조작된 도시, 다이하드, 기술자들 등 수많은 영화에는 컴퓨터를 이용해 시스템을 해킹하고 돈·국가기밀을 훔치는 '해커'가 등장합니다. 실제 해커도 마찬가지입니다. 랜섬웨어 등 악성코드를 무작위로 배포하거나 좀비PC를 만들어 대규모 디도스 공격 등 범죄를 일삼습니다.
하지만 범죄를 일으키는 해커만 있는 것은 아닙니다. 해킹기술을 이용해 범죄를 막는 해커도 있습니다. 이들을 '화이트해커'라고 부르며 사이버 보안 전문가로 인정받습니다. 화이트해커가 하는 일은 해킹기술 자체를 연구하거나 기업이 만든 소프트웨어(SW) 프로그램의 약한 부분(취약점)을 찾아 개선하도록 합니다.
4차 산업혁명 시대 사이버 보안 위협이 높아지면서 민간기업, 군, 경찰까지 다양한 영역에서 화이트해커 필요성이 커집니다. 대표적으로 구글, 애플뿐 아니라 삼성전자, 네이버, 카카오 등은 '버그 바운티' 제도를 운영합니다. 버그 바운티는 기업 서비스와 제품을 해킹해 취약점을 찾은 해커에게 포상금을 주는 제도입니다. 일종의 화이트해커를 운영하는 것이라 할 수 있습니다. LG전자는 한국정보기술연구원과 손잡고 화이트해커 양성에 직접 나서기도 했습니다.
보안기업이 화이트 해커를 고용해 보안컨설팅도 제공합니다. 라온시큐어는 화이트해커 등 보안취약점 연구 전문가로 구성된 '라온화이트햇센터'를 운영합니다. 최근 A기업이 기업 보안 시스템 점검을 위해 컨설팅을 의뢰했고, 라온화이트햇센터는 A기업 취약점을 직접 찾고 모의해킹을 통해 개선사항을 전달했습니다.
'해킹을 막는 해커'에 직업 관심도도 덩달아 높아졌습니다. 화이트해커는 버그 바운티 제도를 이용해 개인적으로 활동하기도 하며 일반기업, 군, 한국인터넷진흥원 등에서 일하기도 합니다. 일부는 학부생이 모여 세계적 대회에 나가고 명성을 쌓아 보안 전문회사를 만들기도 합니다.
화이트해커가 되는 길은 쉽지 않습니다. 정보보안 전문가로 분류하는 만큼 기본 역량을 키우는 것은 필수입니다. 영어와 수학 지식은 기본이며 해커가 어떤 방식으로 공격해올지 모르기 때문에 프로그래밍, 네트워크, 서버 등 사이버 공격을 가하는 모든 분야에 관심을 가져야 합니다.
정보보안기사, 정보보안산업기사, 정보처리기사, 네트워크관리사 등 자격증을 보유하거나 사설학원을 통해 배우는 것도 하나의 방법 입니다. 대부분 현직 화이트해커는 정해진 커리큘럼은 없다고 말합니다. 무엇보다 필요한 역량은 '도덕성' 입니다. 자신이 가진 해킹실력을 남용하면 언제든 범죄에 악용되기 때문입니다. 화이트해커에게 거액의 돈을 제시하고 해킹을 부탁하는 사례가 발생하기도 했습니다.
이종호 라온화이트햇센터 팀장은 “화이트해커는 취약점을 찾아 끊임없이 탐구하는 직업으로 도전 정신과 끈기가 필요하다”면서 “해커로서 범죄유혹에 빠지지 않기 위해 기술을 올바르게 사용하고자 하는 윤리의식도 반드시 갖춰야 할 자질”이라고 말했습니다.
정영일기자 jung01@etnews.com