IT Life

방어하는 해커? 화이트해커!

2015.12.16 09:30

안녕하세요. 대학생 기자단 최용원입니다.


2007년에 나온 영화 ‘다이하드4.0’ 을 보신 적이 있나요? 이 영화에서는 전 정부요원이 네트워크 전산망을 해킹해 미국을 장악하려는 시도를 합니다. 교통, 통신, 금융 등 모든 네트워크가 테러리스트의 손아귀에 들어가 미국 전역이 공황상태에 빠지게 되죠.


이 영화가 나온 지 약 8년이 지났는데요. 이런 영화 속의 내용이 조금씩 현실화 되어가고 있습니다.


<영화 다이하드 4.0의 한 장면 (출처: 네이버 스틸컷)>


개인정보가 유출되고, 해킹집단이 뉴욕증권거래소를 마비시키고, 정부 시스템을 해킹하는 등 실제로 해킹이 빈번하게 발생하고 있습니다. 해킹집단이 미리 공격예고를 하는데도 불구하고 속수무책으로 당하기도 하는데요. 해커들은 음지에서 엄청난 돈을 받고 불법적인 활동을 하기도 합니다.


이런 사건이 많이 발생함에 따라 자연스럽게 주목을 받게 된 해커가 있는데요. 바로 ‘화이트해커’입니다. 


‘해커’라는 단어를 보면 부정적인 의미가 먼저 떠오르는데요. 하지만 해커라고 해서 모두 범죄를 저지르고, 중요 정보를 빼돌리는 등의 안 좋은 활동만 하는 것은 아닙니다.


보통 우리가 떠올리는 블랙해커와는 달리 화이트해커는 보안취약점을 미리 발견해 블랙해커가 침입하지 못하도록 방어하는 활동을 합니다. 쉽게 말해서 시스템을 보호해주는 역할을 하는 셈이죠.


● 화이트해커: 컴퓨터와 온라인의 보안 취약점을 연구해 해킹을 방어하는 전문가. 

                       블랙해커와 맞서 싸우는 사람들


아직 화이트해커가 대중들에게 많이 알려져 있지 않지만 보이지 않는 곳에서 정말 중요한 역할을 하고 있는데요. 블랙해커들이 해킹을 할 수 있는 경로가 매우 다양하기 때문에 화이트해커는 그런 부분을 미리 예상해서 차단해야 합니다.


그만큼 화이트해커는 컴퓨터 서버, 네트워크, 운영체제 등 모든 분야에 대한 전문적인 지식이 있어야 역할 수행을 제대로 할 수 있습니다.


여러 기술이 발전하고 있는 상황에서 보안을 담당하는 화이트해커의 중요성이 커지고 있습니다. 하지만 블랙해커의 수는 점점 많아지는 반면 화이트해커의 수는 많지 않은데요. 그렇다 보니 실력 있는 해커를 구하는 것이 쉽지 않은 상황 입니다.


비교적 화이트해커들의 활동이 많은 해외에 비해 국내에서는 특히 찾기가 힘든데요. 왜 이런 현상이 발생하는 것일까요?


우선 국내에서는 화이트해커에 대한 처우가 지나칠 정도로 열악한데요. ‘보안’이라는 특수한 분야에 대한 전문지식을 갖고 있지만 대부분의 기업에서는 특수성을 인정하지 않고 그저 사회 초년생으로 취급하고 있습니다.


해외 기업같은 경우 신입 해커의 초봉은 약 8000만원 ~ 1억원 사이에 형성되어 있고, 경력이 있는 경우에는 2억원에 달하는 연봉을 받습니다. 하지만 국내 기업에서 제시하는 초봉은 4천만원 수준인데요. 따라서, 전문적인 기술을 갖고 있는 화이트해커의 입장에서는 자연스럽게 해외로 눈을 돌리기 쉽습니다. 



