지난 3월 9일 새신랑이 된 닉네임 ‘Passket’ 해커 심준보 연구원을 <취중진담> 두번째 주자로 만났다. 지난주 차세대보안리더양성프로그램 Best of the Best(BoB) 멘토 회의 때문에 서울에 올라온 그를 강남역 삼성전자 서초사옥 근처에서 밤 9시가 넘어 만났다. 늦게까지 하는 술집을 찾는데 20여분이 걸렸다. 간신히 찾은 곳은 이름모를 낙지전문점. 안주는 낙지해물찜과 산낙지 한마리를 풍덩 넣고 끓인 연포탕.
 
해커 심준보, 그는 우리나라에서 한 칼하는 해커를 꼽으라면 몇 손가락 안에 낄 수 있는 인물이다. 그는 지금도 번듯한 직장이나 학력을 마다한 채 야생 해커의 길을 꿋꿋하게 걸어가고 있다. 나이 32살에 결혼도 했다. 이쯤 되면 좋은 직장과 사회적 지위를 찾아 안정적인 곳을 기웃거릴만한데 그는 여전히 충남대 컴퓨터공학과를 13년째 재학중이며 블랙펄시큐리티라는 회사를 설립한지 2년이 됐지만 실제는 프리랜서 해커, 연구하는 해커로 우리에게 남아있다.   
(아래 취중진담 내용은 녹취후 편집한 것이다. 술자리지만 오프더레코드를 요청한 것에 대해서는 기사에 언급하지 않았다. 그리고 술이 좀 취해서 말한 내용중 걸러낼 것들은 걸러낸 내용이다.)
 
-32살, 아직 대학생이자 프리랜서 해커로 활동하고 있는데 어때요?
13년간 대학생이죠. 한 학기에 몇 학점씩 꾸준히 듣고 있어요. 사실 대학 졸업장에는 크게 관심 없어요. 요즘 스팩 쌓기에 모두 열중하는데 그 사람의 실력을 무엇으로 판단할 것이냐는 생각해 볼 문젠거 같아요. 해킹대회도 스팩 쌓기의 일환이 된 것 같고 현재 BoB 멘토로 활동하고 있지만 BoB에서도 학생들에게 취업이야기 하는데…해커로서 중요한 것은 스팩이 아닌 것 같아요. 제가 해커 2세대 정도라고 생각하는데 우리나라 1세대, 2세대 해커들이 취업하려고 해킹 공부한 건 아니거든요. 그냥 이 분야가 좋아서 한 거지. 그게 요즘은 이상하게 변해가는 것 같아 씁쓸해요.
 
-프리랜서 생활은 언제부터 한 거에요?
대학 2학년 때부터 했어요. 해킹공부는 어렸을 때부터 했지만 대학 와서는 개발자가 되려고 했어요. 2000년대 초반 닷컴 회사들이 많이 생겨나면서 개발능력이 있는 학생들을 많이 고용했어요. 저도 병역특례를 바라보고 모 회사에 6개월간 웹메일 개발 프로젝트에 참여했죠. 근데 그게 꼬여서 현역으로 군대를 가게 됐죠.
 
-현역으로 갔다 온 거에요?
네 안 어울리게 수방사 헌병 출신이에요. 원래 302보충대 입소해서 소총수로 자대배치 받았다가 수방사에서 자원 뽑길래 면접봐서 이동했죠. 헌병단 유류보급대로 보직을 받았는데 옆 사무실에 헌병 수사과가 있었어요. 탈영병들 조사하는 곳인데 탈영병 PC를 분석해서 탈영 원인 등을 밝히는 업무였는데 거기 안면있는 선임이 내가 해킹하다 온 것 알고 이런 저런 일 도와주다가 당시 수사관 눈에 띄어 정보헌병으로 보직이 또 바뀌었어요. 군에서 보직이 나만큼 많이 바뀐 사람도 없을거에요. 결국 군에서도 컴퓨터 관련 업무하다 제대했네요. 거기서도 해킹대회가 열렸는데 1등을 했죠. 육해공 전군 사이버 대항전이었는데 우승했어요. 군 해킹대회 준비도 해 봤구요.
 
