Knowledge & Free :D

 작년 말입니다.  

 제가 오랜 꿈을 가지고 Security 라는 분야를 처음 접했을때 정말 기뻤습니다. 비로소 제가 존경해왔던 해커라는 명칭에 한 걸음 다가간 기분이었습니다. 제가 했던 업무는 보안 컨설팅으로 웹 취약점을 리스트화한 것으로 진단하고 진단 결과에 따라 보완해야할 항목과 취약점을 수정하는 방법등에 대한 문서를 제공해주는 등의 일입니다. 해커라는 그냥 뜬 구름을 꿈이라는 단계까지 끌어내린게 작년 8월이니까 불과 2개월만에 노력의 결실을 얻은 것입니다.

 그 오랜 뜬 구름이 현실화된게 너무 기뻐서 2시간의 통근 거리도 하루에 3시간도 자지 않았던 강행군도 하나의 즐거움으로 다가왔습니다. 평소에도 잠시 긴장을 늦추면 깜빡깜빡 정신을 놓쳐버릴 정도로 항상 피곤했지만, 왠지 늘 미소가 지어졌습니다. 그렇게 한 두번의 진단을 해보고 프리젠테이션을 하고 대표님을 비롯한 선임분들의 지적과 충고를 들으면서 업무에 적응해가고 있었다고 생각이 들었습니다. 문제는 거기에 있었던거죠, 흠... 

 저는 제가 생각해도 다른 사람들과 매우 다르다고 생각되는 특이한 부분이 있는데, 어떤 분야든 어떤 것이든 접하고 익숙해지기 시작하면 너무 빠르게 그 이상에 도전하려고 한다는 것입니다. 그리고 그때도 제 그런 면이 어김없이 드러나기 시작했습니다. 단지 OWASP 10같은 리스트화된 항목을 제대로 적용할 수 있기도 전에 대충 어떤건지 알겠다 싶자 그 이상에 도전하고 싶어했습니다. 하필이면 시기가 좋지 않게 그게 대표님과 함께 파견을 나간 시기였던 것입니다. 대표님은 대단한 해커로 소문이 자자하신 분이었고, 저는 이제 시작하는 하룻강아지였습니다만, 그런 꼬꼬마가 주제도 모르고 파견나간 은행의 SSO에 취약점이 있는것 같아서 그 부분을 파고 있다고 말하고 있으니 얼마나 기가막히셨을지 지금 생각해도 무안해서 얼굴이 빨개질 지경입니다.

 하지만 그 때는 그런 생각은 들지 않았고, 오히려 사측에 섭섭했었습니다. 보안일을 하는 사람으로서 해커를 꿈꾸는 사람으로서 매번 아니 매일 더 발전하지 않고 언제까지 다른 사람들이 이슈화시킨 사항을 가지고 기계적으로 찔러봐야 하는 것인가 하는 회의가 들기 시작했습니다.

 그건 제가 생각하던 일이 아니었습니다.

 특별할 것 없는 경우에는 문제가 될 것이 없습니다. 리스트를 가지고 비교 대입만 하면 됩니다. 하지만 분명히 어떤 로직상에 문제가 있어서 특이한 경우에 문제가 발생함에도 그 점을 끝까지 파고 들지 않고 보고서를 늘리기 위한 항목을 뽑아내는데에 만족할 수는 없었습니다. 저는 그러니까 단 하나 바라는게 있었던 겁니다.

 "문제가 없다는 결론을 내리기 전까지 이 일에 매달릴 기회를 주시길 바랍니다."

 이런 생각을 입사한지 불과 2개월 된 신입이 하고 있었으니 자연 일이 손에 잡히지 않았습니다.

 그러던 중에 야간진단을 수행하게 됐는데, 새벽 4시에 깜빡 잠이 들었습니다. 저는 놀랐죠. 왜냐면 그 시간대에 자동진단 툴을 돌려놓았는데 이런 툴들이 엄청난 트래픽을 동반하기 때문에 서버에 문제가 생길 소지가 있기 때문입니다. 그리고 그 일이 눈앞에서 벌어져있었죠. 서버가 다운된겁니다. 다행스럽게도 기업규모가 대형이라 서버가 여러대가 있었고 주 도메인에 대해서 자연스럽게 로드밸런싱이 되고 있었습니다. 아무런 피해도 입지 않았고 별일 없었기 때문인지, 제게 아무런 책임도 묻지 않으셨습니다만 자세한건 잘 모르겠습니다. 왜냐면 그 때 제가 고민하는 일로 인해 업무에 소홀했다는 책임감이 느껴졌기 때문입니다. 보기에 따라선 그냥 실수라고 할 수도 있었지만, 제가 느끼는 생각은 그렇지 않았습니다.

 그래서 저는 그만두기로 결심했습니다.

 그만둘 결심을 하고 "후회하지 않을 자신 있냐?" 라고 자신에게 물었는데, "절대 후회한다." 라는 답변이 들릴 정도였지만 제게 기회를 준 회사를 개인적인 고민으로 해를 끼칠뻔했다는 생각은 결코 떠나질 않았습니다. 그래서 결국 떠나게 됐습니다.

 그 뒤 4월까지 머리를 좀 식히다가, 이제 뭘 좀 해봐야겠다고 생각이 들었고 그래서 시작한게 OS제작이었습니다. 

 OS 제작! 모든 컴퓨터 분야에 있는 엔지니어, 개발자 등이 한 번은 꿈꿨던 프로젝트가 아닌가 싶습니다.

