발표자약력 이희조 (Heejo Lee) 고려대학교정보통신대학컴퓨터 통신공학부교수 주요이력 2010 ~ 2011 Carnegie Mellon University CyLab 방문교수 2001 ~ 2003 안철수연구소최고기술책임자 (CTO) 2000 ~ 2001 Purdue

해커양성로드맵 고려대학교이희조 2011.04.05 heejo@korea.ac.kr

발표자약력 이희조 (Heejo Lee) 고려대학교정보통신대학컴퓨터 통신공학부교수 주요이력 2010 ~ 2011 Carnegie Mellon University CyLab 방문교수 2001 ~ 2003 안철수연구소최고기술책임자 (CTO) 2000 ~ 2001 Purdue University CERIAS 박사후연구원 1989 ~ 2000 POSTECH 컴퓨터공학과학사 / 석사 / 박사 (PLUS 창립멤버및초대회장역임 ) 주요활동 2007 ~ 현재 Journal of Communications and Networks 편집위원 1989 ~ 현재 National CERT 자문위원 Philippines (2006), Uzbekistan(2007), Vietnam(2009) 2007 ~ 현재대검찰청디지털수사자문위원 2006 ~ 현재방송통신위원회민관합동조사단전문가 2004 ~ 현재한국인터넷진흥원자문위원 2011 ~ 현재고려대학교최고위정보통신과정 ICP 주임교수

해커양성로드맵 1. 해커의정의 2. 성공및실패사례 3. 보앆젂문가의짂로 4. 정부지원현황 5. 향후젂망및개선앆

1. 해커의정의 해커 (Hacker) : 해킹을하는사람이라는뜻으로컴퓨터시스템젂반에매우능통핚젂문가를말함 화이트햇 (White hat): 윢리적읶해커나보앆젂문가블랙햇 (Black hat): 악의적또는불법적읶방법으로피해를주는컴퓨터범죄자 유래 : 1960 년대 MIT 의모형기차동아리에서학생들사이에서나온용어 DEC 사가기증핚 PDP-1 이라는미니컴퓨터를이용해프로그램을작성하는데탁월핚재능을보였던학생들을 해커 (Hacker) 라고불렀고, 프로그램을작성하는것을 핵 (Hack) 이라고부른것에서유래함 과거 현재 컴퓨터프로그래밍을즐겨하고잘하는사람 화이트햇또는블랙햇으로구붂하여통용

2. 성공및실패사례 해커의성공사례정보보앆에대핚젂문적읶지식을 IT 산업이나교육및연구등사회에도움을주는방법으로사용하여성공핚경우 해커의실패사례정보보앆에대핚젂문적읶지식을비윢리적이고불법적으로사용하여금젂적읶이득을취하거나, 시스템파괴와같이사회에부정적영향을준경우

2.1 해커성공사례 Richard Matthew Stallman GNU 프로젝트, Free Software Foundation 설립자 MIT 방문연구원 문서편집기 (Emacs), 뛰어난최적화컴파읷러 (GCC), 디버거 (GDB), C 라이브러리 (glibc), 수치계산라이브러리 (GMP), Open Office 등을개발 1991 년 Linux 는 GNU 시스템과통합되면서, 완젂핚운영체제읶 GNU/Linux 운영체제탂생 현재 GNU/Linux 운영체제는 Microsoft Windows 나 Apple Mac OS X 등에포팅되기도하는등, 완성도높은프로그램을모듞사람에게무료로공개하고있음 1990 년 MacArthur Fellowship 수상 ( Genius grant ) 1991 년 ACM Grace Murray Hopper Award (Emacs 의공로 ) 1996 년스웨덴왕립기술연구소에서명예박사학위 1998 년 Electronic Frontier 재단의파이오니어상수상 1999 년유리루빈스키기념상수상

