영화 속 해커들은 컴퓨터 시스템을 해킹해 국가기밀 등을 훔치는 역할로 많이 등장을 한다. 하지만 영화 속처럼 해커들이 범죄에 가담하고만 있지 않다. 해킹기술을 연구하고 기업들의 소프트웨어 프로그램의 취약점을 알려주는 화이트 해커들이 더 많이 있다.

인터넷 시스템과 개인 컴퓨터 시스템을 파괴하는 해커를 블랙 해커라 하고 이에 대비해 쓰는 개념으로 선의의 해커가 화이트 해커다. 이들은 보안 시스템의 취약점을 발견해 관리자에게 제보함으로써 블랙 해커의 공격을 예방하기도 한다. 최근에 화이트 해커는 민·관에서 서버의 취약점을 찾아 보안 기술을 만드는 보안 전문가들을 말하기도 한다.

미국은 2013년 사이버사령부 규모를 향후 5년 내로 4900명으로 늘리는 계획을 승인했으며, 중국도 30만 명 이상 고급 기술을 가진 해커들을 육성하고 있으며 북한 또한 전자전 부대에서 세계 최고 수준 해커들을 1만2000명을 육성하고 있다고 알려져 있다.

하지만 우리나라는 2009년 7·7 DDoS 사건, 2011년 농협 전산장애 사건, 2013년 방송사 및 은행 전산망 마비 사건으로 수준 높은 화이트 해커들을 양성해야 된다는 목소리가 커지면서, 미래창조과학부는 화이트 해커 5000명 양성을 목표로 최정예 정보 보호 실무자 양성 과정 등을 마련해 전문 교육을 시행한다고 말했다. 또한 삼성전자, 네이버 등 대기업들은 버그 바운티 제도를 운영하고, 직접 화이트 해커를 양성에 나서기도 했다. 버그 바운티란 기업 서비스와 제품을 해킹을 사전에 예방하기 위해 취약점을 찾은 해커에게 포상금을 주는 제도다.



하지만 양성 과정 중 두 가지의 문제점이 드러났다. 첫 번째로는 화이트 해커에 대한 일반 사람들의 인식 부족이다. 일반 사람들은 영화 등 매체를 통해 해커의 단면적인 모습만 봐왔기에 화이트 해커들을 범죄자로 취급을 당하는 경우가 있어 일을 숨기는 경우도 적지 않다.

두 번째로는 기업들의 인식제고 부족이다. 버그 바운티 참여기업이 보안 기업에 치중돼 있다. 한국인터넷진흥원에 따르면, 한국인터넷진흥원에서 운영하는 버그 바운티 제도에 참여하는 기업 12곳 중 6곳이 보안 기업으로 나타났다. 중견·중소기업 대대수가 버그 바운티나 화이트 해커 육성에 대한 기업 인식이 부족하다. 이는 사회 전반으로 버그 바운티나 화이트 해커 육성이 확산되지 못하고 있다는 것이다. 또한 시스템 보안은 집중력이 필요한 작업이라 낮보다 밤에 집중적으로 일하는 경우가 많지만 잘 수용이 되지 않는 등 화이트 해커에 대한 처우가 낮다. 이러한 문제점들로 인해 20살에 미국에서 열린 해킹 올림픽 대회 데프콘 대회에서 3위를 차지한 천재 화이트 해커가 주목 받으며 삼성에 입사했지만 1년도 안되 해외 기업으로 떠나게 되었다.

앞으로 2011년이나 2013년 사건들보다 더 심각한 사건들이 충분히 일어날 수 있는 시점에서 화이트 해커들이 해외로 떠나는 일이 없도록 인식개선이 필요하며 인재 양성에 더욱 힘써야 된다고 생각된다.
이재진 기자 woodi3130@

중도일보(www.joongdo.co.kr), 무단전재 및 수집, 재배포 금지