유난히도 무더운 여름, 40도가 넘나드는 사막 한가운데 라스베가스에서 세계 최대 보안 컨퍼런스와 해킹 대회인 Black hat USA(이하 블랙햇) 2023과 DEFCON 31(이하 데프콘)이 열렸습니다. 일반적인 학술대회와 달리 교육, 발표, 박람회, 네트워킹 등이 복합적으로 펼쳐지는 블랙햇은 처음인지라 이 기회에 글로벌 보안 트렌드에 대해 살펴보고, 핫한 연구 아이디어를 얻을 수 있을 것만 같은 느낌적인 느낌으로 잭팟이 터지길 기대하며 출장길에 올랐습니다. 라스베가스 공항에 도착하여 몸소 느낀 사막의 온도는 너무나 뜨거웠으나 건조한 공기 탓인지 땀이 거의 나지 않아 출장 전 한국에서는 느끼지 못하는 신기한 경험이었습니다. 황량한 사막에 있는 라스베가스는 화려한 네온사인과 전 세계의 유명 건축물을 모티브로 하여 만든 호텔로 채워져 다소 이질감이 느껴졌고, 길목마다 이어지는 카지노의 반짝임은 세계 최대의 보안 컨퍼런스가 열리는 장소가 과연 맞는지 의구심을 갖기에 충분했으나, 블랙햇 행사장에 가까워지고 실제 행사장에 발을 들이자마자 수많은 사람들을 보고 우리가 제대로 블랙햇에 왔구나 하는 생각이 바로 들었습니다.
그림 1. 라스베가스 도시 전경(좌)과 블랙햇 행사장 입구(우)
Black hat USA 2023
블랙햇은 크게 보안 관련 교육을 들을 수 있는 트레이닝 세션과 연구 내용 발표, 해킹 사례, 보안 관련 정책 등을 발표하는 브리핑, 세계 보안 관련 기업에서 참가하는 비즈니스 홀로 구성되어 있습니다. 이틀간(8.7~8.8)의 일정 동안 해킹 관련 공격/방어, OSINT 수집, 소프트웨어 리버싱 등 다양한 주제들로 이루어진 트레이닝 세션은 상당한 비용과 함께 사전에 신청한 경우에만 참가할 수 있었습니다. 실제 교육에 참여한 우리는 교육 주제와 레벨에 따라 내용은 상이했지만, 2일간의 짧은 교육 일정으로 기본적인 해킹/방어/OSINT 도구의 활용법부터 시작하여 전문적인 내용을 모두 설명하기엔 시간이 부족하다고 느끼며 다소 아쉬움을 가졌습니다. 그럼에도 불구하고 특정 분야별 해킹 기술에 대한 전문적인 교육을 받을 수 있어 그것만으로도 의미가 충분하였습니다.
Azeria Labs의 설립자인 Maria Markstedter의 키노트 발표로 시작된 브리핑에선 세계 최대 보안 컨퍼런스라는 타이틀에 걸맞게 어마어마한 수의 사람들이 여러 발표장을 돌며 발표를 들었습니다. 특히 키노트 강연장은 비행기 격납고만큼 커다란 행사장이였지만 대부분 꽉 채워졌고, 취재를 목적으로 촬영하는 사람들도 많이 볼 수 있었습니다. 블랙햇에선 일반적인 학술대회와는 다르게 각 세션마다 촬영을 진행하였는데, 발표자를 소개하는 시간에 음악과 조명이 섞이며 마치 토크쇼와 같은 느낌을 받을 수 있었습니다. 실제 발표자들은 자신이 블랙햇에서 발표하게 되어 영광이라는 말을 시작으로 발표를 이끌었고, 사람들도 발표를 듣고 데모를 시연할 땐 같이 크게 환호함으로써 모두 하나가 되는 것처럼 느꼈습니다. 국내에서도 많은 학회와 박람회에서 발표를 들을 수 있었지만, 이렇게 발표자와 참석자 모두 열정적으로 참여하는 것을 보고 문화적 충격과 감탄 그리고 매료되었다는 표현이 절로 나왔습니다.
