I·HACK·YOU :  카이스트 해킹 동아리 GoN
박근우(카이스트 전산학 15) ,  정민규(카이스트 전기및전자공학 14), 박예슬(카이스트 전산학 15) , 이병학(카이스트 수학 13)

“저희는 해킹하지만, 해킹하지 않아요” 무슨 소린가 싶었다. 해킹 아닌 해킹? 2시간이 가까이 이야기 나누고 나서야 비로소 그 뜻을 알았다. 카이스트 해킹 동아리 GoN은 해킹의 무서운 힘을 너무나 잘 안다. 그래서 그 힘을 올바르게 사용해야 한다고 얘기한다. 다시 말해 해킹을 위한 해킹이 아닌, 해킹을 막기 위한 해킹을 하겠다는 말.

93년생 에디터보다도 더 어린 친구들이지만 훨씬 성숙하고 멋있게 느껴졌다. 그들이 지켜줄 미래의 보안망을 기대하지 않을 수 없었다.

박근우(카이스트 전산학 15) , 정민규(카이스트 전기및전자공학 14), 박예슬(카이스트 전산학 15) , 이병학(카이스트 수학 13)

2016년에 새로 뽑힌 회장이라 들었어요. 회장님께 GoN 소개를 부탁드릴게요.

민규  GoN은 대다수가 학부생으로 이루어진 카이스트 내 해킹 동아리예요. 40명 정도가 속해 있고 일주일에 한번 모여서 같이 해킹을 공부해요. GoN엔 전산학과뿐만 아니라 전기전자공학과, 수학과, 산업디자인과에 재학 중인 학생들도 있어요. 다양하게 교류하면서 친목도 다지고 해킹 실력도 쌓아요.

저마다 해킹에 관심을 갖게 된 계기가 있어요?

병학  저는 고등학생 때 카이스트의 이공계 캠프에 참여한 적이 있어요. 거기서 GoN 부원이 동아리 홍보하는 걸 봤어요. 곰플레이어에 닷지라는 미니게임이 있는데, 어떻게 하면 닷지를 안 죽게 하는 핵을 만드는지 시연하더라고요. 그게 재밌어보여서 계속 GoN을 생각해오다가 카이스트에 입학한 뒤에 바로 들어왔어요.

민규 전 일반계고 출신이라 그 전까진 전산이란 게 뭔지 잘 몰랐어요(해킹은 전산을 바탕으로 한다). 그런데 동아리 지원 마지막 날 포스터를 우연히 보게 됐고 하고 싶은 마음이 생겨 바로 지원했어요.

근우  저는 고등학교 졸업하기 2년 전부터 학교에서 코딩을 배웠어요. 원래 수학을 재밌어 했는데 코딩도 재밌었어요. 그래서 신입생 때 자연스럽게 GoN에 눈길이 갔어요.

예슬  고등학생 땐 경제학, 심리학, 영문학, 불문학을 배운 전형적인 문과생이었어요. 그렇지만 늘 보안 분야에 관심이 있었어요. 그래서 기초 지식이 없는 채로 일단 GoN부터 들어왔어요. 배로 노력해야 부원들을 따라갈 수 있지만, 알아가는 재미가 있고 신기한 것도 많아서 잘 들어왔다고 생각해요.

국제 해킹 보안 컨퍼런스 10주년 행사에서 한국팀 대표로 참석. 유일한 학부생 팀이었다.

GoN에서 하는 해킹은 뭐예요?
민규  저희가 아무 사이트를 마음대로 해킹하는 건 아니에요. 아직은 그럴 실력도 못 되지만, 불법이기 때문에 당연히 그래서도 안 돼요. 저희는 주로 문제를 풀어요. 해킹 대회에 나가면 취약점이 있는 어떤 프로그램을 문제로 주거든요. 그럼 저희는 취약점을 찾기 위해 그 프로그램을 공격하는 거예요. 보안 구멍을 찾는 거죠. 그렇게 할 수 있으려면 문제를 많이 풀어봐야 해서 주로 선배들이 지금까지 만들어 놓은 문제들을 바탕으로 같이 공부하고 있어요.

병학  고학번이 되거나 대학원에 가게 되면 외주 작업을 맡기도 해요. 업체에서 맡긴 프로그램의 보안 상태를 점검하는 일인데, 주로 시장에 나가기 전에 프로그램의 안정성을 확인하는 작업이에요.