 시기 적절하게 각종 책이 출판됐고 OS 개발이 패션처럼 유행인가 하는 생각이 들었습니다.

 그런데 OS제작에 들어가려면 기본적으로 알아야 할 것이 엄청나게 많습니다. 

 가장 기본적인게 어셈블리어였고, 어셈블리어를 이리저리 살펴보다가 예전에 잠깐 들었던 리버싱이란게 어셈블리어였구나 하는 생각이 들었습니다. ( 엄청나죠. 그때 책에 있던 그 명령어가 어셈블리어인 것도 몰랐습니다...; ) 어느정도 자신이 붙고 리버싱이란걸 한번 해보자 하고 이번엔 리버싱을 손댔죠. 아마 제가 포스트한 리버싱 1주일하고 쓴 Trojan 분석 글을 읽어보셨을지 모르겠습니다. 그 악성파일 샘플은 Custom Packing이 되어 있었는데, 쉽게 말해서 수제작한 실행압축기술을 사용한다고 보시면 됩니다. 마치 자동으로 압축이 풀리는 exe 파일처럼 말입니다. 

 이때도 여전히 제 머리속엔 Security 뿐이었습니다. 그리고 PoC란 곳에서 스터디 모임을 열어서 찾아가게 됐습니다.

 그런데 아주 우연한 기회에 where the hell is matt이란 동영상을 보게 됐죠. 아무 내용없이 한 남자가 나와서 이상한 춤을 추는 동영상입니다. 특이한 것은 남자가 춤을 추는 장소가 계속 바뀐다는 것 뿐입니다. 장소는 계속 바뀌고 바뀐 장소에서 사는 세계 각지의 사람들이 함께 나와서 남자와 함께 춤을 춥니다. 그 동영상은 계속 제 눈길과 머리 속을 지배했습니다. 생판 모르는 사람들이지만 이 남자가 온다고 하면 함께 모여서 춤을 춘다. 그리고 매우 즐거워 보인다. 

 뜬금없지만 전 이 동영상을 보고 충격을 받았습니다. 

 hacker 라는 사람들을 존경하게 된 이유는 이들이 아무런 사심없이 열정만으로 엄청난 업적을 이뤄내 지금은 그 업적의 혜택을 모든 사람들이 받고 있기 때문입니다. 맞습니다. 비단 해커라고 불렸던 사람 뿐만 아니라 훌륭한 위인들은 모두 마찬가지입니다. 자신들이 이룩한 업적으로 옳고 바른 방향으로 사람들에게 혜택을 줬습니다. 의도했든 하지 않았든 말입니다. 그래서 저는 무의식중에 "아~ 나도 대단한 사람이 되면 다른 사람들이 나로 인해서 어떤 도움이나 혜택을 받을 수 있겠구나." 라고 생각했는지 모릅니다. 아마 그랬을 겁니다.

 하지만 matt은 그 편견을 박살내버렸습니다.

 그는 단도직입적으로 말해서 훌륭하지도 대단하지도 않고,

 어떤 업적이나 연구결과를 낸 것도 아니며 빈민구제활동이나 봉사활동을 하지도 않습니다.

 그렇지만 그럼에도 그는 다른 사람들이 그로 인해 즐거워하고 기뻐하게끔 했습니다.

 그리고 그것은 세상에 어떤 다른 일보다 훌륭한 일이라는 생각이 들었습니다.

 "세상을 웃게 하고 싶으면 지금 네 가장 가까운 사람부터 웃게 하라."

 전 뭘 해온걸까요? 어째서 Zero-day같이 악의적인 크래커가 새 취약점을 찾아내기 전에 먼저 찾아내서 권고안을 낼 수 있는 실력을 갖추는게 해커로서의 당연한 일이라고 생각했을까요? 전혀 그렇지 않습니다. 새 취약점을 찾아서 해당 벤더가 패치를 내든 안내든 크래커들에게 항상 노출되는 사람들이 있습니다. 제 아버지도 그렇고, 또 동생도 그렇습니다. 대다수의 컴퓨터와 관계 없는 사람들이 그렇습니다. 그리고 서버측면에 보면 소규모로 보안에 신경쓸 수 없거나 그럴 능력이 안되는 업체가 그렇습니다. 그들이 컴퓨터에 대해서 조금 모른다고, 관심이 없다고 해서 공격의 대상이 되어서는 안됩니다. 저는 방향을 바꿔 대단한 업적이나 연구 결과를 내기보다 직접 실천하는 형태로서 악의적인 공격을 막는 일을 해서 조그마한 결실을 하나씩 거두자고 결심하게 되었습니다. 그 일이 바이러스/악성코드 분석 이었고, 당연히 공유 정신에 의해 무료로 백신을 공개하는 V3 와 알약이 떠올랐으며, 안철수 교수님에 대해 무릎팍도사를 통해 알게 되면서 안랩에 들어가고 싶다고 생각이 든 것 입니다.

 이상입니다.

 여전히 건방진 - 실력은 이제막 컴퓨터를 배우기 시작한 꼬마애와 그다지 차이가 없음에도 불구하고 - 

 생각을 하고 있습니다.

 20대 중후반을 바라보며, 주제넘은 꿈을 품었고... 그 꿈을 결국엔 이루지 못하더라도... 

 최소한 꿈을 꿨었노라고, 당당하게 말할 만한 노력을 하기로 2009년 7월 8일 수요일 새벽에 결심합니다.