-당시 해킹대회는 어땠어요?
군 해킹대회 문제도 KISA에서 출제했어요. 당시 KISA 해킹방어대회가 제일 큰 대회였죠. 주로 서버의 취약성을 찾아내 어떤 취약점이 있고 이를 보안하려면 어떻게 해야 하는지 작성해서 제출하는 식이었죠. 해킹대회라기 보다는 보안에 치중된 대회였어요. 민간에서는 와우해커와 해커스쿨 대회가 제일 큰 대회였죠. 군 해킹대회 보다는 공격에 치중한 대회라고 보면 되요. 군대 가기 전에 해킹대회 입상 많이 했었죠.
요즘 해킹대회도 진짜 CTF(Capture the Flag)가 아니에요. 대부분 문제 풀어서 점수 획득하는 식이죠. 예전에 와우해커가 진행한 ISEC 1회 대회가 CTF로 진행됐었죠. 각 팀마다 자기 서버가 있고 서버에 취약점이 있는지 찾아서 막고 다른 팀 서버를 공격하는 거죠. 공격과 방어가 계속 이루어지는 것이 CTF에요. 한번 진짜 해킹대회를 해 보고 싶은 마음도 있어요.
 
-어떤 해킹대회요?
모든 보안장비가 구축된 실제 기업망 처럼 구축해 놓고 관제요원도 두고. 그런 상황에서 중요 정보를 숨겨두고 이를 가져가는 팀이 승리하는 해킹대회요. 모든 해킹기술과 APT 기술 등을 동원해 정보를 빼내오면 승리하는 거죠. 가능할지는 모르겠어요.
 
-대학에서는 개발자를 꿈꾸다 해커로 전향한 이유가 뭐에요?
우선 개발자로 성공하려면 꼼꼼해야 해요. 개발하면서도 저는 남의 프로그램 버그를 잘 찾았어요. 그게 개발자의 능력인 줄 알았는데 계속 하다 보니 공격자가 제 적성이란 걸 알았어요. 그래서 선배 제안으로 충남대 아르고스팀도 만들었죠. 그때부터 더 열심히 했죠. 저의 정신은 여전히 아르고스에 있어요. 공격자의 특성중 중요한 것이 순간적인 창의성이에요. 해커는 해킹 아이디어를 만드는데 한계를 짖지 않아요. 하지만 컴공과 교수님들은 프로그램을 가르칠 때 한계를 정해놓고 가르쳐요. 아이디어에 한계를 지우면 안된다고 생각해요. 무한한 아이디어를 내게 하고 윤리적인 부분은 다음 단계에서 결정하면 되요. 그게 해커와 개발자의 차이점인 것 같아요.
 
-요즘 연구하는 주제는 무엇인가요?
2008년 군대 제대하고 나오니 세상이 달라졌어요. 스마트폰에 테블릿PC가 세상을 주도하고 있는 거에요. 내가 무엇을 제일 잘할까 생각했죠. 역시 PC플랫폼이 저한테는 제일 자신있는 부분이었어요. 다른 장비는 솔직히 한참 연구하고 있는 해커들을 따라가기 힘들다는 생각이 들었어요. 그래서 잘하는 분야에 집중하기로 하고 지금까지도 PC플랫폼만 파고 있어요. 스마트환경이 아무리 발전해도 PC환경은 기업에서 중요한 부분을 계속 차지 할거라 생각해요. 플랫폼 자체가 완전히 바뀔것 같지는 않거든요. 그래서 PC플랫폼 연구에 집중하고 있죠. 그리고 아직 PC플랫폼에서 전쟁은 끝나지 않았어요. 이 부분에서 끝을 보고 싶어요. PC플랫폼에서 모든 공격 방법과 방어 방법을 밝혀 보고 싶은 거죠. 그런 다음 다른 분야를 생각할 꺼에요.   
 