해킹을 통해 취약점을 분석하고 이를 기업에 알려 포상금을 지급받는 제도를 ‘버그바운티(Bug bounty) 제도’라고 하는데요. 국내에서는 이 제도가 활발하게 도입되지 않고 있지만, 해외에서는 여러 기업들이 버그바운티 제도를 적극적으로 활용해 화이트해커를 양지로 끌어내고 있습니다.


페이스북은 2011년부터 이 제도를 시작했으며 작년에는 보안 취약점을 찾아준 대가로 여러 해커들에게 총 150만달러(약 16억원)를 지급했습니다. 해커들이 페이스북의 취약점을 무려 1만4763개나 찾아내 줬다고 하네요. 구글 또한 2010년부터 이 제도를 운영하면서 지금까지 포상금으로 200만달러(약 24억원)를 지급했습니다.


국내에서는 삼성전자, 네이버 등의 기업들과 한국인터넷진흥원이 이 제도를 도입하였으나, 포상금이 매우 적고 활성화가 되지 않은 상태입니다. 또한 인가 없이 기업 전산망에 접근한다면 정보통신망법 위반으로 처벌을 받을 수 있다는 것이 큰 걸림돌로 작용하고 있습니다.


보안에 대한 중요성을 인식하고 적극적인 태도를 보이는 해외기업과는 달리 국내기업의 이런 소극적인 분위기는 화이트해커들에게 영향을 줄 수 밖에 없습니다.


우리나라의 정보보안 기술이 결코 뒤쳐지는 것은 아닙니다. 아직 이 분야에 대한 환경조성이 되지 않았을 뿐 국내 화이트해커들이 갖고 있는 기술은 수준급인데요.


최근 국내에서도 정보보안에 관심을 갖고 더 다양한 인재를 키워내기 위한 노력을 하고 있습니다. 


<국내 해킹방어대회, ‘코드게이트’(http://codegate.org)>


가장 대표적으로는 ‘코드게이트’가 있습니다. 코드게이트는 국가경쟁력 강화와 글로벌 전문인력 양성을 목적으로 미래창조과학부에서 개최하는 세계 최고 수준의 글로벌 정보보안 행사인데요.


우리나라뿐만 아니라 미국, 중국, 말레이시아 등 다른 국가와의 협력관계를 맺고 다양한 행사를 진행하고 있습니다.


2008년부터 시작된 코드게이트는 화이트해커를 꿈꾸는 많은 이들에게 정보를 주고, 비즈니스 기회를 제공하는 등 중요한 역할을 하고 있습니다. 특히 해외 여러 국가의 해커들도 다수 참여하기 때문에 보안 분야의 신기술을 익히고, 정보를 공유하는데 있어서 큰 도움이 되고 있습니다.


다음으로 ‘와우해커’라는 국내 정보보안 커뮤니티가 있습니다. 와우해커는 일종의 ‘해커그룹’으로 해킹과 관련된 칼럼이나 기본적인 해킹정보, 보안이슈, 악성코드 정보 등을 제공하고 있습니다.


드론, 사물인터넷(IoT), 클라우드 등 여러 기술이 발전하면서 보안 분야의 중요성이 점점 커지고 있는데요. 화이트해커는 기술이 있는 곳이라면 반드시 필요한 존재가 되었습니다.


국내에서는 인프라도 부족하고 환경도 열악하기에 큰 주목을 받고 있지 못하고 있습니다. 하지만 ‘IT강국 대한민국’ 이라는 수식어를 꾸준히 지키려면 보안에 대한 경각심을 갖고 하루빨리 보다 좋은 환경을 만들 필요가 있습니다.


지금은 실력있는 해커들이 해외로 빠져나가고 있는 상황인데요. 화이트해커들이 만족할 만한 환경이 조성되어 국내에서도 활발히 활동하여 ‘보안강국 대한민국’ 이라는 타이틀을 가질 수 있기를 기대해 봅니다. 




Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS
위로