The world of hacker
해킹?
일반인의 입장에서 해킹이란 정보를 조작하고 어디든 침입하고 시스템을 컨트롤하는 것을 가장 먼저 떠오를것이다. 나도 처음 그런 모습을 접하며 해킹에 동경을 했었고 이 세상에 발을 들이게 된것이다. 하지만 알아갈수록 여기는 참 오묘한 곳이고 정말 많은 것들이 담겨있다. 쉽게 말해 우리가 흔히 말하는 화이트 해커라고 했을 때, 해커가 의사와 같다면 이해를 할 수 있을까? 최근 해커의 세계와 의사의 세계가 공통점이 있다는 사실을 알게 되었을 때 무언가 깨달음이 생겼고 그것을 통해 해커의 세계를 좀 더 보여주려 한다.
Cybersecurity의 세상은 얼마나 넓을까?
해킹에 세계에 조금 발을 들이다 보면 이 세계가 얼마나 넓은지 알 수 있다. 정말 처음에는 상상 하지 못할 수준의 광범위한 세계이다. 가령 우리는 흔해 cybersecurity를 생각했을 때, 해킹 하나만 생각하지만 그 세계에는
- Offensive Security
- Defensive Security
- Security Architecture & Engineering
- GRC (Governance Risk and Compliance)
- Incident Response & Forensics
- Purple Team or DevSecOps 등과 같이 큰 부류가 존재하고, 그 안에 또 무수한 세부 갈래로 나눠진다. 예를 들어, Offensive Security 안에는 Red Team, Penetration Testing, Vulnerability Research가 있고 또 그 안에는 레드팀 경우 초기 침투 전문가, 내부망 이동 및 장악 전문가, 임플란트 및 도구 개발자, 탐지 회피 전문가, 물리적 침투 전문가 등으로 또 나뉘고, 펜테스팅의 경우 네트워크 해킹, 웹 해킹, 모바일 해킹, 무선 해킹, 클라우드 해킹, AI 해킹, 소셜 엔지니어링 해킹, 하드웨어 해킹 등으로 나눌 수 있고 나머지도 이정도 이상의 갈래는 나온다. 우리가 흔히 알 수 있는 모바일 해킹이라고 했을 때에도 iOS전문 해킹, 안드로이드 전문 해킹으로 나눌 수가 있고 포렌식에서만 보더라도 각 OS 버전 및 타입 별로 전문가가 따로 있다. Cybersecurity의 분야는 최소 100가지 이상의 전문 영역이 있고 그것만 하나 최정점에 찍기에도 시간이 엄청나게 필요할 것이다.
화이트 해커와 의사의 공통점
여기서 나는 Offensive Security, 그리고 그 중에서도 Penetration Testing의 영역으로 좁혀 얘기를 하고자한다. 왜냐하면 다른 영역은 또다른 특징을 지녔고 지금 내가 하는 영역이 이곳이기에 나의 현 상황 중심으로 해킹에 관해 생각을 하다보니 이런 생각이 미쳤기 때문이다. 나는 이제 의대를 졸업한 레지던트와 같은 느낌을 받고 있다. 아마 법대생들도 자신의 전문성을 결정하기 전에 이런 기로에 있는게 아닌가 싶다. 위에서 살짝 언급한 것과 마찬가지로 화이트해커에게는 각 전문분야가 존재한다. 마치 의사에게 있어서 외과, 내과, 성형외과, 피부과와 같은 느낌인것이다. 그리고 각각의 전문성 전에는 공통된 배움이 있다. 인간의 뼈대나 근육에 관해 배우는 것과 같은 이치이다. 화이트해커도 이와 마찬가지로 지금까지 정립된 몇가지의 공격법들이 있다. 