-실제 기업들 모의해킹 해 보면 어때요?
큰 기업 40여 곳 이상을 해 봤어요. 대부분이 자신들이 정해준 방식으로만 들어오라고 해요. 들어와서 예를들어 총상을 입히라고 요구해요. 단 총을 들고 오면 안된다고 하죠. 말도 안되는 조건이죠. 총도 안주고 총상을 입히라고 해요. 그리고 자신들이 요구하는 길로만 들어오라고 하고 기다리고 있죠. 그래도 결국 뚫고 들어가 총상을 입히고 나와요. 어찌보면 방어자들이 불쌍해요. 공격자를 이길 수가 없어요. 어떤 조직이든 시간만 주면 무조건 공격할 수 있다고 자신해요. 방어자는 막으려고 하기 보다는 공격자들이 침투하는데 시간이 많이 걸리도록 하는데 주력 하는 것이 좋을 것 같아요. 정말 공격자들 마음먹고 시간 투자해서 공격하면 막을 수 없어요. 공격하는 시간이 많이 걸리도록 노력하는게 최선인것 같아요.
 
-보안 담당자들 정말 힘들겠어요?
네 맞아요. 이길 수 없는 게임을 하고 있는 거죠. 그리고 해킹사고 터지면 싹 갈아치워요. 모의해킹에 당해도 그런 경우가 있어요. 사고를 당한 담당자를 자르는 것은 정말 바보 같은 짓이죠. 경험이 없어지는 거에요. 사고를 당하고 시행착오를 겪은 담당자를 더욱 키워야 해요. 잘못된 부분에 질책은 있어야 하겠지만 무조건 자르는 것이 아니라 잘못된 부분을 정확하게 알게 하고 다시는 그런 일이 반복되지 않도록 전폭적인 지원을 해주는 것이 맞는 거죠. 이베이, 구글, 페이스북, 트위터 등도 보안사고 나지만 절대 담당자 자르지 않아요. 사고 경험은 담당자가 가장 잘 알고 있죠. 보안담당자의 경험을 소중하게 생각해야 해요. 최근에 모 기업 의뢰가 있어 가 봤더니 2년 전 근무하던 분들은 하나도 없고 모두 다른 분들로 교체된 걸 봤어요. 정말 문제에요. 사고당하면 담당자 갈아 치우는게 아니라 사고당한 실무자의 경험을 최대한 살리는 것이 중요해요.
 
-BoB 멘토도 하고 있는데 후배들과 어떤 이야기 많이 해요?
예전에 비해 해커들 인식이나 대우가 많이 좋아졌어요. 하지만 실력을 따지면 경찰 조사받고 검찰에 불려 다닐 때 어려운 시절의 해커들과 비교하면 많이 부족하다고 생각해요. 옛날 이야기도 많이 해주고 무엇보다 멘티와 친해져야 해요. 그래야 자신이 정말 하고 싶은 분야가 무엇인지 이야기하고 거기에 맞는 이야기를 해 줄 수 있거든요. 제가 가르치는 분야가 취약점 분석과 공격 기법이라 인기가 많아요. 어린 친구들이 매력적으로 생각할 수 있는 부분이죠. 하지만 베이스가 없으면 창의적인 공격은 할 수 없어요. 이 부분을 많이 강조하죠. 기술은 배우면 되지만 창의성은 누가 알려준다고 해서 될 문제가 아니죠. 그리고 좋은 대학 나와서 좋은 직장 얻으려는 마음으로 해킹공부 할꺼면 하지 말라고 해요. 해커는 그런 스팩 없어도 충분히 성공할 수 있어요.
 
