화이트 해커 양성해야 모두가 산다

화이트 해커 양성, 출구전략 마련해야

현재 정보보호 업계에서는 극심한 전문인력 부족 현상을 호소하고 있다. 특히나 모의 해킹의 경우, 일부 기업들은 내부 인력만으로 운영이 어려워 외부 협력업체에 위탁하고 있을 정도이다. 보안 실무자들은 해커 인력이 부족해 채용하고 싶어도 쓸만한 인재를 찾을 수 없다고 한다. 또한 해커를 채용했어도 해커가 잦은 이직이나 퇴사로 회사 내부의 정보나 취약점을 노출할 수 있는 위험요소를 안고 있다. 화이트 해커의 양성과 앞으로의 과제를 짚어보고 해결점을 찾아보자.

양광수 기자 ksyang@ciociso.com

모의해킹 인력 절실

3.20 전산망 사이버테러 사건 이후 국내 기업들은 사후처리기능을 강조하기보다 사전차단을 목표로 노력하고 있다. 그러나 모의해킹훈련을 위한 전문가, 즉 화이트 해커 인력은 턱없이 부족한 실정이다. 국내 화이트 해커로 활동하는 보안 전문가는 대략 200~400명으로 확인된다. 이마저도 정확한 검증기관이 없어 추산되는 수치다.
이들은 기업보안을 위한 양지보다 블랙마켓 같은 음지에서 주로 활동한다. 블랙 해커의 경우, 기업 내부정보나 가입자 정보를 유출, 판매해 기업에 막대한 피해를 주고 있다.

이외에도 국내 사회를 교란하려는 목적으로 활동하는 해커도 있다. 특히 북한은 군 소속 전문 해커가 3천 명, 사이버 전쟁을 수행할 특수 요원이 3만 명이 넘는 것으로 파악돼 국내 안보를 위협하고 있다. 이를 방지하고자 미래창조과학부에서는‘지식정보보안산업 경쟁력 강화사업’으로 127억 원의 예산을 책정하고, 한 해 240명의 화이트 해커를 양성하겠다고 밝혔다. 또한 금융감독원은 2011년부터 5.5.7 규준을 금융기관에 권고하며 보안수위를 높이고자 하고있다. 이런 움직임에 발맞춰 일반 기업들도 화이트 해커를 채용해 보안분야를 인소싱하는 경우가 점차 늘고 있다.
특히 금융기관의 경우, 내부 보안인력을 화이트 해커로 충원하는 예가 증가하고 있다. 하지만 보안 전문인력인 화이트 해커를 채용하는 기업 입장에서는 그들의 잦은 이직 및 퇴사로 여전히 채용을 고민하고 있다.

미래부, 2017년까지 해커 5,000명 양성한다

정부가 4월 16일 발표한 추경 예산안에서 ‘지식정보보안산업 경쟁력 강화사업’은 67억 원이었던 본예산에서 60억 원이 증액돼 127억 원으로 편성됐다. 증액된 60억원은 해당 사업의 세부사업 중에서 20억 원이 책정됐던 ‘정보보안 우수두뇌 양성프로그램’, 이른바 ‘화이트 해커 양성사업’에 전액 편성됐다. 미래창조과학부(장관 최문기)는 4월 18일 청와대 업무보고에서 해당 사업과 관련 “화이트 해커 양성 관리 등을 통해 새로운 성장동력으로 양성해 나가겠다”고 밝힌 바 있다. 청와대 업무보고 보도자료에서는 2012년 100명 수준인 화이트 해커를 2017년까지 5,000명 규모로 늘리겠다고 밝히고 있다.
미래부가 국회에 제출한 추경 관련 설명자료에서는 “미국, 중국, 북한은 특수 교육기관을 설립해 최정예 사이버 전사를 양성 중”이라며 “끊임없이 발생하는 사이버테러에 대응하기 위한 최정예 정보보안인력을 추가 양성해국가안보에 기여코자 사업비 증액을 필요하다”고 밝히고 있다. 또한 방송통신위원회와 한국인터넷진흥원은 사이버 보안에 관심 있는 인재들이 본인의 실력을 확인하고 보안기술을 향상할 수 있도록‘온라인 해킹방어 훈련장’을 구축해 2월 1일부터 운영하고 있다.
이처럼 정부와 기관이 합심해 화이트 해커 양성에 힘쓰고 있지만, 초기 진행단계여서 미래부가 양성하고자 하는 최정예 화이트 해커의 기준에는 미치지 못하고 있다.
최근 조사에 따르면 국내 모의해킹 시장은 매년 15% 정도 성장세를 보이고 있다. 정확한 시장규모를 산정하기는 힘들지만 약 180~200억 원 수준일 것으로 업계는 예측하고 있다. 하지만 문제는 현재 기업의 보안을 책임질 수 있는 화이트 해커 수급난이 앞으로 더욱 가속화된다는 점이다. 고급 인력의 유입은 요원하며, 수요는 폭발적으로 증가하고 있다. 모의해킹 업체마저 업체간의 인력유출로 만성적인 인력 부족에 시달리고 있다.
결국 이 문제의 해답은 해커인력을 돌려막는 편법보다 보다 근본적인 해결책으로 화이트 해커를 양산하는 것으로 초점이 모아지고 있다.

