세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
[블랙햇&데프콘 참관기] 국내 보안현실과의 비교, 아쉬움과 희망
입력날짜 : 2016-08-23 13:50
트위터 보내기  페이스북 보내기  네이버 밴드 보내기  싸이월드 공감 보내기  카카오 스토리 보내기  구글 보내기   
블랙햇과 데프콘을 참관하면서 들었던 단상, 국내 보안현실과 비교해보니...
‘투자=보안 강화’라는 커다란 인식의 변화가 필요한 시기임을 새삼 느껴


[보안뉴스= 류동주 객원기자] 8월 초 한국이 동남아를 연상케 하는 날씨가 이어진 상태에서 필자는 미국 사막 한가운데에 있는 라스베이거스를 방문했다. 라스베이거스는 기본적으로 40도를 육박하는 건조기후를 보이고 있어 한국의 습한 기운은 없고 숨이 턱턱 막히는, 말 그대로 사막이다. 필자가 매년 블랙햇과 데프콘을 찾아가면서 느끼는 점은 매년마다 시스템은 유사하지만 해당 콘텐츠와 진행 방식이 조금씩 다르다는 것이다.

그렇기 때문에 필자는 블랙햇과 데프콘을 찾을 때 새로운 보안동향과 업체들이 선보이는 신규 패턴의 UI, 그리고 공격징후의 표현 방식 등을 유심히 보는 습관이 생겼다. 보안이 일반인들에게는 특정 영역처럼 인식되고 있어 표현방식이 좀 더 눈높이 아래로 내려와야 한다는 것이 필자의 고정관념이 되어 버린 상태이기 때문에 더더욱 관심을 갖고 보게 된다.

▲ 블랙햇 2016 비즈니스홀 전경


올해 역시 보안업체들의 탐지 및 제어에 대한 사용자 관점의 알고리즘과 이를 화면에 직관적으로 표현하고자 하는 방법들이 남다른 호기심을 자극하는 업체들이 많았다. 올해 비즈니스 홀에서는 미국 21개주를 포함해 영국, 일본 등 8개국, 256개 기업이 참여했다. 이름만 대면 다 아는 글로벌 보안기업 뿐만 아니라 비록 신생이지만 눈에 뜨는 기업들, 그리고 글로벌이라고 표현하기는 좀 애매하지만 기술력을 갖춘 알찬 기업들도 다수 참가했다. 이들 업체들은 부스를 따로 배정받아 자사의 독창적인 기술이 접목된 제품과 솔루션을 설명했는데, 부스가 올해는 작년보다 훨씬 많아졌다.

참관객들 사이에서 비즈니스 홀에서의 가장 큰 반사이득은 각종 사은품들과 기념품들인데, 넘쳐나는 티셔츠와 각종 희한한 선물들, 심지어 시가를 직접 만들어 주는 부스 등 다양한 이벤트들이 다채롭게 진행됐다.

▲ 블랙햇 2016 비즈니스홀 내 벤처 부스


올해 블랙햇은 지난해와는 또 다른 운영형태의 묘미를 보여줬다. 예를 든다면, 세션장에서 일부는 출입통제를 하고 일부는 하지 않는 상황들, 지난해에는 세션장 출입에 대해서 엄격히 출입통제를 했다. 또 하나는 라운드 세션이라고 해서 원탁으로 둘러싸인 토론 방식의 세션이 없어졌다는 점이다. 재작년에 열렸던 헬스케어 세션의 경우에는 정말 다양한 국적의 사람들이 참여해 각국의 의료보안 정책과 현황에 대한 난상토론이 주가 되었지만, 올해는 그런 자리보다는 강연 일변도로 바뀐 것이 좀 달라진 점이라고 해야 할까?

올해 블랙햇 강연들은 항상 그렇듯이 신규 보안위협이나 해당 위협의 대응방안, 그리고 해킹 기술을 선보이며 위험성을 알리는데 주력했다. 전체 세션은 총 119개 세션에 187명의 연구원들이 발표를 진행했고, 국내 카이스트에서도 SDN에 대한 발표가 있었다.

또한, 행사 스폰서들에게도 강연 기회와 자사 홍보 기회를 주는데 18개 기업에서 제공하는 다양한 서비스(?)를 누릴 수 있었다. 나이트클럽 입장권, 식사, 기타 마케팅 요소가 가미된 형식의 행사 참여를 유도하는데, 이러한 행는 라스베이거스에서의 또 다른 네트워크 형성의 기회가 된다.

