직업의 세계 / 화이트 햇 해커

해킹 기술 이용해 해킹을 막아내는 사람

글 : 라일락 명예기자(이화여대 4)  / 사진 : 김선아 

정보보안 전문가를 알기 전에 풀어야 할 오해가 있다. ‘해커(hacker)’라는 명칭에 대한 오해다. 해커란 컴퓨터 프로그래밍에 뛰어난 기술자로, 컴퓨터 시스템의 내부 구조와 동작을 알기 위해 노력하는 사람을 이르는 말이다. 애플컴퓨터의 창업자인 스티브 워즈니악과 스티브 잡스, 마이크로소프트의 창업자인 빌 게이츠도 초기에는 해커로 활동했다.

해커라는 말이 신문의 사건사고란에 단골로 등장하면서 악의적인 해커와 그렇지 않은 해커를 구분할 필요성이 생겨났고, ‘화이트 햇(white hat) 해커’와 ‘블랙 햇(black hat) 해커’라는 용어가 새로 만들어졌다. 흑백영화 시절 서부극의 주인공은 주로 흰색 모자를, 악당은 검정색 모자를 쓴 데서 비롯된 말이다. 화이트 햇 해커와 블랙 햇 해커는 같은 기술을 사용하지만, 그 목적은 흰색과 검정색의 차이만큼이나 명백하게 다르다. 블랙 햇 해커가 정보를 빼돌리고 돈을 버는 데 해킹 기술을 이용하는 반면, 화이트 햇 해커는 해킹 기술을 통해 블랙 햇 해커에 대응하는 방법을 찾아내 보안을 강화한다. 실제 웹사이트가 아닌 가상 환경에서 해킹 기법을 익히며, 해킹대회에 참여해 자신의 능력을 점검하는 화이트 햇 해커들은 보안 전문기업이나 백신 개발기업, 일반 기업의 정보보안 부서, 국가기관 등에 소속되어 정보보안 전문가로 활동하기도 한다.

〈topclass〉가 만난 박찬암 팀장은 정보보안 전문가를 의사에 비유했다. 의사는 예방접종으로 병을 미연에 방지하고, 정기검진을 통해 환자의 건강을 관리하며, 몸이 아플 때는 약을 처방해 낫게 한다. 정보보안 전문가도 기업이나 정부기관의 정보망에서 취약한 점을 파악해 보안체계를 마련하며, 사이버상의 공격을 지속적으로 감시하면서 정보를 관리한다. 해킹을 당했을 때는 정보를 신속히 복구하고, 새로운 보안체계를 만든다.

사이버상의 정보를 다루는 직업이므로 컴퓨터와 스마트폰의 시스템에 대한 전반적 기반 지식이 필수적이다. 매번 새로운 기법에 대응해야 하기 때문에 해킹 기술을 익히는 일도 게을리 하면 안 된다. 보안상의 문제를 발견해내야 하므로 치밀하고 꼼꼼한 성격이 유리하며, 문제점을 찾는 데는 상당한 시간이 걸리기도 하므로 쉽게 지치지 않는 끈기가 필요하다. 현직 정보보안 전문가들은 정보보안 전문가의 자질로 윤리의식을 첫손에 꼽는다. 높은 수준의 해킹 기술을 지니고 있는 사람들인 만큼, 범죄의 유혹도 많기 때문이다. 그들은 자신의 기술을 통해 사회에 보탬이 되고자 하는 사명감을 잊어서는 안 된다고 조언한다.

우리나라는 세계에서 악성코드 감염율 1위, 유포율 3위에 달하는 나라다. 하지만 국내에서 활동 중인 정보보안 전문가는 200~300명 정도다. 2009년 디도스 대란과 올해 잇따른 사이버테러 등을 계기로 정보보안 전문가를 꿈꾸는 이들을 위한 프로그램이 속속 생겨나고 있다. 정부는 지난해 7월부터 보안리더 양성 프로그램인 ‘베스트 오브 더 베스트’를 시작했으며, 라온시큐어와 안랩, 시만텍코리아, 인포섹 등 보안 전문기업에도 정보보안 전문가 양성 프로그램이 마련되어 있다.

