화이트 해커 박찬암
‘현대캐피탈 해킹사건’ ‘농협 전산망 마비사태’ ‘네이트온 개인정보 유출사건’. 이와 같은 대규모 해킹사건이 발생할 때마다 주목받는 사람들이 있다. 바로 ‘화이트 해커’라 불리는 전문 직업인들. 이들은 악의적으로 해킹을 감행하는 ‘블랙 해커’들에 맞서 시스템의 보안과 방어기술을 높이는 연구를 한다.
화이트 해커 박찬암 씨는 초등학교 5학년 때 해커의 매력에 빠져 해킹 관련 기술을 독학하면서 자연스럽게 해커 전문가로 입문했다. 그는 현재 인하대학교 컴퓨터공학과 재학생이자 보안 전문 업체인 라온시큐어(주) 화이트햇센터의 보안기술연구팀장이란 직책도 갖고 있다. 해커 특유의 집착으로 하나의 목표가 주어지면 해결할 때까지 며칠이고 밤을 새는 일이 많지만 새로운 기술을 개발할 때마다 즐거움과 보람을 느낀다고. 그에게 화이트 해커라는 직업 세계에 대해 들어봤다.
해커*라는 용어가 주로 부정적 의미로 사용되다 보니 화이트 해커에 대한 편견이나 오해도 있을 것 같은데요.
단순히 해킹 능력이나 기술 수준이 아닌 보안의식과 윤리의식의 차이로 화이트 해커와 블랙 해커를 구분합니다.블랙 해커는 개인의 이익을 위해 악의적인 해킹을 시도하는 반면, 화이트 해커는 시스템 보안의 취약점을 연구해 해킹 방어 전략을 세우는 일을 합니다. 해커에 대한 부정적인 시각과 상관없이 저희는 새로운 기술을 개발하는 일에 만족감과 긍지를 갖고 있습니다.
*해커(hacker)
[명사] 1. 컴퓨터 통신망 따위를 통해서 다른 사람의 컴퓨터에 무단 침입하여 데이터와프로그램을 없애거나 망치는 사람.
2. 컴퓨터 시스템에 대하여 강한 흥미를 갖고 전문적으로 연구하여 뛰어난 실력을 갖춘 사람.
다소 특별한 해커만의 또 다른 직업적 특성에는 무엇이 있나요?
예전에 특수사관학교에서 강연을 한 적이 있는데, 해커의 특징을 군인과 비교하면서 설명했습니다. 우선 군인과해커는 대부분 남성 위주의 환경에서 일한다는 공통점이 있습니다. 하지만 군인은 획일화된 체계 하에 행동하는 반면, 해커는 정해진 틀을 깨는 것을 좋아하고 각자의 개성이 강하다는 차이점이 있습니다. 국제 해커 컨퍼런스에 참가했을 때 본 형광등을 매단 특이한 모자를 쓰고 있었던 해커, 남자임에도 불구하고 치마를 입었던 해커가 특히 기억에 남네요.
해커에 관심을 갖게 된 계기가 궁금합니다.
초등학교 5학년 때 리눅스(Linux) 운영체제 관련 책을 접하면서 컴퓨터 시스템에 관심을 갖게 됐습니다. 그러다가 점차 네트워크를 자유롭게 헤집고 다니는 해커의 모습에 매력을 느껴 인터넷 사이트에 공개된 해킹기법을 독학 했습니다. 처음 접한 세계였던 만큼 모든 게 새롭고 신기했죠. 중학생 때는 영어로 작성된 해킹기법 문서뿐만 아니라 중국과 러시아 문서도 닥치는 대로 읽고 분석하면서 실력을 키웠습니다. 중국과 러시아 문서도 프로그램 소스코드는 영어로 기록돼 있었기 때문에 어느 정도 이해할 수 있었습니다.
공격자(블랙 해커)의 특성을 파악하는 것도 화이트 해커로서 활동하는 데 도움이 되나요?
옛말에 ‘지피지기 백전백승(知彼知己 百戰百勝)’이란 말이 있죠. 상대를 알고 나를 알면 백 번 싸워도 위태롭지 않다는 뜻인데, 이를 해킹에도 적용시켜 볼 수 있습니다. 방어하는 입장에서 공격자의 특성을 파악하고 있다면 공격을 예상하고 해킹에 대비할 수 있습니다.
해커로서 갖춰야 할 자질이 있다면?
해킹기술은 양날의 검이기 때문에 어떻게 사용하느냐가 중요합니다. 따라서 해커 스스로 올바른 윤리적 책임감을 지녀야 합니다. 지식이나 기술 수준은 장기적 관점에서 봤을 때 그다지 중요하지 않습니다. 해킹 관련 서적을 더 많이 읽는다면 쉽게 따라 잡을 수 있기 때문이죠. 그 다음으로는 창의성이 필요합니다. 해킹분야는 발상의 전환, 유연한 사고를 통해 좋은 아이디어가 많이 나오는 경우가 많습니다.
우상으로 리눅스 창시자이자 프로그래머인 리누즈 토발즈(Linus Benedict Torvalds)를 꼽으셨는데, 어떤 점을 닮고 싶은가요?