간접지원을 통한 인재양성 주력

▲ 임승철 서울특별시 정보보안정책팀장

임승철 서울특별시 정보보안정책팀장은 “보안업무는 3D를 넘어 4D업종이다. 야간, 비상, 주말근무 등 고된 업무에 비해 성과가 보이지 않는다. 잘해야 본전이란 점 때문에 관리자들에게 관심을 못 받기 일쑤다. 하지만 보안에 지속적인 관심과 투자가 이뤄지지 않는다면, 지금까지 이뤄왔던 성장 위주의 실적들을 모두 잃을 수 있다”고 경고했다. 또한 그는 화이트 해커양성에 직간접적으로 투자가 꾸준히 이뤄져야 한다고 주장한다.
서울시는 최근 해커양성을 위해 지속적으로 투자규모를 늘리고 있다. 특히 2013년 코드게이트를 비롯한 해커방어대회를 개최하고, 해커올림피아드를 후원하는 등 해커양성 환경을 조성하고 있다. 또한 해커인력의 채용증진을 위한 모의해킹업체와의 컨설팅을 통한 지원사업도 펼치고 있다. 이뿐만 아니라 서울시는 2014년 말에 상암동에 완공하는 서울시 IT 콤플렉스를 통해 서울시 보안관제에도 주력 중이며, 이에 발맞춰 현재 팀 단위의 보안인력을 과 단위로 증설할 계획이다. 또한 보안업무에 걸림돌이 됐던 공무원 순환보직 대신 전문관제도를 도입해 정보보안분야에 총력을 다하고 있다.
‘서울형 전문관 제도’로 불리는 이 제도의 도입으로 서울시는 보안센터의 보안수준을 화이트 해커에 준하는 수준으로 끌어올릴 계획이다. 이를 위해 현재 기초적인 수준의 모의해킹에서 벗어나 더욱 적극적인 예방책을 마련하고 대응 매뉴얼도 체계화시킬 계획이다.
임 팀장은 “서울시에서 지원하는 해커들이 양성되면 이를 기반으로 정보인프라를 보강하고, 구축할 계획”이라며 “관련 업체와 해커 간의 협력체계를 강화하고 신속한 정보공유로 정보보호 거버넌스를 강화하는 것이 서울시의 최종목표”라고 밝혔다.

