국제해킹방어대회 '데프콘26 CTF' 본선경기가 8월 9~12일(현지시간) 미국 라스베이거스에서 진행됐다. 본선경기에 24팀이 참가했다. 지난 5월 온라인으로 예선경기를 치러 통과한 팀과 타 국제해킹방어대회 우승으로 자동진출 자격을 얻은 팀들이었다. 이들중 DEFKOR00T, C.G.K.S, koreanbadass, KaisHack+PLUS+GoN, 이 4팀이 본선에 진출한 '한국팀'으로 알려졌다.
대회는 DEFKOR00T팀의 우승으로 마무리됐다. 그 직후 한국 정부는 '세계 최고의 해킹방어대회 데프콘(DEFCON 26) 우승'이라는 제목의 8월 13일자 보도자료를 배포했다. 보도자료 본문 첫 문장은 이렇게 시작했다. "과학기술정보통신부는 '차세대 보안리더 양성 프로그램(Best of Best, 이하 BoB)' 수료생들이 세계 최고 권위의 해킹방어대회 데프콘에서 우승하였다고 밝혔다."
과학기술정보통신부는 이어지는 보도자료 본문에서 DEFKOR00T를 수차례 추가로 '한국팀' 또는 '한국 화이트해커 팀'이라고 표현한다. 그렇구나 했는데 알고 보니 잘못된 표현이다. 우승한 DEFKOR00T팀은 한국팀이 아니다. 여러 한국과 미국 소재 민간기업, 대학, 국가기관 소속 화이트해커의 연합팀이다. 굳이 특정 국가를 거명하려면 한미연합팀 내지 다국적연합팀 정도가 됐어야 한다.
통상 한국팀은 국제 스포츠 경기에서 특정 국적자 자격으로 참가한 선수들만으로 구성된 팀을 지칭할 때 쓰는 표현이다. 한국 국적을 보유한 선수들은 한국이라는 나라, 정부, 지역을 기반으로 실력을 키워 다른 국적 선수들과 경쟁하는 대표로 인식된다. DEFKOR00T를 한국팀이라 소개할 경우 타국 해커와 경쟁한 한국 해커 집단이라는 오해를 불러일으킬 수 있다.
정부가 DEFKOR00T팀을 굳이 한국팀이라 표현한 이유는 뭘까. 까다롭게 짐작할 게 없다. BoB 인재양성 지원사업 성과로 포장하기 위함이다. 보도자료는 이렇게 마무리된다. "BoB 교육과정은 교육 수료생들이 국제해킹방어대회에서 수상하는 등 세계적으로 교육 우수성을 인정받고 있는 최고의 교육프로그램으로 과기정통부는 증가하는 보안인력 수요 등을 고려하여 BoB 교육인원을 매년 확대해 나가고 있다."
보도자료에 담긴 메시지를 함축하면 이런 얘기다. '한국 정부(과기정통부)가 운영해 온 BoB 교육 프로그램의 수료생들이 뭉친 한국 화이트해커 팀이 세계적 권위의 국제해킹방어대회에서 우승하는 성과를 거뒀다.' 유수의 대회에서 실력을 입증한 이들의 공통분모가 순전히 한국 정부 지원 교육을 받은 사람들이니 그만큼 이 교육의 가치가 입증된다는 논리다.
정부 지원 교육프로그램 성과를 포장하려는 욕심은 오류를 불렀다. 과학기술정보통신부는 동일한 내용의 보도자료를 이례적으로 2차례 작성해 배포해야 했다. 최초 자료(☞바로가기)의 우승팀 구성원 명단과 그 인적사항에 중대한 오류가 발견됐기 때문이다. 정부는 먼젓번 자료에서 우승팀 DEFKOR00T 개요를 "BoB 수료생, 멘토 등 연합팀 (총 14명)"이라고 썼다. 이 내용은 사실이 아니었고, 다음날 수정된 자료(☞바로가기)가 재배포됐다.
수정된 자료는 DEFKOR00T 팀의 개요를 "기존 DEFKOR(BoB 수료생/멘토 및 오레곤 주립대 등으로 구성)과 R00TIMENTARY(조지아 공대)의 연합팀 (총 19명)"이라고 표기하고 있다. DEFKOR00T 구성원 가운데 'BoB 수료생'은 10명이다. 그 명단에 포함된 인원이 14명에서 19명으로 늘면서 추가된 멤버는 모두 미국에 거주 중인 현지 대학교 소속으로, BoB 수료생이 없었다.
이런 얘기다. DEFKOR00T팀 구성원 19명 중 BoB 수료생 10명과 이들의 스승격인 'BoB 멘토' 1명을 제외하면 8명의 배경이 BoB 교육프로그램과 무관했다. 그리고 하필이면 BoB 교육프로그램과 무관한, 미국 거주자 구성원들의 인적사항만 최초 한국정부 발표 자료에서 누락됐다. 누락된 당사자의 불만을 인지한 부처 담당자가 늦게나마 오류를 바로잡은 자료를 재배포한 게 그나마 다행이다.
데프콘26 CTF 우승팀 구성원 목록에서 미국 거주자 구성원들을 대거 누락한 상황은 실수나 해프닝으로 치부될 수 있다. 하지만 정부는 재배포된 보도자료 내용에서도 '한국 화이트해커 팀' 또는 '한국팀'이란 표현을 거두지 않았다. 우승팀 구성원의 상당 비중이 한국정부의 BoB 교육 프로그램의 수혜를 입었거나 그에 관여하지 않은 게 명백한 이들로 채워졌다는 점을 확인하고도 이를 놔둔 점은 유감스럽다.
관련기사
- "고교생 20명 등 차세대 보안리더 160명 탄생"2018.08.29
- 김용수 차관 "초연결시대, 보안인력 수요 크게 늘어"2018.08.29
- 국가대표 차세대 보안리더 10명 선정2018.08.29
- KITRI, 차세대 보안리더양성 프로그램 3기 개강2018.08.29
정부가 국제 해킹방어대회 우승을 순전히 한국 해커들만의 업적으로 만들려는 욕심에 눈이 멀어 실제 한국 해커들과의 '연합'에 응한 상대 구성원의 존재를 지운 꼴이다. 해커들 사이에서 한국 해커들과 협력하더라도 그 성취의 영광을 온전히 나눠 가질 수 없다는 인식이 생길까 걱정된다. 이는 앞으로 한국 해커들이 어느 미국뿐아니라 세계 어느 나라의 팀과든 협력하고자 할 때 발목을 잡을 수 있는 일이다.
BoB 사업을 지속하고자, 배출자의 활동성과를 부각시키려는 정부 의도를 탓할 일은 아니다. 다만 그 방식은 사업을 넘어 한국 화이트해커와 BoB 수료생들에게 보탬이 돼야 한다. 정부가 나서서 "연합에 함께 한 타국 멤버와의 협력으로, 한국 해커들이 3년만에 두번째 우승의 기쁨을 나눴다"고 하면 어땠을까. 결국 한국 해커들의 국제활동 성과를 촉진하고 BoB 교육의 위상도 높여 주지 않을까.