[캐나다] 밋업을 운영하는 해커

신념을 가진 사람들을 존경하게 된 사연

사람은 당연하게도 본인의 기대 효용이 커지는 선택을 한다.

어떤 의사결정을 할 때, 내게 예상되는 이익이 예상되는 손해보다 크면 그 방향을 선택한다.

예컨대 '봉사활동'을 하면서 느끼는 보람이 더 크다면 기꺼이 내 시간과 에너지를 쓸 수 있는 거다.

(물론 나처럼 별로 계산하지 않고 그냥 하고싶은대로 선택하는 사람도 있다)

이게 첫 회사에서 나의 멘토였던 에디터님이 '해커들이 왜 해킹을 하는지' 설명하면서 강조했던 진리이다.

더욱 정확히는 '블랙 햇 해커(black hat hacker)', 우리가 생각하는 그 나쁜 해커들 말이다.

그들에게는 개인정보를 탈취하거나 피싱 등으로 얻게 될 '수익'이 범죄 사실이 발각되어 벌금을 물거나 구형을 당하는 '손해' 혹은 그렇게 될 '리스크' 보다 더 크니까 해킹을 하는거다.

그렇다면 화이트 햇 해커 혹은 화이트 해커들은 왜 '지키는', '보안을 강화하는' 일을 할까?

IT 시스템에 구멍이 있진 않은지, 모의 해킹을 함으로써 검증하는 사이버 보안 전문가를 penetration tester라고 한다.

이들은 클라이언트에게 작업을 의뢰받고 그에 대한 보수를 받는다.

일반적이진 않긴 한데 가끔 이런  보안 전문가들이 IT회사들이 진행하는 바운티나 해킹 대회에 참여해서 보안 취약점을 찾아내면 보상금이나 우승 상금 같은 것을 받기도 한다.

사실, 특정 소프트웨어나 회사 시스템의 취약점을 발견하게 된다면, 이를 악용해서 회사를 협박하거나 다크웹에 정보를 팔 수 있다. 그리고 이렇게 어둠의 방식으로 얻을 수 있는 금전적 이익이 (대부분의 경우) 더 크다.

그럼에도 불구하고 보안 전문가들은 더 안전한 세상을 만들기 위해서 기꺼이 '화이트 햇 해커'로 분하는 거다.

토론토 출장에서 나는 '데프콘 토론토'라는 로컬 해커 커뮤니티를 만든 창시자 N을 만날 수 있었다.

DEFCON은 전세계에서 가장 규모가 크고 알려져있는 보안 컨퍼런스이다. 그 단체에서도 인정할 정도로 토론토의 데프콘 커뮤니티는 역사도 오래되었고, 규모도 큰 편이다.

한달에 한 번씩 밋업을 열어 서로의 지식을 공유하고, 사례를 발표하고, 끝나고 술도 마신다.

보안 전문가들한테 우리 회사를 소개하고 그들을 우리 편으로 만들어야 했기에 내가 마케터로서 직접 캐나다로 날아가겠다고 한 것도 있지만, 그런 일을 하는 사람 자체를 한번 만나보고 싶은게 내 개인적인 욕심이었다.

N이 자발적으로 그런 커뮤니티를 만들고 운영하는 이유를 듣고 싶었다.

나와 아무런 뮤추얼도 없어서 걱정이 되었음에도 불구하고, N은 내가 처음 콜드 이메일을 보내서 우리 이런 일 하는 곳인데 너희 커뮤니티 만나서 의견을 들어보고 싶다고 하니 몇가지만 묻고 발표자료를 검토 후 수락해줬다.

N을 만나기까지의 여정은 쉽지 않았다.

황당하게도 내가 캐나다 비자를 미리 발급 받아두지 않아서 출국하는 날 공항에서 발이 묶였다.

(내가 하는 선택은 항상 이런식이다)

어찌어찌 겨우 환승하기 위해 도착한 상해 공항에서는 영어가 통하지 않아 비행기를 놓쳤다.

막상 캐나다에 도착하니 4월인데 눈이 내려서 밖에 나갈 엄두도 내지 못하고 호텔에만 쳐박혀 있었다. (아이스와인 농장에 가보고 싶었는데ㅠㅠ)

설상가상 팀에 중요한 문제가 생겨서 호텔 로비에서 대책회의만 주구장창 해야했다.

우여곡절 끝에, 우리가 발표하기로 한 월간 밋업이 열리는 사무실에 도착했다.

내가 보안 전문가는 아니고 보안 서비스를 마케팅하는 사람이어서 그런지, 200여명의 해커들이 모여있는 커뮤니티에 발을 들이는게 괜히 식은땀이 났다.

우리 팀의 발표에 이어 질의응답 시간이 모두 끝나고 나서야 나는 크게 한숨을 돌렸다.

준비해갔던 굿즈도 모두 동이 난 것을 보니 다행히도 커뮤니티 멤버들이 우리 서비스에 관심을 가진 것 같았다.

우리 발표 외에도 그 날의 밋업에서는 '훔쳐진 비트코인은 어디로 갈까?' '스파이웨어를 만드는 내 인생이 레전드ㅋ'라는 주제로 발표가 있었다.

흥미로운 주제로 허심탄회하게 본인들의 이야기를 공유하는, 딱딱하지만은 않은 분위기의 커뮤니티였다.

뒷풀이 자리에 가서 들어보니 N은 개발자로 커리어를 시작했다가 회사에서 보안 전문성을 키우면서 결국엔 직접 보안회사를 차리게 되었고, 커뮤니티까지 운영하게 된 케이스였다.

대기업이 아니다보니 클라이언트한테 수주를 받아야 매출이 발생하고, 그러다보니 정보도 교환하고 퍼스널 브랜딩도 필요해서 커뮤니티를 시작하게 된 것 같았다.

N의 솔직한 이야기를 듣다보니 그냥 평범한, 매출을 걱정하는 자영업자였구나 싶어 긴장감이 좀 풀어졌다.

N은 피도 눈물도 없을 것 같은 컴퓨터 전사처럼 생겼어도 맥주 마실 때는 소탈하게 웃는 사람이었다.

나는 내 직업을 선택하거나 인더스트리를 선택할 때 나와 핏이 잘 맞는지 정도를 고민했지, 윤리관이나 경제적 손익을 따져보지는 않았었다.

안전하게 지켜준다는 '보안' 이라는 테마가 좋아서였지 클라우드 보안 시장이 얼마나 잠재력이 있는지, 디지털 전환 속도가 얼마나 빠른지 이런 것들을 계산하진 않았었다.

내가 엄격한 도덕적 기준을 갖고 있는 선비같은 사람이긴 한데, 그런 성향을 차치하고도 내가 고려한 직업 옵션에 내 윤리관과 대치할 가능성이 일말이라도 있는 직업군은 아예 없었다.

다수의 이익이나 공공선에 부합하지는 않지만 내 개인의 이익을 극대화할 수 있는 길이 있었다한들, 조금도 고민하지 않았을 것 같다.

물론, 수익을 추구하는 사기업에 종사하는 한 '절대 선'에 가까운 일을 하지는 못한다는 것을 이제는 알고 있다.

그럼에도 불구하고 앞으로도 나 스스로 더 옳고, 더 도덕적으로 맞다고 믿는 방향으로 가려고 할 것 같긴 하다.