‘중국판 안랩’은 왜 베이징에 해커들을 초대했나

해커의 ㅎ도 모르는 기자의 해킹대회 출장기 (상)

중 IT산업 성장세에 보안시장도 덩달아 성장
바이두·알리바바 등 공룡기업들도 각축전
해킹대회 열리고, 보안인력 몸값도 ‘쑥쑥’
미국에선 곧 ‘해커 vs 로봇’ 대회도 개최돼

중국 베이징 동북쪽 차오양구에는 왕징(望京)이라는 곳이 있습니다. 한국인 수만명이 거주하고 있어 우리에게도 친근한 지역입니다. 최근에는 중국 벤처업체들의 새로운 요람으로 떠오르고 있습니다. 6월1일 오전, 왕징 바로 옆 리두에 위치한 크라운플라자 호텔 2층에서 국제해킹대회(WCTF)가 막을 올렸습니다. 한국 해킹보안기술 업체 ‘피오씨(POC)시큐리티’와 중국 모바일 보안시장 점유율 1위 업체인 ‘치후360’이 함께 개최한 대회였습니다.

1. 해킹대회란 무엇인가요?

어두컴컴한 행사장에는 클럽에서 나올 법한 음악이 쿵쾅거립니다. 한국을 비롯해 미국, 중국, 러시아 등 8개국에서 온 50여명의 젊은 남자들이 각자 앞에 높인 노트북 화면에서 눈을 떼지 못합니다. 마치 거대한 피시방같네요. 이들은 이름난 해킹대회에서 높은 순위를 기록한 화이트해커 10개팀입니다. 프로그램의 취약점을 찾아내는 화이트해커(이하 해커)는 이익을 위해 사이버 범죄를 저지르는 ‘블랙해커’나 ‘크래커’와 구분됩니다. 이번 대회에 나온 이들의 직업은 학생·대기업 엔지니어·보안 벤처업체 창업자 ·공무원 등 다양했습니다.

해킹대회를 ‘CTF’ 라고 부릅니다. CTF란 ‘깃발을 잡아라(Capture the Flag)’를 줄인 말입니다. 대개 문제로 출제된 프로그램의 보안을 뚫고 취약점을 공략해 그 안에 숨겨진 깃발 값을 찾는 방식으로 진행된다고 해서 붙여진 명칭입니다. 대회 운영자들이 주로 문제를 출제하지만, 이번 대회에서는 각 참가팀이 문제를 냈습니다. CTF 성적 60%, 출제한 문제 평가 점수 30%, 대회규정 준수 점수 10%를 합산해 최종 우승팀을 가렸습니다. CTF와 세미나가 함께 열리는 대회인데요. 지난해 한국에서 열린 국제 해킹보안 컨퍼런스 피오씨(POC·국내 해킹 커뮤니티를 중심으로 2006년부터 해마다 개최되고 있음)에서 이러한 방식을 처음 시도했습니다. 당시 컨퍼런스에 참여한 중국의 보안전문 업체 치후360의 해커팀 ‘360불칸(360Vulcan)’ 제안으로 이번 대회가 열리게 됐습니다. 대회 운영 노하우를 갖고 있는 피오씨시큐리티가 행사 진행을 맡았고, 치후360은 해커 초청비와 총상금 10만 달러(약1억2000만원) 등 재정 지원을 했습니다.

2. 중국 보안업체가 연 대회라고요?

상금 규모를 보았을 때, 중국 보안업체는 이번 행사를 개최하는 데 수억원의 예산을 썼을 것으로 보입니다. 왜 굳이 많은 돈을 들여 국외 해커들을 베이징으로 오게 해 대회를 열었을까요? 중국에도 CTF가 있지만, 그동안은 내국인을 대상으로 한 대회였다고 합니다. 국외 해커들을 초청해 여는 국제해킹대회는 흔치 않았다는 것이지요. 피오씨 운영자인 반젤리스는 “업체간 경쟁이 치열해 입지 강화를 위한 홍보 목적, 우수한 보안인력 확보를 위해 이러한 대회를 여는 것”이라고 일러주었습니다.

인터넷 산업 성장과 정부 차원의 육성 정책에 따라, 중국 정보보안 산업도 급격히 팽창하고 있습니다. 2005년 설립된 치후360은 광고 수익을 기반으로 한 무료 백신을 내세워 불과 10년 만에 빠르게 성장했습니다. 검색 엔진, 스마트폰, 게임 등 다양한 부문에서 사업을 하고 있는데요. 이 회사 누리집을 보면, 2014년에만 약 13억9000만 달러(1조6319억원)의 매출을 올렸습니다. 같은 시기, 국내 최대 보안업체인 안랩 매출액(연결 기준)이 1354억원인 것을 감안하면 엄청난 규모인 셈이지요.

