韓國資安人才教父現身，揭露全球駭客競賽奪冠關鍵

每年八月舉行的DEFCON CTF資安攻防搶旗比賽，吸引全世界一流的選手參賽，不過，這兩年，來自韓國的參賽選手已經成為各國直接鎖定的關注對象，原因無他，因為2015年贏得DEFCON CTF比賽的冠軍隊伍就是來自韓國的DEFKOR，參賽成員就是來自韓國最頂尖資安人才培育（Best of the Best，簡稱BoB）計畫，在預賽時就和原本第一名的美國戰隊PPP，以極少的分數差異名列第二名，但到決賽時，則一路持續領先，最終穩得冠軍。

不過，韓國參加比賽能有這樣的好成績，並不是從天而降，而是韓國從政府到民間、學校，從2010年推出BoB計畫後，2012年正式召募韓國優秀的資安學生後，經過4屆的努力，勵精圖志，才能在2015年一朝奪冠、名揚天下。

讓這樣培育計畫得以超光速展開的幕後推手，就是曾擔任過4任反對黨國會議員、在2010年進入韓國特別公部門「韓國資訊科技研究中心」（KITRI）擔任第九任總裁的柳晙相（Yoo Joon-Sang）。

甚至有了解韓國政治情勢發展的資安圈前輩表示，像是BoB這種橫跨韓國政府、民間甚至學界的大型專案計畫，一定要有一個在資安圈、政治界和韓國社會中，具有舉足輕重的代表人物登高一呼，才能夠如此迅速凝聚共識。他認為，當初如果不是柳晙相毅然決然出面號召，或許，就沒有今天BoB的驚人成績。

不得不面對網路攻擊帶來巨大的實質損失

唐宋八大家之一的宋朝蘇洵在〈辨姦論〉一文中說到：「惟天下之靜者，乃能見微而知著。月暈而風，礎潤而雨，人人知之。」但事實上，能做到見微知著者，幾稀已，許多人都只能從真實的經歷中，學到生聚教訓而已。

對韓國政府而言，也是一樣，「不經一事、不長一智」，今天許多人只看到韓國在資安人才培育有驚人的績效，卻常常會忽略，韓國的BoB計畫其實是他們面對越來越嚴重的資安威脅時，痛定思痛的浴火重生計畫。

像是在2009年的時候，包括韓國總統府青瓦臺、韓國國會在內的政府網站，都被駭客植入惡意程式，相關政府部門的網站系統當機好幾天，也造成政府許多服務中斷、不能持續。

在當時，這樣的網路威脅帶來相當大的後遺症，根據韓國現代研究機構（Hyundai Research Institutes）的研究，光是2009年，韓國因網路攻擊造成的經濟損失高達3,370萬～5,050萬美金之間。也就是說，駭客的惡意攻擊行為，除了中斷政府網站的服務外，對於一般同樣遭受到類似攻擊的民間企業而言，也帶來更多實質的經濟損失。

網路攻擊的力道其實只有越來越強大，韓國在2011年，就有銀行的電腦系統遭到駭客入侵而當機，數萬臺電腦受到惡意病毒感染並遭到永久性的損害。這類網路攻擊究竟帶來多少實質損失其實不得而知，不過，韓國網路安全中心（KISA）也曾經指出，光是來自韓國本土及國外的網路攻擊已經逐漸增加，網路攻擊的比例2011年比2008年則增加37％，成長幅度驚人。

另外一起，大家耳熟能詳的韓國網路攻擊，其實就是在2013年3月20日爆發了黑暗首爾（Dark Seoul）的網路攻擊事件，當時，就已經造成韓國銀行和電視臺總計48,700臺電腦被植入惡意程式破壞硬碟，造成電視臺中斷報導、銀行無法提款等資安事件，同年六月還有類似的攻擊手法出現。

甚至於，在今年6月，韓國也有媒體報導，有160個韓國大企業、公共機構、政府部門的網站遭到朝鮮網路駭客攻擊，超過4萬份的機敏資料外洩，甚至於，有可能外洩美國F-15戰鬥機機翼設計圖以及預計2020年才會對外亮相的無人機設計圖等。韓國警方表示，這樣攻擊方式和2013年韓國發生的黑暗首爾事件手法如出一轍，如果再度發生類似事件，受駭電腦數量可能超過13萬臺，也會比2013年造成9千億韓元的損失更驚人。

