‘불륜의 증거를 찾아라!’ 해커들에게 주어진 건 스마트폰뿐이다. 전 세계적으로 내로라하는 실력을 가진 해커들은 스마트폰만 가지고 누가 불륜을 저질렀는지 찾는다.

이미 증거 인멸을 위해 지웠던 문자 메시지, 사진, 동영상 자료들을 복원해야 한다. 주어진 시간 안에 최대한 증거를 많이 찾아낸 팀이 높은 점수를 가져간다.

지난 5월 2일, 서울 코엑스 그랜드 볼륨에서 이틀간 열린 국제해킹방어대회인 ‘코드게이트 2016’에 참여한 팀들은 20시간 동안 이와 비슷한 형식의 문제들을 풀게 된다. 때로는 해킹을 시도해야 하고 해킹을 방어하기도 한다.

▶1572팀 5100명 참가

전세계 화이트해커 교류

해커들의 올림픽이라고 불리며 20년 이상의 전통을 지닌 미국 데프콘 대회보다도 참가자수에서 월등히 앞선다. 지난해 데프콘에는 1061팀이 참가했지만, 코드게이트에는 작년에 1540개팀, 올해는 1572개팀이 참여했다. 참석자 수만 5100여명에 달한다.

올해 9회째를 맞은 코드게이트는 전 세계 화이트 해커들이 가장 주목하는 행사로 성장했다.

코드게이트 본선장에서는 한국, 미국, 프랑스, 대만, 러시아 등 5개국 10개팀이 치열한 경쟁을 벌였다. 우승의 영예는 예선도 1위로 통과했던 미국 PPP팀에게 돌아갔다. 2011년, 2014년 코드게이트에서도 우승했던 PPP팀은 올해 세 번째 우승을 이뤄냈다.

PPP팀 리더인 브라이언 박(28)은 “다시 정상에 올라 기쁘다”며 “우승의 기쁨도 크지만 전 세계 화이트 해커 동료들과 교류할 수 있었다는 것이 더욱 즐거웠다”고 밝혔다.

PPP팀은 지난해에도 막판까지 1위를 유지하다 중국 웁스(Oops)팀에게 1위 자리를 빼앗겼었다. 중국 웁스팀은 올해는 본선 8위의 성적에 그쳤다.

사실 올해도 PPP팀이 지난해처럼 막판 역전을 당할 뻔했다. 실제로 PPP팀이 1위를 계속 유지했지만, 러시아의 릿치킨팀이 종료 직전 극적인 역전에 성공했던 것이다. 하지만 주최 측이 “미심쩍은 부분이 있다”며 재심사를 시작했다. 결국 “릿치킨이 외부 도움을 받은 정황을 포착했다”며 실격 처리했다.

주최 측은 “재심으로 우승팀이 바뀌기는 이번이 처음”이라며 “릿치킨은 이의를 제기하진 않았지만 시상식에는 불참했다”고 말했다.

홀로 참가했던 해커 천재 조지 호츠는 수적 열세를 극복하지 못하고 7위를 기록했다. 한국 대표였던 팀밥과 카섹은 각각 6위, 9위의 성적을 기록했다. 대만 217팀은 올해 처음 참가했지만 3위라는 놀라운 성적을 이뤄내기도 했다 .

본선은 주최 측이 제시한 문제를 10개팀이 각자 푸는 방식으로 진행됐다. 문제 풀이에는 20시간의 시간이 주어졌다. 쉬는 시간도 따로 없었다. 20시간이라는 긴 시간동안 해커들은 쉬지 않고 두뇌 싸움을 벌였던 것이다.

워낙 뛰어난 해커들이 참여하는 대회인지라 문제 출제도 쉽지 않다. 20여명의 해커들이 넉 달 동안 머리를 맞대고 문제를 출제한다. 출제자들은 창의적이면서도 실력을 제대로 판별할 만한 문제를 출제하는 데 집중했다.

지난해에는 불륜의 증거를 찾는 문제가 출제됐었다. 해커들에게 스마트폰을 제시하고 이 안에서 불륜의 증거를 찾는 것이 문제였다.

문제 출제를 총괄한 심준보 블랙시큐리티 이사는 “해커들의 실력을 판별하기 위한 고난이도 문제를 만드는 작업이 가장 힘들었다”며 “최신 이슈를 반영해서 문제를 출제했다”고 밝혔다.



▶각국 보안전문가 화이트 해커 양성 경쟁

해커(Hacker)는 컴퓨터 내부의 시스템과 파일을 자유자재로 다룰 수 있는 사람들을 칭한다. 해커라는 단어 자체는 부정적인 의미만을 내포하고 있지는 않다.

