[IT조선 노동균] 흔히 보안을 창의 공격에 대항하는 ‘방패’로 비유한다. 해를 입히려는 공격을 막아내고자 하는 목적에서 보안에 대한 이러한 비유는 일견 적절해 보인다. 어떤 방패라도 뚫을 수 있는 창과 어떤 창도 막을 수 있는 방패란 없다는 점도 일맥상통한다.

그러나 현실에서는 공격이 어디에서 어떻게 이뤄지는지에 대한 이해가 없다면 아무리 튼튼한 방패라도 무용지물이 되기도 한다. 주로 구기종목과 같이 공격과 방어가 번갈아가며 진행되는 스포츠에서도 치열한 심리전이 동반되는 이유다. 보안 분야에서 사람의 중요성이 강조되는 것도 이 때문이다.

최근의 사이버 보안 사고에서 공격의 주체자를 주로 ‘해커’라고 부른다. 실상 해커에 대한 사전적 정의는 ‘컴퓨터에 대한 집요한 관심과 전문적 기술, 해박한 지식을 갖추고 시스템을 자유자재로 조작하는 사람’이다. 이러한 기술을 악용하는 일부 극소수의 사람들로 인해 해커라 하면 음지에서 활동하는 컴퓨터 전문가라는 인식이 적지 않다.

(사진= www.theartofadd.com)
(사진= www.theartofadd.com)

 

때문에 보안 업계에서는 전문성 유무를 떠나 본래 해커의 의미와 구분하기 위해 악의적인 행위를 일삼는 부류를 ‘크래커(Cracker)’라고 부르기도 한다. 반면, 해커 중에서도 보안에 특화된 전문성을 바탕으로 정부, 기업 또는 일반인들을 대상으로 보안 문제를 제기하고, 이를 해결하는데 기여하는 이들을 ‘화이트햇 해커’, 줄여서 ‘화이트해커’라고 지칭한다. 크래커와 같은 이들은 ‘블랙햇 해커’인 셈이다.

마이크로소프트(MS), 구글, 페이스북 등 주요 글로벌 IT 기업들은 해커들이 특정 소프트웨어 및 서비스가 패치되기 전에 취약점을 발견해 제보하면 중요도에 따라 그에 상응하는 대가를 지불하는 버그바운티(Bug bounty)를 운영하고 있다. 국내에서는 삼성전자, 네이버, 한글과컴퓨터 등의 기업들과 한국인터넷진흥원(KISA)이 버그바운티 제도를 도입해 운영하고 있으나, 아직 그 수가 많지 않고 포상금도 적어 활성화가 필요하다는 목소리도 높다.

최근에는 보안 업체에 소속돼 활동하는 화이트해커도 늘고 있다. 라온시큐어는 지난 2012년 국내 유명 화이트해커를 영입한 후 ‘라온 화이트햇 센터’를 설립, 보안 전문 인력 양성에 집중해왔다. 현재까지 이곳에서 양성된 화이트해커는 약 300여 명에 달한다. 이들은 라온시큐어 외에도 다양한 산업군에 흩어져 국내 보안 역량 강화에 기여하고 있다. 지난 8월 열린 세계 최대 해킹 올림픽 ‘데프콘’에서 우승한 한국팀의 에이스 이정훈 연구원도 라온시큐어 출신으로, 최근 삼성SDS에 입사했다.

직접 보안 업체를 차린 화이트해커 출신 대표들의 행보도 주목된다. 일찍이 해킹 전문가 그룹 ‘와우해커’를 이끌며 세계 3대 해커로 불리기도 한 홍민표 대표는 지난 2012년 모바일 보안 업체 에스이웍스를 설립했다. 에스이웍스는 퀄컴, 소프트뱅크벤처스의 투자를 받아 국내에서는 물론, 현재 미국에 본사를 두고 글로벌 시장을 겨냥하고 있다. 홍 대표는 앞서 2008년에는 쉬프트웍스라는 보안 업체를 설립, 2010년 인프라웨어에 지분을 넘긴 바 있다.

보안 컨설팅 업체 그레이해쉬의 이승진 대표도 화이트해커로서 화려한 경력을 보유하고 있다. 이 대표는 지난 2006년 아시아 최초로 데스콘 본선 진출권을 획득한 이래 국내에서 데프콘 본선 최대 진출자로 꼽힌다. 보안 업계를 비롯해 국가 정보기관에도 몸담고 있었고, 지난해 6월 그레이해쉬를 설립했다. 해커 출신의 대표가 이끄는 회사답게 그레이해쉬는 오펜시브 리서치(Offencive Research), 즉 ‘공격 기술을 알아야 방어를 할 수 있다’는 철학은 전면에 내세운다.

지난 2009년 코드게이트 국제해킹방어대회 우승 등 국내외 다수 해킹대회에서 수상하며 이름을 알린 박찬암 대표도 올해 초 스틸리언이라는 핀테크·사물인터넷(IoT) 보안 업체를 설립했다. 스틸리언은 한국NFC와 함께 핀테크 관련 앱과 모듈을 위한 전용 보안 솔루션을 개발하는 한편, 모의해킹, 보안컨설팅 등을 제공, 최근 급부상하고 있는 간편결제에 대한 보안 우려를 줄여나가는데 일조하고 있다.

 

      

 
 

▲(왼쪽부터)홍민표 에스이웍스 대표, 이승진 그레이해쉬 대표, 박찬암 스틸리언 대표(사진= 각사) 

 

업계 관계자는 “화이트해커의 위상이 높아지면서 자칫 어렵게 받아들여질 수 있는 보안에 대한 메시지가 일반 대중들에게도 확대되고 있는 점은 긍정적인 측면”이라며 “그럼에도 여전히 돈과 범죄의 유혹에 노출돼 있는 해커들을 양지로 끌어올리기 위해서는 해커를 바라보는 인식 개선과 함께 건전하고 역동적인 생태계 조성이 요구된다”고 지적했다.

노동균 기자 yesno@chosunbiz.com

키워드