그림 2. 키노트 발표장에서의 수많은 인파(좌)와 로그 취약점에 대해서 발표하는 해커(우)
키노트를 포함한 여러 발표에서의 최대 화두는 단연 AI와 그에 대한 보안이었습니다. 첫 번째 키노트 발표에서도 ChatGPT와 같은 LLM(Large Language Model)의 등장으로 특정 서비스를 제공하는 것에서 벗어나 다양한 목적으로 폭넓게 사용될 수 있는 시대가 되었고, 인공지능의 경쟁이 더욱 가속화될 것이라고 이야기하였습니다. 이에 반하여 성능 향상에만 열을 올리며 보안에 신경 쓰지 않는 실태를 꼽으며 기술적인 측면에서 위험성을 평가하고 보안을 강화해야 한다는 주장도 함께하였습니다. 키노트 세션 이외에도 해킹 봇을 학습시키지 않는 방법, Active Directory 기반 bing.com 해킹 방법, Tesla 자동차 해킹 등 AI 관련 서비스나 제품에 대한 해킹 기술에 관한 발표가 참여한 사람들의 이목을 집중시키기에 충분하였습니다.
또 다른 이슈로는 사회적 인프라에 대한 보안이었는데, 러시아-우크라이나 전쟁을 통해 사이버상에서의 공격 행위가 세상에 드러남에 따라 사회적으로도 큰 충격을 받았고, 이에 블랙햇에서도 인프라에 대한 방어 기술이 크게 부각되었습니다. 우크라이나의 사이버 방어로부터 배울 수 있는 점에 대해서 논의한 키노트에서는 미국 CISA 국장, 우크라이나 특수 통신 및 정보보호국 부회장이 참여하여 사이버상에서 발생한 공격과 대응 방안에 대하여 논의하며 사이버 공격에 대한 안정성 확보와 대응 전략의 중요성을 논하였고, 국가 간 파트너쉽과 함께 공동 대응 노력의 필요성을 논하는 자리가 마련되었습니다. 이외에도 다른 키노트와 세션에서도 사이버보안 정책에 대하여 논하며 방어 가능 시스템 구축의 필요성, 사이버보안 전문 인력 양성과 교육, 법률에 대하여 중요성을 강조하는 발표를 하였습니다.
블랙햇 브리핑은 보안과 관련된 전반적인 주제를 다루기도 하지만 특정 제품 혹은 소프트웨어의 결함에 대해서 직접 해킹하여 시연하기도 하고 취약점에 대한 논의도 다루어지는데, 이런 발표에는 사회적으로 인지도가 있는 사람뿐만 아니라 해커, 학생, 연구원 등 다양한 사람들이 발표를 하였고, 한국인으로는 유일하게 국가보안기술연구소의 한승훈 연구원이 CFI의 취약점에 관한 발표하였습니다.
블랙햇 비즈니스홀은 전 세계 유명 보안 기업의 화려한 집합소라 할 수 있었습니다. IBM, Cisco, Darktrace, VMware 등 유명 IT 및 산하 보안 기업에서 참가하였고, 한국에서는 유일하게 Sparrow에서 참여하며 자리를 빛냈습니다. 국내에서는 ISEC과 같은 국제 보안 컨퍼런스에 수많은 기업들이 참석하지만, 블랙햇처럼 큰 행사장과 부스를 본 적은 없어 적잖게 놀라웠습니다. 실제 행사장은 너무나 큰 나머지 발에 물집이 잡혔고, 중간에 길을 잃기도 하는 경험을 하였습니다. 크기와 더불어 화려한 행사도 다수 열렸는데, 한쪽에서는 Cyber를 주제로 랩 배틀을 펼치는가 하면, 한쪽에서는 F1 차를 전시하며 사람들의 이목을 집중시켰습니다. 또한, 수많은 기업들은 음식과 음료, 기념품을 무료로 제공하고, 게임이나 추첨 등 다양한 이벤트를 통해 경품을 나눠주는 등으로 기업을 홍보하는 자리를 가졌습니다. 특이한 점은 블랙햇 행사 시간이 끝난 후에 기업측에서 위스키나 와인 파티 같은 이벤트를 별도로 진행하는 모습은 국내 컨퍼런스에서는 경험할 수 없는 이벤트였습니다. 브리핑에서와 마찬가지로 비즈니스 홀에서도 AI가 최대 이슈이자 제품의 주요 키워드였고, 많은 솔루션들이 AI를 기반으로 위협 탐지 및 대응 기능을 제공하였으며, 발표 세션에서도 AI를 활용한 기술이나 SaaS, GPT 등 최신 트렌드에 맞춘 주제를 가지고 논하는 자리가 많이 만들어졌습니다.
