ADVERTISEMENT

[월간중앙] 심층취재 | 사이버 안보의 첨병, 화이트해커의 세계

중앙일보

입력

“AI(인공지능)가 해킹하는 시대, 영화 같은 일 실제로 벌어졌다”

北 지난해 가상화폐 2조 갈취…윤 대통령 “화이트해커 10만 양성 프로젝트 가동”
국내 사이버 안보 컨트롤타워 시급, “대통령 중심 사이버안보위원회도 구성해야”

서울 금천구 한국정보기술연구원 (KITRI)에는 화이트해커를 교육하고 훈련하는 시설이 구비돼 있다. / 사진:한국정보기술연구원(KITRI)

서울 금천구 한국정보기술연구원 (KITRI)에는 화이트해커를 교육하고 훈련하는 시설이 구비돼 있다. / 사진:한국정보기술연구원(KITRI)

"싱가포르 스타트업에서 일할 때 용병기업(PMC)으로부터 협조 요청을 많이 받았다. 우리나라에서는 상상하기 힘든 일이지만, 동남아시아 등지에서는 패밀리(범죄조직)가 부자를 납치하거나 그 자녀를 유괴해 금전을 요구하는 사건이 꽤 자주 있다. 통상 사건 의뢰를 받은 PMC는 화이트해커와 연합해 통신, 계좌 등을 추적해 사건을 해결한다.”

익명을 원한 화이트해커(White-Hacker)는 기술보안, 신변 안전상의 이유로 구체적인 사건 내용은 밝힐 수 없다고 했다. 하지만 우리나라 화이트해커가 세계 여러 나라에서 이렇듯 심각한 범죄를 해결하는 데 큰 역할을 하는 건 사실이라고 덧붙였다.

北, 수년간 해커 육성

화이트해커들이 11월 8일 서울 금천구 한국정보기술연구원 (KITRI) 사무실에서 해커들의 활동 정황을 탐색하고 있다.

화이트해커들이 11월 8일 서울 금천구 한국정보기술연구원 (KITRI) 사무실에서 해커들의 활동 정황을 탐색하고 있다.

화이트해커는 블랙해커(Black-Hacker)와 반대되는 개념이다. 해커는 통상 선악(善惡)의 개념을 담지 않은 가치중립적 의미지만, ‘컴퓨터 지식을 이용해 타인의 정보·자산을 빼앗는 사람’이라는 부정적인 뜻으로 쓰이곤 했다. 이에 최근에는 선악으로 구분해 화이트해커와 블랙해커로 나누는 추세다. 블랙해커는 악의를 갖고 정보를 탈취하는 사람으로 크래커(Cracker)라고도 불린다. 반면 화이트해커는 선의로 이들의 침투를 방어하는 사람들을 통칭한다.

블랙해커의 위협은 곳곳에 도사리고 있다. 정부기관, 사기업을 가리지 않는다. 우리나라라고 예외일 수는 없다. 오히려 북한이 수년 동안 비대칭 전력을 강화하고 있어 사이버 안보 필요성이 세계에서 가장 높은 국가로 분류된다. 복수의 화이트해커 증언에 따르면, 우리나라의 경우 국가 안보나 산업 스파이, 가상 자산을 노린 해킹이 다수라고 한다.

월스트리트저널(WSJ) 보도에 따르면, 지난해 북한의 해커부대가 갈취한 가상화폐 규모는 약 2조1300억원에 달한다. 최근 5년으로 범위를 넓히면 4조원에 육박한다. 북한은 이를 탄도미사일 및 핵무기 개발 자금으로 사용하는 것으로 추정된다.

이에 대응하기 위한 국가 차원의 화이트해커 양성은 이제 선택이 아닌 필수가 됐다. 국방부가 펴낸 ‘2020 국방백서’에 따르면, 북한은 6800여 명의 사이버전 인력을 운영하고 있는데, 그 규모를 계속 키워가고 있다. 중국의 해킹 강도는 나날이 세지고 있다. 워싱턴포스트(WP)는 지난 8월 중국 인민해방군 산하 해커들이 2020년 말 일본 정부의 방위 기밀 전산망을 공격해 대량의 정보를 탈취했다고 보도했다. 러시아-우크라이나 전쟁은 사이버공간에서도 이어지는 하이브리드 전쟁 양상이다. 크리스토퍼레이 미국 연방수사국(FBI) 국장은 10월 31일(현지시각) 미 의회 상원 국토안보위 청문회에서 “지난 몇 년간 중국·북한·러시아가 미국의 연구를 겨냥해 사이버 작전을 벌이고 있다”고 밝혔다.

