화이트해커란 보안 취약점을 개선하고 사이버공격을 방어하는 사이버보안 전문가인데요. 디지털로 전 세계가 연결된 시대에 사이버안보의 중요성이 점점 커지면서 화이트해커가 국가 중요 전략자산으로 떠오르고 있습니다. 국가대표급 화이트해커 박세준 대표가 말하는 화이트해커의 세계와 역할에 대한 이야기를 '정책주간지 K-공감'에서 확인하세요!​

“화이트해커 목표는 세상을 더 안전하게 하는 것
사이버안보 역량 키우려면 국민들 인식이 중요”
세계대회 휩쓴 화이트해커 박세준 티오리 대표

상상하던 화이트해커는 없었습니다. 모자를 푹 눌러쓰고 자신만의 세상에 갇혀 컴퓨터 자판기만 두드리는 외골수는 없었습니다. 어려운 기술용어들을 늘어놓으면 어떡하나 싶던 걱정도 기우였습니다. 사이버보안 기업 티오리한국 박세준 대표는 화이트해커의 역할과 중요성에 대해 아주 적극적이고 쉬운 용어로 설명했습니다.

화이트해커가 국가 중요 전략자산으로 떠오르고 있습니다. 해커 하면 부정적 이미지가 먼저 떠오르지만 화이트해커는 디지털 질서를 위협하는 블랙해커에 맞서 보안 취약점을 개선하고 사이버공격을 방어하는 사이버보안 전문가, 즉 ‘착한 해커’입니다. 일종의 ‘사이버 경찰관’인 셈입니다.

박세준 대표는 국가대표급 화이트해커입니다. 해킹올림픽이라고 할 수 있는 세계 최고 권위의 해킹대회 ‘데프콘 CTF(Capture The Flag)’에서 통산 7승을 기록했습니다. 미국 라스베이거스에서 8월 11~13일(현지시간) 개최된 올해 대회에서도 박 대표가 이끈 해커팀(MMM)이 지난해에 이어 2연속 우승을 차지했습니다. 전 세계를 통틀어서도 박 대표의 우승 경력은 독보적입니다. 박 대표 다음으로 최다 우승 기록은 3승입니다. 박 대표는 전 세계 해킹계를 주름잡던 미국 카네기멜론대학교 해킹동아리 ‘PPP’를 설립하고 회장을 역임했습니다.

디지털로 전 세계가 연결된 시대에 사이버안보의 중요성은 점점 커지고 있습니다. 윤석열 대통령이 10월 12일 ‘청년 화이트해커와의 대화’에 나선 이유이기도 합니다. 박 대표도 이 자리에 참석했습니다. 윤 대통령은 이날 “사이버안보는 국가안보와 직결되는 것이다. 그리고 우리의 민주주의를 지키는 것”이라면서 사이버산업 발전과 역량 강화에 힘쓰겠다고 말했습니다. 사이버안보의 최전방에 있는 박 대표를 만나 화이트해커의 세계와 역할에 대해 들어봤습니다.

화이트해커는 구체적으로 어떤 일을 하나요?

사이버공격이 왔을 때 그것을 분석하고 방어하는 역할을 합니다. 내가 공격자라면 어떤 취약점을 공격해 어떤 영향을 끼칠 것인지 ‘모의해킹’도 하면서 선제적으로 취약점을 찾아내 제거합니다. 제품 개발 단계에서 ‘이런 식으로 설계하면 이런 위협이 생길 수 있다’는 컨설팅을 하고 방법을 제시하기도 합니다. 화이트해커들은 네트워크 보안, 소프트웨어 보안, 웹 보안, 공장 보안 등 정말 다양한 분야에서 활동하고 있습니다. 군에서 일하며 직접적으로 국가 안보에 기여하는 사람이 있는가 하면, 보안 기법을 연구하는 기관에서 일하거나 다음 세대를 양성하기 위해 교육에 힘쓰는 등 다양하게 퍼져 있습니다.

해킹 공격과 방어의 원리는 어떻게 다른가요?

근간은 같습니다. 해킹 피해 사례들이 많이 알려지면서 ‘해킹’이 부정적으로 인식되고 있는데 사실 해킹 자체는 나쁜 것이 아닙니다. 특정 대상에 대해 완전히 이해하는 것을 해킹이라고 합니다. 완벽한 이해를 토대로 빈틈을 찾아내고 창의적인 방법으로 해결하는 과정입니다. 그것이 공격과 방어로 나뉘는 것입니다.

소속 없이 활동하는 화이트해커도 많은가요?

프리랜서 형태로 일을 하는 경우도 많습니다. 정보기술(IT)의 취약점을 발견한 화이트해커에게 포상금을 주는 ‘버그 바운티’라고 있습니다. 해외에서는 버그 바운티로만 억대 연봉을 버는 프리랜서 화이트해커들이 있습니다.

화이트해커 자격증 혹은 공식 인증을 받는 절차가 있나요?

사이버보안 기술은 너무나 빠르게 진화하기 때문에 인증이나 자격증이 필수는 아닙니다. 오히려 지난해에 딴 자격증이 현재는 의미가 없을 수 있습니다. 활발히 활동 중인 화이트해커들을 보면 자격증 공부보다 실무에 더 많이 집중하는 편입니다.

