“범죄자인 ‘블랙햇’ 취급 말아 달라”

“수억원짜리 장비는 척척 사들이면서 그런 장비를 운영하는 사람에 대한 투자에는 인색한 것이 가장 큰 문제입니다. 인력에 대한 투자가 가장 경제적인 솔루션인데 한국의 금융업체나 기업에서는 그런 부분을 비용으로만 보고 삭감할 궁리만 하지요.”

국내의 대표적인 해커 가운데 한 명인 박찬암(22·사진) 소프트포럼 보안기술분석팀장은 분산서비스거부(DDOS) 공격이나 NH농협 전산장애 같은 사건이 터져야 ‘보안을 강화하라’고 법석을 떠는 것이 못마땅하다. 제대로 된 보안 인력을 갖추고 전산 시스템을 운영할 권한을 보장해주면 대부분의 해킹 사고를 막을 수 있다는 것이 그의 진단이다. 박 팀장은 “전산망의 약점을 찾아내는 능력을 갖춘 해커는 가장 뛰어난 소프트웨어 개발자가 될 수 있다”며 “해커의 나쁜 면만 강조해 ‘공공의 적’으로 삼는 분위기가 가슴 아프다”고 말했다.

국내에서 프로그램의 코드를 분석해낼 수 있는 해킹 전문가는 100명 안팎이다. 박 팀장은 “해커가 국내에만 수천 명에 달한다는 주장도 있지만 이들의 대부분은 인터넷에서 내려받은 해킹 프로그램으로 다른 사람의 컴퓨터에 대한 해킹을 시도하는 ‘스크립트 키드’에 불과하다”고 말했다. 시스템에 대한 이해를 바탕으로 스스로 프로그램을 짜는 전문가 수준의 해커로 성장하는 경우는 드물다는 것. 방화벽이나 백신 프로그램만 제대로 사용하면 스크립트 키드 수준의 공격은 거의 100% 막아낼 수 있다. 업계에서는 박 팀장이 유닉스·리눅스 서버 보안 분야에서 다섯 손가락 안에 드는 실력자로 평가한다.

해커라는 말은 1950년대 말 미국 MIT의 ‘테크모델 철도클럽’ 동아리에서 생겼다. 모형 기차를 제어하는 프로그램을 스스로 짜는 전문가를 의미하는 말이었다. 프리소프트웨어파운데이션(FSF) 창립자인 리처드 스톨먼처럼 정보 공유를 추구하는 소프트웨어 전문가를 일컫는 말로 쓰였다. 하지만 최근에는 ‘컴퓨터 지식을 이용하여 남의 정보를 훔치거나 범죄를 저지르는 사람’이라는 부정적인 뜻으로 많이 쓰인다. 박 팀장은 “해킹을 통해 시스템의 문제를 찾아내는 보안 연구자인 ‘화이트햇’과 불법을 저지르는 ‘블랙햇’ 또는 ‘크래커’를 구분해야 한다”고 말했다. 국내의 전문 해커들 가운데 화이트햇과 블랙햇은 각각 절반 정도 되는 것으로 알려져 있다.

박 팀장은 인하대 2학년 때인 2009년 국제 해킹대회인 코드게이트에서 우승을 차지했다. 한국의 보안전문업체인 소프트포럼에서 개최하는 ‘코드게이트’는 매년 미국 라스베이거스에서 열리는 데프콘CTF와 함께 대표적인 해킹 대회로 꼽힌다. 매년 전 세계에서 2000개 가까운 팀이 참가해 실력을 겨룬다. 여기서 우승한 것을 계기로 소프트포럼에서 일하고 있다. 그는 보안이 취약한 부분을 찾아내 고치도록 유도하는 역할을 한다.

한국에서 해커들이 본격적으로 활동을 시작한 것은 1990년대 초반이다. 91년 KAIST(당시 한국과학기술원)에 해킹 동아리인 쿠스(KUS)가 생긴 데 이어 이듬해에는 포스텍(당시 포항공대)에 플러스(PLUS)가 출범했다. 96년 포스텍의 전산시스템을 파괴했다가 벌금형을 받은 노정석 KUS 회장(현 아블라컴퍼니 대표)이 대표적인 1세대 해커다. 보안업체인 인젠을 창업한 노 대표는 98년 SK텔레콤이 “홈페이지를 뚫는 회사와 계약하겠다”며 보안시스템을 발주하자 하루 만에 해킹에 성공해 사업을 따내기도 했다. 박 팀장은 “포스텍 플러스 출신으로 안랩(안철수연구소) 최고기술책임자(CTO)를 거친 이희조 고려대 컴퓨터공학부 교수와 이 교수의 맞수로 KAIST KUS 회장과 엔씨소프트 정보보안실장을 거친 김휘강 고려대 정보보호대학원 교수 등도 대표적인 인물”이라고 말했다.