과연 우리 정부의 대책은 무엇일까? 대표적으로 ‘화이트해커 10만 양병’을 꼽을 수 있다. 지난 10월 12일 윤석열 대통령은 우리나라 청년 화이트해커 80여 명을 청와대 영빈관에 초대해 오찬을 가졌다. 이 자리에서 윤 대통령은 “여러분 한 사람, 한 사람이 사이버 안보의 중요한 전략 자산”이라며 “정부는 사이버 10만 인재 양성 프로젝트를 통해서 우수한 사이버 인재를 양성하고 사이버 산업의 발전과 역량 강화에 더욱 힘쓸 것”이라고 강조했다.

이날 행사는 과학기술정보통신부와 한국정보기술연구원(KITRI, 이하 키트리)이 마련한 자리였다. 과기정통부는 지난해 ‘사이버 10만 인재 양성 방안’을 발표하고 이를 실현하기 위한 교육 프로그램 강화에 나섰다. 화이트해커 입문 단계인 화이트햇 스쿨에서 차세대 보안리더 양성 프로그램 BoB(Best of the Best)로 연계되는 시스템을 마련했다. BoB는 전문생산기술연구소인 키트리가 운영한다. 2012년 BoB 1기를 시작으로 올해 12기까지 모집한 키트리는 화이트해커 양성의 본산이다.

실제 서울 금천구의 키트리 BoB센터에서는 수많은 화이트해커 멘토와 교육생이 다양한 프로그램을 통해 역량을 키워가고 있다. 11월 8일, 기자가 찾아간 키트리 BoB센터에서는 교육생들이 모여 스마트시티에서 발생할 수 있는 보안 위협을 예측해 공방(攻防)하는 프로젝트를 수행하고 있었다. 스마트시티는 모든 곳이 네트워트로 연결된 도시를 뜻한다. 이 때문에 사이버 보안 체계 구축이 필수적이다. 이날 교육생들은 세종시 등에 구축될 스마트시티를 그대로 모사해 연구 중이었다. 블랙해커 역할 그룹이 공격하면, 화이트해커 그룹이 이를 방어하면서 취약점을 찾아 어떻게 보완할지 연구하는 방식이다.

스마트시티 연구하기도

윤석열 대통령이 10월 12일 청와대 영빈관에서 열린 청년 화이트해커와의 대화에서 발언하고 있다. / 사진:연합뉴스

윤석열 대통령이 10월 12일 청와대 영빈관에서 열린 청년 화이트해커와의 대화에서 발언하고 있다. / 사진:연합뉴스

블랙해커는 IT·보안·코딩 등 정교한 기술을 총동원해 공격한다. 이 때문에 화이트해커는 블랙해커보다 더 높은 수준의 기술력을 갖고 있어야 한다. 또 블랙해커의 공격을 막으려면 그들처럼 생각하고 행동할 줄 알아야 한다. 화이트해커가 공격 훈련도 병행하는 이유다.

사이버 수사대원의 활약을 그린 SBS 드라마 ‘유령’을 보며 화이트해커의 꿈을 갖게 됐다는 교육생 황남준(26) 씨는 “뛰어난 선배들로부터 배우고 여러 프로젝트를 수행하며 성장하는 기회를 얻기 위해 참여하게 됐다”며 “정부기관은 물론 일반인도 해킹으로부터 안전한 미래가 왔으면 좋겠다”고 힘줘 말했다.

교육생들을 지도하는 멘토단은 국정원·군·경찰 등 공적 영역뿐만 아니라 사기업에 속한 최고의 실력자들로 구성돼 있다. 이날 인터뷰에 응한 정승기(33) 솔티랩 대표도 그중 한 명이다. BoB 4기 수료생인 그는 BoB 책임멘토 및 클라우드 보안협회(CSA Korea) 이사로 개인 마이데이터(PDS, Personal Data Storage)를 다루는 전문 기업 솔티랩을 창업했다. 정 대표와 같은 졸업생은 현재까지 1700여 명에 이른다. 이들은 여러 분야에서 활동하면서도 교육생을 가르치고, 그렇게 교육받은 사람이 향후 멘토가 되는 선순환 구조가 만들어진 것이다.

정 대표는 “최근 화이트해커의 개념이 점차 넓어지고 있다. 과거에는 블랙해커의 공격을 직접 방어하는 사람을 화이트해커라고 했다면, 현재는 개인정보를 보호하거나 기타 정보 관련 보안 업무를 하는 사람을 통칭해 화이트해커라고 부른다”며 “크게 공격하는 사람, 방어하는 사람, 공방을 소프트웨어화하는 사람으로 나뉜다”라고 설명했다.

