본문 바로가기

AhnLab SR 7th/Semina & Exhibition

'해킹'이라는 칼을 갖고 의사의 '메스'로 사용할 수 있는 전문가를 꿈꾸다. <모의해킹 전문가 과정>

 올해 초 ‘3.4 DDoS’ 에 연이어  4월 달에는 현대캐피탈, 농협의 개인정보보호 유출 사고가 있었다. 이와 같은 사고는 저절로 일어나는 것은 아니다. 사고 뒤에는 사고를 일으키는 ‘사람’이 있기 때문이다. 역으로 생각하면 보안 문제를 ‘사람’이 해결할 수 있는 것이다. 보안 문제를 해결 할 인재를 양성하기 위해서 정부 차원에서 지원을 하고 있다. 정부에서 올해 처음으로 도입한 교육과정에는 ‘사이버 보안 전문가 실무 인재 양성 과정’이 있다. (해당 사이트 : http://bit.ly/jdWz9g) 총 3가지 과정 중 ‘모의해킹 전문가 과정’ 개강식이 5월 11일 구로 사이언스밸리에서 진행되었다.


 ‘모의해킹 전문가’라는 단어에서 볼 수 있듯이, ‘해킹’에 대한 교육을 하는 과정이다. 이 교육은 동전의 앞뒤와 같다고 생각한다. 해킹을 막기 위해서 모의 해킹을 하는 것이다. 하지만 전
문적인 소양만 갖고 윤리성이 없다면 악의적 해커로 전락할 수 있다. 이번 '모의해킹 전문가 과정'은 이 점을 사전에 방지하기 위해 윤리적인 면에 대한 교육 내용도 포함 되어있다.

 ‘개강식’이 있기 전 교육생들을 위한 초청 교수님들의 강연(고려대학교 정보보호대학원장 임종인, 한성대학교 지식서비스&컨설팅연구원장 나도성) 이 있었다.
 

 사진 : 고려대학교 정보보호대학원장 임종인
 
 6개월 전, 멕시코 만 기름유출사고로 인해 인근 해역이 오염되었다. 오염된 바다는 아직까지 복구가 안 되고 있다. 후쿠시마 원전의 방사능 누출 사고 또한 아직도 해결 못한 문제가 되었다. 그리고 농협의 전산 사고로 인해 많은 고객들에게 피해를 주었다. 하지만, 피해 입은 고객들의 데이터에 대한 완벽한 복구는 힘들었다. 
 과학 기술이 발달하면 발달 할수록 이득이 될 수 있다. 그러나 위의 경우를 보듯이 이로 인한 사고가 벌어지면 모든 이들이 수습을 할 수 없을 정도의 일로 커진다. 
 여러분들과 같은 기술 전문가들이 문제를 어떤 식으로 보는지에 따라 인류에게 큰 역할을 할 수 있다. 반면 큰 피해를 줄 수도 있는 양면성이 있다.

 과연 ‘어떤 길로 가야 될까?’ 에 대해 생각해 봐야 될 것이다.

 