리눅스는 리누즈 토발즈란 프로그래머가 만든 커널(kernel : 컴퓨터 운영체계의 가장 중요한 핵심으로서 운영체계의 다른 모든 부분에 여러 가지 기본적인 서비스를 제공한다)을 기반으로 한 운영체제로, 전 세계적으로 가장 많은 사람들이 사용하고 있습니다. 스마트폰의 안드로이드 운영체제도 리눅스 기반이죠. 리눅스는 다른 상용 운영체제와는 달리 배포와 수정이 자유롭다는 것이 특징입니다. 자본과 상업의 논리에서 탈피해 공유와 나눔의 문화를 확산시켰다는 점에서 리누즈 토발즈를 존경합니다. 저도 언젠가 공익을 추구하는 연구소를 세워 제가 지금까지 많은 도움을 받아 온 만큼 사회에 환원하고 후배들에게도 좋은 멘토가 되고 싶습니다.
대부분의 사람들이‘해커’라고 하면, 컴퓨터 앞에서 대부분의 시간을 보내고 사회성이 결여된 오타쿠 기질이 있는 어두운 이미지를 떠올리곤 합니다. 이러한 편견을 깨기 위해 일부러 흰색이나 노란색 같은 밝은 색 계열의 옷을 입고 인터뷰한 적도 있습니다. 드라마에서 배우 소지섭 씨가 해커 역을 멋지게 잘 소화한 덕분에 이미지 개선에 큰 도움이 됐다고 생각합니다. 정부에서도 정보 보안 인력의 질을 높이고자 오디션 형식으로 화이트 해커를 선발한다고 합니다. 개인적으로는 화이트 해커 양성도 중요하지만 해커에 대한 대우나 처우를 개선하는 것이 우선이라고 생각합니다.
시스템의 취약점 뿐만 아니라 사람의 심리를 이용한 해킹도 빈번한 것으로 알고 있습니다. 어떤 것인가요?
PC나 네트워크 시스템의 취약점이 아닌 사람의 특성과 심리를 악용한 ‘사회공학적’ 해킹방법을 말합니다. 예를 들자면, 소셜 네트워크 서비스(SNS) 중에 구글 플러스(Google+)가 있는데, 초반에 불특정 다수에게 초대장을 보내 일부 사람들에게만 회원가입의 기회를제공했습니다. 그런데 그 초대장은 개개인에게 이메일 계정의 비밀번호를 입력할 것을 요구했습니다. 개인정보를 취득하기 위한 하나의 속임수였죠. 아무리 보안 시스템이 철저히 구축돼 있
다고 하더라도 이러한 사회공학적 해킹은 방어하기 힘든 부분이 있습니다.
전 세계 인터넷 속도 1위를 자랑하는 우리나라가 얼마 전 악성코드 유포지로 세계 2위라는 불명예를 안게 됐다는 기사를 읽었습니다. 인터넷 강국이면서 동시에 보안 후진국인 셈이죠. 사람들의 보안의식이 낮은 이유가 무엇이라고 생각하시나요?
빠른 속도로 발전한 정보통신 기술 수준을 보안의 중요성에 대한 사람들의 인식도가 따라잡지 못했던 것 같습니다. 우리나라는 초고속 인터넷망 등 IT 인프라가 잘 갖춰져 있지만 보안에 대한 인식도가 낮은 편입니다. 개인정보의 민감성이 더 커진 요즘, 사용자 스스로도 PC를 관리하려는 노력이 필요합니다. 이를 위해 백신프로그램을 설치하고 운영체제와 응용 프로그램의 최신패치(patch : 컴퓨터프로그램이나 데이터의 장애 부분에 대한 수정 혹은 기존 정보를 최신 정보로 바꿈을 뜻한다)를 꾸준히 하는 것이 좋습니다.
요즘 더 많은 기능을 효과적으로 사용하기 위해서 스마트폰을 루팅(rooting : 관리자 권한 확보)하는 경우가 많습니다. 하지만 기존의 스마트폰 플랫폼을 변경하면 보안기능에 영향을 줄 수 있고, 인터넷뱅킹이나 스마트금융 같은 금융서비스 이용에 제한을 받을 수 있습니다. 또한 공개된 와이파이 네트워크는 되도록 사용하지 않는 것이 좋습니다. 휴대폰의 암호화 여부와 상관없이 카카오톡의 전체 친구 리스트나 대화 내용 등 개인정보가 유출될 가능성이 높습니다.
각종 보안사고가 속출하는 가운데 대학의 보안동아리 활동도 두드러지고 있다. 이들은 보안 회사들과 함께 직접 콘텐츠를 개발하는 한편, 대학 내 침해사고 대응팀을 운영하고, 해킹방어대회를 직접 주관하기도 한다. 박찬암 팀장은 “훗날 덕성여대 학생들도 보안동아리를 만들게 된다면 성심껏 도와드릴테니 연락바란다”고 전했다.
저작권자 © 덕성여대신문 무단전재 및 재배포 금지