그 공격법은 크게 나누면 12개 정도로 나뉠수가 있고 그 안에 또 세부적인 공격법으로 나가면 CWE기반으로 지금 대략 900여개의 정립된 공격법들이 있다. 하지만 장담컨데 대다수 10년 이상의 경력자들도 100-200개 이상의 공격법을 자세히 알지는 못할 것이다. 그리고 그 공격법은 또 다시 각각의 전공(네트워크, 웹, 모바일, iOT, wireless, AI 등)으로 나뉘고 그 안에서 또 다른 각자의 공격법들이 탄생하게 되는 것이다. 그리고 화이트해커에게는 각각의 프로덕트(웹 어플리케이션, 로봇 청소기, 모바일 앱, GPT5, 테슬라 오토 파일럿 등)이 환자인것이고 그 환자의 상태를 점검해보고 어떤 취약점들이 있을지, 그 취약점들은 잘 보호되고 있는지 알 수 있게 되는 것이다. 이것은 의사가 환자의 상태를 점검하는 과정과 흡사한 것 같다. 나는 화이트 해커의 깊이를 알기전까지 전혀 의사와 공통점을 찾지 못했는데 화이트 해커의 깊이를 깨닫는 순간 의사가 10년을 공부해야 전문의가 되는 것 처럼 화이트해커도 그 정도 수련의 기간이 있어야지 되는 직군이라는 것을 깨닫게 되었다. 의사와 달리 이러한 깊이를 일반인들이 잘 알지 못하기에 더욱이나 화이트해커의 수가 적고 그만큼 아직은 새로운 영역이라는 것이 맞는 것 같다.
웹과 모바일의 역사비교
의료의 역사는 수천 년에 달한다. 웹은 1990년대 초반에 나와 이제 겨우 30년이 조금 넘었고 모바일의 세계는 2007년 아이폰 등장 이후 15년정도 밖에 되지 않았다. 따라서 웹 해커 보다 모바일 해커가 더 적은 것이다. 그리고 그 깊이도 아직까지는 얕을 수 밖에 없다. 그와 동시에 이제 막 iOT, wireless, cloud, AI 해킹의 분야가 생기는 것이다. 정말 신생이다.
나의 선택
나는 아직도 나의 정확한 전공을 정한 상태가 아니다. 이 글에서 정말 작은 하나의 부분만을 다뤘다고 나는 생각하고 사실 너무 방대하게 길어질까 다른 분야를 적지는 않았지만 내 머릿속에는 정말 수백가지의 길이 보이고 있다. 그리고 내가 만약 리더가 된다고 했을 때에는 마치 내 시간을 피부과 전문의가 되기 위해 시간을 쓸 것인지, 병원장이 되기 위해 노력할 것인지에 대한 선택의 기로도 있다고 생각한다. 혹은 보건복지부 장관의 자리도 생각할 수 있을 것이다. 어느 구역에서 어떤 위치에 가고 싶은지 생각을 해야한다. 왜냐하면 모든 것을 할 수가 없기 때문이다. 그리고 내가 무언가를 할 때 그 결과를 생각하며 시간을 투자하고 싶다. 하지만 이러한 선택에 있어 또 깨닫는 것은 옛날 장군에 대한 비유이다. 만약 내가 창을 잘 다루는 병사였는데 어느날 전쟁에서 적군의 대장을 창으로 무찌르고 명성을 떨쳐 장군이 되고 백부장, 천부장이 되어 올라간 후 어느 순간 전장에서 싸우기보다 작전 지휘를 하며 직접 전장에 최전방에서 싸우는 것이 아니라 뒤에 존재하며 부대를 편성하고 훈련을 구성하는 지휘관으로 지낼 수 있을 것이다. 이것은 비단 해커의 분야뿐만 아니라 이세상 모든 분야에 동일하게 적용될 수 있는 이야기라 생각한다. 하지만 일반 대기업과는 결이 다른 것이 한국의 삼성과 같은 기업을 생각했을 때에는 부서도 마음대로 가지 못하고 어느 정도 영역안에서 열심히 하여 사원에서 사장이 되는 스토리를 듣게 되지만 지금의 나는 부서를 정할 수 있고 내 전공을 정할 수 있는 상태라고 생각한다. 