해커 아닌 해커들에게

얼마 전에 나름 랭커라는 애를 만났다. 나이는 이제 고등학교 정도, 디미고 같은 정보고를 다니고 있었고 학교에 대한 자부심도 제법 대단했다. 현재 국내 CTF도 휩쓸고 다니는 애였다. 그런데 막상 만나보고 실력을 파악해보니 안타깝지만 형편없었다. ELF라든지 바이너리에 대한 이해가 뛰어난 것은 맞았다. 시스템 전반에 대한 메커니즘 이해도 훌륭한 편이었다. 그러나 너무 문제 풀이, 대회 위주에 지나치게 치우쳐 있었다. 단적인 예로 이 아이에게 특정 서비스와 실제 서버를 두고 해킹하라는 미션을 주었다. 합법적인 범위 내에서 허가된 해킹이었고 실전이었으니 수준도 적당하고 합리적이었다. 결과는 어땠을까? 이 친구는 단 하나도 해킹하지 못했다. 이 친구의 기교는 제법이었지만, 실제 해킹은 불가하였다. CTF로 국내 대회 씹어먹는다는 친구가 맞나...? 의문이 들었다 더 재밌는 점은 이 친구는 전공공부(정보고니까)도 잘 못하는 친구였다. 특정 관심 있는 건 잘했지만, 기본 중의 기본인 수학 영어에 대한 이해도 너무 낮은 수준이었고 여러 컴퓨터 기반 전공 지식들 역시 개판이었다. 이 친구는 말 그대로 CTF들만 풀면서 여러 비슷한 기법들을 통해 거기서 거기인 문제들을 빨리 풀어서 등수 올리는데만 중독되어 있었다. 컴퓨터 전공 지식, 수학과 영어든, 기본기는 없었다. 

그리고 누군가는 tryhackme를 페이로드나 컴퓨터 언어에 대한 이해, 분석 없이 그냥 그 과정말 일일이 손으로 따라서 치며 푼다고 들었다. 뭐 그럴 수도 있다는 생각은 들었지만, 장기적인 관점에서 볼 때 이건 정말로 해커의 길로 가고 싶다면 하면 안 되는 일이다. 실전 해킹을 해보고 실제로 하나하나 분석을 해보고 그 바이너리와 메커니즘 등을 자기 것으로 만들어봐야 자기 실력이 된다. tryhackme가 워낙 친절하게 하나하나 다 가르쳐주기 때문에 정말 쉬운 방식으로 공부할 수 있다. 그러나 실제 그 분석은 누가 대신 해주는 것이 아니다. 본인이 스스로 자기만의 방식으로 혼자서 해나가야 유의미한 실력이 된다. tryhackme에 그냥 겉모습만 똑같이 손으로 따라치고 실제 분석과 컴퓨터 언어 사용을 게을리 한다면, 그건 정말 잘못된 길이다. 위의 두 사례는 달라보여도 상당히 비슷하다. 한쪽은 실제 당구가 아니라 내기 당구에만 혈안이 되어 있고, 다른 한쪽은 바둑 대신 알까기에 심취해있다. 제발 실전이 되는 해킹과 실전이 되는 분석을 해라... 제발 그래야만 본인이 해커가 될 수 있다.