-롤 모델이 될 만한 해커들은 누구인가요?
(이)승진이는 정말 리버싱을 잘해요. 이게 어떻게 만들어졌는지 분석하고 거기서 오류를 찾아내는 능력이 정말 대단해요. 그 과정이 너무 독창적이고 빠르죠. 이 분야에 언론 노출을 꺼리는 몇몇 해커가 더 있죠.
그리고 유동훈 소장(아이넷캅), (홍)민표형(에스이웍스), 류승우(씨엔시큐리티) 등등 몇 명 있죠. 이 해커들이 왜 지금까지 인정을 받고 있는지 알아야 해요. 민표형은 예전에 덤빌 수 없는 상대였죠. 이 해커들이 지금도 인정받는 이유는 바로 자기가 만든 기술이 있기 때문이에요. 해커들에겐 아주 중요한 거죠. 탁월하고 독창적인 익스플로잇 기법을 누가 만들어냈느냐죠. 다른 사람이 만든 기법으로 공격하는 것과 자신이 그 기법을 만들어낸 것과는 차원이 다르죠. 그런 차원에서 여전히 인정받고 있는 해커들이 여러명 있어요.(여러명 거론됐지만 언론 공개를 꺼리는 분들이라 생략) 또 제로데이 취약점을 찾는 능력도 탁월하죠. 그리고 모두들 기술적 외로움을 갖고 있을꺼에요. 고수들은 기술적 고민을 이야기할 만한 상대를 찾기 힘들기 때문에 이런 문제를 저는 기술적 외로움이라고 표현하고 싶네요.
 
-해커로서 가장 많은 영향을 준 사람이 누구에요?
저희 아버지에요. 초등학교 1학년 때 갑자기 “앞으로 사는데 컴퓨터를 잘 배워야 한다”시면서 게임하라고 PC도 사주셨죠. 그러시면서 “게임 프로그램을 바꿔보고 싶은 생각 안드니”라고 물으시면서 계속 프로그램에 눈을 뜰 수 있도록 자극을 주셨어요. 당시 컴퓨터학원 원장님께 부탁하셔서 C언어를 배울 수 있도록 해주셨죠. 프로그램에 재미를 붙이게 해 주신거죠. 그런 영향인지 학창시절, 컴퓨터와 수학, 물리 등에 관심이 많았어요. 아마 해커들 중에 그런 분들 많을 꺼에요.
 
-왜 여전히 프리랜서 해커로 남아 있는지 다시 묻고 싶은데요?
저도 왜 그런지 모르겠어요. 굳이 말하자면, 재미있게 살고 싶어서 일꺼에요. 9시에 출근해서 하기 싫은 일 하면서 매일매일 살기는 싫거든요. 내가 하고 싶은 일을 하면서 즐겁게 살고 싶은 거죠. 사실 연봉으로 치면 지금이 직장생활보다 훨씬 많을꺼 같아요. 나이가 더 들면 모르겠지만. 아무튼 아직까지는 직장생활 생각은 없어요. 그리고 후배들에게 석박사 학위 없어도, 좋은 직장에 들어가지 않아도 해커로서 잘 살 수 있는 길을 보여주고 싶어요.
 
이렇게 둘이서 술잔을 기울이며 밤 12시가 넘어갔다. 그의 이야기 중 오프더레코드 할 내용들이 많아서 그 이야기들은 편집했다. 둘이서 소주 5병은 마신 것 같다. 야생 해커 심준보는 안주를 거의 먹지 않는다. 기자도 30대 초반에는 그랬는데…이제는 몸 생각해야 한다며 안주는 내가 다 먹은 것 같다. 최근 화이트해커 5000명 양성 이야기가 나온다. 해커를 양성하기 이전에 그들 자신이 왜 해커가 되려는지부터 생각할 수 있도록 해야 할 것 같다. 단순히 안정적인 직장만을 위해 해커가 되겠다는 것은 뭔가 해커스럽지 못하다. 그리고 양성도 좋지만 지금 있는 해커들이라도 열심히 활동할 수 있도록 환경을 만드는 것부터 시작하는게 어떨까 생각해 본다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com