고려대·경기대·세종대 등에서 정보보안 관련학과를 신설해 대학에서 정보보안에 필요한 기술을 연마할 기회도 생겼다. 이외에 컴퓨터공학과·전자공학과 같은 컴퓨터 관련학과나 수학이나 통계학 등 암호 해독에 유리한 분야를 전공하면 업무수행에 유리하다. 정보보안 기술관련 자격증으로는 한국인터넷진흥원(KISA)에서 올해 처음으로 시행한 정보보안기사와 정보보안산업기사 자격증이 있다. 시스템 보안, 네트워크 보안, 응용 프로그램(애플리케이션) 보안, 정보보안 관련 법규 등의 필기시험과 정보보안 실무능력을 평가하는 실기시험으로 치러진다. 7~8월에 걸쳐 진행된 1회 시험은 6500여 명이 응시해 40대 1 이상의 경쟁률을 기록했다. 자세한 내용은 한국인터넷진흥원 홈페이지(kisq.or.kr)를 통해 확인할 수 있다.

이번 달 〈topclass〉는 보안 전문기업 ‘라온시큐어’ 보안기술연구팀에서 근무하고 있는 박찬암 팀장을 찾아갔다. 올해 25세인 그는 중학생 때부터 국내외 해킹대회에서 연달아 우승을 차지하며 주목받은 화이트 햇 해커다. 브라운관을 통해 본 해커는 깜깜한 밤, 인적이 드문 곳에서 홀로 컴퓨터 자판을 두드리는 인물로 묘사되어 있었다. 하지만 라온시큐어 사무실에서 만난 그는 짐작했던 이미지와는 판이한 모습이었다. 화사한 파란색 셔츠를 입은 그는 인터뷰 중간중간에도 연신 웃음을 터뜨렸다. 거꾸로 엉뚱한 질문을 해 기자를 웃기기도 했다. 멋쩍어하던 그가 들려준 자신의 이야기를 재구성해보았다.



정보보안 전문가 박찬암

컴퓨터 한 대로 사이버 세계를 누비며 정보의 바다 지켜요


컴.퓨.터.
컴퓨터와의 첫 만남을 기억한다. 아홉 살 때 컴퓨터 게임이 하고 싶어 찾아간 컴퓨터학원에서였다. 해킹에 관심을 갖게 된 건 초등학교 5학년 때였다. 컴퓨터 한 대로 사이버 세계를 자유자재로 활보하는 TV 속 해커의 모습이 멋져 보였다. 무작정 서점에 가서 해킹 관련 책을 샀다. 부푼 마음을 안고 펼친 책의 첫머리에서 마주한 건 불가해한 숫자와 부호뿐이었다. 뜯어진 페이지 사이에 노란 테이프를 붙여가며 100번 가까이 읽다보니 책의 내용이 머릿속에 그려지기 시작했다. 중학교 2학년 때 중고생 해킹대회에서 입상한 이후, 화이트 햇 해커가 되었다. 코드게이트, 데프콘 CTF를 비롯한 국제적 해킹대회에서 수상했으며, 현재는 라온시큐어 보안기술연구팀장으로 일하고 있다. 출근할 때마다 칼바람 부는 전장에 서는 기분이 든다. 이순신 장군이 남해를 지켰듯, 정보의 바다를 지키는 나만의 6가지 전술을 공개한다.

1 아이디어는 일상에서 자연스럽게 떠올린다.
라온시큐어 보안기술연구팀에는 나를 포함해 8명의 팀원이 있다. 8명 모두 화이트 햇 해커다. 우리 팀은 정보보안 기술을 연구하고, 새로운 기술을 개발하는 업무를 주로 맡고 있다.
신기술을 개발하는 데는 색다른 발상이 중요하다. 컴퓨터 시스템을 공격하는 해커는 한 가지 전략만 사용할 수도 있지만, 그의 접근을 막아내야 하는 정보보안 전문가는 갖가지 경우의 수를 모두 고려해야 하기 때문이다. 해커는 예상치 못한 접근경로를 통해 공격을 개시하기도 하므로 여러 각도에서 접근법을 고민하고, 대비해두어야 한다. 기발한 아이디어를 떠올리는 우리 팀만의 비결은 점심식사 후 갖는 티타임이다. 모든 팀원이 둘러앉아 차를 마시며 마음껏 웃고 떠든다. 대화의 주제는 정보보안에 국한하지 않는다. 학창시절 쉬는 시간에 친구들과 수다를 떨듯, 일상의 시시콜콜한 이야기를 주고받다보면 전혀 생각지 못한 곳에서 아이디어가 ‘뿅’ 하고 떠오르는 경우가 많다.