그는 화이트해커의 역할을 소매치기범을 잡는 과정에 대입해 설명했다. 통상 지갑이 사라졌다는 걸 인지하기 전까지는 자신이 소매치기를 당했다는 사실을 알지 못한다. 화이트해커는 이러한 사람들에게 공격받았다는 걸 인지시켜주는 역할을 한다는 것. 어떻게 침투해서 무엇을 훔쳐갔고, 다시 소매치기를 당하지 않기 위해서는 어떤 조치를 취해야 할지 알려준다. 더 나아가서는 소매치기범을 추적해 잡기도 한다.

하지만 우리나라에서 화이트해커가 범인을 추적해 잡기는 실질적으로 어렵다고 한다. 최근 화이트해커 세계에서 논쟁적인 이슈를 예로 들어보자. 화이트해커가 정의감을 갖고 피해자를 구제하려는 목적으로 불법도박사이트를 해킹하는 건 합법일까, 불법일까. 불법도박사이트를 운영하는 것 자체가 불법임에도, 화이트해커가 허가받지 않고 해킹하는 것도 불법에 해당한다. 현행법은 국정원·군·경찰 등 정부기관에 속하지 않은 화이트해커가 허가 없이 네트워크에 접근하는 행위를 불법으로 규정하고 있기 때문이다. 화이트해커가 기술적으로 역추적할 수는 있으나, 실제로 할 수 있는지는 법률적 검토를 받아야 하는 상황이다. 한 익명의 화이트해커는 법적인 문제로 음지에 머물러야 하는 상황을 토로했다.

중국 VPN 타고 공격하기도

과학기술정보통신부와 한국정보기술연구원 (KITRI)은 ‘차세대 보안 리더 양성 프로그램(BoB)’ 멘토와 수료생으로 구성된 ‘MMM팀’이 미국에서 열린 올해 데프콘 국제해킹대회에서 2년 연속 1위를 차지했다고 밝혔다. 사진은 데프콘 국제해킹대회에서 1위를 차지한 MMM팀. / 사진:연합뉴스

과학기술정보통신부와 한국정보기술연구원 (KITRI)은 ‘차세대 보안 리더 양성 프로그램(BoB)’ 멘토와 수료생으로 구성된 ‘MMM팀’이 미국에서 열린 올해 데프콘 국제해킹대회에서 2년 연속 1위를 차지했다고 밝혔다. 사진은 데프콘 국제해킹대회에서 1위를 차지한 MMM팀. / 사진:연합뉴스

“‘우리나라에서도 이런 일이 벌어진다고’라고 할 만한 일들이 정말 많이 벌어진다. 공개할 순 없지만, 다양한 상황이 최전선에서 벌어진다. 그중에는 영화에서나 볼 법한 일도 있다. 예를 들어 북한이 새벽에 전격적으로 정보기관 해킹을 시도하면 화이트해커가 투입돼 방어한다. 어떤 때는 방어를 넘어 공격하기도 한다. 법과 안보상 문제로 화이트해커가 입을 열지 못할 뿐이지, 우리 주변에 있는 여러 상대국은 우리 상상보다 더하면 더했지 덜하지 않다.”

이 때문에 화이트해커들 사이에서는 법 개정이 필요하다는 의견이 많다. 화이트해커가 국가가 공인하는 자격을 취득하면, 입법부나 행정부 등의 감시를 받는다는 전제하에 분석하고 해킹하는 권한을 보다 폭넓게 열어줘야 한다는 주장이다.

이는 블랙해커의 공격에 보다 적극적으로 대응할 수 있는 방법이기도 하다. 정 대표는 “블랙해커는 VPN(가상사설망)을 타고 국내 기관을 공격한다”며 “그래서 외국인 블랙해커의 소행인지, 한국인이 외국에서 벌인 소행인지, 국내에서 VPN을 거친 건지 정밀 분석하기 전까지는 알 수가 없다”고 설명했다. 여러 정보기관 관계자들은 실제 북한 해커의 경우 중국 VPN을 타고 공격해오는 경우가 많다고 말한다.

이뿐만 아니라 블랙해커의 공격은 날로 고도화되고 있다. 복수의 화이트해커 증언에 따르면, 인공지능(AI)이 해킹하는 단계까지 발전했다. 블랙해커가 취약점을 입력하면 AI가 밤낮을 가리지 않고 사이트를 공격하는 식이다. 이에 화이트해커 사이에서는 AI 해킹 기술을 연구하는 프로젝트가 꾸준히 늘고 있다. 화이트해커들은 아직 AI가 입력된 값만 수행하는 단계지만, 향후 AI가 새로운 공격 방식을 인간의 도움 없이 개발하는 단계까지 발전하면 우리 사회는 걷잡을 수 없는 혼란에 빠질 수 있다고 경고한다.

