법 두개에 컴 다섯개 주세요

법2개에 컴퓨터5개.
이번학기에 들었던 과목이다. 7전공에 소프트웨어 5전공 거기다 자선으로 법 전공 2개를 들었다. 민법1 헌법1 쌍법으로다가 말이다.

문득 변호사가 되고싶다는 생각이 들었다.
음 변호사라는 직업을 갖고 경제활동을 하고 싶다기보다는 변호사 자격증을 갖고싶다는 생각이 들었다.

좀만 더 솔직히 변호사 자격증이 있는 해커가 되고싶다는 뜻이었다.

나는 해킹과 컴퓨터가 참 좋다.
어렸을때부터 케로로소대의 쿠루루 상사를 보며 해커의 꿈을 키워왔고 (진짜다) 중학교때부터 특성화고 진학을 준비하며 실현되던 관심에서 보안학과에 입학, BoB를 시작하면서 본격적으로 해킹공부를 시작했다.

그렇게 BoB 발대식으로부터 어연 2년 정도되었는데, 법을 배우지 않고서야 우리나라에서 해커노릇은 힘들겠다는 생각이 문득 들었다.

1. 보안 분야의 특성으로 인한 타 분야와의 상대적 지위
뭐 직업의 귀천을 따지려는게 아니라, 보안이라는 분야의 특성상 타 분야에 비해 어쩔 수 없이 생겨나는 지위가 있다. 바로 보안은 ‘무언가를 지키기 위한’ 학문이라는 점인데 조금만 바꿔말하면 지킬게 없다면 보안은 아무런 필요조차 없는 것이다.

수백억의 금은보화를 집에 보관해둔 부자가 있다고 생각해보자. 그럼 아마 금은보화의 주인은 금고를 자물쇠로 잠그고, 집에 CCTV를 설치하고 벽을 높게 쌓고 경호원을 고용할 것이다. 경호원에게 꾸준히 월급을 주고 각종 보안장치를 설치하며 돈을 쓰더라도 금은보화를 지킬 가치가 있을테니 말이다. 똑같은 말을 조금 어렵게 해보면 보안에 꾸준히 투자하여 발생하는 손실보다 금은보화를 도둑 맞음으로써 발생하는 손실이 막대하게 크기 때문이다.

기업이나 연구소 그리고 국가 심지어는 개인들까지도 사실 무언가를 지키기위한 활동에 집중하기보다는 그 ‘무언가’를 생산해내는 일에 급급하다. 조금만 생각해보면 당연한데, 기업은 좋은 제품을 만들어 시장에 내다팔고 돈을 벌어야하고 연구소도 높은 수준의 연구성과를 내어 세상을 놀라게 해야한다. 우리 개인들도 PC나 휴대폰으로 본인의 작업을 하거나 하루빨리 사진으로 추억을 남겨야한다.

안타깝게도 당연히 보안은 주류가 될 수 없다.

2. 보안은 단순 비용이라는 인식
항상 보안계 은사님들을 만나거나 동료, 선후배들을 만나면 ‘기업은 보안을 단순 비용이라고 생각한다. 그래서 참 안타깝다.’ 라는 이야기를 종종 하곤한다. 쉽게 말해 기업들은 보안이 쓸데없이 돈만 세어나가는 짐덩어리 정도로 생각하고 있다는 이야기인데 사실 나도 기업들의 입장이 이해가지 않는건 아니다. 당장 100억을 사용할 수 있는 기업이 자산을 몇 배로 불릴 가능성이 매우 높은 투자기회 (반도체 개발.. 인재 양성.. 사업 추진..)를 두고 바이러스 백신을 구매하고 보안인력을 더 늘릴 가능성이 얼마나 될까?

중소기업들이 보안에 투자할 여력이 없다.. 라는 말의 뒤에는 바로 이러한 이유들이 있기 때문이지 않을까 싶다. 지금 기업이 가지고있는 제품의 설계도, 인력 정보, 사업 계획 등등 기업의 경쟁력으로 이어지는 극비 자료들을 지켜냄으로써 시장에서의 우위를 점하고 발전의 발판으로 삼아낸다… 라는 점에서 보안은 단순 비용이 아니라 투자라고 생각해야한다는 주장이 있지만 글쎄 기업의 입장에서 이 주장이 얼마나 와닿을지는 의문이다.