연구와 보안의 목적으로 해킹을 하는 해커는 ‘화이트 해커’다. 정보 보안을 책임지는 전문가라고 볼 수 있다. 해킹을 통해 프로그램의 취약점을 연구하면서 방어 전략을 구상하기도 한다. 이번 해킹방어대회인 코드게이트는 바로 이런 화이트 해커를 양성하기 위해서 개최됐다.

반대로 악의적으로 시스템에 불법으로 칩입해서 파일을 파괴하거나 훔치는 해커는 ‘블랙 해커’다. 블랙 해커는 크래커(Cracker)라고도 부른다. 블랙 해커들이 기승을 벌이면서 전 세계 각 국가들은 사이버 전쟁에 대응하기 위한 화이트 해커 양성에 앞다퉈 나서고 있다. 미국은 사이버 사령부를 만들어 사이버 전쟁에 대비하고 있고, 올해까지 보안 인력을 4900명까지 증원할 계획이다. 매년 들어가는 예산만 4조 5000억원에 달한다. 이스라엘도 ‘유닛 8200’이라는 사이버 부대를 운영하고 있다. 이처럼 국가 간 사이버 전쟁이 심화되면서 국내에서도 보안 전문가인 화이트 해커 양성을 위한 노력이 이어지고 있다.

대표적인 학과가 ‘고려대 사이버국방학과’다. 고려대가 국방부와 손잡고 사이버보안 전문 엘리트 장교 양성을 하는 학과다. 정부에서는 이와 같은 교육 과정을 확대해서 화이트 해커를 5000명이상 양성해서 사이버 전쟁에 대비하겠다는 계획이다.

특히 북한이 사이버 공격을 지속적으로 감행하고 있는 상황에서 화이트 해커의 육성은 반드시 필요한 상황이다.

참고로 해킹하면 가장 유명한 단체가 어나니머스(Anonymous)라는 국제해킹그룹이다. 익명의 해커들이 모여 자신들의 의사에 반하는 국가나 특정집단을 대상으로 해킹공격을 가하는 집단이다.

최근에는 막말로 물의를 일으키고 있는 도날드 트럼프 미국 공화당 대선주자에 대한 사이버 공격을 선포했고, 북한 김정은 국방위원장에게도 경고의 메시지를 남겼다.

테러집단인 이슬람국가(IS)에 대해 해커 공격을 감행하겠다고 선전포고 하기도 했고, 2011년 아랍 민주화 운동이 일어났을 때에는 아랍 시위대를 지지하며 튀니지 등 독재국가 정부 사이트에 해킹 공격을 했다.

세계 최고의 해커집단으로 알려진 어나니머스는 자신들이 공공의 적으로 규정지은 집단에 대해서 이처럼 무차별 해킹 공격을 감행하고 있는 것이다. 그들의 목적이 어떻든 남의 사이트를 무단으로 침입하는 행위는 분명 범죄행위다. 다만 해킹으로 테러를 방지하는 행위는 결과적으로 사회에 도움이 될 수 있었다고 해석할 수는 있다.

그럼 해킹에는 어떤 방법이 있을까? 가장 많이 사용되는 해킹 수법은 ‘스니핑(Sniffing)’이다. 냄새를 맡다는 의미(Sniff)처럼 네트워크상 트래픽을 몰래 엿듣는 도청행위다. 이런 방식으로 아이디와 패스워드와 같은 정보를 몰래 빼온다.

‘디도스(DDOS)’는 익숙한 단어다. 몇 년 전 한국 주요 정부기관들이 디도스 공격을 받아서 신문에 많이 나오기도 했다. 여러 곳에서 동시에 서비스를 공격해서 네트워크 성능을 저하시키고 시스템을 마비시킨다.

‘스푸핑(Spoofing)’은 ‘골탕 먹이다’라는 뜻으로, 다른 정보로 몰래 바꿔치기를 하는 것이다. 유명한 사이트 메일 주소를 도용해서 스팸 메일을 보내고 해당 메일을 열어보게 하는 행위도 스푸핑에 해당한다.

‘피싱(Phishing)’은 불특정 다수의 개인 정보를 수집해서 악용하는 신종 해킹수법이다. 금융기관을 사칭해서 고객의 계좌정보를 요구하는 메일을 보내는 행위 등이 이에 해당한다.

○ 세계를 놀라게 한 말썽꾼 해커, 지오핫

지난 2일 코드게이트 2016 행사 참석차 한국을 찾은 괴짜 천재 해커 조지 호츠를 만나봤다. 해커들 사이에서 조지 호츠는 우상이다. 애플, 소니 등 철옹성 같은 글로벌 기업들의 보안 시스템을 무력화시켰던 게 바로 조지 호츠다. 그것도 모두 10대 때 이뤄낸 일이다. 조지 호츠는 “해커가 되려면 창의력이 있어야 한다”며 “나를 따라하려고 하기 보다는 스스로 길을 만들어 내야 한다”고 해커 후배들에게 조언했다.