해커채용에 신중할 수밖에 없다

잇따른 해킹사태로 가장 큰 피해를 입은 곳은 금융기관이다. 그래서인지 많은 금융기관이 해킹에 있어 가장 민감한 자세를 취하고 있다. A 은행의 경우, 5.5.7 규준에 발 맞춰 보안인력을 추가로 채용했으며, 그 수준도 현재 내부 보안 인력만으로도 모의해킹훈련이 가능한 실력파들인 것으로 알려지고 있다. 다만 금융기관의 특성상 더욱 신중을 기하기 위해 외부협력업체를 통한 컨설팅을 별도로 받고 있으며 이에 대한 모의해킹을 외부협력 컨설팅업체와 함께 공동으로 시행하고 있다.
B 그룹은 외부 컨설팅업체에 의한 정보유출을 최소화 하기 위해 화이트 해커를 추가로 채용했다. 하지만 B 그룹의 경우, 화이트 해커는 그들만의 특유의 문화 때문에 사내문화에 정착하는 데에 시간이 많이 소요될 것으로 보고 있다. 또한 해커출신 보안인력은 평균 근속연수가 3~4년 정도로 짧고, 이직률이 높아 인력관리에 어려움이 있다.
퇴사 후 화이트 해커가 회사 내부의 정보를 유출하거나 취약점을 노출할 수 있는 걱정을 안고 있는 것이다.
A 은행 관계자는 “모의해킹이 가능한 보안인력이 대폭 강화된 것은 사실”이라며 “우리뿐 아니라 다른 금융기관도 5.5.7 규준에 따라 비슷한 수준의 채용이 이뤄졌을 것”이라고 말했다. B그룹 관계자는 “현재 관리자 또는 실무자라면 느끼는 고민은 모두 비슷할 것”이라며 “해커인력이 필요한 것은 사실이지만 쓸만한 인재는 구하기도 어렵고, 믿을만한 인재를 구한다는 것은 더욱 어렵다”고 말해 해커채용의 어려움을 토로했다.

무분별한 해커 양성 지양해야

▲ 류재철 충남대학교 컴퓨터공학과 교수

류재철 충남대학교 컴퓨터 공학과 교수는 “물론 산업 전반에 부족한 인력을 메우기 위한 해커 인재양성도 중요하지만 보안산업과 인력은 다른 분야와는 달라서 항상 위험성을 염두해 둬야한다. 지금은 화이트 해커지만, 마음만 먹는다면 그레이 해커 또는 블랙 해커가 되는 것을 막을수 없다. 우리나라가 화이트 해커양성에 대한 충분한 환경을 제공하고 있는 것인지 근본적인 부분부터 재검토해 볼 필요가 있다”고 말했다.
최근 들어서 해커의 실력은 높은 수준으로 올라와 있지만 정상적인 제도권 교육을 마치지 못해 음지에 머무는 인재가 많은 것이 현실이다. 또한 국가적인 수준에서 해커의 양적 성장이 눈에 띄게 증가하고 있으나 그에 맞춰 사회적 수요가 뒷받침되고 있는지에 대해서는 많은 의문점이 남는다.
현재 화이트 해커 수요는 대부분 농협 전산망 마비 사태와 지난 3.20 사태와 맞물린 일시적인 현상으로 해석하는 경우가 많다. 따라서 반짝 수요가 사라지고 나면 채용되고 남은 해커들의 미래는 묘연해 질 수 있다. 이에 류 교수는 해커의 양적 성장과 함께 그들이 제대로 활동할 수 있는 사회적 인프라가 마련돼야 한다고 주장하고 있다. 현재시장 규모로는 화이트 해커는커녕 블랙 해커만 양성하는 꼴이 될 수 있다는 것이다. 예를 들어 블랙마켓에서 100만원에 팔리는 정보가 화이트마켓에서는 1만 원에도 미치지 않는다면 돈에 흔들리지 않을 해커는 없다. 자신이 활약한 만큼 보상이 주어져야 해커가 양지에서 활약할 수 있기 때문이다.
그는 “미국은 이런 점을 사전에 방지하고자 지역별로 국가가 인증한 대학교를 선정해 전문적인 해커교육과 함께 방첩 및 윤리교육을 병행한다. 그리고 지역의 전문대학, 고등학교, 공공기관과 연계해 체계적으로 화이트 해커를 양성하고 있다”며 “우리나라도 복합적(윤리적, 기술적)인 화이트 해커 양성을 위한 인증제가 필요하다. 무턱대고 해커를 양성하고 사후 관리가 이뤄지지 않는다면 그들의 미래가 어떻게 될지는 전혀 예측할 수 없다”고 밝혔다. 결국 국가주도의 해커관리 체계와 계획이 세워져야한다는 것이다.

