긴장 못 늦추는 화이트공격·방어 모두 통달 국내 200~300명 정도100곳 중 1곳만 뚫려도 모두 뚫린 것과 똑같아유혹에 빠진 블랙"억대 주겠다" 끝없는 유혹 보안 전문가 입지 적은 탓중간자인 그레이해커들 블랙으로 이동 많아
#20대 중반부터 인터넷 등에서 해킹을 익힌 신모(40)씨는 2005년 한게임 사이트를 해킹, 게임머니를 판매하다 적발돼 2년간 복역했다. 출소 후 필리핀으로 건너가 주로 도박 사이트를 해킹해 생계를 유지하던 그는 2010년 한 사업가의 제안을 받고 현대캐피탈 서버를 해킹해 개인정보 175만 건을 빼돌렸다. 지난해 12월 다시 구속된 그는 "정보를 빼내는 데 90분이 걸렸다"고 진술했다. 그는 블랙해커다.
#고교 시절부터 해킹을 독학해 코드게이트 등 각종 해킹대회에서 우승한 조주봉(33) 라온화이트햇 보안기술교육팀장은 지난해 한 기업으로부터 모의해킹 의뢰를 받았다. 그는 해킹을 시작한 지 한 시간도 안돼 시스템 취약점을 찾아내 관리자 모드에 접속, 기업의 내부 자료를 살펴볼 수 있었다. 또 가짜 악성코드가 숨겨진 이메일을 직원들에게 발송해 반응을 체크했다. 일주일 만에 그는 의뢰를 한 기업에 사이버보안 취약점을 정리한 보고서를 제출했다. 그는 화이트해커다.
화이트 대 블랙
화이트해커와 블랙해커는 같은 무기를 사용한다. 심선영 안랩 시큐리티대응센터 책임연구원은 "기술 차이는 없고 목적과 행동의 차이만 존재한다"고 말했다. 양쪽 모두 네트워크의 취약점을 찾고 뚫을 수 있는 능력을 보유하고 있다. 이 기술을, 화이트해커는 보안 강화와 해킹 방어에 활용하는 반면 블랙해커는 정보유출과 돈벌이 등에 쓴다. 화이트해커와 블랙해커라는 용어는 '화이트햇 해커' (White-hat Hacker) 와 '블랙햇 해커' (White-hat Hacker)를 줄인 것으로, 흑백영화 시절 서부극 주인공은 주로 흰색 모자를 악당은 검정색 모자를 쓴 데서 비롯됐다. 국제해킹조직인 어나니머스(Anonymous)처럼 정치적 주장을 알리는 데 해킹 기술을 활용하는 '핵티비스트'(Hacktivist)도 허가 받지 않은 공격을 한다는 측면에서 블랙해커에 속한다. 그레이해커(Grey Hacker)도 있다. 흑과 백 사이 회색처럼 성향이 불분명한 이들은 잠재적인 화이트해커나 블랙해커로 볼 수 있다. 잠재적이라는 특징처럼 이들 중에는 초보자가 많다.
해킹 실력으로도 해커를 분류할 수 있는데, 기존의 해킹 도구를 쓰는 초보적 수준의 스크립트 키디, 해킹 후 흔적까지 지울 수 있는 최고 수준의 엘리트 등 5단계로 나눈다. 보통 상위 두 단계에 속하는 이들을 해커로 인정한다. 최상명 하우리 선행연구팀장은 "기존 프로그램을 바꾸거나 스스로 새로운 것을 만들 정도는 돼야 해커로 볼 수 있다"고 말했다. 전문가들은 수준에 따라 블랙해커와 화이트해커의 구성 비율이 달라진다고 설명한다. 유동훈 아이넷캅 소장은 "요즘에는 구글에서 검색만해도 해킹 툴을 찾을 수 있기 때문에 실력을 따지지 않고 공격할 수 있는 사람을 다 해커라고 한다면 블랙 쪽에 있는 사람이 훨씬 많다. 하지만 범죄를 저지르는 이들이 꾸준한 연구를 하기는 어렵기 때문에 수준이 높을수록 화이트 쪽 비율이 늘어난다"고 말했다. 조주봉 팀장은 "공격과 방어의 원리를 모두 이해하고 활동하는 국내 화이트해커는 200~300명 정도"며 "수준 높은 블랙해커의 수는 더 적을 것으로 본다"고 말했다.
블랙의 유혹
화이트해커에겐 늘 유혹이 존재한다. 잘 막는 사람이 잘 뚫을 수도 있기 때문이다. 한 보안전문가는 "어느 정도 실력이 알려지면 억대 연봉을 주겠다는 식으로 유혹이 들어온다. 처음에는 사업이라는 식으로 접근하지만 들어보면 게임 머니 조작 등 불법적인 일이다. 다른 사람들도 거의 다 그런 유혹을 받아 봤을 것이다"라고 말했다. 또 다른 보안업체 관계자는 "취약점 하나의 가격이 몇 천만원씩 한다"며 "취약점 발표를 했는데 사겠다며 명함을 준 경우도 있었다"고 말했다. 1990년대부터 정보보안 업계에서 일해온 권석철 큐브피아 대표는 "한국 사회가 보안전문가를 제대로 활용하지 못하기 때문에 이들이 설 자리가 적다"며 "그레이해커가 결국 블랙으로 이동하는 경우가 많다"고 말했다.
