엘리트 해커 양병론

마이클 코폴라(17)는 다섯 살 때부터 뭐든 손에 잡히면 닥치는 대로 뜯어서 안을 들여다봤다. 집의 리모콘·손전등·VTR 등이 남아나지 않았다.

그는 사물이 어떻게 작동하는지에 상당히 호기심이 많았다. 초등학교 4학년 무렵부터는 소프트웨어에 관심을 갖기 시작했다. 부모와 친구들의 웹사이트를 구축한 뒤에는 해킹에까지 손을 뻗쳤다.

“이 정도로 기술에 빠지면 사용법을 아는 정도로 만족하지 못한다. 작동방식이 궁금해진다”고 그가 말했다. 그저 호기심 많던 꼬마가 코네티컷의 고등학교 졸업반이 된 지금은 귀한(그리고 아주 값나가는) 몸이 됐다. 바로 예비 해커다.

미국은 사이버공간의 안전에 수십억 달러를 쏟아 붓지만 정부와 민간부문의 사이버공간을 보호하고 소통케 하는 데 필요한 엘리트 사이버보안 전문가는 턱없이 부족하다. 조지 W 부시 전 대통령 시절 출범한 ‘종합사이버보안프로젝트(CNCI)’는 12항목의 핵심 추진목표를 열거하며 사이버교육 개선과 전문가 확충의 필요성을 강조했다.

하지만 이를 본격적으로 실천하는 데는 시간이 걸린다. 국가보안 당국에 따르면 그렇게 오래 기다릴 시간 여유가 없다. 한 추산에 따르면 현재 미국의 엘리트 전문가는 1000명 안팎이지만 필요 인원은 2만 명이다. 지금껏 미국 사이버 군단의 공식 모집과 훈련은 주먹구구식이었다.

다행히 민간기업과 정부기관들이 마이클 코폴라 같은 신세대 사이버 고수를 선발해 육성하려는 노력에 박차를 가하기 시작했다. 인기절정의 스타 발굴 프로그램 ‘아메리칸 아이돌’과 유사한 전국 사이버 경연을 후원하는 방식이다. 단기간에 최소 1만 명의 첨단기술 영재를 확보하려는 목적이다.

그런 노력을 선도하는 대표적인 인물이 사이버보안 교육기관 산스 연수원의 공동설립자이자 연구 책임자인 앨런 폴러다. 폴러는 현실 속의 찰스 사비에 교수인 셈이다(만화 X맨의 캐릭터인 사비에 교수는 초자연적인 힘을 지닌 어린 돌연변이를 찾아내 양성하는 학교의 교장이다).

폴러는 일찍이 주요 그래픽 회사를 공동창업하고 미국의 주요 인프라를 겨냥한 위협에 대처할 목적으로 빌 클린턴 정부가 설립한 ‘국가 인프라 안전 협의회(NIAC)’의 설립위원을 지냈다. 그 뒤 20년가량 산스에서 세계 정상급 사이버 두뇌의 육성에 힘써 왔다. 한편 그들의 기술을 합법적으로 사용하도록 가르치는 일도 게을리하지 않았다.

그러다가 2008년 들어서야 사이버 경연대회를 공동주최하기로 결심했다. 백악관·국가안보국(NSA)을 비롯한 정부기관의 컴퓨터 보안 지도자들을 만난 뒤였다. “쉽게 말해 미국이 우주개발 경쟁에 뛰어들었던 1950~60년대와 똑같은 상황에 처하게 됐다”고 그는 말했다. “그 당시 많은 어린이가 수학자나 과학자가 되겠다는 꿈을 품었다. 오늘날 사이버보안도 똑같은 방식으로 접근해야 한다.”

그러려면 종래와는 다른 방식으로 인재를 찾아야 한다고 폴러는 생각했다. 2009년 폴러가 속한 산스의 후원으로 개최된 제1회 사이버 챌린지 대회는 코폴라의 관심을 끌기에 충분했다. ‘넷워즈’라는 이름의 이 사이버보안 모의 콘테스트에는 240명이 참가했으며 12대의 서버를 해킹하라는 과제가 주어졌다.

각 서버에 점수가 부여되고 경기 종료 시까지 가장 높은 점수를 획득하는 사람이 우승자가 되는 방식이었다. 그러나 코폴라는 서버를 겨냥하는 대신 채점 컴퓨터를 해킹해 자신에게 최고점을 부여했다. 당연히 우승컵은 그에게 돌아갔다. “원래 그럴 계획은 아니었다”고 그가 말했다.

“시스템의 취약점을 우연히 발견해서 주어진 시간을 거기에 집중하기로 마음먹었다.”어쩌면 바로 그런 점 때문에 폴러의 넷워즈(그를 비롯한 사람들이 주최하는 3개 사이버 대회 중 하나)가 가장 관심을 끄는지도 모른다. 사실상 시스템의 취약점을 찾아내 내부로 침입하는 데 초점을 맞춘 게임이다.

이런 게임이 과거 불법 해커들이 구사하던 기술을 사용하도록 조장한다는 지적도 있다. 그러나 인터넷은 침입자와 방어자 간의 경계가 불분명한 매체다.

폴러는 빈틈없는 수비와 날카로운 공격이 모두 필요하다고 확신한다. “불법 해커를 물리치려면 그들이 어떤 수법을 사용하는지 알아야 한다”고 폴러는 말했다.