從這些持續不斷且層出不窮的資安攻擊事件來看，小到鎖定單一單位，大到以整個國家作為鎖定攻擊的對象，都可以看出到，這類網路攻擊早已經是韓國日常都必須面對的威脅之一了。

痛定思痛，開始培育自己的資安人才

韓國資安人才培育計畫（BoB）是柳晙相擔任特別公部門韓國資訊科技研究中心（KITRI）總裁後，才在2010年開始推動的一個重要專案。

柳晙相從1980年代就積極參與行政體系相關的經濟與科技相關的委員會，對於資訊發展和應用也相當重視，加上長年擔任國會議員，總共擔任了4屆反對黨的議員，深厚的政治實力和人脈資源，不論是從行政和立法的角度來看，都是韓國政壇上相當具有影響力的一號人物；再加上，韓國總統朴槿惠當選後，還聘用柳晙相為國政顧問，其影響力更是不言可喻。

柳晙相認為，因為這個BoB的預算是從政府而來，甚至是不設任何投資上限的投入資安人才培育，就一定要獲得國會議員對於相關預算的支持。因此，柳晙相還在國會中成立一個「K-BoB論壇」，就是希望可以讓國會議員對於資訊安全有更深入的了解，「當國會議員都可以意識到資安的重要性時，當然也就會更願意支持相關的預算。」他說。

韓國政府以預算無上限的方式，從2012年正式招募對資安有興趣的優秀人才，至今已經完成四屆培訓，培訓人數逐年增加，今年6月招募第五屆BoB人才。

剛開始，BoB的召募有點像是在試水溫，2012年第一屆只有召募了60個人而已。不過，等到到了2013年第二屆招募時，恰好該年3月20日爆發了黑暗首爾（Dark Seoul）的網路攻擊事件，因此，柳晙相決定，將第二屆BoB甄選名額增加一倍，卻吸引了480名韓國白帽駭客來爭取120人的名額，這樣的增額錄取，也意味著政府帶頭重視資安，對於資安發展都很正向。後續第三、四屆招募人數也都持續成長，每年至少增加10個錄取名額。2015年全球DEFCON CTF比賽中，BoB團隊精銳進出，獲得CTF比賽第一名就是培養成果的最佳展現。

韓國資訊科技研究中心總裁柳晙相在韓國國會成立「K-BoB論壇」推廣資安，讓國會議員意識到資安的重要，進而願意支持資安人才的培育預算。

BoB引進產官學配套資源，建立輔導人才的導師制度

不過，政府重視資安、要培養資安人才，除了確定政策方針並投入大量的資源之外，柳晙相表示，更重要的是，在規畫BoB的人才培育計畫時，連這些培養出來的優秀資安人才，在畢業之後，從當兵開始，到後來的就業機會，BoB都有完善的配套措施。

像是，除了獲得政府資源大力支持外，BoB也直接和各種資安與IT相關產官學結合，像是包括韓國賽門鐵克、BlueCoat等跨國資安公司簽訂合作的備忘錄外，也和韓國在地的資安業者、IT業者、政府與政府投資的企業、創業支援中心以及相關的大學等簽署合作備忘錄，讓BoB的資安人才培育，永遠可以和最頂尖的技術發展與研究做整合。

除了引進產業界和學術界的資源外，BoB人才培訓的另外一項特色就是，建立所謂的「導師」（Mentor）制度，從第一屆開始，就會聘請資安業界中優秀的資安研究員，協助輔導這群培訓對象，除了提供技術上面的指導外，還包含未來職涯發展的協助。

BoB的訓練課程內容，除了基礎的加密學、作業系統安全、網路安全、法律以及相關的資安政策外，還包括了六大安全領域，包括：數位鑑識、資安諮詢顧問、弱點分析、行動裝置安全、融合式安全（Converged Security）以及雲端安全等。