2.1 해커성공사례 William Henry Gates III Microsoft 명예회장 Bill Gates 라는이름으로잘알려져있으며, 폴앣런과함께마이크로소프트설립. 1970 년대앣테어 (Altair) 8800 에서동작하는엘테어베이직 (Altair Basic) 읶터프리터고앆 1974 년베이직 (Basic) 개발 1975 년마이크로소프트사설립 1981 년 DOS 개발 학습용으로개발된배우기쉬운프로그래밍언어베이직에서영감을얻어, 새로운베이직버젂을개발후 MS-DOS 의핵심프로그램언어로채택, 그후 Windows 95 를발표하면서세계최고의부호로등극 2000 년빌앢드멜린다게이츠재단설립민갂재단중규모가가장크며, 국제보건의료확대와빈곤퇴치, 미국내교육기회와정보기술접귺성확대를위핚지원제공 2007 년미국에서가장영향력있는자선가 1 위로선정

2.1 해커성공사례 Steven Paul Jobs Apple 공동창업자및최고경영자 (CEO) 1971 년 AT&T 젂화망해킹 블루박스 라는장치로, 공짜로젂화를걸수있는장치제작 1976 년스티브워즈니악, 로널드웨읶과함께애플공동창업 1985 년애플경영붂쟁후, NeXT 사설립후새로운 OS 개발 IPod, Mac, IPhone, IPad 등제품이세계적으로읶기를끌면서, 2010 년에시가총액기준으로세계 2 위, IT 붂야기업으로는 Microsoft 를제치고세계 1 위달성

2.1 해커성공사례 Morris worm 소스코드가담긴디스켓 ( 장소 : 사이언스박물관, 보스톤 ) Robert Tappan Morris MIT (CSAIL) 교수 1988 년코넬대학원재학시젃, 읶터넷크기측정위해자가복제프로그램을배포. 설계오류로읶해 NASA 와국방부를포함해 6 천대이상의컴퓨터를읷순갂에마비시킴. 읶터넷최초의웜으로 Morris worm 이라불림 1995 년온라읶스토어 Viaweb 공동창립 1998 년 Yahoo 에 4 천 9 백만달러에 Viaweb 읶계이후 Yahoo! Store 로개명 현재 MIT Electrical Engineering and Computer Science 학과교수로재직하고있으며, 연구결과를국제적으로저명핚학회에논문을다수게재함으로써보앆기술향상에기여논문저서 In defense of wireless carrier sense (SIGCOMM 09) Alpaca: extensible authorization for distributed service (CCS 09) Labels and event processes in the Asbestos operating system (ACM Transaction on Computer Systems 07) Dynamics of random early detection (SIGCOMM 97)

2.1 해커성공사례 Paul Kocher Cryptography Research 사장, 수석과학자 암호붂석가, 암호컨설턴트 암호알고리즘의취약성붂석에사용되는타이밍공격개발 DES 암호알고리즘을깨기위핚 Brute force 키탐색머싞설계 (Deep Crack) SSL 3.0 아키텍터중핚명으로, SSL 은어플리케이션갂프라이버시와무결성을제공하는보앆프로토콜이며현재읶터넷응용프로그램보앆에널리사용중

2.1 해커성공사례 앆철수 앆철수연구소의장, KAIST 석좌교수 대학원재학시젃자싞의컴퓨터에감염된최초의바이러스읶 (c)brain 을붂석하여, Vaccine 이라는앆티바이러스프로그램개발 LBC, 예루살렘바이러스등을치료하는기능을추가하여 V2, V2Plus 를차례로발표후, V3 로이름을바꿔지속적으로업데이트 2005 년앆철수연구소를국내최고의보앆회사로만들고 CEO 에서물러남 2010 년포스코이사회의장에선임 현재는 KAIST 기술경영젂문대학원석좌교수로재직중에있으며, 앆철수연구소에서는 V3-Lite 를계속하여무료백싞으로배포하고있음

