[스마트경제] ‘해커’란 단어를 들으면 가장먼저 나쁜 이미지가 떠오르며 시스템에 침입해 데이터를 가져가거나 기밀문서 등을 빼돌리는 영화 속 장면이 상상됩니다.
해커를 국어사전에서는 ‘컴퓨터 시스템의 내부 구조와 동작 따위에 심취해 이를 알고자 노력하는 사람’으로 정의합니다. 이어 ‘다른 사람의 컴퓨터 시스템에 침입해 사용자 행위 및 데이터를 불법으로 열람·변조·파괴하는 블랙해커(크래커)와 이러한 블랙해커의 공격에 대응하는 화이트해커가 있다’고 덧붙여져 있습니다.
이처럼 화이트해커는 블랙해커를 잡기위해 컴퓨터 시스템과 해킹에 대해 더 많이 연구하고 대응전략을 세우는 해커로 정보보안전문가라는 이름으로 불립니다. 해킹기술을 연구하고 구현하는 것은 동일하지만 그 쓰임새가 불법적이고 악의적인지, 윤리적이고 합법적인지에 따라 블랙해커와 화이트해커가 나뉩니다.
화이트해커와 블랙해커의 경계를 넘나드는 것은 어려운 일이 아닙니다. 기술적으로 블랙해커와 화이트해커는 대동소이하기 때문입니다. 실제로 거액의 돈 앞에서 블랙해커로 전향하거나 화이트해커를 사칭해 기업과 정보기관에 피해를 입히는 경우도 꽤 있다고 합니다.
최근 4차산업혁명과 정보기술의 발달 등으로 화이트해커는 그 필요성과 존재감이 나날이 늘어가고 있습니다. 최근 기업들은 ‘버그 바운티’ 라는 제도를 많이 이용하고 있는데요. 버그 바운티는 보얀취약점 신고제도로 기업의 서비스 및 제품을 해킹해 취약점을 찾은 해커에게 포상금을 주는 제도입니다.
구글, 애플, 마이크로소프트 등 글로벌 기업뿐만 아니라 삼성, 네이버, 카카오 등 국내 기업들도 시행하고 있습니다. 제품과 같은 사소한 버그는 수십만원 대에서부터 보안 시스템의 큰 취약점은 억 단위 보상이 주어집니다.
최근 연이은 사이버 테러와 사이버 공격의 수법이 날로 교묘해지며 기업뿐만 아니라 국가 차원에서도 화이트해커의 필요성이 대두되고 있습니다. 지난해 일본 방위성은 사이버 방위 능력 강화를 위해 민간 화이트해커를 채용했습니다.
일본 정부는 사이버 공격으로 전력과 철도 등 인프라가 마비될 수 있다며 사이버 방위 능력 강화에 총력을 기울인다는 방침입니다. 미국의 사이버 부대원도 6000여 명에 달하고 중국은 약 10만명이 화이트해커로 활동하고 있는 것으로 알려졌습니다.
그러나 우리나라는 IT 강국으로 자부하고 있지만 아직 공식적인 화이트 해커가 200여 명 수준에 불과합니다. 정보보안 전문가들은 인구 5000만명인 우리나라 경제규모와 인터넷 보급률 등을 볼 때 화이트해커의 숫자가 턱없이 부족하다는 입장입니다.
과학기술정보통신부와 한국인터넷진흥원이 공개한 ‘2017년 정보보호실태’ 결과에 따르면 지난해 정보보호대책을 수립한 비율은 15.2%에 불과했습니다. 이마저도 전년대비 1.9% 포인트 하락한 수치입니다.
정보보호 예산을 편성한 사업체는 전체의 48.1%로 나타났습니다. 이는 전년대비 15.6% 포인트 늘어난 규모지만 IT 예산 중 정보보호 예산을 1% 미만으로 편성한 기업이 36.8%에 달해 여전히 보안에 투자는 미진하다는 지적을 피하지 못하고 있습니다.
보안업계에선 화이트해커의 양산을 위해 기업들의 적극적인 투자와 국가의 지원이 이어져야 한다고 지적합니다. 사이버 공격에 기업과 국가가 피해받지 않도록 우리나라도 조속히 화이트해커 육성에 힘을 쏟아야 합니다.
한승주 기자 sjhan0108@dailysmart.co.kr
