“먼저 문제부터 분석해봐.”
8일 오전 11시30분 서울 코엑스 그랜드볼륨 앞 로비.
‘탁탁탁…’ 파란색 티셔츠를 입은 젊은이들의 컴퓨터 자판을 두드리는 손놀림이 빨라졌다. KAIST 해커 동아리 ‘GoN’의 김청담 팀장은 8명의 팀원에게 10개 가량의 문제를 배분하느라 목소리가 커졌다.
해커들의 손이 자판을 두드릴 때마다 컴퓨터 화면엔 알 수 없는 컴퓨터 언어들이 나타났다 사라졌다를 반복했다. 행정안전부가 이날 2009 국제정보보호콘퍼런스 부대 행사로 마련한 ‘국제해킹대회’는 그야말로 소리없는 전쟁이었다.
300대1의 경쟁률을 뚫고 본선에 오른 8개팀은 다음날 11시 30분까지 24시간 컴퓨터 앞에서 전투를 펼친다. 경기방식은 일종의 ‘깃발뺏기’ 게임이랑 비슷하다. 각팀의 서버에 숨겨진 취약한 프로그램 10여개를 빨리 찾아 자신의 서버에는 보안패치를 단행하며 방어한다. 반면에 공격은 상대의 취약한 프로그램을 해킹하는 식이다.
예선 1위로 통과한 GoN의 김 팀장은 “경기가 시작되면 24시간 경기장을 떠나지 않고, 햄버거 등으로 끼니를 떼우며 잠도 자지 않고 싸운다”고 말했다.
국내에서 종종 해커 동호회들이 모여 이 같은 대회를 치르곤 하지만 정부 차원에서 대규모 행사를 마련한 것은 이번이 처음이다.
장영환 행안부 정보보호정책과장은 “DDoS 대란과 같은 해킹을 일으키는 것도 해커지만 이를 분석해 대응 백신을 만드는 것도 해커들”이라며 “건전한 ‘윤리적 해커’가 많아야 향후 한국 보안산업의 경쟁률도 높아질 수 있는만큼 해커 저변 확대를 위해 이번 대회를 기획했다”고 말했다. 일반적으로 ‘윤리적 해커’들은 시스템을 모의 해킹해 취약점을 알려 주거나 사이버공격 시 악성코드를 분석해 대응하도록 한다. 악의적으로 시스템을 해킹하는 나쁜 해커들은 ‘크래커’라고 부른다.
한국 해커들의 실력은 이미 세계적이다.
지난 달 미국에서 열린 세계 최고 권위의 해킹대회 ‘데프콘 CTF 2009’ 본선에 오른 10개팀 가운데 5개팀이 한국팀이 차지했을 정도다. 전세계 300개팀이 예선을 치른 이번 대회도 본선 8개팀 가운데 7개팀이 한국팀으로 채워졌다. 보안이 취약해 ‘해커의 놀이터’라는 오명을 안고 있지만, 그만큼 실력이 뛰어난 젊은 해커들도 많다. 문제는 이처럼 유능한 해커들이 산업계로 그대로 흡입되지 않는다는 것이다.
올해 데프콘 CTF 본선 3위를 차지한 포스텍의 ‘PLUS’팀을 이끄는 장준호씨는 “미국·유럽 등 해외의 경우 해커하면 컴퓨터를 전문가로 대접해 높은 연봉을 받고 보안컨설팅업체 등에 종종 취업하지만, 한국은 정반대”라며 “대부분 학창시절 동아리 활동이나 취미생활에 그치거나 굳이 보안업체에 진출하려면 해외 취직을 꿈꾼다”고 말했다.
이번 대회 본선에 오른 대학생 40여명 가운데 보안업계 취직하겠다고 기자에게 답한 사람도 고작 3명에 불과했다. 그것도 기회가 되면 해외로 가겠다고 답했다. 2000년대 초반 정부가 ‘해커 10만 양병설’을 외치며 대학 동아리를 지원할 때는 잠깐 2000명까지 달한 해커 수도 이젠 500명 안팎에 불과한 것으로 추산된다.
안철수연구소에 근무하며 이번 대회에 참가한 조주봉씨는 “우리나라에서는 해커하면 사회적으로 나쁜 사람이라는 이미지가 박혀있다. 또 이들을 전문인력으로 받아 들이려는 업체들도 거의 없어 고급 해커가 결국 진로를 바꾸는 안타까운 일이 벌어진다. 앞으로 더욱 많아질 보안 사고에 제대로 대처하려면 윤리적 해커를 양성할 정부나 보안전문업체의 대책이 시급하다”고 강조했다.
장지영기자 jyajang@etnews.co.kr