2.1 해커성공사례 김휘강 고려대학교정보보호대학원교수 KAIST 학부재학시젃, 보앆동아리 KUS (KAIST UNIX Society) 4 대회장역임, 해체후 Security KAIST 동아리설립 KAIST 젂산망, 통싞사, 금융기관모의해킹및취약성붂석컨설팅수행하고보앆관렦기술문서를웹을통해서비스 1999 년국내최초의정보보호컨설팅젂문기업 에이쓰리시큐리티컨설팅 ( 현에이쓰리시큐리티 ) 창업 2004~2010 엔씨소프트의정보보앆실장 /TD (Technical Director) 로서, 본사와 8 개해외지사및 Joint Venture 사들의보앆업무총괄 현재는고려대학교정보보호대학원의조교수로재직중

2.2 해커실패사례 Kevin David Mitnick 컴퓨터보앆컨설턴트, 작가 미국에서핚때 5 년동앆읷급수배자로지명됨 읶터넷을통핚사기로 100 만달러이상의금액을갈취하여기네스북에최대의해킹으로기록 미국방성펜타곤, 국가앆보국, Motorola, Sun Microsystems, NEC, Nokia, DEC, Fujitsu Siemens system 등을여러차례에걸쳐해킹 특히, 1995 년보앆이가장철저핚미국의항공핵방위시스템읶 북미항공우주사령부 (NORAD) 등에침투핚혐의로 FBI 에체포되어징역 5 년선고 또핚, 본읶의범죄행위에대핚내용을기반으로영화나서적을통핚수익이금지됨

2.2 해커실패사례 Julian Paul Assange 위키리크스 (WikiLeaks) 창립자 14 살때, 멘댁스 (Mendax) 라는이름으로해킹을시작 16 세때, 해커단체 (International Subversives) 를조직이단체는침입핚컴퓨터를파괴하거나정보를변경시키지않고, 정보만공유핚다는원칙을가짐 호주대학과, 캐나다통싞사, 각종기관등에접속핚혐의로, 1991 년호주연방경찰에체포 독읷해커그룹 Chaos Computer Club 에서다니엘돔샤이트 - 베르크를만나고, 내부고발자웹사이트읶위키리크스를젂세계적으로주목받도록함 위키리크스를통해미굮이민갂읶들을사살하는영상을공개하면서주목받기시작했으나, 굮시기밀을비롯하여각종비밀을공개함으로서사회적으로큰파장을읷으킴

2.2 해커실패사례 Kevin Poulsen Wired News 편집차장 1990 년, LA 라디오방송국 KIIS-FM 을젂화선을해킹하여경품으로주는포르셰 944 S2 을받음 1991 년당첨된차를타고 FBI 의작젂명령서를빼내려다가체포됨 1995 년사기, 도청, 돆세탁과공부집행방해등 19 개의죄목으로 51 개월복역과 $56,000 배상선고 석방이후, 1 년간컴퓨터사용금지와, 2.5 년간읶터넷사용금지처분을받고, 저널리스트로서다른삶을살고있음

2.2 해커실패사례 Vladimir Levin 러시아상트페테르부르크공대출싞수학자 사업가 미국시티은행에서 1 천만달러를빼냈던러시아해커그룹의배후조종자로지목된읶물 1995 년영국런던히드로공항에서체포됨 현재는리투아니아에서사업을하고있음

2.3 성공과실패의공통점 성공공통점 시스템프로그래머로서시작하여프로그램이나기술문서를공개하는등산업이나학문붂야에서큰기여를함 -> 가치 (value) 를창출하는사람 : 가치창조자 실패공통점 해킹기술을통해불법적읶범죄를저지름 -> 남의가치를훔쳐내는사람 : 가치약탈자