치후360 외에도 중국 거대 인터넷 업체인 탄센트와 바이두 역시 모바일 보안시장에서 각축전을 벌이고 있습니다. 올해 초에는 중국 전자상거래 공룡 알리바바가 기업 보안 솔루션 시장 진출을 선언했지요. 업체간 경쟁이 치열해지면서 마케팅 비용이 늘었고, 보안 소프트웨어 개발자들에 대한 처우나 연봉도 좋아졌습니다. 최근 유명 해킹대회에서 상위권에 드는 중국 해커들도 늘었다고 합니다. 해커이자 치후360 보안기술 부문 총괄인 정원빈(29·닉네임 MJ0011)은 “예전엔 한국 사이트를 해킹해 돈을 버는 중국 블랙해커들이 많았다. 그러나 대기업에서 실력있는 해커들을 영입하기 시작했고 블랙해커들도 안정적 일자리를 원하면서 사이버 범죄가 줄어들고 있다”고 전했습니다.

2005년 설립된 중국 보안업체 치후360은 광고 수익을 기반으로 한 무료 백신을 내세워 빠르게 성장했다. 5월30일 치후360 직원이 자사가 만든 스마트폰을 보여주고 있다.

3. 한국 해커들의 실력은 어떤가요?

무대 앞에 설치된 대형 스크린 한 켠. 세로로는 참가팀 명단이, 가로로는 각 팀이 출제한 문제 18개가 열거돼 있습니다. 특정 문제를 풀면 그 아래로 빨간 ‘깃발’이 표시되는데요. 가장 먼저 ‘깃발’을 꽂은 건, 한-미 해커 연합팀 ‘키리졸브’였습니다. 미국 카네기멜론대학 해킹동아리 피피피(PPP)팀 박세준(28)씨 등 3명, 한국의 데프코(DEFKOR)팀 이종호(25·라온시큐어 연구원)·이정훈(22·삼성SDS 연구원)씨가 뭉친 팀입니다.

세계에서 가장 권위있는 해킹대회는 미국 라스베이거스에서 해마다 열리는 보안컨퍼런스 ‘데프콘’의 CTF 입니다. 1996년부터 이어진 대회로, 상금도 따로 없지만 전통과 명성이 있기 때문에 많은 해커들이 참가하고 싶어합니다. 온라인을 통한 예선전을 거치거나 데프콘이 지정한 해킹대회에서 우승한 팀들만 본선 출전이 가능합니다. 이종호, 이정훈씨를 비롯해 미국 조지아공대 박사과정 재학생, 고려대 사이버국방학과 재학생들로 구성된 데프코팀은 지난해 열린 데프콘 CTF에서 우승을 차지했습니다. 한국팀 첫 우승이자, 아시아 참가팀 가운데 최초의 우승이었습니다. 피피피는 데프코에 앞서 2013년~2014년 2년 연속 데프콘 CTF 우승을 차지한 팀입니다. 이정훈씨는 올해 3월 캐나다 밴쿠버 캔섹웨스트(CanSecWest) 보안 컨퍼런스에서 열린 폰투온(Pwn2Own) 해킹대회에서 홀로 애플 사파리·마이크로소프트 익스플로러11·구글 크롬을 뚫어 세계적인 주목을 받기도 했습니다.

4. 해커들은 왜 해킹대회에 나오나요?

해커들은 상금이나 재미 추구뿐 아니라 배우기 위해 해킹대회에 참여한다고 했습니다. 해킹, 즉 공격과 보안 기술은 수시로 바뀐다고 합니다. 아예 존재하지 않는 기술을 만들어낼 필요도 있습니다. 그래서 새로운 기술이 반영된 문제를 풀고, 해커들끼리 실력을 겨루면 얻는 것이 많다는군요. 이 CTF가 진행되던 이틀 내내, 해커들은 앉은 자리에서 별다른 움직임이 없었습니다. 카네기멜론대 재학 시절 해킹동아리 피피피를 만든 박세준씨는 해커가 갖춰야 할 가장 중요한 덕목으로 ‘끈기’를 꼽습니다.

“5~6개월씩 붙잡고 고민하는 것들이 있어요. 이 정도면 알만큼 안다고 하는 순간, 발전이 멈춰요. 정말 잘하는 해커들은 이미 풀었던 문제도 새로운 방식으로 풀 수 없을까 고민합니다.”

대회 마지막날, 해커들은 무대에 올라 이번 대회에 자신들이 출제한 문제를 설명했습니다. 발표 자료를 보았으나 이해가 되지 않습니다. 설명도 들었으나 기억이 나지 않습니다. 키리졸브팀 이종호 연구원에게 도대체 어떤 문제가 나온 거냐고 물었습니다. 암호화 프로그램 취약점을 찾는다거나, 실제로 발견된 브라우저 취약점을 공략하는 등 각 팀의 특성을 반영한 참신한 문제들이 나왔다고 하네요.