정부에서 ‘사이버보안 10만 인재 양성’을 내세웠습니다.

사이버안보가 중요하다는 얘기는 과거에도 늘 있었지만 구체적인 목표를 세운 건 윤석열정부가 처음입니다. 업계 종사자로서 신기합니다. ‘10만 명’이라는 수치가 현실적으로 가능할지는 확신할 수 없지만 정부가 이렇게 적극적으로 지원해준다면 충분히 도달 가능한 목표라고 생각합니다. 다만 인력 수에만 집중하기보다 인재 한 명 한 명이 탄탄한 기본기를 갖추도록 해야 합니다. 미래 연구개발 영역에서 잠재력을 보여줄 수 있는 수준 높은 인재로 성장시키는 것이 중요합니다.

질적 성장이 양적 성장보다 우선돼야 한다는 뜻인가요?

개인적으로는 질적 성장이 조금 더 중요하다고 생각합니다. 사이버안보, 특히 컴퓨터로 하는 영역은 잘하는 한 명이 수백 명의 효과를 낼 수 있습니다. 그렇다고 화이트해커 한두 명이 매일같이 일어나는 사이버공격을 감당한다는 건 쉽지 않습니다. 인재 수를 늘리면서 실력도 상향평준화시켜야 합니다.

사이버공격은 지금 이 순간에도 어디선가 일어나고 있습니다. 박 대표에 따르면 휴대전화 문자메시지를 받기만 해도 해킹당할 수 있습니다. 공격자가 해킹 직후 문자메시지를 원격 삭제해 피해자는 문자 수신 여부조차 알지 못하는 경우도 있습니다. 실제로 최근에도 이런 사례가 적발됐다고 합니다.

진화하는 공격 기술을 따라잡으려면 계속 공부해야겠습니다.

맞습니다. 우리는 저주에 걸려 있습니다(웃음). 공부를 놓을 수 없습니다. 놓는 순간 도태되고 이 분야에서 제 역할을 못하게 됩니다. 새롭게 나오는 기술들을 완전히 이해해야만 보안 취약점을 찾을 수 있습니다. 사이버보안은 개발자보다 더 많이 공부하고 더 많이 알아야 하는 영역입니다.

우리나라 화이트해커들의 수준은 어떤가요?

정말 빠르게 성장하고 있습니다. 드림핵(Dreamhack, 티오리한국이 운영하는 사이버보안 교육 플랫폼)에서 공부하는 중·고등학생들을 보면 발전 속도가 어마어마합니다. 나는 그 나이 때 상상도 못한 초고수 기술을 배우고 있더라고요.

차세대 화이트해커들이 선배 해커들의 자리를 위협할 수도 있겠습니다.

어릴수록 습득력과 실행력이 빠른 건 사실입니다. 그러나 어떤 영역이든 경험에서 우러나는 인사이트는 분명 존재합니다. 공격에 대응하기 위한 전략을 어떻게 짜야 하는지는 오랜 경험에서 나올 수밖에 없습니다. 인사이트를 지닌 선배 해커, 빠른 실행력의 젊은 인재들이 상호보완하면 더 좋은 결과가 나올 것입니다. 그렇게 또 다음 세대를 이끄는 선순환 작용이 일어나야 합니다.

화이트해커와 블랙해커를 가르는 기준이 뭔가요?

굉장히 중요한 문제입니다. 해킹 기술은 마법이라고 생각합니다. “저게 가능해?”라고 말할 정도의 슈퍼 파워를 얻는 것입니다. 소설이나 영화를 보면 마법을 어떻게 쓰느냐에 따라 사람을 돕기도 하고 괴롭힐 수도 있습니다. 해킹 기술 또한 쓰임에 따라 너무 다른 결과가 나옵니다. 유혹이 많긴 합니다. 예를 들면 코로나19 백신 예약 시스템을 분석해 원하는 시간에 예약을 할 수도 있습니다. 콘서트 티켓 예매를 할 때 매크로(자동실행)를 막고 예매를 할 수도 있습니다. 화이트해커들은 할 수 있지만 선을 넘지 않는 것입니다.

할 수 있지만 하지 않는다는 건가요?

‘할 수 있지만 안 한다’고 하면 선택하는 것처럼 보이지만 (해킹 악용을) 하고 싶은 마음조차 안 드는 사람들이 화이트해커입니다. 불편하고 나쁜 짓인 걸 아는데 왜 하겠나요. 인재를 뽑을 때 실력보다 윤리의식을 더 중요하게 따집니다. 그간의 행적들은 레퍼런스(참고자료)를 통해 다 체크할 수 있습니다. 그 사람이 단 한 번이라도 악용의 유혹에 흔들렸다면 채용하지 않습니다.