당장 국가를 수호하고 국민의 생명보호에 직결되는 국방비에도 15% 남짓을 사용하는 국가에서 고작 컴퓨터 조금 털리는 거에 대한 경각심이 얼마나 될지하는 의구심이다. 솔직히 나도 컴퓨터쓰다가 바이러스 백신이 알림이라도 띄우면 그게 그렇게 귀찮고 짜증날 수가 없다. 당장 지워버려야지 아주

3. 고도화된 보안 기술의 허무
해킹보안이라는 분야는 공격자와 방어자가 정말 첨예하게 대립하고있다. 업데이트 하나하나, 발생하는 취약점 하나하나에 집중하고 기발한 취약점을 개발한다.

예를들면 DRAM 반도체 셀에 반복되는 읽기쓰기 작업으로 생겨나는 전기장을 이용해 비트 플립을 유도하여 저장된 값을 바꾸는 로우해머어택(Row hammer Attack)처럼 천재적인 공격기법들과 보호기법들이 실시간의 기술 발전에 따라 등장하는 분야이다.

하지만 이처럼 분야의 연구분야는 고도의 지식수준과 트렌드에 대한 민감함이 필요함에 반해 사실 정보보안분야가 추구하는 궁극적인 목표를 달성하는 방법은 황당할 정도로 쉬운 경우가 많다.

앞서 언급한 공격기법인 Row hammer Attack을 방어하기 위해선 전제조건인 읽기쓰기를 외부의 확인되지않은 사용자에게 금지하면 그만이다. 말이 조금 어려웠는데 원격지에 있는 시스템이라면 네트워크 접속을 막아버리면 되고 물리적으로 접근 가능하다면 그 컴퓨터 앞에 문을 잠가버리면 그만이다.

또 우리나라를 비롯한 많은 국가들이 이러한 인가되지않은 사이버상의 공격에대한 법적 보호장치가 꽤나 튼튼하게 마련되어있다. 우리나라의 경우 실서비스 중인 정보통신망을 침입하는 순간 범죄이다.

이외에도 사이버 상에 발생하는 위협에 대해 보호하고 대응하는 방법은 사실 꼭 고도화된 기술일 필요는 없다.

솔직히 현실세계에서 블랙해커를 억제하고 특정 시스템에 대한 해킹을 막기위해 가장 효과적인 방법으로 사용되고 있는 것은 뛰어난 정보보호 프로그램과 혁신적인 보호기법이 아니라 징역과 벌금이다.

4. 양심 그리고 해킹
세계에서 가장 뛰어난 해커들이 모인 국가를 뽑아보라고 한다면 나는 고민없이 북한을 택할 것이다. 왜냐하면 그들은 해킹이 주력사업이기 때문이다. 타국 은행을 해킹해서 돈을 빼돌리고 랜섬웨어를 뿌려 중요정보를 인질로 삼고 이에 대한 몸값을 요구해 국가 재정을 벌어들인다고 한다.

이들은 법없이 해킹을 한다. 해킹이란 분야가 본래 ‘남들이 알지못하는 것들에 대해 무엇이든 알아내는’ 것이 그 정체성인데 북한해커들은 이 정체성을 100% 발현할 수 있는 집단이라고 생각한다. 우리나라는 법이라는 테두리 안에서 허용되는 공격기법만을 허용되는 컴퓨팅적 환경(VM.. Wargame사이트..)에서만 조금이나마 공부할 수 있을 뿐이다.

물론 기업과의 합의 하에 실제 전산 시스템에 대해 모의해킹을 진행하고 버그바운티를 진행하기도 하지만 정식 채용절차를 거쳐 국가기관에 소속된 엘리트 해커들이나 어느정도 실력이 인정된 ‘불법’을 저지르지 않을거라 확신을 가질 수 있는 소수의 해커들에게만 기회가 주어진다. 또 버그바운티의 경우 신청하지않은 기업의 프로그램에 대한 해킹은 그저 얄짤없이 불법이기에 이 또한 제한된 범위임은 분명하다.

사실 해킹보안이라는 분야의 관점에서’만’ 보면 [국가 네트워크를 침범해서 은행 전산망 마비시키기] [특정 연구소에만 적용된 보안시스템을 분석 및 설계도 정보 탈취하기] [개인 계좌에서 돈을 송금한 뒤 은행 시스템을 해킹한 기록 남기지 않기] 와 같은 연구주제와 목표들이 학문적으로 가치있을지도 모른다.

그렇지만 우리나라는 물론이거니와 세계의 탑 컨퍼런스에서도 이런 도덕성이 결여된 연구주제는 등장하지않는다. 이 세계 어딘가에는 분명히 존재하고 진행되고있는 연구주제 일텐데 말이다. (예를들면 북한이라던가) 말이 길어졌은데 하고싶은 이야기는 학문의 발전에 있어서 도덕성이 타 학문에 비해 압도적으로 많이 요하는 분야라는 이야기가 하고싶었다.

