"화이트해커 설 자리 부족한 현실 바꿔야"

[인터뷰] 최정수 라온화이트햇 핵심연구팀 팀장

컴퓨팅입력 :2020/12/30 08:21

"화이트해커를 양성하기 위한 노력은 많이 이뤄지고 있다. 그런데 화이트해커가 좋은 대우를 받을 만한 곳은 많지 않다. 이런 현실 탓에 해외로 나가는 사람들도 많은데, 국가에서 키운 인재가 결국 해외 경제에 기여하게 만드는 꼴이다."

최정수 라온화이트햇 핵심연구팀 팀장은 우리나라 화이트해커의 처우에 대해 이같이 표현했다.

라온화이트햇은 화이트해커 중심의 정보보호 전문 서비스 기업이다. 최정수 팀장은 입사 5년차로, 공공기관·대기업 보안 컨설팅 프로젝트 수행 성과 및 국내외 해킹 방어 대회 수상 등 화이트해커로서의 성과를 인정받아 최근 팀장으로 발탁됐다.

화이트해커는 모의 해킹을 통해 취약점을 찾아 보안 체계 강화에 기여하는 업무를 수행한다. 취약점 연구에 몰입할 수 있는 환경이 갖춰져야 본연의 업무를 제대로 수행할 수 있지만, 실제로는 직무와 상관없는 업무도 떠맡는 경우가 빈번하다는 지적이다. 화이트해커를 채용하는 기업도 적을 뿐 아니라 채용 인원도 한 두 명 수준에 그치는 등 기업이 화이트해커의 필요성을 잘 체감하지 못하고 있다고 봤다.

기업·기관이 화이트해커의 전문 역량을 적극 활용하게 되면, 실제 해커가 시도할 수 있는 공격을 고려해 보안 체계를 구축하기 때문에 공격을 사전 차단할 가능성이 더욱 높아질 수 있다고 강조했다.

다음은 최정수 팀장과의 일문일답.

최정수 라온화이트햇 핵심연구팀 팀장

-화이트해커란 직업을 택하게 된 배경은?

"중학생 때부터 코딩에 관심을 갖고 공부했었다. 프로그램을 만들어보고 싶다는 생각이었다. 제일 처음 만든 건 계정정보를 저장해두는 프로그램이었는데, 지금 떠올려보면 보안 문제가 심각했다(웃음). 고등학교 때부터 해킹, 정보보안 분야를 접해나갔다. 이후 대학교 해킹 동아리에 가입해 활동하고, 현장실습을 거쳐 회사에 입사했다."

-화이트해커가 적극 채용되는 문화가 조성돼야 한다고 봤다. 일반 기업 IT·보안팀에서 화이트해커를 채용한다면 어떤 이점을 얻을 수 있나.

"공격자 관점에서만 찾을 수 있는 취약점들이 있다. 화이트해커가 없으면 이런 취약점을 놓칠 수 있다. 개인정보 유출사고로 예를 들면, 특정 사용자의 정보 조회 페이지를 여는 고객 번호에 1을 더한 숫자가 다른 사용자의 고객 번호로 저장되는 식이다. 이런 경우가 더러 있다. 이런 취약점은 물리보안, 정보보안 솔루션으로는 찾을 수 없다. 공격자 관점에서 고민해야 찾을 수 있는 허점이다."

-중학생을 대상으로 한 정보보안 교육 체계가 필요하다고 주장했다. 왜 그런가.

"주로 고등학생을 대상으로 제공되는 정보보안 교육과 달리, 코딩 교육은 초등학생, 중학생을 대상으로도 많이 이뤄지고 있다. 그런데 해킹 사고의 배후를 살펴보면 개발자의 코딩 실수 때문인 경우가 다수다. 코딩 교육을 접할 때부터, 정보보안이나 시큐어코딩(소스코드 작성 과정에서 보안 취약점을 점검해 제거하는 방식) 교육을 병행하게 되면 취약점이 발생할 확률도 낮아질 수 있다. 자연히 화이트해커라는 직무에 대한 접근성도 높아질 수 있다."

최정수 라온화이트햇 핵심연구팀 팀장

-화이트해커로 근무하면서 가장 보람 있던 순간은?

"모의 해킹을 수행하면서 금융권 고객사의 취약점을 찾은 적이 있다. 발견된 취약점이 악용됐다면 엄청난 액수의 금전 피해가 발생할 수도 있었다. 그 때 떠올린 액수만큼, 누군가의 재산을 보호했다는 생각이 들어 좋았다. 이렇게 심각한 취약점을 발견했을 때 평소보다 뿌듯함을 크게 느낀다."

-최근 원격근무가 대세화되면서 새로운 사이버위협들이 주목받고 있다. 어떻게 대응해야 할까.

"사무실에는 방화벽 등 보안 장비가 있지만, 원격근무 환경에서는 집에서 가상사설망(VPN)을 거쳐 회사 내부망에 접속하게 된다. 집에서 쓰는 공유기나 네트워크에는 보안 장비가 갖춰져 있지 않은 경우가 많기 때문에, 공유기 패스워드가 기본 설정 그대로이거나 최신 버전의 펌웨어가 설지돼 있지 않으면 해커가 공격할 여지가 생긴다. 이런 틈을 타 침투한 해커가 결국 회사 망에도 침투할 수 있다. 공용 와이파이 사용 금지 등 전체적인 보안 가이드가 있을 수 있지만, 결국 개개인이 스스로 신경 쓰는 부분도 있어야 한다. 누군가 실수하게 되면 해킹 가능성이 생긴다."

-내년 팀 운영 계획은?

관련기사

"거창한 목표가 있다기보다, 팀원들과 하고 싶은 연구를 꾸준히 하고 싶다. 잘하는 사람들을 많이 데려와 팀이 성장했으면 한다.

해외 해킹 대회는 본선이 현지에서 치러지기 때문에, 해외 각국에 갈 수 있다는 것도 이점 중 하나였다. 그런데 올해는 코로나19 때문에 온라인 대회로 전환돼 본선에 진출해도 재미가 좀 덜해서 아쉬웠다. 내년엔 팀원들과 해외 해킹 대회에 나가 오프라인 대회에도 참여할 수 있으면 좋겠다."