[BLACKGUEST의 차이나리포트] 中 최고 해커, 난징에 보안업체 설립

해킹대회서 축적한 기술, 네트워크 정보보호산업에 접목

[보안뉴스=BLACKGUEST] 최근 중국 난징 자금강녕 과학창업 특구에서 중국 최대 규모의 네트워크 정보보호 토너먼트 대회가 진행됐다. 중국 본토, 홍콩, 대만을 포함한 468개 팀이 참가했고 총 2,500명 이상의 해커 중 8강전에 오르게 될 해커가 결정됐다.

결승전은 5월 중에 치러질 예정이다. 해당 대회의 문제출제자가 중국 최고의 해커집단 ‘블루로터스’다. 2013년 이 단체는 중국을 대표해 최고 해킹대회 ‘DEFCON CTF’ 결승에 오른 적이 있다.

화샤동맹에 따르면 올해 해당 단체의 리더인 중국 칭화대학교 네트워크 정보보호 실험실의 제갈건위 부연구원과 난징의 한 기업이 합작해 네트워크 정보보호 회사인 ‘난징 사이닝’이라는 회사를 설립했다.

‘해커’라는 범주 안에는 ‘나쁜 사람’도 있고 ‘좋은 사람’도 있다

‘해커’라는 단어는 항상 네트워크 공격 등 안 좋은 사건들과 연관돼 있다. 사실 ‘해커’라는 단어의 의미는 기술상의 탐구정신이 투철하고 탐구능력이 뛰어난 자를 일컫는 말이기도 하다.

이 ‘해커’라는 범주에는 ‘좋은 사람’이 존재하는데 우리는 이들을 ‘화이트햇 해커’라 부른다. 이들은 ‘협객’과 마찬가지로 네트워크의 안전을 보호해준다. 물론 네트워크 질서를 어지럽히고 이익을 챙기는 ‘나쁜 사람’도 존재한다. 우리는 그들을 ‘블랙 햇 해커’라 부른다.

제갈건위는 “네트워크 안전을 지키기 위해 더 많은 ‘화이트햇 해커’가 필요하다”라고 말했다. 블루로터스는 2010년 12월 제갈건위와 중국칭화대학교 네트워크 정보보호 연구실의 단해신 연구원에 의해 결성된 바있다.

그들은 대회가 기술향상의 가장 좋은 방법이라 판단해 ‘대회 참전’을 블루로터스의 기본 이념으로 삼았다. 처음 중국칭화대학교 네트워크 정보보호연구실의 교수와 학생들로 시작해 현재는 전국 거대대학과 정보보호 기업의 고수들도 참여하고 있다. 단체에 10명 이상의 멤버들은 모두 많게는 85년생 적게는 93년생까지의 청년들로 이루어져 있다.

중국 ‘블루로터스’ 라스베가스로 날아가다

첫 대회는 경험 부족이었다. 2010년 미국 고교 해커대회에 참가해 73개 팀 중 39등에 그쳤다. 그 후로 수많은 국제 대회에 참가했다. 그들이 가장 참가하고 싶은 대회는 8월 중 ‘해커성지’ 미국 라스베가스에서 열리는 전 세계 최고 해킹대회 ‘DEFCON CTF’였다. 2013년 ‘블루로터스’는 DEFCON CTF에 두 번째로 참가해 결승에 오르는 쾌거를 이루었다.

제갈건위는 “이번 대회는 멤버들이 가까이에서 미국의 기술수준을 느끼게 해준 좋은 경험이었다. 대회에서는 가장 새로운 플랫폼인 스마트폰에 사용된 CPU칩에 대한 공방이 이뤄졌는데, 이것은 고작 신용카드 크기 밖에 되지 않았다. 20개의 참가 팀들이 이 ‘판’을 접한 후에야 경기진행이 가능했다”면서 “대회는 52시간동안 쉬지 않고 진행되며 이틀 반의 경기 중에 모두의 휴식시간은 총 6시간이 넘지 않았다. 최종적으로 11등까지 선별해 결승을 진행하는데 우리가 처음으로 결승에 참가하게 되었다”고 말했다.

사이닝, 네트워크 보안 수호자 되다

대회가 끝난 후, 그룹 멤버 중 한 본과생이 즉시 대기업에 채용됐고 제갈건위 부연구원은 난징의 한 회사와 합작해 ‘난징사이닝’이라는 회사를 설립했다. 미래 해커들의 집결지, 사이닝의 구조는 매우 독특하다. 그들이 하는 일은 보편적이지 않다. 그동안 많은 대회에서 축적한 기술들을 네트워크 정보보호 산업에 접목시켜 기업의 보안 취약점 탐색에 도움을 주고 네트워크 공격 대응을 하는 네트워크 보안 수호자가 되는 것이다.

전 세계에서 네티즌의 수가 가장 많은 국가, 중국의 네트워크 보안 수준은 그리 높지 못하다. 2013년 8월 25일, 본국의 최고 도메인 ‘.COM’이 국외 해커의 공격을 받았다. 중국은 매년 네트워크 보안 문제로 수백 억 달러의 손실을 입는다. 이 가혹한 현실 속에서 네트워크 보안 인재부족 문제는 갈수록 부각되고 있다.

제갈건위는 “네트워크 보안 분야 종사자는 자신이 하는 작업이 매우 고민이라고 말한다. 심지어는 이 분야의 좋은 점은 외부에 알려져 있지도 않다. 또 한편으로는 이 분야가 중시되지 않는다는 것이다. ‘네트워크 보안’ 자체가 창조가치가 없기 때문에 오직 문제가 발생한 기업에서만 중요성을 느낀다. 우리는 이 대회를 통해 학생들의 흥미를 유발하고 이 대회가 중국의 네트워크 보안인재 양성을 위한 길이 되길 바란다”고 전했다.

[정리_BLACKGUEST]

[출처: 화샤동맹(http://news.77169.com/Index.html)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)