해킹대회 사상 최대상금 수상자, 한번에 모든 브라우저를 해킹한 최강의 실력자, 바로 "나는 어떤 프로그램이든 해킹할 자신이 있다."고 선언해버린 세계 최정상의 해커 이정훈씨를 따라다리는 수식어 인데요. 어렸을때 부터 컴퓨터에 남다른 관심이 있었다는 이정훈씨는 삼성에서 꼭 필요한 인재라며 스카웃을 하면서 화제가 됐었습니다. 하지만 이씨는 삼성SDS에서 1년도 채우지 못한채 퇴사를 한 후 구글로 자리를 옮겼다고 합니다. 그래서 오늘은 세계 최고의 해커라 불리는 이정훈씨의 이야기를 알려드리도록 하겠습니다.
▼남들은 한참 중2병에 앓고 있던 시절 이정훈씨는 할머니집을 방문하다고 운명과도 같은 C언어 책을 처음 접하게 됩니다. 그 책은 당시 프로그래머로 일을 하던 삼촌이 할머니집에 두고간 책이었다고 합니다. 이 책은 이정훈씨의 인생에 전환점이 된 C언어책을 보기 전까지만 해도 이씨는 그냥 컴퓨터 게임을 좋아하던 평범한 학생이었다고 합니다.
▼호기심에 C언어 책을 본 그는 컴퓨터 프로그래밍이 흥미가 생기기 시작했다고 합니다. 그리고 자신이 좋아하는 컴퓨터 게임이 어떻게 만들어지는 것인지에 대해서도 궁금해지기 시작해졌죠. 이 생각은 곧 '나도 해커가 되야 겠다!'라는 생각으로 바뀌었다고 합니다. 그래서 비주얼 베이직부터 차근차근 지식을 쌓았다고 합니다.
▼이후 자신이 해킹 실력이 어느정도가 되는지 궁금해하던 그는 2010년 한국인터넷진흥원에서 주죄하는 해킹대회 소식을 듣고 참가를 결정하게 됩니다. 이 때 나이가 18살 고2 때였다고 하죠. 국내에서 가장 큰 해킹대회였던 "제7회 KISA 해킹방어대회"에 참가한 이정훈씨는 곧바로 2위에 오르게됩니다. 학생부와 성인부 구분이 없었던 대회였던 만큼 고등학교 2학년 학생이 2위를 입상한 사실도 이슈가 됐습니다.
이후 국내 유수의 해킹대회에 입상을하며 유명세를 얻게 됐다고 합니다. 그가 입상한 국내 대회는 9개 됩니다.
- 2010년 제7회 KISA 해킹방어대회(2위)
- 2010 정보보호페스티벌(우승)
- 2010 ARGOS 해킹 페스티벌(1위)
- 2011년 19회 전국정보과학 올림피아드(1위)
- 2011년 ISEC CTF 해킹대회(3위)
- 2011년 정보보호 페스티벌(1위)
- 2011년 HUST 해킹 페스티벌(2위)
- 2011 CAT 홀리쉴드 해킹대회(1위)
- 2012년 청소년 화이트해커 경진대회(1위)
▼이후 2013년 인하대학교 컴퓨터 공학과에 입학하게된 이정훈 씨는 본격적인 활동을 시작하게 됩니다. 20세대 라스베가스에서 열린 해킹올림픽 '제21회 데프콘'에서 3위를 차지하며 글로벌 무대에 혜상같이 등장하게 됩니다. 또한 2014년에는 한국팀 'EDF KOR'을 이끌어 아시아팀으로는 처음으로 대회 우승을 하는 기록을 만들었다고 합니다.
▼그리고 2015년 3월 캐나다에서 열린 보안 컨퍼런스인 캔섹웨스트(CanSecWest)의 버그바운드(Bug Bounty) 대회읜 폰투온(Pwn2Own) 대회에서 그는 사람들이 가장 많이 사용하는 브라우저 3종을 모두 해킹했버렸다고 합니다. 그리고는 상금 22.5만 달러를 챙겨 역사상 가장 큰 우승상금의 주인공이 됐습니다.