또 한 가지, 아스널이라고 표현하는 세션들 역시 46개나 진행됐다. 필자는 항상 블랙햇을 참관하고, 이러한 후기를 쓰면서 일관되게 주장하는 것이 있다. 바로 제목만 보고 세션을 선택하지 말라는 것. 블랙햇에서는 하루에 80~90개의 세션이 이루어지는데 시간은 한정되어 있다. 모든 강연을 다 듣고자 한다면 아마 손오공처럼 분신술을 써야 한다. 따라서 세션을 선택할 때에는 내가 듣고자 하는 목적과 회사가 나아가야 할 방향 혹은 새로운 위협 등 선택을 명확히 할 필요가 있다.

간혹 세션이 마음에 안 든다고 투덜거리는 한국 엔지니어를 만나면 씁쓸하다. 그러게 내가 말했지 않았나? 라고 말하기엔 의욕만 넘치고 알맹이는 없는 세션들도 많다. 필자가 보기엔 해가 가면 갈수록 세션의 깊이가 얕은 것 같아 아쉽다. 즉, 세미나 비용이 너무 과하다는 생각이 들 정도로 형편없는 경우도 있다.

이번 세션에서 특이한 것은 PLC에서 다루는 웜이나 자동차 접근제어 네트워크에 접속하는 행위, 그리고 이젠 평이한 기술처럼 말하는 IoT 보안위협 등 따끈따끈한 재료들이 신선함을 주는 것 같았지만, 필자가 봤을 때 커다란 반향을 일으키기에는 다소 약하지 않았나 싶을 정도였다.

▲ 블랙햇 2016 데프콘 뱃지 교환을 위한 줄서기


블랙햇 마지막날에는 데프콘 입장 뱃지를 교환할 수 있는데, 그걸 받기 위한 줄이 장난이 아니다. 매년마다 뱃지가 다른데, 올해는 참가자 수가 넘쳐 뱃지를 공급하지 못할 정도였다고 들었다. 약 3만명이라던가. 아무튼 점점 블랙햇보다는 데프콘 참여자가 많아진다고 한다.

필자는 휴먼이라고 하는 코팅 뱃지를 받았다. 늘 LED 일렉트로닉 뱃지를 받다가 올해 최초로 휴먼이라고 씌인 플라스틱 코팅 뱃지를 받았다. 유일한 수집물을 이렇게 망치다니 그 분노는 필자만 있었던 게 아닌 듯 했다. 다른 외국인들 역시 등록대에 엄청난 항의를 했음에도 눈 하나 깜짝 안하는 데프콘 운영진을 보면 참 태연하구나하는 생각이 들었다.

사전등록을 받으면 해당 숫자가 보일텐데 딱 자기들이 원하는 숫자만큼 뱃지를 만든다는 것이 상식적으로 납득이 되지 않는 상황임에도 대다수의 참여자들은 ‘그럴수도 있지(?)’라며 이상하리만큼 무덤덤한 반응들을 보인다. 한국 같으면 난리가 났을텐데...

올해 데프콘 역시 리오가 아닌 밸리스 호텔에서 진행됐다. 재작년까지는 리오에서 진행됐고 지난해부터 밸리스 호텔에서 열렸는데 필자는 여기를 왜 선택했는지 알 수 없다. 호텔 자체가 낡고 세션장들이 사방에 흩어져 있어 평소보다 걷는 게 두배 가까이 된다. 그래서 걷다가 지쳐서 정작 세션장에는 시간이 늦어서 못 들어 가기도 한다. 그래서 더 화가 나기도...

데프콘 역시 세션을 들으려면 오랜 시간 줄을 서야 한다. 더욱이 신선한 재료로 포장(?)되어 있는 세션장에는 늘 장사진을 치고, 줄을 뚫고 듣는 기쁨은 잠시 고개가 팍 숙여지는 그런 세션도 있다. 즉, 짧은 시간 안에 결과를 보여줘야 한다는 것 때문에 알맹이만 보여주고 “해봤어요”라고 표현하는 식의 세션들이 있다. 이럴 땐 정말 화가 솟구치기도 한다. 데프콘은 세션도 중요하지만 국내에서도 많은 관심을 갖는 CTF 장소가 인기다. 보통 사전 CTF라고 해서 일반인들을 위한 오픈 CTF를 매년 만들어 놓는데 올해에는 그 행사장이 더 커졌다.

▲ 데프콘 Open CTF 행사장


한국에서는 블랙햇이든 데프콘이든 컨퍼런스보다는 오로지 데프콘에서 진행하는 CTF가 중요하다고 보는 시각이 아마도 다수일 듯 싶다. 보안업무를 하는 필자의 입장에서는 CTF도 중요하고, 중요 이벤트이기에 참여는 당연히 좋은 이미지를 준다고 생각한다. 그러나 본래의 목적은 다양한 세미나와 기술동향을 확인하는데 있다. 한국팀들이 국가대표처럼 보이는 시각은 필자도 동의하지 않지만, 한국에서 온 2개 팀의 위상은 데프콘에서도 이미 널리 알려져 있다.