이 때문에 화이트해커에겐 높은 수준의 윤리성이 요구된다. 김휘강 고려대 사이버국방학과 교수는 "어제까지는 착한 줄 알았던 사람이 여차하면 악의적인 활동도 할 수 있기 때문에 해커에게는 윤리교육이 대단히 중요하다"며 "최근 화이트해커를 양성하자는 움직임이 있는데 윤리적 기반 없이 기술만 가르치면 안 좋은 결과가 나올 수 있다"고 지적했다.
불리한 화이트
막으려는 화이트해커와 뚫으려는 블랙해커의 대결에서 방어하는 쪽은 여러 면에서 불리하다. 정석화 경찰청 사이버테러대응센터 수사실장은 "100가지 취약점이 있다면 막는 쪽은 100곳을 다 막아야 하는데 공격하는 쪽은 하나만 뚫으면 된다"고 말했다. 기술뿐 아니라 사람도 약점이 된다. 김휘강 교수는 "보안시스템을 아무리 잘 갖춰놓아도 시스템을 쓰는 건 사람이고 보안전문가만 근무하는 것도 아니다"며 "해커는 그런 틈을 비집고 들어간다"고 말했다. 한 직원의 사소한 실수 때문에 기관 전체의 시스템이 해킹을 당할 수 있다는 뜻이다. 새로운 해킹 기법에 대응하는 것도 쉬운 일이 아니다. 조주봉 팀장은 "지금까지 알려지지 않은 새로운 시도면 당한 후에야 알 수 있다"고 말했다. 심선영 연구원도 "자고 나면 새로운 기술이 나오기 때문에 한 달만 손을 놓으면 뒤로 밀린다"로 말했다. 안랩에 따르면 하루에 인터넷에서 생성되는 악성코드 수는 5만~15만개에 달한다.
이 때문에 전문가들은 정보기술(IT) 시대에 해킹으로부터 안전해지는 것은 불가능하다고 진단한다. 권석철 대표는 "대기업을 포함해 20곳 정도 의뢰를 받아 실전해킹을 했는데 다 뚫렸다"며 "이제는 해킹을 막겠다는 게 아니라 해커를 잡겠다는 개념으로 접근해야 한다"고 말했다.
하지만 블랙해커를 잡는 것 역시 쉬운 일이 아니다. 경찰청에 따르면 해킹, 악성프로그램 유포 등 사이버테러형 범죄 발생건수는 2010년 18,287건, 2011년 1만3,396건, 2012년 9,607건으로 줄어들고 있다. 하지만 이 수치를 근거로 범죄가 감소하고 있다고 판단할 수는 없다. 해킹을 당한 사실 자체를 모르는 경우가 많기 때문이다. 보안 업계에서는 "해킹을 당한 곳과 안 당한 곳이 있는 게 아니라 해킹을 당한지 아는 곳과 모르는 곳이 있을 뿐"이라는 말까지 나온다. 경찰청 관계자도 "신고가 들어오거나 피해가 발생해 해킹이 인지된 경우에 우선 수사를 한다"며 "민간에서 일어나는 일을 다 알 수는 없다"고 말했다.
피해를 알아챈다고 해도 범인을 잡는 데는 난관이 많다. 사이버테러형 범죄 검거율은 2010년 81.3%, 2011년 76.9%, 2012년 66.3%로 떨어지고 있다. 심선영 책임연구원은 "공격이 들어오자마자 바로 분석하면 실마리를 찾을 수 있는 가능성이 높지만 시일이 지날수록 흔적이 사라지기 때문에 연결고리가 끊어질 수 있다"고 말했다. 또 해외 인터넷주소(IP)를 경유하면 추적이 복잡해진다. 경찰청 관계자는 "중국 IP가 나와도 실제 해킹을 중국에서 한 건지 한국에서 한 건지 아니면 제3국에서 한 건지는 경유지 조사를 모두 마치기 전까지는 알 수 없다"며 "해외 공조가 안되면 수사가 굉장히 어려워진다"고 말했다. 2011년 발생한 네이트ㆍ싸이월드 가입자 개인정보 3,500만건 유출사건, 같은 해 일어난 넥슨 메이플스토리의 개인정보 1,320만건 유출사건 등은 해외 공조수사의 어려움 등으로 아직 범인을 검거하지 못했다.
류호성기자 rhs@hk.co.kr
기사 URL이 복사되었습니다.
댓글0