- 크롬($75,000) + 시스템 권한 상승($25,000) + 새로운 보안 메커니즘이 추가된 크롬 베타 버젼($10,000)
- IE11($65,000)
- 맥 사파리($50,000)
▼물론 2016년에도 이정훈씨는 최다 상금을 타낸 사람으로 이름을 올렸는데요. 이렇게 국내를 넘어 해외에서까지 최고의 실력자로 인정받게된 그를 삼성에서는 꼭 필요한 인재라며 삼성SDS에 영입을 하게 됩니다. 하지만 안타깝게도 1년을 채우지 못하고 그는 구글로 이직을 했다고 합니다.
▼업계 전문가들은 한결같이 한국의 기업문화가 이씨와 같은 해커들이 일을하기에 어려운 환경이기 때문에 이씨가 이직을 한 원인일 것이라고 말했습니다. 한국은 흔히 말하는 학벌과 '증'을 중요시 하기 때문이죠. 대학교를 자퇴하고, 낮보다는 밤에 일하는 걸 좋아하는 이씨는 국내환경에 불만을 가졌을 거란 분석입니다.
▼이씨가 구글에 입사한 후 공교롭게도 삼성전자에서는 해킹대회를 열었는데요. 이 대회의 운영방식만 봐도 해커에 대한 외국과 우리나라 인식의 차이를 느낄 수 있습니다.
업계에 따르면 삼성전자는 최근 해킹 방어대회 '삼성 캡처 더 플래그(SCTF)'를 개최했다. 대기업이 주관한 행사로는 처음이다. 1160명이 예선에서 경합을 벌여 79명이 본선에 참가했다.
SCTF 문제와 운영방식은 독특하다. 단체전으로 공격에 치중하는 기존 대회와 달리 방어, 코딩, 암호, 역공학까지 보안 기본기를 고루 갖춘 인재를 찾으려는 노력이 엿보인다. 삼성전자는 올해를 시작으로 내년에도 SCTF를 개최할 예정이다. 다양한 기본기를 평가해 SCTF가 사실상 삼성 보안인력 입사 시험으로 대체할 가능성도 엿보인다.
안길준 삼성전자 전무는 “SCTF는 기존 해킹대회처럼 문제 풀이 방식이지만 공격 기술에 치중하지 않았다”면서 “참가자가 가진 사이버 보안 역량을 골고루 평가하기 위해 공격, 방어, 코딩, 알고리즘, 역공학 등 5개 분야 문제를 출제했다”고 말했다.
우승자 선정방식도 달랐다. 각 영역 문제마다 문제 수가 다르다. 무조건 문제를 많이 푼다고 좋은 것도 아니다. 남들이 적게 푼 문제를 풀어야 배점이 높다. 아무도 풀지 않은 암호 문제 1개를 풀면 1000점이다. 누군가 갑자기 내가 푼 암호 문제를 풀면 배점은 낮아진다. 국내 많은 화이트 해커는 주로 공격 분야 문제에 익숙하다. 공격 분야 문제를 푼 사람이 많아지면 그 영역 가치는 낮아진다.
대회 공동운영장을 맡은 김용대 KAIST 교수는 “대부분 국내서 보안을 하는 사람은 세계에 이름을 알린 해커 '이정훈'처럼 되고 싶어하며 보안 편식 현상이 심해졌다”면서 “보안은 시스템 해킹이 전부가 아니다”라고 설명했다. 김 교수는 “실제 기업에서 필요한 보안 인력은 취약점을 찾는 능력뿐만 아니라 프로그래밍과 암호에 대한 기본 지식을 알고 잘 활용할 줄 알아야 한다”고 강조했다.
삼성전자는 SCTF를 통해 원하는 보안 인재를 뽑는 기회를 마련했다. 삼성전자가 필요로 하는 5가지 부문 중 모두를 잘하는 인재를 선발할 수 있다.
▼이정훈씨가 삼성을 버리고 구글을 선택한 이유는 본인이 가장 잘 았겠지만, 삼성전자도 아닌 삼성SDS에서 그의 꿈을 펼치기는 좀 어려운게 아니었나 하는 생각을 해봅니다. 그리고 만일 삼성전자에서 근무를 했었어도 OS나 인터넷 분야에서 삼성전자의 위상은 스마트폰이나 반도체에 비하면 한참 떨어지는 수준이었을 테니 삼성전자보다는 구글이 그의 꿈을 펼치기 더 좋은 회사인 것은 분명해 보이기도 하구요.