▷ 만17세때 아이폰 잠금장치 무장해제

조지 호츠는 사실 ‘지오핫(Geohot)’이라는 온라인 가명으로 더욱 유명하다. 지난 2007년 지오핫은 애플 아이폰 잠금장치를 출시 한 달여 만에 무장 해제시켰다. 미국 내 특정 통신사에서만 사용 가능했던 아이폰을 해킹해서 다른 통신사에서도 사용 가능하도록 언락(Unlock)폰을 만들어 공개한 것이다. 조지 호츠가 막 고등학교를 졸업하고 17세가 되던 해였다.

애플의 보안을 무력화시켰던 그에게 애플 보안 수준을 물어봤다. 그는 “애플 보안시스템은 최고다”며 “외부에서 접근하기 쉽지 않다”고 너스레를 떨었다.

사실 기업의 보안 시스템에 침입하는 건 범죄행위다. 소니의 플레이스테이션3를 해킹해서 해적판 게임을 만들게 했을 당시 소니로부터 거액의 손배소 소송을 당하기도 했다. 이처럼 사고뭉치지만 해킹 실력이 워낙 뛰어나다 보니 전 세계가 주목을 하는 인재가 된 것이다.

호츠는 괴짜로도 유명하다. 특례로 들어간 로체스터 공대에서도 1학기 만에 자퇴했고, 구글·페이스북 등 글로벌 IT기업에 스카우트 됐지만 1년도 채 버티지 못하고 뛰쳐나왔다. 인터뷰 중에도 돌발적인 질문으로 기자를 곤란하게 하기도 했다. 갑자기 일어나서 자신이 입고 있는 회사 티셔츠를 보여주며 회사 자랑을 하는 한편 “난 별로 잘난 것도 없는데 왜 날 인터뷰 하냐”라고 말하기도 했다. 그러면서도 자신감이 항상 넘쳐 있는 청년이었다. 코드게이트는 보통 4명이 한 팀을 이뤄서 출전하지만 조지 호츠는 혼자 출전했다. 그는 “원래 같이 하기로 한 친구가 있었는데 사정이 있어 못 왔다”며 “나 혼자 4명의 일을 하면 된다. 걱정 안 한다”고 밝혔다. 결국 그는 전체 7위의 성적에 머물긴 했지만 혼자서 여러 팀들을 대항해서 얻은 성적 치곤 훌륭하다.

▷ 무인차 개발 스타트업 설립

최근 조지 호츠는 무인자동차 시스템 개발에 몰두하고 있다. 지난해 말 무인차 기술 스타트업인 콤마닷AI(comma.ai)를 설립했는데 기업가치가 벌서 2300만달러 이상이 되었다. 300만달러가 넘는 투자도 이끌어냈다. 개발 착수 2개월 만에 실제 주행테스트까지 성공했다. 구글이나 애플이 수년간 공을 들이고 있는 시스템을 조지 호츠는 가볍게 이뤄낸 것이다.

그는 “오는 크리스마스에는 우리 제품을 볼 수 있을 것”이라며 “구글 시스템보다 훨씬 저렴한 가격으로 구매할 수 있다는 것이 장점”이라고 밝혔다. 그는 테슬라 CEO인 앨론 머스크와의 악연으로도 유명하다. 머스크가 자신의 기술을 빼앗으려했다고 비난하면서 머스크의 사진을 다트판으로 사용하고 있다.

테슬라에 대한 질문을 하자 반감을 숨기지 않았다. 호츠는 “테슬라가 만드는 자율주행 자동차 시스템은 우리 회사(콤마닷AI) 시스템보다 떨어진다”고 평했으며, “자율주행 자동차 시장은 구글이 선도할 것”이라고 전망했다. 그는 “우리는 자율주행 자동차를 만드는 것이 아니라 시스템을 만드는 것”이라며 “우리 시스템은 어떤 차에서도 활용이 가능하다”고 덧붙였다.

조지 호츠는 테슬라나 GM같은 자동차 회사에서 인수 제안이 오더라도 절대 회사를 팔 생각이 없다고 말했다. 그는 “그들이 우리 시스템을 사간다고 하더라도 큰 조직의 특성상 우리 기술을 제대로 활용하지 못할 것”이라고 밝혔다. 다만 구글과는 지속적으로 협력관계를 유지할 생각이 있다고 밝혔다. 예전 구글에서도 일했던 경력이 있는 호츠는 “기술력도 있고 자유로운 문화를 지닌 구글과의 협력은 기술 진보에 도움이 될 것”이라고 말했다.

[안정훈 매일경제 모바일부 기자]

[본 기사는 매일경제 Luxmen 제69호 (2016년 06월) 기사입니다]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]