제조업뿐 아니라 소프트웨어 산업도 약진하고 있는 중국에서 열린 이번 대회에서 가장 좋은 성적을 거둔 건 한국의 젊은 해커들이었습니다. 최종 우승팀은 한국과 미국 해커 연합팀 키리졸브입니다. 준우승은 고려대 사이버국방학과 재학생들로 구성된 사이코(CyKor)가 차지했고요. 고려대 사이버국방학과는 2011년 사이버보안 전문 장교 육성을 목적으로 국방부가 고려대에 개설한 학과인데요. 학위 과정을 마친 졸업생들은 7년동안 의무적으로 군 생활을 해야 합니다. 규정상, 이름이나 얼굴 사진 노출은 안된다고 해 사진은 찍지 않았습니다.

베이징에서 만난 국내 보안전문가들은 우리 사회가 전반적으로 보안에 대한 관심이 낮고, 소프트웨어 산업이 낙후된 데 견줘 우수한 화이트해커들이 많이 나오고 있다고 평했습니다.

6월1일부터 사흘간 열린 중국 베이징 세계해킹대회에서 한-미 해커팀인 키리졸브가 우승했다. 준우승은 고려대 사이버국방학과 재학생들로 구성된 사이코(CyKor)가 차지했다.

5. 천재 해커와 인공지능이 대결한다고요?

이종호·이정훈씨가 포함된 데프코, 박세준씨의 피피피는 오는 8월 미국 라스베이거스에서 열리는 데프콘 CTF 본선에 나설 채비를 하고 있습니다. 그런데 올해 대회 경쟁팀 중 하나는 컴퓨터라고 하는군요. 무슨 말이냐고요? CTF 본선이 열리기 전, 데프콘에서는 미국 국방부 산하 방위고등연구계획국(DARPA ) 주최로 컴퓨터 간 해킹대회 ‘사이버그랜드챌린지(CGC)’ 가 열립니다. CGC 참여팀들은 자동으로 해킹과 공격 방어를 할 수 있는 프로그램을 짜 컴퓨터에 넣고, 이러한 프로그램이 돌아가는 컴퓨터가 마치 인간 해커처럼 해킹대회를 치르는 것이지요. 이 대회에서 우승한 컴퓨터는 이번 데프콘 CTF 본선에 참가하게 됩니다.

이러한 컴퓨터는 해커에 견줘 어떤 능력을 지녔을까요? 단순 비교하기는 쉽지 않다고 합니다. CGC에 등장한 문제들은 해킹대회 문제 중 어려운 편에 속하는데요. 이러한 문제 풀이에 최적화된 컴퓨터는 해커들보다 문제 해결 능력이 빠를 수 있습니다. 반대로, 해커들이 보기에 매우 간단한 문제임에도 컴퓨터가 풀어내지 못하는 경우가 있다고 합니다.

김승주 고려대 정보보호대학원 교수는 이번 대회가 의미심장하다고 짚었습니다. 미국 정부가 인터넷에 연결되는 기기들이 급속히 늘어나는 환경을 과연 사람이 모두 관리할 수 있겠느냐는 질문을 미국 정부가 던졌다는 것입니다.

“미국은 20년 안에 완전히 자동화된 인공지능 네트워크 보안 체계를 구축하겠다는 목표를 세웠어요. 이러한 체계를 갖추기 위해서는 전산학 기초이론이 탄탄해야 하는데 미국은 이 분야에 30년간 투자를 했습니다. 한국에선 투자가 이루어지지 않았고요.”

김 교수는 올해 8월을 기점으로 보안 트렌드가 ‘자동화’로 넘어갈 것이라고 예측합니다. 다르파는 2004년부터 자율주행 자동차 대회(다르파그랜드챌린지)를 열어 민간의 자율주행 기술 개발을 이끌었습니다. 10여년이 지난 지금, 자율주행은 익숙한 말이 되었지요. 이제 막 해커의 ㅎ정도는 알았다 싶었더니, 이보다 더 이해하기 복잡한 인공지능 해커에 대해 기사를 써야할 날이 머지 않은 듯 합니다.

수많은 해커들을 만난 김에, 요즘 광고에도 나오는 IoT(사물인터넷) 보안 수준은 어떠냐는 질문을 던졌습니다. 그 대답은 무엇이었을까요? 출장기 <하> 편에서 알려드리겠습니다.

오는 8월4일 미국 국방부 산하 방위고등연구계획국(DARPA)은 해마다 라스베이거스에서 열리는 해킹보안 컨퍼런스인 데프콘에서 컴퓨터와 컴퓨터간 해킹대회인 ‘사이버그랜드챌린지(CGC)’ 본선 대회를 연다. CGC 본선 참가팀 등을 소개한 홈페이지 캡처 화면.

베이징/박현정 기자 saram@hani.co.kr