요즘 학교 강연에서 ‘혼,창,통’에 대해서 말하고 있다.  
 첫째, ‘혼’은 자신이 가져야 할 마음가짐이다. 즉, ‘영혼’을 가지고 있어야 한다는 말이다. 열정을 갖고 이 분야에서는 ‘내가 없으면 안 된다.’ 하는 생각을 가졌으면 한다.
 둘째, ‘창’은 새로운 것을 ‘창조’해 낸다는 말이다. 악의적인 목적을 가진 해커들의 경우 보안을 뚫고 정보를 빼내어간다. 이것을 차단하기 위해 새로운 것들을 창안해내야 한다. 
 마지막으로 ‘통’은 주변과의 ‘소통’을 이야기 한 것이다. 기술자들이 놓칠 수 있는 것이 ‘소통’ 이다. 열심히 좋은 것을 개발하는 것은 좋다. 그래서 개인의 능력이 뛰어난 사람이 될 수는 있다. 하지만, 소통이 없는 기술자는 사회의 악이 될 수도 있다. 기술자들은 시장이나 고객들에게 득이 되는 기술을 개발해야 되기 때문에 ‘소통’이 필요하다고 생각한다.
 강조하지만, 이 시대를 경영학에서는 ‘마켓3.0 시대'라고 한다. 지금까지는 단순히 좋은 제품을 만들어서 소비자들의 필요에 따라 주는 것으로 끝났다. 하지만 우리는 더 나아가 금융전산망 마비와 같은 사고를 생각해 보아야한다. 개인의 잘못으로 인해 여러 사람이 피해를 입을 수 있다. 기술의 발달만 생각하고 그 기술로 인한 사고를 사전에 생각하지 못한다면 인류가 공멸할 수도 있다. 즉, 제품, 고객만 중요한 것이 아니라 사회에 공헌할 수 있는 것이 무엇인지 고민해 보는 것도 중요한 것이 될 것이다. 이런 생각을 갖고 공부를 하면 머릿속에도 잘 들어 올 것이다.
 세계적으로 큰 공장들이 지어지고 재벌들이 커지는 과정에서 공부 별로 안하고 그냥 대학을 다녔다. 그 결과 위에서 시키는 대로 하면 먹고 살 수 있는 공장의 부품처럼 일을 했다. 시대의 흐름을 몰라도 한 제품을 위해 오랫동안 일하면 최고였지만 시대가 바뀌었다. 지금은 부품화가 아니라 독창성과 창의성 중심의 시대이다. 세계적인 거대기업을 끌어가고 있는 사람들을 보면 남이 시키는 대로 하는 사람들이 아니었다. 이런 사람들을 ‘린치핀’이라고 한다. 과거처럼 몇 사람 시켜서 하는 것이 아니라 앞으로 모든 분야에서 내가 주인이라는 생각을 갖고 행동해야 될 것이다.
 글자를 배우는 순간 인터넷으로 연결이 가능한 시대가 되었다. 새로운 정보가 나오면 일단은 긍정적인 면을 생각하게 된다. 즉, 새로운 정보에 대한 생각이 한 쪽 방향으로 흐르고 있는 것이다. 하지만 다른 시점으로 보았을 때의 문제는 생각을 안하고 있다. 그 결과 새로운 정보로 인한 사고가 발생하면 엄청난 폐해가 생길 수 있다.
 중요한 것은 사회 전반적으로 정보를 지키는 것, 해킹을 막아내는 것 ,바이러스를 막아내는 것이 얼마나 중요한 지 기업의 CEO 가 깨달아야 한다. 단체의 리더가 모르고 있다면 다른 사람의 책임만 묻게 되는 것이다. 그 조직의 리더가 앞장서서 나서야 될 것이다. 
 갈수록 많은 사건이 일어나고 비슷한 사건의 재발을 방지하기 위한 제도를 만들고 있다. 이렇게 되면서 시장은 성장하기 마련이다. 이제는 보안 시장이 커질 수밖에 없는 시기가 되었다. 보안 사고로 인해 각 은행과 공공기관에서 제도를 만들어서 시장이 커졌다. 그래서 교육을 잘 받아 보안 전문가가 되는 것은 유망주가 되는 것이다. 능력만 키워 준다면 전망이 밝다. 새로운 시장 확장이라는 것을 알고 이 기회를 잘 활용했으면 한다. (강연 내용 : 한성대학교 지식서비스&컨설팅연구원장 나도성)


 다음으로 자리를 옮겨서 '모의해킹 전문가 과정' 개강식이 베스트웨스틴 구로호텔에서 진행되었다. 정부에서 관심을 가져서 인지 각계 많은 인사들이 자리에 참석했다. 그 중 한국정보연구원 원장의 연사가 있었다.

 

 1만5천명의 전문 인력을 양성하려고 한다. 그 첫 번째 도약으로 정보보안 산업의 인재를 양성하고자 한다.
 여러분들은 젊고 무한한 가능성을 갖고 인생의 기로에 있다. 전문 기술력을 갖고 인재들의 노력과 창의성이 중요하다.
 그러나 현실에서는 인재가 대단히 부족한 상태이다. 현실을 직시하고 정보보호 산업의 발전을 위해 이 교육 과정을 진행하게 되었다. 
열정과 인내를 갖고 '포기는 곧 실패'라는 생각을 갖고 정보보호 전문가로 발전하였으면 한다.
 정부에서 이렇게 성대한 지원을 해주는 분야는 보기 드물 것이다. 해킹이 칼의 양날이 될 수 있으므로 이 칼을 사람을 해칠 수 있는 강도의 칼이 아니라 사람을 살릴 수 있는 의사의 메스가 되어야 될 것이다.