그림 3. 비즈니스 홀 전경(좌) 및 F1 차를 전시하는 부스(우)
DEF CON 31
세계에서 가장 유명하며 어려운 것으로 정평이 나 있는 해킹 대회인 데프콘은 보안 전공자에겐 매년 큰 관심을 불러올 만큼 대표적인 대회입니다. 한국에선 매년 우수한 성적을 거두고 있고, 작년에는 국내 보안 기업과 미국, 캐나다의 연합팀이 우승을 하였기에 올해도 좋은 결과가 있기를 바라며 대회를 참관하였습니다. 데프콘은 해커들을 위한 대회이자 컨퍼런스이기에 다소 특이하고 시선을 끄는 사람들이 많이 보였습니다. 뱃지부터 일반적인 학회와 다르며 전자 기판이나 LED를 뱃지 또는 몸에 붙이고 다니는 사람, 로봇팔을 몸에 장착하고 다니는 사람, 여자인지 남자인지 모르게 현란한 옷들로 치장한 사람 등 참여한 사람들만 관찰해도 심심치 않을 정도로 볼거리가 많았습니다. 자유로운 사람들이 모인 만큼 행사장도 굉장히 활발하고 즐거운 분위기였는데, 올해는 IoT, Bio, AI, Aerospace 등 여러 가지의 주제들로 Village가 만들어져 직접 기계나 소프트웨어를 해킹하는 행사가 열렸으며, 최신 주제뿐만 아니라 투표 기계, 라디오 등 옛 물건에 대한 해킹 콘테스트도 열려 매우 신선한 이벤트였습니다. 한켠에서는 DJ들이 음악을 틀고 음식을 먹으며 즐기는 공간도 만들어져 정말 단순한 해킹 대회가 아닌 이 시간을 즐기기 위해 참여하고 있음을 알 수 있었습니다.
그림 4. 해킹 콘테스트에 참여하는 모습(좌) 및 DJ의 음악을 들으며 휴식을 취하는 모습(우)
각 Village에서 해킹 콘테스트가 열리는 한편 한쪽 강의실에서는 데프콘 커뮤니티 회원들이 만든 기술을 발표하는 데모랩이나 키노트 발표가 이루어지고 있었고, 해킹 콘테스트뿐만 아니라 학술적인 발표도 함께하며 사람들의 흥미를 끌만한 해킹 관련 세션들도 열렸습니다. 메인 행사인 데프콘 CTF에서는 작년 우승팀이 다시 한번 우승을 거머쥐어 한국의 위상을 다시 한번 알릴 수 있었는데, 연합팀 이외에도 4등, 8등 모두 한국팀이거나 연합팀으로 전 세계 보안/해킹 분야에서 한국의 위상을 다시 한번 느낄 수 있었습니다.