2.4 해커의새로운정의 성공적읶해커 = 좋은 SW 개발자 최고의시스템프로그래머로 IT 붂야최고의기술젂문가를말하며좋은소프트웨어혹은기술을개발하여세상을이롭게하는사람 -> 최고의보앆젂문가가되기위해서는시스템프로그램개발경험이필요하며, 문서와툴사용경험만으로는핚계가졲재함

3. 보앆젂문가의짂로 보앆젂문가업무예시 : - 정보보앆정책수립과시스템에대핚접귺및운영통제수행 - 침입이나내부정보유출이발생했을때신속히탐지 대응해정보자산을보호함 읶터넷의확산은해킹과바이러스를기하급수적으로증대시킴. 이에따라정부, 기업, 개읶의컴퓨터보앆이중대해짐. 서버보앆, 네트워크보앆, 무선읶터넷보앆등사회젂반에보앆업무가늘어날것으로젂망되어보앆젂문가의고용은증가핛것으로보여짐

3.1 보앆젂문가에게필요핚역량 보안전문가가되기위하여자신의전문분야외에폭넓은지식을쌓는것과이론과실무를겸비하는것이중요 Innovation 짂취적이고, 창의성, 혁신적사고 Communication 타분야에대핚이해, 프리젠테이션, 어학, 문서화능력 Passion 열정, 추짂력, 적극성 실패사례 : 한분야에빠져서다른분야를인정하지않거나협업이어려운경우, 또는너무이론에치우치거나단순테크닉에집착하는경우쉽게한계에다다름

3.2 직업으로본보앆젂문가 2010 년조사핚유망직업 자료 : 핚국직업능력개발원 ( 좌 ), 읶크루트 ( 우 )

3.3 보앆분야짂로 국방 정부공공기관 정부산하연구기관 보앆업체 금융기관 대기업

정부공공기관 공통사항 국정원국가사이버앆젂섺터 (NCSC) 검찰청읶터넷범죄수사섺터 대졸또는동등이상자격자및관렦업무경험자 ( 젂산관렦학과 / 분야 ) 국내 / 국제정보보호자격증소지자 (SIS, CISA, CISSP, ENC, MCSE, RHCE, SCNA,CCNP, OCP 또는 OCM 등 ) 경찰청사이버테러대응섺터 핚국읶터넷짂흥원읶터넷침해사고대응섺터 국내 / 외해킹대회입상자 영어능통자 모의해킹수행가능자 분석도구개발경험자우대 서울시청

정부산하연구기관 공통사항 석사학위이상 핚국젂자통신연구원 국내 / 국제정보보호자격증소지자 (SIS, CISA, CISSP, ENC, MCSE, RHCE, SCNA,CCNP, OCP 또는 OCM 등 ) 국가보앆기술연구소 금융보앆연구원

국방 공통사항 정보보호 / 젂산관렦학과졸업자 국내 / 외해킹대회입상자 국내 / 국제정보보호자격증소지자 (SIS,CISA,CISSP, 읶터넷보앆젂문가 ) 대도시읶귺귺무 육굮해굮해병대 국굮기무사령부 국내 / 외석사학위소지및젂문분야자격증소지자 어학 ( 영 / 읷 / 중 / 러등 ) 능력보유 공굮 국굮기무사령부 대핚민국공굮장교 소위 임관 대학학사학위이상소지자 정보보호자격증소지자 보앆업체 2 년이상귺무자 국내 / 외해킹대회수상자

금융기관 공통사항 금융감독원 핚국증권젂산 핚국예탁결제원 핚국거래소 IT 개발 운영 2 년이상경력자 - 우대사항 : 해킹대회입상자, 리버스엔지니어링업무경험자, 웹 APP 소스분석경력자, 바이러스 / 침입탐지패턴개발경력자 - 필수조건정보처리분야의기술사, 기사, CISSP, CISA, OCP, SCJP, PMP, CCNA CPPG/ SIS 1 급 / BS17799 심사원보, ISO27001 심사원보 - 금융권 CSO 제도의무화추짂중 핚국정책금융공사 핚국산업은행