▼많은 분들이 이정훈씨의 인터뷰 내용에 대해서 궁금해하셔서 추가 합니다.
갑작스러운 이직에 대해 이씨는 "해커로서 더 배우고 더 성장하고 싶다. 구글에서 세계최고의 해커들과 함께 일하고 싶다"고 말했다. 그는 또 "영어를 잘 못해 걱정이고 연봉도 삼성이 더 많지만 보안전문가의 꿈을 키우기 위해서는 구글이 낫다는 생각이다"고 덧붙였다.
▼천재 해커 이정훈씨는 지난 11일 세계 3대 해킹대회 인 '히트콘(HITCON)'에서 3년 연속 우승을 차지하는데 기여를 하기도 했는데요. 그는 원격으로 한국 대표팀(Cykorkinesis)의 멤버로 참여하여 팀의 우승을 도왔다고 합니다. 이로써 한국대표팀은 상금 1만 달러와 내년 미국에서 열리는 세계 최대 해킹대회 ‘데프콘(DEFCON) CTF’ 본선 자동 진출권을 확보했습니다.
▼끝으로 주커버그가 주주들에게 보낸 '해커의 길'의 서한을 보면서 개발자 출신들이 세운 구글, 페이스북이 해커들을 어떻게 생각하고 관리해주는지 알아보면서 글을 마칩니다.
해커의 길(The Hacker Way)
강한 회사를 만드는 방법의 하나로, 우리는 페이스북을 훌륭한 인재들이 세상에 영향을 끼치고 서로 배울 수 있는 공간으로 만들기 위해 최선을 다하고 있습니다. 우리는 우리만의 고유한 문화와 경영방식을 계발해 왔으며, 우리는 이를 해커웨이 (Hacker Way)라고 부릅니다.
"해커"라는 단어는 미디어에서 (남의)컴퓨터를 터는 사람들로 묘사되어 부당하게 부정적 이미지를 가지고 있습니다. 사실은, 해킹이란 뭔가 재빨리 만들거나, 불가능한 것에 도전하는 것을 의미합니다. 다른 대부분의 것들처럼, 좋게 혹은 나쁘게도 사용될 수 있습니다. 하지만 제가 여태껏 만나본 대부분 해커들은 세상에 긍정적 영향을 끼치고 싶어하는 이상주의자 경향이 있습니다.
해커방식은 끊임없는 개선과 이터레이션* 방식을 포함합니다. 해커들은 언제나 더 개선될 수 있고, 완성이란 있을 수 없다고 믿습니다. (잘못된 것이 있으면)꼭 고쳐야 합니다.-종종 '그건 안돼' 혹은 '이정도면 됐잖아' 라고 말하는 사람들 에 맞서서.
해커들은 모든 것을 한번에 완벽히 하려고 하기보다는 빠른 출시와 작은 이터레이션을 통해 배움으로써 장기적으로 최고의 서비스를 만들려고 노력합니다. 이를 위해서 우리는 언제던 수천 개의 페이스북 버전을 테스트할 수 있는 프레임워크를 만들었습니다. 우리는 계속해서 (새로운 버전을) 출시하는것을 잊지 않기 위해 "완성이 완벽보다 낫다" 라는 말을 벽에 써놓았습니다.
그리고 해킹은 원래 직접 해보는 능동적인 연습입니다. 새로운 아이디어가 (실현)가능한지, 혹은 뭔가 만드는 최선의 방법이 무엇인지 며칠동안 토론하는 대신, 해커들은 차라리 그냥 프로토타입을 만들어 무엇이 잘되는지 확인합니다. 패이스북에서 자주 듣는 해커들의 만트라가 있습니다: "코드가 논쟁보다 낫다."
해커문화는 완전 개방적이고 실적 위주 입니다. 해커들은 최고의 아이디어와 최고의 구현이 늘 이겨야 한다고 믿습니다 -아이디어를 로비 잘하는 사람이나, 윗자리에 있는 사람이 아닌.