정복하자!! 3+2 버거
블랙햇과 데프콘을 참관하는 것 이외에도 우리는 또 다른 목표가 있었는데, 그것은 미국의 3대 버거를 정복하는 것이었습니다. 첫 대상으로 인앤아웃 버거를 택하였습니다. 미국에 도착하고 첫 식사로 정했기에 큰 기대감으로 오랜 기다림 끝에 마주한 인앤아웃 더블버거, 두 장의 패티는 그릴에 바싹 구워져 있었고, 치즈는 적절히 녹아 스며들어있었습니다. 한 입을 베어 문 순간, 진한 육즙과 치즈의 향으로 이것이 미국의 맛이구나 라고 깨달을 수 있었습니다. 두 번째 정복대상, 쉑쉑버거. 사실 쉑쉑버거는 이미 한국에서 접해봤기 때문에 큰 기대를 하지 않고 있습니다. 어느 정도 몸의 피로도 있었기에 기나긴 줄을 서야 하는 상황이 원망스럽기도 했었지만 이는 큰 실수였습니다. 미국에서 먹는 버거는 한국에서 먹는 것보다 소고기 육즙의 향이 더 강했고, 진한 치즈향이 감미로웠습니다. 특히 밀크쉐이크는 조금 더 진한 우유향과 단맛이 잘 어우러져 버거의 맛을 최상으로 끌어 올리기에 안성맞춤이었습니다. 마지막 정복 대상, 파이브 가이즈는 인앤아웃, 쉑쉑과 달리 스트릿 외각에 위치하고 있었습니다. 호일에 쌓인 버거는 어릴적 빵집에서 사먹던 햄버거가 아닐까 하는 착각을 불러왔지만 맛은 앞선 두 가지의 버거보다 더욱 깊음을 한입으로 바로 알아차릴 수 있었습니다. 호일에 갇힌 열기로 인하여 치즈는 정말 진하게 녹아있었고 앞선 버거들보다 큰 크기를 자랑하고 있었으며, 땅콩기름을 쓰는 것으로 유명한 감자튀김은 가장 고소하고 맛있었습니다.
그림 5. 인앤아웃 버거(좌), 파이브가이즈(우)
이걸로 끝인 줄 알았던, 혹은 바랬던 정복기는 추가대상이 있었습니다. 그것은 고든램지 버거와 해빗(Habit) 버거였습니다. 고든램지는 워낙 유명한 식당이었고 국내에서 오픈했지만 직접 경험해보진 못해서 아쉬웠는데 직접 맛본 결과, 이것은 햄버거라기 보다는 요리에 가까워서 가히 충격적이었습니다. 가격대가 저렴하진 않았지만 속재료와 소스의 적절한 조화가 일품인 요리였다고 평가하고 싶습니다. 마지막으로 해빗은 우버 기사의 추천을 받은 햄버거로, 정말 햄버거가 지겨워 포기 직전의 상태로 방문하였지만 다들 의외라는 반응으로 즐겼습니다(아마도 마지막이라는 생각과 함께). 3대 버거의 경우엔 이 모두가 비슷한 치즈버거라고 느낄 수 있으나, 분명 그 안에 패티, 치즈향, 소스, 버거번에 차이가 있었고, 이 차이점을 글로 표현하기엔 어려워 직접 먹어보고 경험하시길 추천합니다 ㅎㅎㅎ
글을 마치며
블랙햇은 세계 최대의 보안 컨퍼런스라는 타이틀에 걸맞게 엄청난 스케일과 이벤트, 다채로운 사람, 기업들이 자리를 빛내는 장이었습니다. 보안, 해킹과 관련된 발표들이 주를 이뤘고 전 세계 IT 트렌드에 발맞춰 AI, GPT, 사이버전에 관한 논의가 이뤄지는 모습을 보며 지금 하고 있는 연구에 대한 생각을 다시 한번 고취시키기에 충분하였고, 연구 방향성에 대해서 고심할 수 있었습니다. 또한 언젠가 블랙햇에서 발표하는 날을 상상하며 연구에 더욱 매진하고자 마음먹는 계기가 되었습니다. 데프콘은 참여한 많은 사람들이 여러 형태로 그 장소와 이벤트 그리고 그 시점을 즐기고 있다라는 느낌을 받았고, 정말로 다양한 사람들이 존재한다는 것을 새삼 깨닫게 되는 자리였습니다. 출장 전의 기대감과 출장 시 흥분을 뒤로 하며 이 글을 마치겠습니다.
KAIST 사이버보안연구센터 사이버범죄분석팀 팀장으로 악성 웹사이트 및 유해사이트 탐지 연구를 주로 수행하고 있으며, 관심 분야는 데이터 수집과 분석, 인공지능, 기계학습이다.