"안드로이드 뚫으면 29억 포상.. 착한 해킹 어때요?"
출발은 평범한 ‘겜돌이’였다. 게임으로 컴퓨터와 친해졌고, 중학생 때 해킹이라는 걸 알게 됐다. 영어 논문을 번역기에 돌리며 독학을 시작했다. 두각을 나타낸 건 고등학생 때 국내외 해킹대회에서 입상하면서부터. 스물네 살에는 ‘해킹 올림픽’으로 불리는 미국 데프콘 대회에서 우승하고 일본의 세콘, 대만의 히트콘까지 휩쓸어 세계 3대 해킹 방어 대회를 석권하는 기록을 세웠다.
모바일 금융 플랫폼 토스의 보안기술팀 리더 이종호(30)씨를 만났다. 그는 화이트해커다. 악의적인 목적으로 다른 시스템에 불법 침입하는 블랙해커와 달리 해킹 능력을 활용해 시스템의 취약점을 발견하고 방어책을 찾는 보안 전문가를 화이트해커라고 부른다. 최근 미국에서는 블랙해커들의 송유관업체 공격으로 휘발유 가격이 폭등하고 사재기가 발생하는 사건이 있었고, 에마뉘엘 마크롱 프랑스 대통령을 비롯한 각국 전현직 국가정상급 인사 14명의 휴대전화가 해킹됐을 가능성이 제기되기도 했다. 이들 공격에 사용된 랜섬웨어(시스템을 잠그거나 데이터를 암호화해 사용할 수 없게 만든 뒤 금전을 요구하는 악성 프로그램)와 스파이웨어(사용자 몰래 설치돼 중요한 정보를 빼가는 악성코드)에 대해 묻기 전 먼저 그의 해커로서의 성장기를 들었다.
-이력을 보니 해킹대회 도장 깨기를 하셨더라고요. 헬소닉이라는 닉네임으로 세계 해킹계에 명성을 떨쳤다고요.
“해킹대회는 대개 4명이 팀을 이뤄 참가하는데 한때 나가는 대회마다 1위를 해서 리더였던 제 닉네임이 유명해진 것 같습니다. 가장 권위 있는 데프콘에서 2015년 한국팀으로는 최초로 우승을 했어요. 2018년에 한 번 더 했고요.”
-해킹대회는 어떻게 치러지나요. 말 그대로 상대 시스템을 공격하고 자신의 시스템을 방어하는 사이버 전쟁인 건가요.
“데프콘이 바로 그런 공방전 형식이에요. 시스템을 해킹해서 가장 오랫동안 점유하는 사람이 우승하는 방식도 있습니다. 제가 먼저 차지하면 다른 해커가 못 들어오게 막고, 다른 해커들은 그걸 우회해서 들어오려고 하는 거죠. 기본 틀은 문제 출제자가 만들어놓은 시스템을 뚫는 거예요. 유명 해커들을 섭외해 문제를 만드는데 제가 출제자가 된 적도 있고요. 대회는 보통 2~3일간 진행되는데 먹지도 마시지도 않고 몰두하는 해커들도 있어요.”
-처음 해킹의 어떤 매력에 빠진 건가요.
“시스템을 깨뜨리는 법을 찾아서 공격한다는 게 재미있었어요. 공부라기보다 게임 같아서 밤새워 공부했어요. 학교 공부는 신경 안 쓰고 컴퓨터에 매달리니까 나중에는 부모님이 영어와 수학만은 포기하지 말라고 하셨어요. 그때는 해킹이 직업이 될 거라고는 생각도 못 했어요. 해킹에도 분야가 많아서 공부할 거리가 많고 배워야 할 게 많고, 그냥 자기 개발 중독처럼 계속해서 공부했던 것 같아요.”
-천재라는 얘기 많이 들으셨을 것 같아요.
“부끄럽지만 그랬죠. 그런데 세계 대회에서 천재들을 정말 많이 봤어요. 진짜 천재는 이런 거구나 싶은 사람들이 많더라고요.”
-마음만 먹으면 제 이메일이나 핸드폰도 들여다볼 수도 있나요. 뚫리지 않는 시스템이란 없다는 말이 있던데요. 철통 보안을 자랑하던 아이폰도 얼마 전 스파이웨어 페가수스에게 뚫렸잖아요.
“충분한 시간과 리소스만 주어진다면 가능하죠. 취약점이 나오지 않는 시스템은 없습니다. 미국에는 마이크로소프트(MS) 같은 회사들의 취약점을 구매하는 회사들이 있어요. 정보보안 회사인 제로디움의 경우 구글 운영체제 안드로이드와 아이폰 운영체제 iOS의 취약점 가격을 각각 250만 달러(29억원), 200만 달러(23억원)로 책정했어요. 현재 책정된 취약점 중에 가장 높은 금액이에요.”
