IT업계에서 개발자 연봉 인상 경쟁이 지속되었던 가운데, 개발자보다 높은 연봉을 받는 직업이 주목받고 있다.  웹 서비스와 프로그램의 보안 취약점을 발견하여 해커의 공격을 차단하는 '화이트해커' 다. 화이트해커는 개발자보다 훨씬 더 높은 대우를 받는다.


2018년 2월 tvN '문제적 남자'에 출연한 화이트해커 이승진 씨는 "국내에서 활동하는 실력 좋은 해커들은 프리랜서로 일할 경우 연봉이 3~4억이다. 미국에 가면 1년에 10억도 번다"라고 말했다. 화이트해커라는 직업의 희소성과 전문성 덕분이다. 업계에 따르면 현재 국내에서 활동하는 화이트해커는 약 400여 명이며, 높은 기술력을 가진 화이트해커는 100명에 불과한 것으로 알려졌다.


화이트해커에 대해서 아는 사람은 많지 않다. 화이트해커는 구체적으로 어떤 일을 하는 걸까? 화이트해커가 되려면 어떤 것들을 준비해야 될까? 지금부터 자세히 알아보자.

화이트해커,
IT 전문직의 끝판왕

세상에는 두 종류의 해커가 있다. 블랙해커는 악의적인 목적으로 사이버 공간에 침투해 정보를 탈취하여 금전적인 이익을 취하거나 자신의 능력을 과시한다. 반면 화이트해커 는 해킹 기술을 이용해 보안 취약점을 진단하여 블랙해커의 공격을 미리 예방한다. 필요에 따라서는 보안 프로그램을 개발하고 보안 시스템을 구축한다. 해커라는 뿌리는 서로 같지만, 해킹을 하는 목적에 따라 직업이 달라진다.


화이트해커에 대한 수요는 점차 늘어나고 있다. 4차 산업혁명 시대에 접어들면서 대다수의 기업들이 웹 사이트와 프로그램을 개발하게 되었다. 이렇다 보니 해커들의 공격 대상도 많아졌다. 반면 해커의 공격을 막을 수 있는 보안 인력은 수요에 비해 공급이 턱없이 부족하다. 예전에 비해 개발 인력이 폭발적으로 늘어난 것과는 대조적이다. 그러나 기업에서는 화이트해커와 같은 정보보안전문가를 반드시 필요로 한다.

한 기업이 개발 인력을 투입해서 새로운 앱을 개발했다고 가정해보자. 고객들은 앱을 통해 기업의 서비스를 이용할 것이다. 그런데 어떤 블랙해커가 앱의 취약점을 발견해서 해킹을 시도했다. 결국 수만 명에 달하는 고객의 정보가 유출되었다. 이 경우 기업은 막대한 피해를 입는다. 개인 정보 유출에 따른 법적인 책임을 져야 할 뿐만 아니라, 금전적인 피해를 고스란히 떠안아야 한다. 사고를 수습한다고 해도 고객들의 신뢰를 회복하기는 어렵다. 보안 사고는 장기적으로 매출에 악영향을 미친다. 보안 사고를 예방하려면 화이트해커가 있어야 한다.


구글, 애플, 페이스북, 마이크로소프트 등 글로벌 기업들은 화이트해커를 적극적으로 활용한다. 제품이나 서비스를 해킹해 취약점을 찾아주면 포상금을 지급하는 '버그 바운티(Bug bounty)' 제도를 운용하고 있다. 구글은 '안드로이드 시큐리티 리워즈(Android Security Rewards)'를 운영하며 2015년부터 2019년까지 1800개가 넘는 취약점을 발견했고, 포상금으로 총 150만 달러를 지급했다. 마이크로소프트는 2015년 2월, 인터넷 익스플로러에서 심각한 취약점을 발견한 제보자에게 12만 5000달러를 지급했다.

화이트해커는 버그 바운티 제도를 통해 억대 수익을 올리기도 한다. 2019년 9월, 버그 바운티 전문 플랫폼 해커원(HackerOne)에 따르면 버그 바운티로 1백만 달러 이상 수익을 올린 사람들은 총 6명이었다. 미국 출신의 토미 드보스(Tommy DeVoss)는 버라이즌 미디어, 미국 국방부, 페이팔 등에서 보안 취약점을 발견하고 백만장자가 되었다.


국내에도 비슷한 사례가 존재한다. 한국 최고의 화이트해커 이정훈 씨는 2015년, 2016년 폰투오운(Pwn2OWN) 해킹 대회에 참가하여 총 37만 달러의 상금을 받았다. 그는 뛰어난 실력을 인정받아 2016년 구글에 입사했고, 구글의 보안 취약점을 진단하는 '프로젝트 제로 팀'에서 근무했다.

화이트해커는 IT 전문직의 '끝판왕'이라고 불린다. 개발자 부럽지 않은 연봉과 대우를 받는다. 직업의 희소성과 전문성 덕분이다. 정보 보안이 중요해지면서 화이트해커를 필요로 하는 곳이 많아지고 있다. 그러나 공급은 아직도 부족한 상황이다.