사실 블랙해킹은 쉽다. 발견한 취약점을 정상적으로 제보하지 않고 회사에 협박 메일을 한통 보내거나 웹개발을 할 줄 안다면 불법 도박사이트를 만들어서 음란한 동영상과 함께 SNS에 방대하게 뿌려버리면 된다.

같은 능력과 기술을 가지고 있더라도 이를 어떻게 사용할지본인의 마음가짐과 양심에 따라 일확천금을 벌 수 있을지도 아니면 언제 구조조정을 당할지 모른채 하루하루 걱정하는 월급쟁이로 살 뿐 일지도 모른다.

정보보안계에 종사하는 사람들은 매순간 블랙해킹의 유혹을 뿌리치며 정진하는 사람들이다.

여기까지 우리나라에서 ‘합법적으로 해킹을 공부하고 정보보안분야에 종사’ 할때 겪는 여러모로의 어려움들을 이야기해보았다. 물론 지극히 개인적인 생각이고 반박할 여지도 굉장히 많다.

너무 단점들만 나열한 것 같지만 이런 단점들에도 불구하고 정보보안분야는 충분히 매력적인 분야이다. 다루는 기술들도 여러 공대생들의 학문적인 호기심을 자극하기에 충분할 정도로 재미있고 사실 실력이 뛰어나면 그에 걸맞는 사회적 명성과 부도 충분히 얻을 수 있는 분야이다. (라고 생각한다.)

그렇지만 이렇게 구구절절히 고충을 늘어놓는 이유는 이 고충들이 사회적으로 충분히 해결될 수 있고 해결되어야한다고 생각하기 때문이다.

특히나 IOT를 비롯해서 메타버스와 같은 신기술이 등장하며 사이버 세계와 현실 세계 사이의 경계가 모호해지고 있기에 더욱 정보보안의 중요성이 강조되어야한다고 생각한다. 사이버와 현실사이 경계가 모호해진다는 것은 사이버상의 위협이 현실의 문제에 직결된다는 뜻이기 때문이다. 예를들어 SNS 계정이 해킹되어 사생활이 노출되면 사회적 살인이 행해질 수도 있고 IOT기기가 해킹되어 스마트홈에 갇혀 히터온도를 통제할 수 없다면 신체에 물리적인 피해를 입을 수도 있다.

나는 정보보안의 중요성을 사회적으로 제고하고 분야에 종사하는 수많은 해커들과 공학자들을 대변하고싶다. 급여를 늘리든 업무환경을 개선하든 자부심을 가질 수 있도록 하든 정보보안분야 그리고 대한민국의 공학자들의 처우를 개선하고싶다.

개인적으로 아직까지 우리나라에서 사회적인 목소리를 내려면 법적인 지식이 필수적이라고 생각한다. 우리나라의 입법기관을 구성하는 대부분의 국회의원이 변호사 내지는 법조인 출신들이 많기 때문이다. 심지어는 행정부의 장관들도 법을 전공하거나 공부한 경우가 대다수이다.

물론 국회의원이 되었든 장관이 되었든 대한민국의 헌법기관으로 동작하기위해선 최소한의 법적지식이 필요하다는 것은 크게 공감한다. (모든 의무와 역할이 헌법상에 명시되어 있기때문에)

허나 지금 우리나라의 입법부와 행정부가 다양한 분야의 학문과 산업에 종사하는 국민들을 잘 대표할 수 있는가?에는 의문이 있다. 막말을 하자면 변호사 검사 판사가 어떻게 해커의 고충을 이해할 수 있냐는 이야기다.

나는 이들 사이에 의사소통을 위한 다리역할을 하고싶다. 다른 언어와 문화를 가진 사람사이에선 통번역가가 필요하듯이 다른 분야를 가진 사람들 사이에선 그들의 고충을 모두 이해할 수 있는 융합적인 전문가가 필요하다고 생각한다. 시장에서도 꽤나 블루오션이라고 생각하고.

이러한 이유들로 인해 이번 학기에는 두개의 법학과목을 수강해보았다. 어떤 순서로 나의 커리어를 쌓아나갈지는 늘 고민이지만 어떤 커리어를 쌓을지는 확실하다.

나는 해커출신 변호사가 되고싶다.
아 기왕이면 변호사 출신 해커?