 점심 식사 후 김태일 부장(FSK 시큐리티)이 본격적인 모의해킹 과정의 첫 수업을 시작하였다. 


정보 보안은 ‘IT 종합예술’이라고 생각한다. IT 전부에 대한 종합지식을 알아야 한다. 전 분야에 대한 전문가가 되어야 한다. 그리고 그런 사람들만 살아남는다. 문제는 그런 것이 쉽지가 않다는 것이다.
 순수하게 4~5개월 정보 보안에 대한 공부를 하게 될 것이다. 우리가 요구 하는 것은 절대적인 공부량이다. 두뇌상태와 관계없이 절대적인 공부 시간이 필요할 것이라고 생각한다.
 보안 회사에 입사하면 더 많은 것을 배울 줄 알았다. 하지만 막상 입사하면 하는 업무는 비슷하고 정말 공부하고 싶다는 생각이 든다. 그래서 이번 교육과정이 모든 것을 접고 공부하는 마지막 기회라고 생각한다. 정보 보안에 대해 6개월 정도 집중적으로 공부하는 시간이  될 것인데 이 시간이 인생의 큰 갈림길이 될 것이라고 생각한다. 
 유사한 과정을 이수한 분들을 보면서 ‘차이’는 단 하나라는 것을 느꼈다. 바로 얼마만큼 공부를 한 것. ‘무료 교육과정이니까 자신의 돈을 낸 것도 아닌데 다음에 다른 곳에서 배워야지’ 하는 생각을 갖게 될 수 있다. 하지만 절대적인 시간을 투자해야 된다. 과정 자체가 그 전의 지식을 알아야 다음을 할 수 있기 때문에 점점 쌓여 가면 과정 자체를 어려워하는 경우가 생긴다. 예습은 안 해도 된다. 그러나 복습만큼은 철저히 해야 된다. 상당히 많은 시간을 투자해야 될 것이다. 나머지는 강사들을 따라오면 자신이 원하는 실력이 갖추어 질 것이다. 
 교육기간 중에 모든 과정을 100% 소화하면 뒤쳐질 수 없다. 그리고 누구하고 보안에 대해 이야기 할 수 있을 것이다. 모자라는 것은 실무경험만 될 것 이다. 약간의 경험만 쌓아 가면 보안 전문가로 충분히 성장 가능 할 것이다. 향후에 스스로 공부할 수 있는 능력을 배양 할 수 있을 것이라고 생각한다. 

 보안은 평생을 두고 공부를 해야 된다. 다른 직업에 비해 굉장히 불공평하다고 느낄 수 있다.그래서 새로운 것 좋아하고 부지런하고 호기심 있는 사람이 적성에 맞을 것이다. 게을러서 뒹굴뒹굴 있는 사람은 정보보안에 적성이 안 맞을 것이다. 하지만 이런 적성은 만들면 되는 것이다.
 이 과정이 끝이 아니고 정보보안 전문가의 출발점이 될 것이다. 그 때 부터는 알려주는 사람이 없다. 연구에 필요한 힘들을 배양하는 것이 과정의 두 번째 목표가 될 것이다.


모의해킹이 무엇일까? 


  공격자의 시각으로 해당 시스템을 점검하고 이랬을 때 어떤 피해가 예상된다는 것을 보여주는 서비스라고 생각한다. 하지만 오늘날의 모의해킹은 현실적이지 못하다.  옛날 방식만 하니까 해커의 눈으로 보지 못하고 있기 때문이다. 이번 과정에서는 트렌드적인 방식을 보여 줄 것이다. 나중에 모의 해킹 컨설턴트로 실무에서 일하는데 아무런 문제가 없을 것이다. 더 잘할수도 있을 것이다. 많이 검증되고 다듬어 진 것이니까 최상의 교육이라고 생각한다. 그것도 30만원을 받으면서 진행되니까 다 같이 열심히 공부를 했으면 한다. 궁금한 것에 대해서는 언제든지 질문을 해도 좋다.
 
  마지막으로 김태일 부장이 
교육생들을 위해  4가지 보안 공부 방법에 대해 이야기 했다.