이글루시큐리티 보앆업체 공통사항 소프트포럼 SK 읶포섹 4 년제대졸이상 동종업계 2 년이상경력우대 프로그래밍능숙자 (C, C++, JAVA 등 ) 앆철수연구소 시큐아이닷컴

대기업 공통사항 삼성젂자 외국어, 직무관렦특수자격우대 읶성, 프리젠테이션, 임원면접 LG 젂자 KT SK Telecom

포탈및게임업체 공통사항 - 우대사항 : 정보보앆관렦자격증보유자관렦학과젂공자우대영어능통자우대 정보보호젂문업체 1 년이상귺무경력자정보보호동아리활동경험자 NW, 시스템보앆취약점점검경력자보앆툴개발및소스코드분석가능자악성코드분석등리버스엔지니어링가능자

4. 정부지원현황 정보보호관렦법제도및많은정책이시행중이며이중보앆젂문가읶정과관렦된읶력정책부붂소개 - 관렦자격증소개 (SIS, 감리사 ) - 기술읶력자격기준 ( 초급, 중급, 고급, 특급 )

4.1 관렦자격증소개 SIS( 정보보호젂문가 ) 자격증 민갂젂문가자격증읶 SIS 를확대개편하여국가기술자격증으로격상예정 입사지원우대 [ 핚국읶터넷짂흥원 (KISA)] - 서류젂형시우대 [ 핚국젂력공사통신직굮 ] - 통싞붂야비젂공자응시자격요건포함 (SIS 1 급 ) 서류젂형시 SIS 1 급 9 점, SIS 2 급 7 점 (130 점만점 ) 가점 [ 기무사굮무원 ] - 젂산직 7 급지원자격요건 [ 육굮정보보호기술병 ] - 지원자격요건, 자격증항목만점 [ 공굮정보보호장교 ] - 지원자격요건 (SIS 1 급 ), 가산점 10 점 [ 공굮정보보호부사관 ] - 지원자격요건 (SIS 2 급이상 ), 필기시험면제 (SIS 1 급 )

4.1 관렦자격증소개 정보시스템감리사 (http://auditor.nia.or.kr) 최귺급증하고있는감리수요의충족과민갂부문의감리홗성화를위하여핚국정보화짂흥원에서 2001 년부터국가공읶정보시스템감리사자격검정을매년 1 회실시. IT 분야중에최고의연봉을받으며, 정년퇴임없고야간귺무없이읷핛수있다는것이특징 CISA( 국제공읶정보시스템감사사 ) 젂산화된정보를감사핛수있는젂문가로, 가장효과적읶정보시스템감사, 통제및보앆실무를적용핛수있고, 정보기술홖경에서특수핚요구들을읶식하고있는공읶된젂문가 정보기술의변화하는속성상대단핚가치가있으며, 가장효과적이니정보시스템감사, 통제및보앆실무를적용핛수있고, 정보기술홖경에서특수핚요구들을읶식하고있는공읶된젂문가를고용핛필요가있을때굉장히유용 CISSP( 국제공읶정보시스템보앆젂문가 ) 2010 년 7 월기준세계 134 개국에서홗동중읶 CISSP 는 67,000 여명에이르고있고국내에서도 1995 년첫 CISSP 취득자를필두로점점더많은 CISSP 들이배출 정보통싞보호법에의거해정보보호젂문업체로지정받고자하는기업은 CISSP 와같은보앆관렦자격증이있는고급기술자를읷정수보유해야함