그의 주장을 뒷받침하는 증거도 있다. 중국이나 러시아 같은 다른 나라도 몇 년 전부터 비슷한 콘테스트를 개최했다. 그들의 정부를 겨냥한 해킹 공격이 빈번하게 발생했고 또 갈수록 증가하기 때문이다. 미국의 형편도 썩 좋지는 않다. 상원 경비국에 따르면 의회를 비롯한 정부기관을 겨냥한 사이버공격은 현재 한 달 평균 18억 건 꼴로 발생한다.

2008년에 비해 200배 이상 증가했다. 기업도 사정은 마찬가지다. 한 보고서에 따르면 사이버 공격에 따른 시스템 다운으로 한 기업이 하루에 입는 피해가 평균 630만 달러로 추산된다. 그리고 현실 여건을 살펴볼 때 정부나 민간부문 모두 앞으로 상황이 더 나빠지리라 예상된다. NSA의 디키 조지 정보보안기술 국장은 향후 1년간 경력있는 사이버전문가가 적어도 1000명은 필요하다고 말했다.

기존 방식으로는 조달하기 힘든 수다. “학교를 찾아가면 지원자보다 모집자가 더 많다”고 그는 말했다. “현재로선 승산이 없는 게임이다.” 조지는 최근 방문했던 학교에서 한 학생이 아주 훌륭하게 사이버 프리젠테이션을 마쳤을 때의 일을 거론했다. “사람들이 길게 늘어서 있었는데 앞줄에 있던 내가 ‘학생을 채용하고 싶다’고 말하자 내 뒤에 있던 어느 기업의 채용담당자가 말했다.

‘우리 회사로 오라. 그가 제시한 연봉의 두 배를 주겠다.’” 인디드닷컴에 따르면 사이버보안 전문가의 평균 연봉은 10만2000달러 선이며 실력이 뛰어날수록 연봉도 높아진다. 이런 인력난의 가장 큰 원인은 교육이라고 조지는 말했다. 사이버보안의 ABC를 가르치는 대학 프로그램은 여럿 있지만 최첨단으로 여겨질 만한 과정은 거의 없다.

따라서 변화무쌍한 사이버 공격에 적절히 대처하도록 교육받은 유능한 졸업생은 그리 많지 않다. NSA는 전국의 대학과 제휴해서 그 기관의 사이버 전문가를 지망하는 학생들을 대상으로 일정 정도 교육을 실시한다. 그리고 FBI는 신입 요원을 대상으로 모두 40시간의 사이버 교육을 실시한다고 사이버 본부의 스티븐 차빈스키 부장은 말했다.

그러나 그들도 사이버전문가의 충원방안을 적극적으로 모색 중이라고 한다. 공공정책 연구소 CSIS(사이버 챌린지 대회를 후원했다)의 짐 루이스 기술·공공정책 프로그램 국장은 교육이 근본적인 문제임을 인정하면서 다른 문제들도 적지 않다고 지적했다.

“물론 미국의 교육 프로그램이 우리가 필요로 하는 인재를 배출하지 못한다는 문제도 일부 있지만 미국 정부가 10년가량 컴퓨터 과학 대상의 재정지원을 중단했으며 최근까지 우리가 실제로 어떤 유형의 인력이 필요한지 파악하지 못한 잘못도 작지 않다.” 바로 그런 이유로 코폴라 같은 사이버 고수의 주가가 치솟는다.

그는 넷워즈 챌린지에서 우승한 뒤 장학금을 받고 산스 연수원에 들어가 학업을 계속하면서 기술을 더욱 갈고 닦는 중이다. 또한 산스에서 고등학생 대상의 사이버 교육과정을 개발하는 작업에도 참여한다. 그 말고도 여러 참가자가 탁월한 기량을 선보였다. NSA는 그중 여덟 명을 여름 인턴사원으로 채용했으며 나중에 85%가 수습과정을 마친 뒤 정규직으로 전환된다는 점을 감안하면 제법 괜찮은 자리다.

FBI는 올 후반 챌린지 대회의 개최를 후원해 수상자들에게 인턴십을 제공할 계획이다. 지난해 대회를 공동주최한 공군도 다음 대회의 입상자 다섯 명에게 대학 장학금을 제공할 예정이다. 이들 사이버 고수들이 불법 해킹의 세계로 빠져들 우려가 있다는 지적에 폴러도 그럴 가능성을 완전히 배제하기는 힘들다고 말했다.

“군대에서 젊은이들에게 무기 다루는 법을 가르칠 때 그들 중 일부가 그 기술을 부적절하게 사용하지 않으리라는 보장은 없다”고 그는 말했다. “문제는 그런 기술을 육성하지 않으면 미국을 방어할 길이 없다는 점이다.”

폴러를 비롯한 챌린지 기획자들은 계속 대회 숫자를 늘려나가면서 오는 7월부터는 축구 캠프와 비슷한 한 주 단위의 사이버 캠프도 잇따라 개최할 계획이다. 물건을 해부하면서 희열을 느끼는 아이, 그리고 언젠가 사이버공간의 전선에서 미국을 지키는 임무를 담당하게 될 떡잎을 찾으려는 목적이다.