▲ 데프콘 CTF 본선 참여한 한국의 2개팀


올해 CTF에서 가장 화제가 된 것은 역시 전 세계의 핫이슈인 인공지능을 이용한 기계팀이 등장했다는 점이다. 터미네이터와 같은 영화가 곧 현실이 될 만한 상황이 된 것이다. 아마도 이 기계팀은 조만간 인간의 감성이나 특수성을 제외하고는 탐지능력과 패치등의 실력을 충분히 갖출 것으로 예상된다. 즉, 보안에서도 공격과 방어를 딥러닝과 기계학습의 복합기능 수행이 가능하다는 점을 보여준 사례라고 보면 된다.

데프콘도 블랙햇처럼 비즈니스홀과는 다른 판매부스가 있는데 이곳은 일반적인 상식(?)을 벗어난 제품을 판다. 그냥 오프라인 블랙마켓이다. 열쇠 복제기부터 열쇠를 따는 것, 와이파이 크랙 소프트웨어, 안테나 증폭기 등 어둠의 포스가 잔뜩 느껴지는 곳이다. 솔직히 한국에서 이렇게 했다가는...상상이 쉽지 않다. 아무튼 재미있는 곳인데, 올해는 이상하리만치 열쇠 따는 툴들이 많아졌다. 다 같이 도둑이 되자는 건지 아니면 남의 집을 잘 들어가자는 의미인지는 잘 모르겠지만 말이다.

▲ 데프콘 내 비즈니스 마켓


데프콘에서 또 하나 재미있는 곳은 아이들을 위한 공간이 생겼다는 것이다. 지난해에는 시범적으로 운영이 되었는데 올해는 아예 대놓고 세션장 전체를 확대해서 만들었다. 그렇지만 사실은 어른들이 더 많다. 이름이 키즈 룸일 뿐이지 어른들이 동반해 들어가는 곳이다.

▲ 데프콘 키즈 룸


데프콘의 세미나 역시 늘 그렇듯 블랙햇과 연결되어 우리가 알고 싶거나 실험이 필요로 하는 내용들을 담아서 보여준다. 필자는 세미나는 많이 듣지 않는다. 듣고 싶어도 못 들어가는 경우도 있지만 중요하게 생각하는 것 2~3개 정도만 경청하고 나머지는 다양한 체험을 위한 이벤트 행사장에 머문다. 오히려 강의보다는 체험 행사장에서 경험하는 것이 훨씬 더 공부가 된다고 생각한다.

무엇보다 중요한 것은 블랙햇 주최 측에서 점점 더 세련되고 수준이 높아졌다고 하는 것과 달리 필자가 보기엔 매년 오히려 수준이 떨어지고 있다는 점이다. 이것은 본인의 판단이기에 객관성은 떨어질 듯 하지만, 같이 참여한 국내 참가자들의 얘기도 비슷하니 좀 더 설득력이 있지 않을까?

그래도 우리는 블랙햇과 데프콘을 보면서 많은 것을 배워야 한다고 본다. 세계적인 보안 세미나는 크게 샌프란시스코에서 열리는 RSA가 있고, 전자박람회 같은 CES가 있다. 그리고 블랙햇이 있다. 이들의 공통점은 다양한 체험과 다채로운 프로그램, 그리고 마케팅 전략이 함께 잘 녹아들어가 있다는 점이다. 또한, 각 컨퍼런스마다 독창적인 세미나가 존재한다는 점이다.

우리나라도 보안관련 세미나와 컨퍼런스를 수시로 열리고 있다. CTF 중심의 컨퍼런스와 세미나 중심의 컨퍼런스, 그리고 박람회와 같은 홍보 중심의 행사 등 우리도 이들과 크게 다르지 않게 잘 일궈나가고 있다. 그럼에도 블랙햇에서 열린 세미나는 우리에게 많은 시사점을 준다. 우리나라의 현실적인 문제를 짚고 넘어가야 하는 상황이다.

첫째, 국내 세미나 진행 형태를 보면, 대부분 교수 중심, 연구실 중심의 이론이 강한 실험실 상황을 설명하는 세미나가 많다. 그리고 대기업과 연구기관 위주의 세미나가 다수다. 하지만 블랙햇은 교수든 학생이든 실험정신에 입각한 세미나라는 점이다. 이것은 우리에게 시사하는 바가 크다. 바로 해당 발표를 통해 기업이 스카웃도 하고, 다양한 기술들을 공유하게 함으로써 공존의 장을 이루도록 하는 것이 필자가 보기엔 가장 큰 차이점이다.