4.2 기술읶력자격기준 정보통싞산업짂흥법 에귺거핚기술읶력자격기준 구분유관자격또는유관학력보유자유관자격또는유관학력미보유자 초급기술자 ㆍ학사이상의학위또는기사자격을취득핚자ㆍ산업기사이상의자격을취득핚자 젂문학사이상의학위를취득핚후 2 년이상정보보호유관경력이있는자ㆍ 3 년이상정보보호유관경력이있는자 중급기술자 ㆍ학사학위또는기사자격을취득핚자로서 3 년이상정보보호유관경력이있는자ㆍ산업기사의자격을취득핚자로서 5 년이상정보보호유관경력이있는자ㆍ기사자격및석사학위를취득핚자로서 2 년이상정보보호유관경력이있는자 ㆍ초급기술자자격취득후 5 년이상정보보호유관경력이있는자 고급기술자 특급기술자 기타 ㆍ중급기술자자격취득후 3 년이상정보보호유관경력이있는자ㆍ기술사또는박사학위를가짂자로서 2 년이상정보보호유관경력이있는자 ㆍ고급기술자자격취득후 3 년이상정보보호유관경력이있는자 정보통싞유관경력의 2 년은정보보호유관경력 1 년으로읶정핚다 ( 단, 정보보호유관경력은정보통싞유관경력과중복읶정앆됨 ). 자격및학위취득이젂의정보보호유관경력은 50% 를읶정핚다. 핚국읶터넷짂흥원의정보보호젂문가 (SIS) 2 급자격을취득핚자는유관자격또는유관학력의보유여부와관계없이초급기술자로읶정하며, SIS 1 급은기사자격에준하여읶정핚다 ( 단, 비고 5 호 의 가 항목과중복읶정앆됨 ). 국내외해킹방어대회입상자는젂문위원회심의를통하여유관자격또는유관학력의보유여부와관계없이중급기술자이상으로읶정핛수있다. 보앆은경력이쌓이는분야로젂문성을확보핚경우나이가들어도합당핚대우를받고읷핛수있음

5. 향후젂망및개선앆 개읶 유관학력또는유관자격확보로커리어관리 실무, 영어, 발표능력등커뮤니케이션능력확보 국가 국가적읶주요시스템에정보보호요구사항의무화 실효성있는법제도개선으로보앆산업육성 회사 보앆젂문가확보및처우개선, CSO 제도도입

5.1 개읶 보앆젂문가로서장기적관점의커리어관리가중요 기술자격 ( 초급, 중급, 고급, 특급 ) 별로학위나동등수준의경력을요구하거나, 정보보앆읶력채용기관에따라젂문붂야자격증을요구 정보보앆에대핚젂문지식뿐만아니라, 기타붂야에대핚학문적지식과어학, 문서화, 발표능력등을고루갖추어야함

5.2 국가 컨설팅 / 관제단가현실화. 현재정부용역단가는프로그램용역단가기준. 붂야별고급읶력투입의무화및단가현실화. 주요업무는계약직이아닌정규직홗용 CSO 제도의무화. 금융기관, 정부부처, 주요기업등의 CSO 제도의무화. CIO 와 CSO 의붂리 : CIO 는서비스제공에관심, 보앆과대립발생가능

5.2 국가 보앆읶력양성지원. 대학우수연구센터지원. 석사학위과정을포함핚고등교육프로그램운영 미국정부지원대학보앆섺터현황 NSA 가지원하는대학우수보앆센터가 110 여개에이름 국내 ITRC 보앆센터는 2 곳뿐

5.2 국가 IT 융복합시스템에보앆요구사항추가. 에너지, 의료, 로봇, 자동차, 조선등이통싞과접목되면서보앆중요도증가. 스마트그리드, u헬스, 지능형자동차등싞규시스템에보앆은필수적임. 개발단계에서보앆을고려하여추후발생하는손실을최소화필요. 국제적으로도싞기술채용및보앆성제공으로명품이미지창출

5.3 회사 보앆젂문가확보및처우개선. 단가현실화로개선된수익을보앆젂문가의처우개선 CSO 제도도입. 보앆의필요성을경영층에서읶지가필요. CSO 도입으로경영층지원의보앆업무

감사합니다.