IT 및 정보통신 기술은 우리 일상생활에서 빼놓을 수 없는 영역이 된 지 오래다.
해당 분야는 생활의 효율성과 편의성을 제공하는 만큼이나 정보보안에 대한 중요성도 커지고 있다.
이 과정에서 등장한 것이 '해커(Hacker)'다. 해커는 취약한 보안 시스템을 찾아 공격해 들어오는 '블랙(Black)해커'와 이를 막아내는 동시에 해당 취약점을 보완하는 '화이트(White)해커'로 구분한다. 정식 직업명이 정보보안전문가인 '화이트 해커'는 어떤 일을 하고, 어떻게 하면 될 수 있는 지, 그리고 미래 전망성 등은 어떤 지 현직 화이트 해커로부터 그 궁금함을 들어봤다.
|
"윤리적인 해커 또는 착한 해커."
10년간 현직 화이트해커로 활동 중인 강인욱 연구원(26, 라온화이트햇)은 "개인의 이득이나 금전적 이익을 위해 해킹을 하는 블랙해커와 반대되는 개념으로, 가지고 있는 해킹 기술을 사회를 위해 올바르게 사용하고자 하는 이들을 화이트해커라고 보면 된다"며 이처럼 정의했다. 블랙해커가 '창'이라면 화이트해커는 '방패'인 셈이다.
그가 일하고 있는 라온화이트햇은 ICT 통합보안 기업 라온시큐어의 자회사로, 세계 3대 해킹대회(미국 DEFCON, 일본 SECCON, 대만 HITCON)를 석권하는 등 국내 정상급 화이트해커들로 구성돼 있다. 이 가운데 강씨가 소속된 라온화이트햇 핵심연구팀의 경우 전 인원이 20대로 구성돼 있다.
화이트해커의 주요 업무는 크게 연구, 침투진단 등 두 가지로 나눈다.
연구는 새로운 기술에 대해 취약점을 찾거나 그 약점에 대한 대응방안을 도출하고 이를 서비스화, 또는 제품화하는 것이다.
아울러 침투진단은 우리가 사용하는 정보기술 서비스(금융, 통신 등) 또는 IoT 기기들(스마트 TV, 휴대전화, 인공지능 스피커) 등에서 발견된 여러 프로그램 등의 취약점을 제품사, 서비스업체에 미리 알려주는 것이다. 더 나아가 어떤 식으로 대응하고 수정하면 취약점을 올바르게 해결할수 있는지 아이디어나 기술까지 제공한다.
강씨는 "궁극적으로는 여러 제품이나 서비스의 보안성을 향상시켜 일반 사용자들이 안전하게 제품을 이용할 수 있도록 해주는 게 화이트해커의 역할"이라고 설명했다.
국내 화이트해커는 약 400명 정도인 것으로 전해진다.
이 가운데 높은 기술력을 가지고 각종 대회에서 꾸준히 활약하는 엘리트급 해커는 100여명에 불과하다. 다만 과학기술정보통신부와 한국정보기술연구원(KITRI)이 주관하는 차세대 보안리더 양성 프로그램인 'BOB(Best Of the Best)'를 통해 화이트 해커를 양성하고 있어 매년 그 수는 늘어날 전망이다.
화이트해커의 직업적 매력은 열정과 재미, 성취감, 자부심 등이 있다는 점이다. 출퇴근이 자유롭다는 것도 꼽을 수 있다.
강씨는 "해커들은 한번 집중하면 끝까지 몰두해야 하기 때문에 밤을 새는 경우가 많고, 며칠 동안 한 자리에 앉아 똑같은 문제를 푸는 경우도 있다. 그래서 밤낮이 뒤바뀌는 일도 굉장히 흔하다. 이처럼 주말에 대회를 하거나 야간에 연구를 하면 다음날 출근은 자유롭게 할 수 있다"고 밝혔다. 또한 "화이트해커들은 대부분 취약점 찾는 것을 좋아하고 새로운 연구를 즐긴다. 개인적인 공부는 물론 회사 업무도 취약점을 찾는 일이라서 일을 하면서 동시에 새로운 기술들을 찾거나 내가 몰랐던 것을 공부할 수 있다"고 전했다.
다만 잦은 야근에 건강관리는 필수다.
한 자리에 오래 앉아서 집중하고 밤샘이 많은 업무여서 운동과 스트레칭 등은 반드시 필요하다.
화이트해커가 추천하는 개인별 해킹 예방법은 '의심'과 '백신'이다
강씨는 "제일 먼저 해야 할 것은 무료 백신이라도 설치하는 것이다. 무료 백신도 유료 백신 못지않게 성능은 비슷하다. 백신 없이 PC를 이용하다 바이러스에 감염되는 것은 한겨울에 아무것도 입지 않고 돌아다니다 감기에 걸리는 확률과 똑같다"고 강조했다.
