“어나니머스 공격이요? 물론 가능하지만 그렇게 하고 싶진 않습니다. 우리는 보안에 악영향을 끼치는 활동은 무조건 반대합니다.”
미국 PPP팀이 2∼3일 양일간 서울 여의도 콘래드호텔에서 열린 코스콤 `시큐인사이드(SecuInside) 2013`에서 우승, 대회가 생긴 2011년부터 3연속 정상에 올랐다. 시큐인사이드는 세계 화이트해커들이 모여 진검승부를 펼치는 대회다.
PPP팀은 박세준(Brian Pak), 릭키 주(Ricky Zhou), 앤드류 웨지(Andrew Wesie), 라이언 굴덴(Ryan Goulden)으로 이뤄졌다. 모두 미국 카네기멜론대학교 재학생 및 졸업생이다. 학교 해킹·보안 동아리인 PPP에서 활동하다 4년 전 동명의 팀을 구성한 것이 시초다. 그간 수많은 대회에서 우승했다.
이들은 시큐인사이드가 24시간 동안 진행돼 잠을 한숨도 못자 피곤한 기색이 역력했지만 3연패라는 대기록을 세워 기쁘다고 말했다.
“시큐인사이드는 3년만에 세계 해커들 사이에서 가장 출전하고 싶은 대회가 됐습니다. 글로벌에서 라스베이거스 `데프콘`과 견줄만큼 규모가 큰데다 팀에게 지원도 많이 해줍니다. 1회 때는 입소문이 많이 퍼지지 않았지만 올해는 다르더군요.”(리키 주)
실제로 올해 시큐인사이드는 지난 대회보다 약 3배 이상 증가한 77개국 1083개 팀이 참가하고 해외 팀의 비율이 56%로 높아지는 등 국제 대회로 발돋움했다.
올해 대회는 기존 해킹대회와 달리 하나의 시나리오를 토대로 각각의 문제가 연결되는 방식을 시도해 문제해결을 위한 종합적 사고와 해킹 방어기술 평가에 초점을 맞췄다. 본선에서는 점수가 배당되어 있는 15문제가 출제됐다. 트랜직, 리버스엔지니어링(역공학) 등 서버에서 돌아가고 있는 서비스를 공격해서 숨겨진 파일을 탈취하면 득점하는 형식이다.
“24시간, 혹은 48시간 해킹 대회가 있지만 보통 1∼2시간 정도는 휴식을 해야 머리가 돌아갑니다. 하지만 이번 대회는 그럴 겨를도 없이 압박을 받았습니다. 해커의 수준이 상당히 높아지고 있다는 생각이 듭니다.”(앤드류 웨지)
세계적으로 화두가 되고 있는 어나니머스 활동에 대한 의견도 밝혔다. 이들은 “해킹 공격 방법론도 참신하지 않고 시시한데다 유치한 애들 장난 같다”며 “이들이 행하는 해킹인 `스크립트 키드`는 악성코드에 감염될 우려가 많아 보안에 악영향을 끼친다”고 비판했다. 그러면서 “온라인 핵티비즘이 해커 개인의 영향력을 과시하는 형태로 변질되면 안될 것”이라고 덧붙였다.
PPP팀의 강점은 확실하다. 시스템 해킹(리키), 웹 암호화(앤드류), 리버스 엔지니어링(박세준) 등 팀원 별로 주특기가 있다. 게다가 4년 간 백 여개의 대회에 출전하면서 눈빛만 봐도 무슨 생각을 하는지 알 수 있을 정도로 협업이 잘된다. 하지만 올해는 달랐다. 대회 초반, 다른 팀에서 문제를 빠르게 풀어 압박을 받았던 것. 하지만 문제가 2∼3개씩 한번에 열릴 때마다 PPP팀 특유의 협업 스킬을 활용해 단숨에 풀어버리는 저력을 발휘했다.
이번 대회의 상금은 총 4500만원으로 우승팀에게는 3000만원의 연구비가 주어진다. PPP팀은 “개개인이 아닌 팀이 우승한 것”이라고 강조하며 “상금은 다음에 참가할 라스베이거스 데프콘 대회 경비 등에 쓸 계획”이라고 말했다.
PPP팀이 처음 대회에 출전했던 지난 2011년부터 3년이라는 시간 동안 많은 것이 변했다. 박세준과 앤드류 웨지는 학교를 졸업하고 1년 전 워싱턴DC를 기반으로 모바일 보안 솔루션 스타트업 `카프리카시큐리티`를 창업했다. 최근 미국 국방부 산하 국방고등연구계획국(Darpa)와 손잡고 정부 R&D 용역을 받을 정도로 인정받고 있다. 리키 주는 구글 소프트웨어 엔지니어로 일하고 있으며 라이언은 학생이지만 애플에서 인턴으로 활동 중이다.
허정윤기자 jyhur@etnews.com