-합법적인 건가요.
“네, 합법적으로 구매해서 그걸 MS나 구글에 팔기도 합니다. 그런데 공개적인 채널에서 그 정도 금액이라면 불법적인 블랙마켓에서는 수십 배 비싸게 팔린다는 얘기거든요. 취약점을 발견하는 데 그만큼 고도의 기술력과 어려움이 존재하니까 그런 가격이 형성된 거겠죠. 그래서 저는 보안성이란 그 어려움의 크기를 키우는 거라고 봐요. 기초를 튼튼하게 잘 지으면 블랙해커들이 굳이 타깃으로 삼지 않거든요. 큰 기술력을 들이지 않고도 해킹할 수 있는 게 얼마나 많은데 공사가 튼튼하게 돼 있는 곳을 왜 공격하겠어요.”
-해커들에게는 내가 어느 정부 기관, 어느 기업을 해킹했다고 실력을 자랑하고 싶은 호승심도 있을 것 같은데요.
“그래서 화이트해커를 위한 버그바운티가 활성화돼 있어요. 기업의 시스템적 취약점(버그)을 발견해서 공개적으로 제보하면 포상금(바운티)을 주는 제도입니다. 국내에서는 한국인터넷진흥원에서 버그바운티 사이트를 운영하는데 거기 명예의 전당이 있어요. 저도 열심히 할 때 몇 년간 1등을 했었고요. 네이버 카카오 같은 기업도 자체 버그바운티 프로그램이 있어요. 이런 걸 통해서 해커들이 자존감을 높이기도 하죠.”
-예전엔 해커가 펜타곤(미국 국방부)을 뚫었다거나 CIA(중앙정보국)를 해킹했다는 전설적인 무용담이 있었는데, 이제 버그바운티를 하라는 거군요.
“접근 권한 없이 동의도 받지 않고 사이트를 공격하는 순간 정보통신망법 위반으로 스스로를 범죄자로 신고하게 되는 꼴이죠. 법적인 테두리 안에서 점검하고 제보한 보안 취약점만 인정하고 포상을 해줍니다.”
-여러 유혹이 많았을 것 같아요.
“특정 사이트를 해킹해 달라거나 큰 기업을 거론하면서 고객 정보를 빼내면 얼마를 주겠다고 구체적으로 접근하는 경우도 많았어요. 하지만 한 번이라도 그런 유혹에 넘어가면 그 뒤부터 제가 화이트해커라고 말할 수 없죠. 저는 그건 목숨과도 바꿀 수 없는 부분이라고 생각해요.”
-흔히 블랙해커가 공격하는 창이라면 화이트해커는 방어하는 방패라고 하는데, 화이트해커의 주업무도 해킹인 건가요.
“그렇죠. 저희 팀은 보안 취약점 공격을 담당하는 레드팀과 해킹 방어를 전담하는 블루팀으로 나뉘어 있어요. 저희가 먼저 공격해봄으로써 토스 서비스에서 발생할 수 있는 보안 이슈를 선제적으로 막는 역할을 합니다. 공격을 해봤으니까 더 효율적으로 방어할 수 있는 아이디어가 생기죠. 그런 아이디어들을 적용해서 보안 솔루션을 개발하고 있습니다.”
-한국 해커들의 수준은 어느 정도인가요.
“분야별로 차이가 있어요. 러시아가 암호를 깨는 암호학에 강한 것처럼 나라별 특성도 있고요. 그래도 평균적으로 꽤 상위권에 있다고 생각해요. 그 수준을 유지할 수 있는 건 국가에서 화이트해커를 양성하는 ‘차세대 보안리더 양성프로그램’(BoB·Best of the Best) 덕분이라고 봅니다. 한국 해커의 역사가 그렇게 길지 않고 해커 지망생도 많은 편이 아니지만 BoB 때문에 숫자가 늘어나고 있어요. 안타까운 건 화이트해커가 된 좋은 인재들이 정부의 투자 부족이나 기업의 인식 부족 때문에 해외로 많이 빠져나가고 있다는 겁니다. 최고 수준인 ‘엘리트 해커’라고 할 수 있는 해커들은 100~200명 정도에 불과해요.”
BoB는 국내 화이트해커 양성 프로그램 중 가장 규모가 크다. 과학기술정보통신부와 한국정보기술연구원이 주관하며 올해로 10기째 운영되고 있다. 합격한 지원자들은 8개월간 교육을 이수하게 된다. 매년 200여명의 화이트해커를 배출한다. 윤리 교육을 강조해 의사들의 히포크라테스 선서처럼 기술을 윤리적으로 올바르게 사용하겠다는 선서를 하고 프로그램을 시작한다.