작년 11월엔 국제 해킹 보안 컨퍼런스 POC의 10주년 행사에 GoN이 한국 대표로 초청을 받았어요. 이 행사는 어땠어요?
예슬 POC는 한국, 중국, 러시아에서 특별히 한 팀씩을 초청해 Belluminar(벨루미나)라는 대회를 진행했어요. 벨루미나에선 각자 팀들이 문제를 만들어와 서로 공유하고 풀어보는 경기를 했어요. 한국팀으로 나갔던 저희만 학부생이고 중국, 러시아에서 온 팀들은 대부분 전문 해커팀라 놀랐어요. 500명 정도의 국내외 해킹 전문가들이 모인 곳에서 보안에 대해 진지하게 토론해볼 수 있어 뜻깊으면서 뿌듯하더라고요.

혹시 대학내일 사이트(univ20.com)도 해킹할 수 있어요?
예슬  페이스북 페이지가 있는 건 알고 있는데, 사이트도 있었어요?! (……에디터는 말을 잇지 못했다.)

근우  당연히 그럴 수 없어요. 그러면 잡혀가요. 5천만 원 이하의 벌금형에 처하고.(웃음)

신입부원에게 가장 먼저 가르치는 건 ‘규모를 막론하고 어떤 대상도 함부로 해킹해선 안 된다’는 해킹에 대한 바른 인식.

발각이 안 되면 모를 수도 있는 거 아니에요?
민규  기록이 남아요. 공격 시도를 했다는 기록이요.

병학  기록까지 지울 수 있는 해커가 있을 수도 있어요. 하지만 공격을 시도한다는 것 자체가 불법이기 때문에 절대 해선 안 돼요. 저희는 신입부원을 받고 나서 가장 먼저 해킹에 대한 인식교육을 해요. ‘상대와 논의된 게 아니라면 그 어떤 해킹도 다 불법이다’, ‘규모를 막론하고 어떤 대상도 함부로 해킹해선 안 된다’ 이런 걸 가르쳐요.

최근 국제 해킹조직 어나니머스가 IS의 보안망을 해킹하며 그들의 이탈리아 테러 계획을 좌절시켰어요. 이건 어떻게 볼 수 있나요? 목적이 좋았다면 비난을 면할 수 있지 않아요?
근우  해킹은 허락받지 않은 접근이니까 상대의 동의가 없는 한 정당한 방법이 될 수 없어요. 그렇기 때문에 좋은 의도로 사용하고 싶다면, 공격을 목적으로 하지 말고 방어를 목적으로 해야 해요. 남의 시스템에 침입하는 게 아니라 내 시스템의 약점을 보완해 더 강화시키는 방식으로요. 그래서 어나니머스의 행동을 올바르다고 볼 수 없어요.

병학  NSA(미국국가안전보장국)의 활동과 어나니머스의 활동이 크게 다르지 않았다고 생각해요. 기록을 추적하고 네트워크에 침입해 무언갈 알아낸 거잖아요. 차이가 있다면 NSA는 실체를 가진 단체로서 통제 가능한 범위 안에 있지만, 어나니머스는 실체를 드러내지 않기 때문에 통제 불가능한 범위에 있다고 볼 수 있어요. 어나니머스가 지금은 IS를 적으로 규정했지만, 혹시 어느 날 그들과 연대해버린다면? 또는 이해관계를 달리 하는 국가를 공격대상으로 삼는다면? 그들을 컨트롤할 수 있는 방법이 없어요. 그들의 행위를 지지할 수 없는 이유예요.

찬바람이 들어오지 않게 창문의 틈을 메워주는 문풍지같은 역할을 하고 싶다.

그럼 좋은 해킹이란 상대의 동의 하에 문제점을 찾아내고 그걸 보완할 수 있도록 돕는 일이 되겠네요.

병학  그렇죠. 어느 프로그램이든 사람이 만들기 때문에 완벽할 수가 없어요. 그 틈을 파고드는 게 해킹이고 저희는 그 틈을 잘 메우는 일을 하고 싶어요.

예슬  예를 들어 창문이 있으면요. 찬바람이 안으로 들어오지 않게 창문의 틈을 메워주는 문풍지가 있잖아요. 딱 그거인 것 같아요. 보안을 위해 문풍지 같은 역할을 하고 싶어요.

해킹 동아리 회원이라고 하면, 친구들이나 가족들이 조심스러워 하지는 않아요? 본인 SNS계정을 해킹당할 위협을 느낀다거나.
예슬   위협을 느낀다는 사람 보다 부탁을 해오는 사람들이 많아요. 예를 들어 노트북을 집에 두고 왔는데 과제가 거기에 있을 경우, 자기 컴퓨터를 해킹해서 과제를 가져올 수 없냐고 물어봐요.

근우   아, 그리고 가끔 수강신청을 도와달라는 지인들도 있는데, 저희라고 수강신청 잘 하는 게 아니에요.(웃음) 그런 건 각자 알아서 잘 합시다!

Intern 손수민 sum@univ.me

Photographer 이서영