 그런 특성이 분명 바뀌었다"고 말했다.

하지만 그런 성장에도 불구하고 자네로는 수년 동안 소중한 사람들과 연락을 유지할 수 있었다고 말했다. 자네로는 "인맥형성과 직접 만남이 컨퍼런스의 실질적인 가치이긴 하지만 사이버 보안 세계는 여전히 좁다. 내가 블랙햇에서 수년 동안 쌓은 인맥은 매우 귀중한 자산이다"고 말했다.

ACE 핵웨어(ACE Hackware)에서 오랫동안 근무한 보안 연구원 겸 수석 해커학자 테일러 뱅크스는 "블랙햇에 처음 참가했을 때는 정보 보안을 중심으로 해커 문화와 비즈니스적 초점이 특수하게 융합된 것처럼 보았다. 기술 전문가를 포함한 모든 사람들에게 기술이 우선순위가 되기 위해 필요한 관심과 예산을 모으기 위한 참신하면서도 필요한 행사였다"고 평가했다.

뱅크스는 데프콘과 해외 해커 커뮤니티에서 블랙햇 컨퍼런스를 처분 경매로 보았다고 말했다. "개인적으로 블랙햇은 훌륭하게 융합되어 있었고 정보 보안 컨퍼런스를 통해 높은 가격의 정당성을 입증함과 동시에 인맥형성과 채용을 위한 훌륭한 환경을 제공하면서 참가자들과 고용주들에게 훌륭한 가치를 제공할 수 있다는 점이 놀라웠다"고 말했다.

솔직히 블랙햇과 데프콘과 비교하는 것이 적합하지 않다. 두 행사에서 같은 정보를 제공하는 경우가 많고 그리고 같은 사람들이 참가한다. 하지만 최근 데프콘의 가치가 크게 성장했다.

많은 조직의 경우 직원들을 "해커 컨퍼런스"에 보낸다는 오명으로 인해 기술에 대해 잘 모르는 주주 및 이사회 구성원들에게 소액의 비용의 정당성을 입증하기가 훨씬 힘들었다. 뱅크스는 "이런 환경 때문에 이 분야에 대해 잘 모르는 사람들은 데프콘이 꽤 위협적이라고 생각했으며 블랙햇은 참가가 훨씬 쉬운 행사처럼 보였다"고 말했다.

성장과 함께 의미가 달라진 보안 컨퍼런스 
블랙햇은 수년 동안 어떻게 바뀌었을까? 자네로는 "분명 큰 성장을 이뤘다. 그런 성장으로 인해 더욱 광범위한 사람들이 참여하게 되면서 인맥형성 활동과 기회가 크게 바뀌었다"며, 수년 전 좀 더 친밀한 커뮤니티가 그립다고 말했다. 자네로는 "지금의 전시관은 압도적이다"며, "개인적으로 대화의 질과 수준은 유지되는 것 같지만 좀 더 광범위한 주제로 확대된 것 같다"고 덧붙였다. 

수년 동안 이 컨퍼런스에 참가해 본 사람들과 만나보면 대화의 질이 여전히 높은 지에 대한 의견이 분분하다. 티엠은 "블랙햇이 첨단 해킹 대회였던 시대는 끝났다"고 평가했다.
티엠은 "매각된 이후로는 소규모 RSA가 되었다. 개발업체 주도적이며 기술 전문가들이 핵심 안건을 결정하지만 시장의 필요를 명확히 표명하며 이런 부분이 반드시 기술적인 것은 아니다"고 말했다. 티엠은 "예전에는 도전 정신이 강한 사람들이 더 많았던 것 같다. 지금은 성공 가능성이 있는지 여부를 스스로 검열하는 장인들이 더 많은 느낌이다. 이들이 주류가 되었다"고 설명했다.

참가자들의 성장과 함께 행사장도 성장했다. 위소펄은 "예전에는 전시장이 훨씬 작았고 기업들은 항상 블랙햇의 행보에만 집중했다. 행사장에는 침투 시험 또는 하드코어 보안 업체들이 넘쳐났고 보안 제품이나 서비스가 있는 기업만 참가하는 것도 아니었다"고 말했다.

컨퍼런스 가치 찾기
모든 성장 그리고 광범위해진 행사라는 점을 고려할 때 이런 질문이 떠오른다. 아직도 가치가 있을까? 거의 대부분이 "그렇다"고 대답할 것이다. 단지 자신이 행사에서 원하는 것을 찾아 얻기 위해서는 좀 더 노력해야 한다. 티엠은 "가치를 표적으로 삼고 사냥하는 방법을 알고 있다면 이 곳에서 많은 사냥감을 얻을 수 있다"고 말했다.

이에 위소펄도 동의했다. "이런 행사에는 다양한 사람들이 참가한다. 대화에 참여하고 싶어하는 사람들이 있고 그들은 그걸 통해 배운다. 인맥을 위해 가는 사람들이 있다. 일자리를 찾고 있거나 단순히 매년 컨퍼런스에서만 만나는 사람을 보러 가는 것일 수도 있다. 그리고 제품과 솔루션을 찾는 사람들도 있다. 이 모든 일들이 한 곳에서 이루어지며 모두가 모든 것을 추구하지는 않는다. 여러 다양한 사람들을 충족시킬 수 있다면 성공적인 컨퍼런스가 되는 것이다"고 말했다.

그리고 이를 통해 블랙햇과 데프콘은 분명 성공을 이어가고 있다. editor@itworld.co.kr 


X