고도화하는 사이버전(戰) 위협에도 불구하고 국내 화이트 해커 인력은 크게 부족한 것으로 나타났다.

세계 정상을 차지한 ‘국가대표 해커’ 네 명으로 구성된 ‘한국 화이트햇 연합팀’의 이종호 라온시큐어 선임연구원(25·사진)은 12일 기자와 만나 “해킹 사고를 막기 위해선 공격자 입장에서 사고하고 대비하는 것이 중요한데 국내 화이트 해커 인력은 턱없이 부족하다”고 말했다.

화이트 해커는 컴퓨터 시스템을 파괴하는 블랙 해커 공격에 대비해 보안 시스템의 취약점을 찾아 사이버 공격을 예방하는 보안 전문가다. 이 가운데 엘리트 해커는 아키텍처(설계)를 분석해 시스템에 존재하는 취약점을 찾아내고, 해킹 사고 시나리오를 분석하는 능력을 갖춘 1급 해커를 가리킨다. 중국 30만명, 미국 8만명, 북한이 6000여명의 엘리트 해커를 육성하고 있는 것으로 업계는 추정하고 있다. 반면 한국은 100여명에 불과하다.

한국팀은 이달 초 대만에서 열린 ‘히트콘 캡처더플래그(HITCON CTF) 2016’에서 우승을 차지하며 대회 2연패를 달성했다. 이 선임연구원은 지난해 미국 데프콘, 올해 일본 세콘에서 우승해 세계 3대 국제해킹대회를 석권했다. 그는 “이번 대회에서 차이잉원 대만 총통이 기조연설을 할 정도로 대회 위상이 높아졌다”고 분위기를 전했다.

화이트 해커를 육성하기 위한 각국의 노력도 강화되고 있다. 이 선임연구원은 “일본, 대만에서 한국 미래창조과학부에서 운영하는 차세대 보안리더(BOB) 양성 프로그램을 벤치마킹한 정책을 내놓고 있다”며 “정작 국내에선 계속 사업이란 이유로 매년 예산을 삭감하고 있어 안타깝다”고 지적했다. BOB프로그램은 정보 보안에 재능이 검증된 인재를 현직 전문가가 밀착 교육해 소수 정예의 화이트 해커를 양성하는 사업이다. 일본은 이 프로그램을 본떠 ‘정의의 해커’를 양성하는 데 내년 35억엔(약 353억원)의 예산을 투입할 예정이다. 올해 BOB프로그램에 투입된 예산(33억9000만원)의 열 배가 넘는다.

이 선임연구원은 “화이트 해커와 정보 보안에 대한 인식이 변해야 한다”며 버그 바운티(보안 취약점 신고 포상제)를 예로 들었다. 구글, 애플 등 글로벌 정보기술(IT) 기업은 자발적으로 버그 바운티를 운영해 보안 취약점을 제보하면 패치(취약점 보완)를 완료한 뒤 공식적으로 발표하고 제보자에게 포상하는 게 일반적이다. 하지만 국내에선 취약점을 제보하면 보완한 뒤에도 해당 사항을 공개하지 않고 제보자를 서버 침입 등의 이유로 고소하는 등 인식 차가 크다는 지적이다. 한국인터넷진흥원(KISA)에서 운영하는 버그 바운티에 참여하는 국내 기업은 네이버, 카카오, 한글과컴퓨터, 네오위즈 등 네 곳에 불과하다.

그는 “국내 기업에선 보안 담당자들이 보안 취약점이 나타나면 자신의 미숙함이 드러나는 것이라고 생각하는 경우가 많은데 인식 개선이 필요한 부분”이라며 “모의해킹으로 공격자 시나리오를 이해하면서 취약점에 대해 문진하는 것이라고 보면 된다”고 설명했다.

■ 화이트 해커

컴퓨터·인터넷 시스템을 파괴하는 해커(크래커)를 블랙 해커라고 하는데 이에 대비되는 선의의 해커를 지칭한다. 이들 가운데 시스템에 존재하는 취약점을 찾아내 공격 시나리오를 짤 수 있는 최고 수준의 인력을 엘리트 해커라고도 부른다.

추가영 기자 gychu@hankyung.com