-BoB에서 7년째 멘토로 활동하고 계시잖아요. BoB를 벤치마킹한 국가들이 한국보다 프로그램을 더 잘 운영하고 있다는 아쉬움을 토로했었죠.
“아주 많은 나라에서 BoB 프로그램을 견학하고 갔어요. 그리고 그다음 해에 비슷한 걸 만드는 거죠. 일본은 곧바로 우리 10배의 예산을 잡아서 프로그램을 만들더라고요. 그런 걸 보면서 참 허탈했던 기억이 있습니다. 보안 인력양성을 위한 투자가 더 필요한데 BoB 예산은 점점 줄어들고 있어요.”
-지난해 말 해커들이 이랜드그룹을 랜섬웨어로 공격한 일이 있었죠. 지난 5월에는 세계 최대 정육업체 JBS 미국법인이 랜섬웨어 공격을 받고 해커들에게 1100만 달러(122억원) 상당의 비트코인을 냈고요.
“예전 블랙해커들은 사회적 혼란을 일으키기 위해 공격하는 비중이 높았는데 최근에는 금전을 노리는 경우가 많아졌어요. 랜섬웨어는 사람들이 자주 쓰는 소프트웨어의 취약점을 활용하거나 무료 게임, 무료 폰트로 가장합니다. 다운받아 실행하는 순간 PC를 감염시키죠. PC가 완전히 멈추고 화면에 나온 주소로 입금하면 PC를 풀어준다는 가이드가 뜹니다. 그리고 시한폭탄처럼 카운트다운이 시작되는데 시한은 보통 이틀 정도예요. 인질로 잡았다고 해서 랜섬(몸값)과 소프트웨어의 합성어인 랜섬웨어죠.”
한국인터넷진흥원은 ‘랜섬웨어의 시대’라며 2021 상반기 사이버 위협 동향 보고서에서 랜섬웨어에 대해 집중적으로 다뤘다. 국내에서도 랜섬웨어 피해 사례가 늘어나고 있다. 국내 랜섬웨어 신고 건수는 2018년 22건, 19년 39건, 20년 127건에서 21년 5월까지 55건이 신고됐다.
-코로나19 때문에 랜섬웨어 시장이 커졌다는 분석도 있던데요.
“재택근무와 원격근무가 활성화되면서 블랙해커 입장에서는 먹잇감이 많아지고 다양해졌죠. 거기에 추적이 어려운 암호화폐가 활성화되는 상황이 맞물렸어요. 랜섬웨어를 만들어 파는 시장도 생겼어요. 구독형 랜섬웨어도 있고요. 랜섬웨어를 만든 사람한테 월간 이용료를 내는 거죠. 랜섬웨어를 뿌려서 범죄 수익이 생기면 수수료를 받는 서비스 형태 방식으로도 진화하고 있습니다. 랜섬웨어 자체가 하나의 산업이 된 거예요.”
-지난 7월에는 각국 정보기관이 페가수스라는 스파이웨어를 이용해 민간인 사찰은 물론 마크롱 대통령 등 국가 수반들의 휴대폰을 해킹했다는 페가수스 스캔들로 외신이 떠들썩했습니다.
“핸드폰 취약점에도 유형이 있어요. 보통 사용자가 링크를 클릭해야 휴대전화에 설치되는 게 있고, 사용자가 아무것도 하지 않아도 감염되는 제로 클릭(Zero Click)이 있거든요. 페가수스는 후자의 경우고요. 스파이웨어가 위험한 게 휴대폰을 쓸 때마다 자료는 계속 빠져나가는데 본인은 모르는 상태라는 거예요. 스파이웨어에 감염되면 사용자가 하고 있는 모든 액션을 백그라운드에서 똑같이 할 수 있어요. 전화 도청, 카메라 촬영, 데이터 탈취까지요.”
-페가수스는 원래 이스라엘 IT 보안기업이 테러리스트와 범죄자 감시 목적으로 개발한 거였잖아요.
“양날의 검이죠. 그런 도구는 어떤 식으로 사용하는가에 따라서 정말 좋은 보안 수단이 될 수도 있고, 공격에 사용하면 남을 해칠 수 있는 무기가 되는 거고요.”
-이런 해킹은 어떻게 예방할 수 있나요.