음지의 해커를 양지로 이끌어내야

▲ 구사무엘 미라지웍스 선임연구원

“국가나 기업에서 해커 양성을 위해 다양한 프로젝트를 진행하는 것은 대환영이다. 해킹에 대해 열정과 관심이 있는 많은 사람에게 배움의 기회를 주는 것은 국가 차원에서도 좋은 일이다. 그러나 지원자 모두를 해커로 만들 수는 없다. 차라리 가능성 있는 인재에 대해 집중적으로 양성하는 것이 바람직하다. 그러기 위해 교육대상자가 해킹이나 보안에 대해 무엇을 해왔는지에 대한 파악과 검증이 필요하다”
국내 3대 해커 중에 한 명으로 알려진 구사무엘 미라지웍스 선임연구원은 이와 같이 기업해킹에 대한 대비책으로 화이트 해커의 양성과 채용을 주장했다. 그에 따르면, 해커는 새로운 공격방법을 항상 강구하고 연구한다는 것이다. 기존의 것을 답습만 한다면 끊임없이 발전하는 해커의 공격을 막을 수 없다. 그는 “해킹을 흔히 컴퓨터공학기술이라고만 생각하는데, 해킹은 컴퓨터공학이론을 밑바탕으로 그 위에 토대를 쌓는 예술작업”이라며 “예를 들어 인사담당관의 컴퓨터를 해킹한다고 하면, 정면으로 뚫는 방법보다 이력서를 보내는 피싱수법을 통해 수월하게 공격할 수 있다”고 말했다.
이력서를 인사담당자가 반드시 읽어볼 것이라는 심리를 이용해 공격수단으로 이용하는 것이다. 이렇게 공격 당한 인사담당자의 PC를 통해 회사의 중요문서, 소스코드, 급여정보들은 물론, 망분리가 되어 있지 않는 기업이라면 인트라넷과 웹사이트를 동시에 장악할 수 있다. 구 선임연구원은 화이트 해커를 양성하려면 그들이 필요한 사항을 충족시켜줘야 한다고 주장한다.
그는 “해커에게 금전적인 부분도 물론 중요하지만, 그보다도 명예와 해킹에 대한 욕구불만을 해결해 준다면 더 많은 해커가 양지로 나와서 활약할 수 있게 될 것”이라고 말했다.
하지만 아직 국내에서는 ‘해커=범죄자’라는 인식이 강하고, 해킹에 대한 법적 제약이 워낙 강해서 해커들이 양지로 나오지 못하고 있다. 그는 “국내에서는 해커의 인식이 대체로 부정적인 반면 해외에서 화이트 해커는 전문 보안 인력으로 인정받고 있다”며 “블랙 해커와 화이트 해커를 단순히 구분하는 일에 몰두하기보다 모든 해커를 긍정적인 방면으로 이끌어내는 과정이 필요하다”고 주장했다.
이처럼 해커를 양성하기 위해서는 해커들이 사회에서 선순환 구조로 갈 수 있도록 다양한 제도적 장치가 선행돼야 할 필요가 있다. 관련 시장을 키우지 않고 무조건 인력을 양성하는 것은 바람직하지 않다. 일각에서는 미국의 경우처럼 해커 양성기관마다 인증제를 실시하고 기술교육과 함께 윤리교육도 병행해야 한다는 지적도 일고 있다. 또한 화이트 해커가 나름의 성과를 느낄 수 있도록 보안시장의 활성화와 성장도 이뤄져야 한다. 이와 함께 화이트 해커도 범법자로 몰아갈 여지가 있는 현행 정보보호 관련법 대신에 정보보호기본법을 제정해 법의 사각지대에서 활동하는 화이트 해커를 보호하자는 목소리도 점차 높아지고 있다.