이 방법을 독려하기 위해, 우리는 모든 사람이 자기가 가지고 있는 새로운 아이디어를 만들어볼 수 있는 해커톤*을 몇 달마다 갖습니다. 마지막에 모든 팀이 함께 모여 만든 것을 들여다봅니다. 우리의 성공한 프로덕중 많은 것들이 이 해커톤에서 만들어졌습니다. 타임라인, 체팅, 비디오, 모바일 개발 프래임웍 그리고 HipHop컴파일러같은 중요한 인프라가 여기 포함됩니다.
우리의 모든 엔지니어가 확실히 이 방법을 공유하도록, 모든 새로운 엔지니어들은 -코드를 짤 필요가 없는 매니저들도 포함해서- 페이스북 코드베이스와 툴, 그리고 해커방식을 을 배울 수 있는 '부트캠프' 에 참가해야 합니다. 우리 분야에는 엔지니어들을 관리하지만 코드를 직접 짜고싶어하지는 않는 사람들이 많습니다. 하지만 우리가 원하는 사람은 이 부트캠프를 할수있고, 하고싶어하는 사람들입니다.
위의 사례들은 모두 엔지니어링에 관련되었습니다. 하지만 우리는 이 세가지의 원칙을 가지고 페이스북을 경영하는 다섯가지 핵심 가치로 만들었습니다.
1. 영향력에 대한 집중
우리가 최대의 영향력을 원한다면, 최고의 방법은 언제나 가장 중요한 문제점을 해결하는 데 집중하도록 하는 것입니다. 간단하게 들리지만, 많은 회사가 제대로 실행하지 못하는 부분이고, 그래서 많은 시간을 낭비한다고 생각됩니다. 페이스북의 모든 사람은 일할만한 가장 중요한 문제점이 무엇인지 찾는 데 뛰어나야 합니다.
2. 빠르게 움직일것
빠르게 움직여야만 우리는 더 많은 것을 만들고 더 빨리 배울수있습니다. 하지만 많은 회사들이 성장하면서 실수하기를 두려워하게 되고, 따라서 느려지고, 또 느려져서 많은 기회들일 잃게 됩니다. 페이스북에서 하는 말이 있습니다: "빨리 움직여서 망가뜨려봐" 만약 당신이 아무것도 망가뜨리지 않고 있다면, 당신은 아마도 충분히 빠르게 움직이고 있지 않다는 이야기입니다.
3. 대담할 것
위대한 것을 만든다는 건 모험을 한다는 것이다. 이건 겁나는 일이고 많은 회사들이 그떄문에 당연히 해야하는 대담한 일들을 못하게 됩니다. 그러나 지금처럼 엄청나게 빠르게 변화하는 세상에서 우리가 모험을 택하지 않는다면, 우리는 당연히 실패하게 되어있습니다. 우리가 하는 또다른 말이 있죠: "가장 위험한 일은 아무 위험도 감수하지 않는 것이다" 우리는 모두가 대담한 결정을 내리기를 격려합니다, 때로 그것이 잘못된 결정일지 라도 말이죠.
4. 열린 회사
사람들이 더 많은 정보를 가졌을때 더 나은 결정을 내릴수있고, 더 큰 영향력을 끼칠수있습니다. 그래서 우리는 더 열린 세상이 더 나은 세상이라고 믿습니다. 이것은 회사를 경영할떄도 마찬가지 입니다. 우리는 페이스북의 모든 사람들이 회사의 모든 부분에 있어서 최대한 많은 정보에 접속할 수 있도록 노력하고 있씁니다. 그래서 모두가 최고의 결정을 내리고 최대의 영향력을 끼칠 수있도록 말입니다.
5. 공적 가치를 세우기
다시 한번 말하지만. 페이스북은 더 열리고 더 서로 연결된 세상을 만들기 위해 존재합니다. 단지 회사를 만들기 위해서가 아닙니다. 우리는 페이스북의 모든 사람이 매일매일 하는 모든일에 있어서 이 세상에 진실된 가치를 어떻게 만들어 내는지에 집중하기를 원합니다.
시간을 내어 이 편지를 읽어 주셔서 감사합니다. 우리는 우리가 세상에 중요한 영향을 끼치고, 그 과정에서 오래 지속하는 회사를 만들어 낼 기회를 갖고 있다고 믿습니다. 우리가 다 같이 어떠한 위대한 것을 만들어 낼 것을 기대하고 있습니다.