우리 화이트해커는 세계 최고 수준의 실력을 자랑한다. ‘해킹올림픽’이라고 불리는 ‘데프콘(DEFCON) 국제해킹방어대회’에서 BoB 멘토와 수료생으로 구성된 한국·미국·캐나다 국적의 연합팀 ‘MMM(Maple Mallard Magistrates)’이 1위를 차지했다. 지난해에 이은 2년 연속 수상이다.

화이트해커의 역량을 키우기 위해서는 국제사회에서의 정보 교류가 무엇보다 중요하다. 싱가포르인 정보보안 교육 프로그램 담당자는 8일 “한국에 온 이유는 키트리의 BoB 양성 과정을 견학하고 교류하기 위해서다. 한국은 IT가 굉장히 발전돼 있고 정보보안 분야도 뛰어나다. 실제 정보보안 기술의 관점으로 본다면 세계 최고 수준”이라며 “국가별로 정보보안 인재들이 모여 정보 교류를 하는 건 이 산업이 성장하기 위한 핵심이다. 갇혀서는 결코 성장할 수 없다. 싱가포르도 작은 국가지만, 해외 기관들을 초청하는 수많은 행사를 열어 정보 교류를 확대하고 있다”고 했다.

이처럼 좋은 실적에도 업계에서는 “세계 최고 수준의 기술력을 언제 다른 나라에 뺏겨도 이상하지 않다”고 우려한다. 국가적 지원과 체계적 관리가 부족하기 때문이다. 화이트해커들은 입을 모아 “인재들이 모래알처럼 흩어져 각자의 일만 하고 있다”고 말한다.

사이버 안보를 강화하기 위해서는 정보보안 분야를 바라보는 기업과 기관의 인식 변화도 뒤따라야 한다. 시간이 지날수록 화이트해커에 대한 시장 수요는 분명히 늘어날 테지만, 기업은 비매출 부서인 정보보안 파트에 지속해서 투자하지 않으려고 한다. 현재도 대기업, 중소기업을 가리지 않고 정보보안 파트는 소수 엘리트로 운영해야 한다는 인식이 강하다.

화이트해커의 특수성 인정해야

박현준 경찰청 안보수사국 첨단안보수사계장이 6월 7일 오전 서울 서대문구 경찰청 안보수사국에서 북한 해킹메일 유포사건 수사 결과를 브리핑하고 있다. / 사진:연합뉴스

박현준 경찰청 안보수사국 첨단안보수사계장이 6월 7일 오전 서울 서대문구 경찰청 안보수사국에서 북한 해킹메일 유포사건 수사 결과를 브리핑하고 있다. / 사진:연합뉴스

공무원 조직에서도 화이트해커의 특수성을 인정하는 인식 변화가 필요하다는 지적이 나온다. 정보보안은 고도화된 기술이기 때문에 순환보직이 기본인 공무원 조직에서 화이트해커가 역량을 유지하기는 힘들다. 국립과학수사연구원 등 화이트해커의 특수성을 인정하는 몇 곳을 제외한 많은 기관에서 정보보안 파트를 외주로 돌리는 실정이다.

이 때문에 업계에서는 화이트해커를 한데 모을 수 있는 사이버 안보 컨트롤타워가 필요하다는 주장이 제기된다. BoB센터를 운영하는 유준상 키트리 원장은 “사이버안보기본법을 제정해 대통령을 중심으로 한 사이버안보위원회를 구성해야 한다”고 주장하고 있다. 사이버안보법 제정안은 대통령실 국가안보실이 컨트롤타워를 담당하는 것으로 가닥이 잡혔다. 다만 현행 국가안보회의(NSC) 체계를 중심으로 국가안보실이 대통령을 보좌하는 안과 사이버안보위원회와 같은 별도 자문위원회를 운영하는 방안 등 세부적인 내용에 대해서는 부처 간 이견이 있어 논의가 이어지고 있다.

해외에서는 많은 인력을 양성하기 위해 국가 차원에서 수많은 지원을 쏟아붓고 있다. 중국을 예로 들면, 게임 핵(Game Hack, 게임 해킹의 줄임말)을 탐지하는 엔진에만 수천 명의 화이트해커가 달라붙어 매일 분석하고 대응할 정도로 인력 풀(Pool)이 넓다. 우리 역시 어떤 방식으로든 화이트해커를 지원·관리하는 컨트롤타워가 필요한 시점이다.

- 글 최현목 월간중앙 기자 choi.hyunmok@joongang.co.kr / 사진 김상선 기자 kim.sangseon@joongang.co.kr

ADVERTISEMENT
ADVERTISEMENT
ADVERTISEMENT
ADVERTISEMENT
ADVERTISEMENT