이 전공으로 나중에는 의사가 개원을 하는 것 처럼 나의 스타트업을 시작할 수도 있는 것이다. 최종적으로 내가 되고 싶은 혹은 있고 싶은 자리에 있기 위해서는 필요한 역량이 다를 것이라 생각한다. 그 역량이라함은, 단순한 지식이 아니라 소프트웨어 스킬을 포함하는 말이고 어쩌면 직업을 떠난 인격에 대한 문제일수도 있다. 이 세상 많은 사람들이 자신의 삶을 어떤 방식으로 살지 정할 수 있다고 생각하지만 내가 있는 위치에서는 그보다 더 많은 선택지가 놓여있는 것 처럼 느껴진다. 너무 방대하다. 그리고 심지어 그 방대한 선택지들의 많은 길들이 너무 재밌고 기대되기 때문에 더 힘들다. 복에 겨운 고민이지만 동시에 이 선택이 큰 변화를 가져다주지 않을까 싶다. 왜냐하면 내가 한국에서 일하는 선택지와 미국에서 일하는 선택지, 그리고 음식점에서 일하는 선택지와 컴퓨터 분야에서 일하는 선택지, 그리고 의사의 비유로 들자면 산부인과 의사가 되는것과 성형외과 의사가 되는 것, 그러한 것들에는 차이가 분명 존재하기 때문이다. 뭐가 좋고 나쁘고가 아니라 차이는 존재하고 나의 가치는 어디에 두냐가 중요하다 생각한다. 그리고 이러한 선택지들 사이에는 돌아올 수 없는 강이 있다기보다는 서로 유기적으로 영향을 주기에 꼭 하나만 고집해야하는건 아니겠지만 그럼에도 내가 가는 길에 스스로 방향성을 알면서 가고 싶기에 어느정도 선택을 할 수 있다면 선택을 하고자 한다. 지금은 먼저 Offensive Security 분야를 큰 분야로 선택하고자 한다. 왜냐하면 애초에 해킹 분야에 시작을 그것을 상상하며 들어왔기 때문이기도 하고 내 실력으로 인류의 최정점을 찍는건 힘들겠지만 어느정도 실력은 찍고 싶은 열망이 있기 때문이다. 마치 내가 의사라고 했을 때, 전세계적으로 이름을 떨칠 의사가 되지 못하는 것은 이미 알고 있지만 그래도 적어도 우리 동네 병원에서만큼은 우리 병원에 온 환자들이 만족하고 다닐 수 있는 의사 수준은 되기를 바라고 내 가족이 아플때, 친구가 아플때 어느정도 조언을 줄 수 있는 실력은 갖추고 싶기 때문이다. 그리고 지금은 이미 그 전공 가운데에서도 모바일이라는 분야에 먼저 발을 들였지만 아직은 여전히 레지던트 입장이라 바꿀 수 있는 위치이고 스스로가 12개의 큰 뿌리를 다 배울때까지는 여러가지 분야로 나가고자 한다. 그리고 늘 머릿속에 꿈꾸는 것은 장군이 되는 것이다. 나는 리더가 되고 싶고 잘할 자신이 있고 그 일에 보람을 느끼기에 그 역량을 갖추고자한다. 역대 장군집에서 태어났기에 장군이 되어서 명성을 이어나갈수도 있지만 나는 전쟁에서 살아남고 업적을 이루어서 장군이 되어 내 부하들에게 존경을 받고 싶다. 그리고 나도 그러한 실력있는 장군들을 존경하고 있다. 그렇기에 나는 Offensive Security에서 실력을 키워가며 리더쉽이 되기 위해 노력할 것이고 12개의 정립이 완성되고 그 깊이를 파고 들 수 있는 실력이 되엇을 때에는 지금 생각으로는 과감히 가장 많은 영역에 깊게 영향력을 가진 전공, 지금으로는 AI가 강한 후보지만 클라우드, 모바일, iOT, 웹을 잘 비교해보고 선택하고자한다. 아마 앞으로 3-6년은 더 걸리지 않을까 싶다.