“굵직굵직한 개인정보 유출 사고가 터진 이후 개인정보 관리에 관심이 많아진 해커 A씨. 그는 시간이 날 때마다 개인정보가 노출되는 패턴을 연구하기 시작했다. 그러던 중 회원정보 입력 페이지의 소스코드에 주민등록번호가 다량으로 노출돼 있는 홈페이지가 많다는 것을 알게 됐다. 이를 관리자에게 재빨리 알려 바로잡는 것이 급선무라고 생각한 A씨지만, 막상 문제점을 누구에게 제보해야 할지 막막했다. 홈페이지를 아무리 뒤져도 이런 문제점을 알릴 수 있는 통로가 없었기 때문이다.”
이 같은 지적과 비판의 목소리에 귀를 기울이는 것이 적은 자원으로도 효율적으로 ‘보안 경쟁력’을 강화할 수 있는 방안이라는 목소리가 힘을 얻고 있다.
더욱 완벽한 보안을 위해서 필요한 것은 아이러니하게도 바로 보안의 ‘개방’이라는 것이다. 이는 한 기업의 보안 담당자들에게만 그 책임을 지우는 것은 ‘보안은 성능이 좋은 보안 시스템을 구축하는 것으로 끝난다’고 생각하는 것과 같다.
하지만 기존 체제로는 기업이나 기관이 지적을 받아들이는 것은 거의 불가능하다. 보안 담당자나 전산 관리자들에게 이러한 업무까지 맡기면 업무량은 급격히 늘어난다. 제보와 지적이 보안 체계를 강화하는 해답만 알려주는 것은 아니기 때문이다.
어떤 해커들은 의심나는 사항을 문의하기도 하고 더러는 잘못된 제보도 있다. 이에 대해 IT보안 커뮤니티인 ‘헐랭이와 IT보안’ 운영자 배상우씨는 “해외 기업은 문의와 제보 대응 매뉴얼과 프로세스가 잘 갖춰져 있다”며 “담당자들에게 이를 떠맡기는 것이 아니라 기업이나 기관 차원에서 프로세스를 정립하는 것이 필요하다”고 지적했다.
다행히 국내에서도 이러한 목소리를 반영하려는 움직임이 보이고 있다. 국가정보원 사이버안전센터와 한국정보보호진흥원은 누구든지 국내 환경에서 발견한 취약점을 제보할 수 있도록 최근 홈페이지에 공간을 만들었다.
제보를 할 수 있도록 했을 뿐 아니라 신규 취약점을 발견했을 때에는 국정원 규정에 따라 포상도 한다. 행정안전부와 지식경제부는 건전한 비판을 할 수 있는 해커 양성을 중기 과제로 설정하고 이를 위한 방안을 찾는 중이다.
선순환 프로세스를 정립하는 데 가장 기초는 ‘보안’의 인식이라는 주장이 힘을 얻고 있다. 다행히 올 한 해 동안 대한민국을 뒤흔든 보안 사고가 수차례 이어지면서 보안의 개념이 바뀌었다는 평가가 지배적이다.
‘완벽한 보안이란 없다. 다만 모든 사람이 끊임없이 관리할 뿐’이라는 인식이 확산된 것. 보안 시스템을 연구하고 취약점을 비롯한 많은 정보를 공유하는 해커를 보안의 한 축으로 삼는 것은 ‘끊임없는 관리’와 같은 맥락이다. 해커는 새로 나온 시스템에 보안 취약점은 없는지 점검하고 지적해 주는 ‘고급 컨설턴트’다. 이들이 핵심 보안인력으로서, 또는 제3자의 시각에서 지적을 해 주는 컨설턴트로 활동하면서 이것이 중요 정책에 반영되는, 선순환 해커와 기업·기관·국가 모두에 이득이 되는 구조다.
김기영 소프트포럼 이사는 “해커는 보안에서 튼튼한 한 축을 담당할 수 있다”며 “사회적으로 인정받으면서 양지에서 활동할 수 있도록 장을 열어주는 것은 보안산업 선순환 구조 정착에 상당한 도움이 될 것”이라고 지적했다.
문보경기자 okmun@etnews.co.kr