몇년전 미국 펜타곤
보안 약점 찾아내는 착한 침입자, 화이트 해커
날로 진화하는 해커들에 맞설 대안으로 ‘화이트 해커’가 주목받고 있다. 화이트 해커
버그 바운티는 보안 취약점 신고에 대한 포상제도로, 기업의 네트워크를 해킹해 취약점을 찾아내면 상금을 주는 제도다. 구글, 애플, 마이크로소프트, 페이스북 등 글로벌 ICT 기업들이 대표적이다. 이들 기업은 자사 보안망을 뚫고 들어온 화이트 해커들에게 매년 수백만 달러의 상금을 지급하고 있다. 국내에서도 삼성전자와 네이버, 카카오, 네오위즈, 한글과컴퓨터 등 5개 기업이 버그 바운티 제도를 실시하고 있다.
최근에는 화이트 해커를 전문적으로 양성해야 한다는 목소리에 힘이 실리고 있다. 기발한 방식으로 사이버 공격을 감행하는 해커에 대적할 만한 상대는 그에 필적할 만한 해킹 기술을 가진 화이트 해커뿐이라는 인식이 확산되고 있다. 우리나라 화이트 해커들의 실력은 이미 세계적인 수준이다.
일례로 2017년 12월 열린 국제해킹대회에서 한국 연합팀
2018년 4월 과학기술정보통신부가 주최한 국제해킹방어대회 ‘코드게이트 2018’에서도 한국팀이 우승을 거머쥐었다. 5년 만에 되찾은 우승이다. 올해로 11회째를 맞은 코드게이트 대회는 전 세계 화이트 해커들이 모여 컴퓨터 시스템 내부에 있는 취약점을 발견하고 보완하는 기량을 겨루는 행사다. 올해엔 70개국 4500명이 참가했다. 초중고교 학생들이 참여할 수 있는 세계 유일의 대회이기도 하다. 선린인터넷고 학생이 주니어부 우승을 차지했다.
하지만 국내에서 화이트 해커로 활동하기엔 법적 제약이 너무 크다. 현행 정보통신망법 제48조 제1항은
이로 인해 악성코드를 분석하고 대비하려는 화이트 해커조차 타인의 정보통신망을 침해하면 정보통신망법으로 처벌받고 있다. 해커의 공격 경로를 이미 파악한 상태에서도 처벌이 두려워서 선뜻 밝히지 못하는 경우까지 생겨나고 있다. 반면 악의의 해커들은 법도 무시하고 마음껏 통신망을 돌아다니는 아이러니한 상황이 이어지고 있다.
사이버 보안이 곧 수익모델, 사이버 탐정
화이트 해커의 본격적인 활동을 위해서는 정보통신망법 개정이 필수적이다. 하지만 현재까지 개정 논의가 진행된 적도 없고, 설사 논의가 진행된다 해도 공식적인 해킹 허용을 정부가 승인하기는 어려울 것이다. 그래서 대안으로 생각해볼 만한 것이 바로
미국은 1850년 탐정제도를 도입해 무려 168년의 역사를 자랑한다. 일본은 2006년에
우리나라도 1999년부터 ‘민간조사업’이라는 명칭으로 꾸준히 사립탐정제도 도입을 위한 논의가 이어져 왔다. 2005년 17대 국회부터 9명의 국회의원이 총 11건의 탐정법을 발의했다. 하지만
하지만 이제는 법 제정 논의를 좀 더 적극적으로 진행할 필요가 있다. 예상을 뛰어넘는 사이버 공격에 효과적으로 대응하기 위해서는 화이트 해커 등 민간 영역의 보안 전문가를 수면 위로 끌어올려야 한다. 기존 화이트 해커는 법 규제에 가로 막혀 운신의 폭이 좁지만, 사설탐정제도를 도입하면 정식으로 조사 권한을 부여받은 사이버 탐정이 합법적으로 네트워크에 들어가 보안 취약점을 찾아내거나 사이버 공격에 대응할 수 있게 된다. 사이버 범죄 수사 전 단계에서 사이버 탐정들에게 사이버 공격에 대한 모니터링이나 정보 수집 활동을 허용한다면 턱없이 부족한 보안 역량을 효과적으로 보완할 수 있을 것이다.
탐정제도 도입은 일자리 창출에도 긍정적이다. 대한공인탐정연구협회에 따르면 우리나라에 사설탐정제도가 도입될 경우 약 1만5000여 개의 일자리가 창출되고 약 1조2000억 원 규모의 경제 유발 효과가 예상된다고 한다.
사이버 보안은 정부 규제나 보안 업체의 의지만으로는 결코 성공을 거두기 어렵다. 보다 고도화된 민간 부문의 보안 역량을 적극적으로 수용하고 활성화해야 한다. 제도적 보완을 통해 수면 아래 가라앉은 민간의 우수한 보안 인력들을 뭍으로 끌어내고, 차세대 보안 전문가들을 적극적으로 양성할 때 비로소 사이버 보안 인프라가 제 힘을 발휘할 수 있게 될 것이다.