 1. 검색엔진 활용하지 마라.
바보가 되고 싶으면 검색엔진을 사용해라. 문제에 봉착하면 생각을 안 하는것이 문제가 되기 때문이다. 검색엔진을 통해서 기초자료를 수집하는 것은 좋다. 그러나 문제가 생길 때마다 고민을 안 하고 답을 찾아서 하게 되면 훌륭한 엔지니어가 될 수 없다.
 평소에는 차이가 나지 않으나 문제가 발생했을 때 문제 해결 능력에서 차이를 드러낸다. 즉, 이런 차이는 평상시 작은 습관에서 나오는 것이다. 충분히 생각한 다음에 주변에 물어 본 뒤사용하라는 것이다. 그리고 강사들을 검색 엔진처럼 사용하지 마라. '제 생각은 이런데 어떻게 해야 됩니까?' 이런 식으로 문제에 대해 충분히 생각한 뒤에 질문을 했으면 한다. 덥석덥석 받아먹지 말고 문제를 스스로 해결하는 자세로  . 즉석 해석은 문제가 있다.

2. 매뉴얼 파일 잘 읽어라.

Help 나 Manual 에 답이 나와 있다. 사용법을 모르는데 어떻게 해야 될 것인가? 바로 Help 파일에 있다. 그만한 정보는 어디에도 없다. 모든 명령어가 Help, Manual 에 있으니까 스스로 터득하는 능력을 길러라.

3. Tool 사용법에 목매이지 마라.
 
무림의 절대고수는 나뭇가지로 싸운다. 보안도 마찬가지다. 기술의 뿌리를 익혀야 하는 것이다. Tool 사용법을 마스터하는 것 만큼 시간 낭비가 없다.
 해킹 공격 기법의 근본, 취약의 원인에 대해서 분석하다보면 Tool 사용법에 대해서는 자연스럽게 익히게 된다. 아무거나 주어도 사용할 수 있는 사람이 되어야 한다. 다시 말해서 원리 위주로 학습을 해라.

4. 마지막으로, 실 사이트를 대상으로 테스트 하지 마라.
 지금은 '
소림사'에 입문을 한 것이다. 5개월 동안 수련한 '정권지르기' 하나로 강호에 나가면 얻어맞는다.
 모의해킹 컨설턴트로서 가장 요구되는 것은 '
윤리의식'이다. 3~4년 전에 사건 하나가 있었다. 교육을 받았던 모 수강생이 수업 시간에 배운 내용으로 해당 사이트가 아주 좋은 교보재가 되어서 DB를 긁어왔다. '해킹'을 한 것이었다. 모 수강생을 그렇게 교육 과정을 수료하고 '해킹' 사실에 대해서 잊고 있었다. 
 하지만 취업 후, 해당 사이트의 관리자가 그 사실을 발견을 해서 '해킹'에 대한 손해배상을 요구했다. 모 수강생은 '
손해 배상금을 못주겠다' 했더니 관리자가 고소를 했다. 결국은 벌금형을 받았다.
 모의 해킹을 하면 지식경제부에서 정보보호 전문 인력으로 등재하는데 범죄 기록이 있으면 등재가 안 된다. 교육을 시작할 때 '
윤리 서약서'를 줄 것이다. 모든 책임을 지는 것이다. 실제 상황이다. 실제로 모 수강생 경우가 있기 때문이다.  조금 더 나아가고 싶은 마음이 들겠지만 제한된 환경에서도 충분히 할 수 있다.

 정부에서 지원하는 교육 과정인 만큼 주변에서 관심이 많고 기대가 클 것이다. 그 기대에 걸맞게 
20명 전원이 좋은 교육 과정을 이수해서 실제 업무에 들어갔을 때에는 이 분야에 대해서 최고의 전문가들로 거듭 발전했으면 한다. 그리고 '모의 해킹 과정' 외에도 정부에서 지원해주는 두 가지 과정(침해대응 전문가, SW 보안 전문가)이 더 준비되어 있다. 그러므로 보안에 대한 관심을 갖고 공부를 하고 싶은 사람들은 교육 과정 지원 시기를 봐서 지원해 보는 것도 좋을 것이다.
(교육 과정 관련 : KITRI(한국정보기술연구원) 
http://bit.ly/jdWz9g)