“페가수스 사건은 정말 특수한 상황이기 때문에 예방하기 어려워요. 그래도 안심해도 될 점은 공격의 99.9%는 그런 식으로 이루어지지 않는다는 거예요. 대다수의 공격은 이미 알려져서 공개된 취약점들을 활용하는 거예요. 아직 소프트웨어 업데이트를 안 한 사람 없나, 아직 윈도XP 쓰는 사람 없나, 이렇게 스캔해보는 공격이 대부분이에요. 그래서 사용하고 있는 OS와 소프트웨어의 업데이트만 주기적으로 해주면 충분히 공격을 예방할 수 있습니다. 비밀번호로 1234를 쓰더라도 구글 비밀번호는 구글 앞글자 세 개를 따서 goo1234, 네이버는 nav1234, 이렇게만 해도 큰 보안 효과를 볼 수 있어요.”
-북한 해커들도 궁금합니다. 북한 해커들이 국제대회에 참가하기도 하나요.
“북한 해커들은 외화벌이를 위해 활동하기 때문인지 일반적인 기술 향상을 위한 대회에는 참가하지 않아요. 대회에서 북한 해커들을 만난 적은 없어요.”
국방부는 올해 초 발간한 ‘2020 국방백서’에서 북한의 사이버 전사가 6800여명에 달한다고 했다. 북한의 해킹 수준이 세계 5위권이라는 평가도 있지만 확인되지는 않았다. 세계적인 보안기업 파이어아이는 위협적인 해킹 국가 ‘빅4’로 북한과 이란 중국 러시아를 꼽으면서 북한의 사이버 작전은 지령에 따라 타깃을 기민하게 바꾸는 특징이 있는데, 최근에는 암호화폐와 현금, 군사기밀을 노리는 동시에 코로나19와 관련된 연구와 백신 정보로 눈을 돌리고 있다고 언급했다.
-미국 법무부가 지난해 말 ‘키보드를 든 은행강도’라며 북한 해커 3명을 기소했습니다. 이렇게 북한 해커들의 소행이라고 특정할 수 있는 건 그들만의 특징이 있기 때문인가요.
“사람마다 각각의 DNA가 있듯이 코드나 프로그램에도 DNA 같은 일정한 스타일과 패턴이 있습니다. 그런 DNA를 추출하는 연구가 활발히 이뤄지고 있어서 흔적을 잡아내는 경우도 있고, 북한에서 사용하는 IP 대역이 있는데 악성코드에 이런 흔적이 남는 경우가 종종 있습니다.”
-중국발 해킹 시도도 많다고요. 최근 5년간 정부의 주요 시스템을 겨냥한 해킹 시도 중 중국발 해킹 시도가 전체의 30%에 육박한다는 정부 통계가 있었습니다.
“지난 7월에도 한국원자력연구원과 한국항공우주산업이 북한 추정 세력에게 해킹당했다는 뉴스가 있었죠. 북한이 아니라도 외국발 공격은 이미 다양한 산업 분야에서 지속적으로 일어나고 있어요. 국가 간 사이버 전쟁으로 진입하면서 해킹과 보안 이슈가 기업 간의 기술 문제가 아니라 국가 안보의 문제로 발전했고요.”
-전문가들 사이에서는 과학기술정보통신부 국가정보원 국방부로 나뉘어 있는 사이버보안 대응 체계를 총괄할 독립된 컨트롤 타워가 필요하다는 논의가 활발하던데요.
“해킹에서 가장 중요한 부분이 정보수집입니다. 국내에서는 관련 기관들이 통합돼 있지 않고 민간, 공공, 국방 세 갈래로 나뉘어 있어요. 부처 간은 물론이고 민간과의 정보교류나 협력도 어렵고 폐쇄적입니다. 중심 역할을 하며 전체를 아우르는 시스템이 구축돼야 한다고 생각합니다.”
권혜숙 인터뷰 전문기자 hskwon@kmib.co.kr
GoodNews paper ⓒ 국민일보(www.kmib.co.kr), 무단전재 및 수집, 재배포금지
Copyright © 국민일보. 무단전재 및 재배포 금지.
- ‘가세연’ 김세의 체포 순간, 슈퍼챗 1200만원 쏟아졌다
- “믿기지 않아”…건강했던 50대 母, 화이자 1차 후 ‘뇌사’
- “차 쌩쌩 달리는데 아슬아슬”…갓길 렉카 기사 참변
- ‘이병헌 협박’ 글램 다희, BJ로 올해 별풍선 수익 7억
- ‘변소 혓바닥 핥기도’…지옥 대신 탈영 택한 사람들
- “아따, 한국 참 힙하네”…서산 ‘머드맥스’ 인터넷 강타
- 200억 마약밀매 잡고보니…고객명단에 ‘에이미’ 있었다
- “화이자 맞고 소장 썩어”… 24세 초등 남교사 결국 사망
- “또 XX하면 죽인다” 인천서 의경에 폭언·괴롭힘 의혹
- 아직 못 탔는데…엘리베이터 문 닫은 러 강아지 주인[영상]