[디지털데일리 이민형기자] “고등학교를 졸업하면 마음 맞는 친구들과 보안이나 해킹과 관련한 벤처기업을 하는 것이 꿈입니다.”

4일 보안컨퍼런스 ‘코드게이트2013’에서 기자와 만난 ‘학생 해커’들은 입이라도 맞춘 듯 ‘보안 스타트업’이 꿈이라고 말했다.

이재일 군(함지고 2)<사진>는 “인터넷 사이트에서 주민번호를 인증하는 과정에 취약점이 많은 것을 알아냈다. 이를 분석하는 과정이 너무 즐거워 진로를 화이트 해커로 잡게됐다”며 “특히 남들이 가지 않는 길을 가고있다는 점이 큰 매력으로 다가왔다. 고등학교 졸업 후 사이버보안 관련학과로 진학하거나 보안 스타트업을 시작할 것”이라고 말했다.

이 군은 이번 코드게이트2013에서 ‘주민번호의 취약점’과 주민번호 생성 알고리즘에 대해 발표해 주목을 받았다.

주민번호 생성에 대한 공식과 알고리즘은 많이 알려져 있으나 이 군이 개발한 알고리즘은 매칭 확률을 크게 높인 것이 특징이다.

이 군은 누구라도 이름, 생년월일, 출생 등록지를 알 수 있다면 150회에서 400회의 시도만으로도 온전한 주민번호를 알아낼 수 있는 알고리즘을 만들었다.

이 군은 “주민번호 각각의 자릿수의 의미를 역으로 분석했다. 분석 결과 주민번호와 이름을 매칭할 수 있는 최소한의 알고리즘을 개발했고, 이는 현실에서도 적용이 가능했다”고 설명했다.

이어 “이 취약점을 해결할 방법도 생각해뒀다. 주민번호 인증시스템에 일정 시간내 지속적으로 주민번호 입력이 들어올 경우 이를 차단해야 한다”고 덧붙였다.

이 군은 해당 취약점에 대한 보고서를 만들어 한국인터넷진흥원(KISA) 인터넷침해대응센터에 신고할 계획이다.

이 군은 “취약점 발견, 보완은 제 해킹 실력 향상과 용돈 확보라는 두마리 토끼를 한번에 잡을 수 있는 것 같다. 앞으로도 해킹에 대한 공부를 지속해 나감과 동시에 학업에도 소흘하지 않겠다”고 말하며 웃음 지었다.

아울러 이날 지금까지 발생한 지능형지속가능위협(APT) 공격에 대한 체계적인 분석을 한 손건(미금중3) 군<사진>도 참관객들의 주목을 받았다.

손 군은 “APT는 세트메뉴라고 생각한다. 스파이웨어처럼 정보를 뽑아오기도 하고, 다양한 경로를 통해 전파하고, 트로이목마처럼 잠복기간을 갖는 악성코드도 있다”며 “이를 막을 수 있는 방법은 다양하겠지만 주기적인 보안관리와 인력관리가 필요한 것 같다”고 말했다.

그는 국가 사이버 안보를 화이트 해커가 많이 필요하다고 주장하며 이를 위한 교육기관이나 과정이 필요하다고 강조했다.

손 군은 “해킹공부는 독학으로 했는데, 때때로 큰 장벽을 넘지 못한 경우가 많았다. 해커스쿨과 같은 인터넷 커뮤니티를 통해 해결하기도 했지만 접점이 많지 않다는 것을 느꼈다”며 “초기 장벽을 넘을 수 있는 교육과정이 있다면 많은 도움이 될 것으로 생각된다”고 설명했다.

그 역시 보안 스타트업을 꿈꾸고 있었다. 손 군은 “과거 해커출신으로 보안벤처를 창업한 선배들을 언론을 통해 목격했다. 고등학교를 졸업하고 가능하다면 뜻이 맞는 친구들과 창업할 것”이라고 말했다.

<이민형 기자>kiku@ddaily.co.kr