또한 그는 "최근엔 대상을 정해놓고 문자, 메일 등으로 공격하는 지능형 공격이 많아지고 있다. 의심스러운 메일은 열지 않고, 신뢰할 수 있는 메일이라도 이 메일이 왜 나한테 온 건지 생각하고 의심해봐야 한다. 사칭문자와 메일도 많이 존재하므로 첨부된 파일은 함부로 다운받거나 실행하지 않아야 한다"고 조언했다..
수 백만~수 십억원까지 수입 가능…기술력 보다 윤리의식 중요
드라마, 영화 속에 등장하는 화이트해커들은 '비싼 몸값'을 받는 것으로 그려진다.
일부 과장된 면이 있긴 하지만 현실에서도 억대 수입은 존재하는 것으로 전해진다.
이에대해 강씨는 "해커들은 대부분 버그 바운티(결함 발견에 대한 보상금)로 수익을 얻는다. 자신이 연구한 기술로 찾아낸 취약점을 제보해 건당 수 백만~수 천만원의 보상금을 받는다. 조금 더 복잡하고 영향력이 큰 취약점의 경우 수 억~수 십억원의 보상금이 주어진다"고 설명했다.
화이트해커가 되려면 기술력만큼이나 윤리의식이 반드시 필요하다. 자칫 자신의 해킹능력을 잘못 사용할 경우 엄청난 경제적·사회적 피해와 파문을 불러올 수 있기 때문이다.
강씨는 "화이트해커는 본인의 기술을 공격하는 도구로 사용할 수 있고, 다친 곳을 낫게하는 장비로도 사용할 수 있다. 이에따라 올바른 목적과 의도를 가지고 기술을 사용해야 하며 내가 왜 화이트해커라는 직업을 선택하고 노력하는지와 같은 윤리의식과 소명의식을 항상 유념해야 한다"고 전했다.
이어 그는 "화이트해커가 되기 위해선 학원, 자격증, 과외 등이 모두 필요 없다. 계속해서 집중할 수 있는 끈기와 남들이 생각해내지 못하는 것을 생각하는 창의력이 더해지면 화이트해커가 될 수 있다"며 "사실 해킹 기술은 정해진 게 없고 매일 새로운 기술이 나온다. 때문에 대부분 자신만의 감각적인 면을 이용해 취약점을 찾는다"고 설명했다.
IT기술의 발달 가속화에 따라 화이트해커의 미래 전망성은 밝다.
강씨는 "해킹과 보안은 창과 방패로 계속 함께 발전하고 있다. 오늘날 다가오는 4차 산업혁명을 둘러싼 고도의 기술 등 어느 부분에서나 모든 사업 영역에서 보안은 필수다. 특히 IT, 통신, 금융 등의 기업들은 법적으로 보안 체계 구축이 의무화되고 있다"고 했다. 그는 또"따라서 보안을 연구하는 화이트해커들의 미래 가치는 더욱 중요해질 것"이라고 밝혔다.
한국고용정보원 역시 "기업 뿐만 아니라 국가적으로도 전문가를 통한 보안 유지의 필요성은 커지고 있어 향후 정보보안전문가의 고용은 지속적으로 늘어날 것"이라고 전망했다.
다만 화이트해커 양성에 더 많은 투자가 필요하다는 목소리도 있다.
강씨는 "국내 화이트해커 수가 매우 적다. 인재 양성프로그램으로 매년 새로운 인재들을 키우고 있지만 다가오는 미래의 공격들에 대항하기 위해선 그 수가 매우 부족하다"며 "정부 각 부처는 화이트해커 양성을 위해 소프트웨어 교육의 의무화 및 차세대 보안리더 양성 프로그램인 'BOB(Best Of the Best)' 등에 많은 투자와 노력을 해야한다"고 주장했다.
화이트해커를 희망하는 후배들에게 조언을 부탁하자 강씨는 "화이트해커를 꿈꾼다면 학원에 가지 말고 혼자 공부하기를 바란다. 학원은 과도한 비용을 요구하고, 배운다고 해도 화이트해커가 되는 것을 가르치지 않는다. 어렵더라도 혼자 공부하면서 기초를 다지고 해킹을 공부하는 팀이나 동아리에 들어가 같이 공부하고 끈기 있게 도전 하는 것이 최적의 방법"이라고 강조했다.
장종호 기자 bellho@sportschosun.com
|
|
2020 신년운세 보러가기
눈으로 보는 동영상 뉴스 핫템