박 대표와 인터뷰를 이어가다 문득 그의 책상에 눈길이 갔습니다. 컴퓨터 모니터 두 대와 각종 서류가 쌓인 책상 위에 소화제가 있었습니다. 동석한 직원이 “매일 점심을 사무실에서 김밥으로 때운다”고 말했습니다. 하루 종일 컴퓨터와 씨름해야 하는 화이트해커의 긴장감이 느껴졌습니다. 박 대표는 “고난도 문제를 풀기 위해 6~7개월이 걸린 적도 있다”고 했습니다. 샤워를 하다가도, 밥을 먹다가도, 친구들과 대화를 하다가도 문제 풀이를 고민하는 것이 화이트해커의 숙명이라고 했습니다.

드라마나 영화에서 묘사된 해커들은 천재입니다. 실제로 천재들이 많나요?

나는 해커들이 천재라고 생각하지 않습니다. 똑똑하고 빠르게 배우는 사람을 천재라고 한다면 해커는 천재가 맞지만 그 천재성조차 엄청나게 노력한 결과물입니다. 타고나길 천재인 화이트해커는 많지 않습니다.

화이트해커에 적합한 성격이 있나요?

주변에 뛰어난 해커들의 공통분모는 끈기와 호기심입니다. 저 정도 했으면 포기할 것도 같은데 절대 포기하지 않습니다. 성취감을 알기 때문에 포기하지 않습니다. 문제를 해결해가는 과정 자체를 즐기는 것 같습니다.

해커들끼리 모이면 주로 어떤 이야기를 하나요?

일상 이야기로 시작하는데 늘 기술 이야기로 귀결됩니다. 사람들은 어떤 물건을 보면 “예쁘다”, “좋다”고 하는데 해커들은 “왜 이렇게 만들어졌을까?”를 생각합니다. 항상 ‘왜’가 중요합니다. 피곤한 사람들입니다(웃음).

집에 있는 IT기기가 해킹당하는 일은 없을 것 같습니다.

나도 타기팅돼서 공격받으면 막을 수 있는 방법은 거의 없습니다. 대신 IT기기를 비교적 안전하게 사용하려고 합니다. 조금 불편하더라도 공용 인터넷에 연결하지 않는다거나 비밀번호는 특수문자를 포함해 10자 이상으로 합니다. 다들 알고 있는 내용이지만 실천하기는 쉽지 않습니다.

화이트해커를 꿈꾸는 청소년이 많습니다. 수입은 어떤가요?

수요와 공급의 원칙에 따르면 돈을 많이 벌어야 하는 게 맞는데 실상은 그렇지 않았습니다. 15년 전부터 보안 전문가는 ‘5년 뒤 가장 유망한 직업’으로 꼽혔지만 한 번도 유망한 적이 없었습니다. 최근 들어 바뀌고 있습니다. 코로나19 이후 많은 부분이 디지털화되면서 사이버보안의 중요성을 인식하기 시작했습니다. 덕분에 화이트해커들이 이전보다 훨씬 인정받고 있지만 갈 길은 멀었습니다.

윤 대통령과 ‘청년 화이트해커와의 대화’에 참석했습니다. 어떤 이야기를 했나요?

차세대 화이트해커들을 위해 세 가지를 조언했습니다. 우선 사이버안보는 어렵고 힘든 영역이니 혼자보단 팀을 꾸려 성장하는 데 집중하고 BoB(Best of Best, 보안 리더 양성 프로그램) 등 외국에서 벤치마킹할 정도로 잘돼 있는 우리 정부 프로그램을 적극 활용하라고 했습니다. 두 번째는 훌륭한 화이트해커의 덕목으로 끈기와 호기심을 강조했습니다. 후배들이 호기심을 원동력 삼아 끝까지 포기하지 않고 많이 배웠으면 하는 마음입니다. 올곧은 윤리의식과 흔들림 없는 도덕성은 화이트해커들이 절대 타협할 수 없는 가치라는 것을 잊지 말자고도 당부했습니다.

디지털 세상에 살고 있는 우리에게 사이버안보는 필수가 됐습니다.
사이버안보의 역량을 결정짓는 것은 무엇인가요?

국가 차원에서는 관련 법률, 정책이 얼마나 선진화돼 있느냐입니다. 다가올 세상에 대비해 법·제도를 개선해야 합니다. 기업의 예산과 인력 투자를 바탕으로 기술 역량을 높이는 것도 중요합니다. 국민의 사이버안보 인식 교육도 필요합니다. 아무리 안보기술이 뛰어나더라도 국민이 그 필요성이나 가치를 느끼지 못한다면 안보가 강해지기 어렵기 때문입니다.

화이트해커의 역할이 잘 알려져 있지 않습니다.

화이트해커들이 자신의 일을 적극적으로 알릴 필요가 있습니다. 자기 성취에 집중하는 편이라 훌륭한 성과를 냈음에도 알리지 않는 사람이 많습니다. 우리의 가치를 알려 이 산업이 꾸준히 지원받고 발전했으면 좋겠습니다.

화이트해커로서 최종 목표는 뭔가요?

세상을 좀 더 안전하게 만들고 싶습니다. 언젠가 돌아봤을 때 ‘내가 이런 것들을 했기 때문에 세상 사람들이 이런 부분은 안전해졌구나’ 할 수 있었으면 좋겠습니다. 어떤 형태이든 보안에 한 획을 긋고 싶습니다.