국내 세미나는 제자들 및 연구진들의 실험을 교수들의 입을 통해 대신 전달해 주는 경우가 대부분이다. 하지만 블랙햇은 대부분 연구를 수행한 연구진들이 직접 발표를 한다. 즉, 직접 수행한 인구인력의 생생한 경험 중심의 발표라는 것은 매우 큰 의미가 있다. 우리는 대부분 교수님들의 목격담을 전달 받는 형태로 진행된다. 물론 이론적 지식과 잘 어우러진 좋은 강연이 될 수 있다. 하지만 실제 수행한 조직원의 이야기도 필요하지 않을까라는 생각이 든다.

둘째, 정형화된 세미나 중심이 아닌 라이브형 세미나에서의 실수를 인정한다는 것이다. 어제까지도 데모할 때 잘 동작됐던 것이 발표 당일 되지 않는 경우가 존재한다. 아무리 ‘머피의 법칙’이라지만 우리는 실망하고 좌절하고 비난을 받을 수 있다. 그렇지만 이곳에서는 격려와 박수를 쳐준다. 즉, 실수에도 격려를 아끼지 않는다는 것이다.

셋째, 보안 및 해킹 시연을 위한 투자가 과감하다는 것이다. 해킹 실험을 수행할 때 실제 자동차를 빌려서 해킹을 수행한다. 우리나라도 일부 자동차 생산업체가 진행을 하고 있고, 일부 모형을 가지고 연구기관에서 수행하기도 한다. 그럼에도 해당 실험은 모의해킹이 아니라 그냥 방어 중심의 실험이다. 하지만 이들은 정말 하나에서 열까지 다 뜯어먹을 요량으로 공격을 시도한다. 정말 배울 점이 많다. 실세계에서 동작하는 공격은 그 의미가 남다르다는 것은 대부분 인정할 것이다. 우리도 이러한 과감한 투자가 필요하다는 점을 말하고 싶다.

넷째, 데프콘 CTF를 국가적 위상으로만 인식하는 경우가 있다는 점이다. 필자도 대한민국을 사랑하지만 동아리팀이든 혹은 정부 투자를 받은 단체가 참여하든 상위권 순위에 모든 것을 걸고 있는 것처럼 느껴진다. 그들이 참여하는 것은 대회가 재밌기 때문이지 1등만을 원해서 하는 것이 아니라는 얘기다. 스트레스를 받으면서도 정말 재미있게 한다.

물론 그 가운데서는 공명심이 남다른 친구들도 있다. 하지만 이들을 바라보는 국내 시선은 오로지 올림픽처럼 메달과 순위다. 언론매체에서는 온통 순위 얘기가 주를 이룬다. 누가 몇위를 했는지, 누가 상위권에 들었는지 등. 우리는 이러한 순위 경쟁에서 자유롭지 못한 교육을 받아 왔기에 모든 것을 순위로만 보는 경향이 있다. 그러나 이는 자라나는 어린 친구들의 경쟁력을 오히려 깎아내릴 수 있고 좌절을 겪게 할 수 있다.

기성세대들의 이러한 잘못된 인식은 언론매체에서의 자극적인 멘트로 이어지기도 한다. 그러나 이는 대회에 참여했던 젊은 친구들에게 심한 패배감을 줄 수도 있음을 인식했으면 좋겠다. 그렇지만 특정 학교의 참가자들이 출전했기 때문에 교수님들의 적극적인 응원과 격려가 있어 보기에 좋았던 점도 있다. 참가팀원들의 수발을 다 들어주고 관련 기관들의 적극적인 투자와 지원이 있었던 점도 큰 역할을 했다. 이는 우리에게도 무한한 가능성을 보여준 것으로 매우 고무적인 상황이라고 할 수 있다.

올해 역시 블랙햇과 데프콘을 보면서 국내 보안시장과 투자과정, 그리고 제품의 질적 변화에 대한 연구개발이 부담으로만 여겨지는 건 필자가 아직 우둔하기 때문이라고 생각한다. 지금도 묵묵히 국내 보안 분야를 지키기 위해 많은 노력을 불사하는 개발진들과 연구진들에게 고개 숙여 감사의 말을 전한다. 우리도 그들과 크게 다르지 않지만 ‘투자=보안 강화’라는 커다란 인식 변화의 시기가 도래했음을 역설적으로 말하고 싶다.
[글_ 류동주 객원기자 / 사진_ 헬레나 김 작가]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



보안뉴스에서 관심이 가장 많이 가는 기사 유형은?
사건·사고(최근 발생했던 보안사고)
공공·정책(보안정책과 정부기관 관련 뉴스)
비즈니스(정보보안 시장 및 업계 전반 이슈)
국제(정보보안 분야 해외 소식)
테크(신기술과 취약점 관련 뉴스)
오피니언(다양한 외부 전문가의 기고)
기타(댓글로)