2 문제가 생기면 발 빠르게 대처한다.
느긋하게 웃으며 일할 때가 대부분이지만, 긴급 상황이 발생하면 팀원들의 움직임이 분주해진다. 긴급 상황이란 고객사의 보안에 의심스러운 징후가 포착되었을 때다. 문제가 생긴 컴퓨터 전체의 하드디스크 내용을 복사한 다음, 컴퓨터를 이용한 내용을 기록한 자료인 ‘로그’를 분석한다. 해커가 컴퓨터에 침투한 방식은 무엇인지, IP 주소를 통해 어떤 국가에서 공격이 이루어졌는지도 살핀다. 공격 패턴이 밝혀지면 이전에 유사한 패턴을 사용한 사례를 찾아보며 공격을 단행한 해커의 정체를 알아낸다. 문제의 원인이 밝혀질 때까지 팀원들은 컴퓨터 앞에서 밤을 지새우기도 한다.


3 직접 공격자가 되어 문제점을 찾는다.
정보보안 전문가가 블랙 햇 해커로 분할 때가 있다. 기업이나 정부기관에서 의뢰가 들어오면 팀원들과 전략을 짜서 공격을 실시한다. 갖가지 방식의 공격을 통해 정보망의 취약점을 발견해내는 모의해킹이다. 모의해킹에는 특별한 규칙이 정해져 있지 않다. 이전에 발생했던 해킹 사례를 통한 경험과 감으로 공격 방법을 결정한다. 악성메일을 보내기도 하고, 악성코드를 전송하기도 하면서 내부 망에 침투해본다. 모의해킹이 끝나면 공격당한 부분과 그에 대한 대비책을 제시한 보고서를 작성해 의뢰한 기업이나 정부기관 관계자를 만난다. 회의를 통해 블랙 햇 해커의 공격을 효과적으로 방어할 수 있는 정보체계를 만든다.

4 끊임없이 공부, 또 공부한다.
정보보안 전문가에게 공부는 숙명이다. 하루가 멀다 하고 새로운 해킹 기술이 생겨나기 때문이다. 항상 예의 주시하면서 발맞추어 가지 않으면 뒤처지기 십상이다. 매번 다른 기술을 익혀야 하는 것이 고단하기도 하지만, 동시에 매번 새로운 과제가 주어진다는 것이 정보보안 전문가라는 직업의 매력이기도 하다. 특히 똑같은 것을 질색하고, 새로운 것을 배우기 좋아하는 나에게는 더없이 좋은 직업이다. 공부는 기술 습득에서 끝나지 않는다. 보안 전문신문과 SNS를 통해 최근 정보보안업계의 동향을 파악하고 있어야 한다. 인터넷으로 시시각각 사회 각 분야의 이슈를 확인하는 것도 놓치지 않는 일과다. 정보보안을 맡은 기업이나 정부기관의 최근 소식도 꿰고 있어야 한다. 정보보안 전략을 세울 때 참고해야 하기 때문이다.


5 머리 싸매지 않고 재미있게 분투한다.
공부 양이 적지 않은 직업이다보니 책임감이나 의무감만으로는 힘에 부치는 게 사실이다. 매일 알에서 깨어나듯 새롭게 태어나는 과제를 소화하는 방법은 단 하나, 재미를 붙이는 것뿐이다. 무엇을 하든 즐겁게, 신나게 하려 한다. 공부도 마찬가지다. 공부는 주로 퇴근 후 집에서 한다. 하지만 매일 꾸준히 공부하는 모범생 타입은 아니다. 하릴없이 빈둥거리다가 공부하고 싶어지면 컴퓨터 앞에 앉는다. 일단 마음을 먹고 앉으면 시계를 보지 않고 싫증 날 때까지 한 가지에만 매달린다.