2000년대 들어 인터넷이 대중화되면서 리버스랩·와우해커 같은 해커그룹이 결성됐다. 여기 출신인 2세대 해커들은 대부분 보안업체에서 일하고 있다. 최근에 모습을 드러낸 3세대 해커는 급증하는 해킹 사고에 대응하는 보안 전문가의 의미가 강하다. 포스텍의 플러스와 KUS의 후신인 KAIST의 곤(GoN), 서울대 가디언 등이 꾸준히 3세대 해커를 배출하고 있다. 박 팀장은 부산 남산고등학교 1학년이었던 2005년 청소년정보보호페스티벌에서 최우수상을 받으면서 ‘한국 3세대 해커’의 대표적인 인물로 떠올랐다.

박 팀장이 처음 해킹에 관심을 갖게 된 것은 초등학교 5학년 때다. 그는 “네트워크를 마음대로 헤집고 다니는 모습에 매력을 느껴 인터넷 사이트에 공개된 기법을 독학하며 해킹에 입문했다”고 말했다. 그는 “중학교에 들어가면서 C 같은 프로그래밍 언어나 어셈블리 등의 책만 보니 부모님의 걱정이 이만저만이 아니었는데 중 2 때 처음 중고교생 해킹대회에서 입상한 다음부터는 믿어주셨다”고 덧붙였다. 영어로 된 해킹기법 문서뿐 아니라 중국어· 러시아어 문서도 닥치는 대로 읽고 분석하며 실력을 키웠다. 그는 “중국이나 러시아 문서도 프로그래밍 코드는 영어로 짜기 때문에 설명을 읽을 수는 없어도 분석은 가능했다”고 말했다. 21세기 글로벌리더 전형을 통해 인하대에 들어갔다.

박 팀장은 요즘 중국을 중심으로 한 외국 해커의 공격을 막는 데 관심을 쏟고 있다. 그는 “특히 중국의 실력 있는 해커들은 돈을 벌거나 군사적인 목적으로 활동하는 경우가 많아 해킹대회 참가 등 공개적인 활동을 잘 하지 않는다”며 “실제로 중국어 문서를 보면 사이트나 서버를 뚫는 구체적인 방법을 언급하는 경우가 적지 않아 걱정”이라고 말했다. 가장 시급한 것은 보안인력 양성이다. 그는 “이제는 금융이나 쇼핑 분야 등은 기술적으로 세계에서 가장 보안 시스템을 잘 갖춘 상황이지만 전문인력에 대한 인식은 여전히 낮다”고 말했다. 그는 “외국에서는 최고보안책임자(CSO)의 연봉도 높고 권한도 막강한데 국내에서는 곪아 터질 때까지 문제를 숨겼다가 책임만 추궁하는 경우가 잦다”며 “이런 상황에서 실력 있는 프로그래머들이 보안 담당을 하려고 들지 않는다”고 우려했다. 박 팀장은 “한국직업능력개발원이 꼽은 ‘10년 뒤 유망 직업’이나 ‘2015년 소득수준 상위 직업’에서 보안책임자가 모두 1위를 차지했다”며 “최근 잇따르는 보안 사고가 화이트햇 해커를 키우는 계기가 될 수 있기를 기대한다”고 말했다.

최고의 해커가 권하는 가장 강력한 해킹 방어법은 뭘까. 의외로 백신을 설치하고 운영체제(OS)와 응용프로그램의 최신 패치를 꾸준히 하는 ‘기초 중의 기초’를 강조했다. 박 팀장은 “기본만 해도 영화에서처럼 노트북PC의 키보드를 몇 번 두드리면 시스템이 술술 뚫리는 경우는 없다”고 말했다. 해커는 이런 사실을 가장 잘 알기 때문에 보안이 된 PC나 사이트를 뚫기보다는 이런 방어벽조차 없는 다른 시스템을 찾아 나서기 마련이라는 것이다.