先從基礎課程教起，慢慢篩選出有興趣、能力更好的學生來接受更難的訓練課程，每一屆最後都會挑出10個最優秀的學生，不只頒發2千萬韓圓（約臺幣55萬元）的獎金，還推薦他們進入資安公司或軍隊工作。

資安在韓國已經是全民重視的產業發展項目，所以，BoB培養的資安人才中，有很大一部分是女生。進一步分析韓國BoB招募的人才分布比例，招收女生的比例從第一屆只有6.7％，隔年增加到10％，到了第三屆女生比例甚至高達18％。BoB透過鼓勵與培訓機制，也將資安專業知識推廣到女性。

參加BoB資安人才培訓計畫以高中生、大學生和研究生為主，很少有超過30歲的培訓者，從年輕人開始培養對資安領域的專業，也讓資安有機會慢慢成為韓國資訊產業中的顯學。

根據韓國政府統計，韓國大約有36萬間企業，對資安有意識的企業不到4萬間，BoB計畫希望最終可以培養至少1萬名優秀的資安人才，真正鞏固到韓國網際網路的安全性。

BoB要培養有資安專業技能並對國家忠誠的專業人才

現在網路的恐怖攻擊越來越嚴重，柳晙相認為，這不僅牽涉到國家安全，也已經擴及到像是亞洲的區域和平，甚至是全球的和平都與資訊安全息息相關。

韓國政府在相關的資安政策上扮演政策方向的舵手，並率先投入資源、壯大發展風潮，之後，各種民間資源就會跟著投入，就會造成百花齊放的景象。這也是為什麼韓國政府在投入資安人才培育不過4年的時間，成果豐碩。

不過，柳晙相也指出，資安是國家最重要的政策，各種網路攻擊都是由人發動攻擊；要做好資安防禦和分析的關鍵也是人。他說：「『人』才是政府資安政策發展中，最重要的關鍵。」

所以，推動BoB的專案目的是要做資安人才的培育，除了要有高超的技術外，柳晙相也強調，因為資安是一種具有攻擊，甚至有能力為對方帶來損壞的一種高超技能，所以，具有這樣能力的人，也必須要有一定的道德認知，知道要將這樣的技能用在正面、對人們有助益的面向上。

更重要的是，「對國家的忠誠度是非常重要的，」柳晙相表示，在韓國，資安政策其實就是國家數位領土防護能力的一環，這些具備有高超技能的資安人才，就必須要對國家有足夠的忠誠度，一旦遇到國家有危難時，才會願意立刻站出來幫忙、協助解決困境。

韓國BoB專案至少有10名專職人員，加上場地租金，不包含培訓資安人才時所需要使用的經費，不設限的資源投入，就已經讓人羨慕。

反觀臺灣，在相關資安人才的培育上，即便政策方向是正確的，但是，政府相關的經費補助，只有20到100萬元不等，但中間繁瑣的稽核和報帳流程，光是將計畫人力用在寫政府報告上，就已經差不多了，幾乎沒有多餘的心力可以用來推廣資安人才培訓。

從臺韓的資安人才培育計畫做比較，兩者獲得的資源更是有如天壤之別，人才培育是需要長期的、大量的資源投入，臺灣政府過度小氣而且謹慎的資源投入，並無法讓資安人才的培育真正落地生根，對於臺灣長期的資安人才培育並沒有帶來真正的幫助。或許，新政府在規畫相關的人才培育時，也應該正視各種經費和資源的投入，都應該是長期的才是。

韓國透過最頂尖資安人才培育計畫（Best of the Best，簡稱BoB）培育年輕資安人才，經過4年，2015年時一舉在美國CTF決賽奪冠。(左起第四位即為柳晙相)

 韓國資訊科技研究中心 

Korea Information Technology Research Institute （KITRI）

總裁：柳晙相（Yoo Joon-Sang）

總部：韓國首爾

成立時間：前身是計算機研究中心，最早成立於1985年9月，在1992年2月正式改組為KITRI

主要業務：在韓國扮演推廣和提供ICT技術和相關教育訓練的機構，培育最佳的資安人才與IT人才，並透過參加國際比賽，促進韓國ICT技術發展

網址：www.kitri.re.kr