6 달콤한 유혹에도 흔들리지 않는다.
불법적인 공격을 일삼는 블랙 햇 해커와 정보보안 전문가인 내가 사용하는 무기는 같다. 갈고닦은 무기를 어떤 곳에 쓰는지가 둘을 가르는 유일한 차이점이다. 화이트 햇 해커로 이름이 알려지면서 내 주변에도 블랙 햇 해커의 길로 유혹하는 사람들이 모여들기 시작했다. 거액을 제시하는 경우도 많지만, 귀가 솔깃해지지는 않는다. 많은 돈을 손에 쥘 수 있다는 기대보다 컴퓨터 앞을 영영 떠나게 될 수도 있다는 두려움이 훨씬 더 크기 때문이다.

꿈.
나는 꿈이 많다. 첫 번째 꿈은 구글처럼 직원들이 재미있게 일하는 IT기업을 만드는 것이다. SNS나 스마트폰 애플리케이션처럼 즐겨 쓸 수 있고, 생활에 도움이 되는 인터넷 서비스를 만들고 싶은 소망도 있다. 마지막 세 번째 꿈은 정보보안 전문가를 꿈꾸는 사람들이 돈 걱정 없이 마음껏 공부할 수 있도록 돕는 일이다. 정보보안 공부를 하다보면 생활고를 겪는 경우가 적지 않다. 경제적으로 힘든 상황에서는 그렇지 않을 때보다 금전적인 유혹을 떨쳐내기가 쉽지 않은 것이 사실이다. 잘못된 길로의 유혹에 빠지지 않고, 그들의 꿈을 지킬 수 있도록 하고 싶다. 세 가지 꿈 중 어떤 꿈이 이루어질지는 알 수 없다. 하지만 그때도 나는 지금처럼 좋아하는 컴퓨터 곁에서 신나게 일하고 있을 것이다.

박찬암 팀장이 알려주는 정보 보호법

1. 자신의 이름과 전화번호, ID 등의 정보를 SNS나 포털사이트에서 자주 검색해본다. 나도 모르는 사이에 내 정보가 인터넷에서 부유하고 있을지 모른다. 검색을 통해 민감한 정보가 포함된 게시글은 삭제해둔다.

2. 비밀번호 패턴은 복잡하고 긴 것이 좋다. 영문과 숫자, 특수문자를 고루 섞어서 비밀번호를 길게 만들면 그만큼 해킹의 가능성도 낮아진다.

3. 소프트웨어 업데이트를 주기적으로 한다. 소프트웨어 업데이트를 할 때는 기능만이 아니라 보안 취약점도 함께 업데이트된다.

4. 스마트폰 ‘루팅’이나 ‘탈옥’은 하지 않는다. 사용자 스스로 잠금장치를 해제하는 루팅이나 탈옥은 해킹 위험을 10배 가까이 높인다.

5. 불법 소프트웨어나 동영상을 내려받지 않는다. 소프트웨어나 동영상 속에 악성코드가 숨어 있는 경우가 많다.
  • 2013년 11월호
  • 페이스북
  • 트위터
  • 카카오톡보내기
  • 목록
  • 프린트
나도 한마디는 로그인 후 사용하실 수 있습니다.
201911

201911

구독신청
낱권구매
전체기사

event2019.11

event
event 신청하기

더 볼만한 기사

10개더보기
상호 : ㈜조선뉴스프레스 / 등록번호 : 서울, 자00349 / 등록일자 : 2011년 7월 25일 / 제호 : 톱클래스 뉴스서비스 / 발행인 : ㈜조선뉴스프레스 이동한
편집인 : 이동한 / 발행소 : 서울시 마포구 상암산로 34, 13층(상암동, 디지털큐브빌딩) Tel : 02)724-6830 / 발행일자 : 2017년 3월 29일
청소년보호책임자 : 김민희 / 통신판매신고번호 : 2015-서울마포-0073호 / 사업자등록번호 : 104-81-59006
Copyright ⓒ topclass.chosun.com All Rights Reserved.

조선뉴스프레스 | 광고안내 | 기사제보 | 독자센터 | 개인정보 취급방침 | 인터넷신문윤리강령 | 청소년보호정책 | 독자권익위원회

내가 본 뉴스 맨 위로

내가 본 뉴스 닫기