공격자 시각 '사이버 방패' 꿈꾸지만…

"올해 고등학교를 졸업한 20살 남자인데요. 얼마전에 일어난 사이버테러를 보고 해커에 대응하는 화이트해커가 되고 싶다는 생각이 들었습니다. 화이트해커가 되려면 어떤 공부를 해야 하나요?"

"화이트해커가 되고 싶은 고1 학생입니다. 그런데 화이트해커에 대해 잘 몰라요. 뭘 어떻게 준비해야 하는지 알고 싶어요."


"뉴스를 보고 장래희망을 화이트해커로 정했습니다. 어떻게 해야 하는지 알려주세요."
 
최근 포털사이트에 화이트해커 관련 실시간 질문들이 자주 올라오고 있다. '3.20 사이버테러' 등 잇단 정보보안 사고로 화이트해커에 대한 궁금증이 증폭되고 있으나 관련 정보를 얻을 만한 곳이 마땅치 않아서다.

실제 국내에는 해커의 시각에서 교육을 하는 화이트해커 양성 환경이 척박하다. 최근 보안전문기업 라온시큐어가 화이트해커 양성교육을 실시하기 위해 자회사 '라온 화이트햇 센터'를 설립하기 이전까지 국내에는 화이트해커 양성에 특화된 교육을 실시하는 기관이 사실상 전무했다.
 
사이버전의 위력을 실감하고 대응력을 높이기 위해 화이트해커 양성에 대한 정부 차원의 적극적인 지원이 이뤄져온 미국, 중국 등과는 다른 모습이다.

◆왜 화이트해커인가… '뚫어본 자만이 막을 수 있다'

화이트해커는 온라인상의 보안 취약점을 연구해 해킹을 방어하는 전문가다. 사이버공간으로 침투해 중요정보를 훔치거나 국가 주요시설을 마비시키려는 블랙해커나 크래커에 맞서 그들의 공격을 무력화시키는 사람이라고 할 수 있다.


화이트해커는 공격자의 시각으로 해커의 의도나 공격방법 등을 명확하게 파악한다는 점에서, 방어적인 측면의 보안전문가와 구분된다. 시스템을 뚫어본 자만이 공격을 막을 수 있기에 화이트해커는 사이버테러 대응에 필수요소로 거론된다. 

하지만 한국은 화이트해커 빈국이다. 전문가들이 파악하는 국내 화이트해커 수는 고작 300명. 이 중 200명은 군이나 공공기관에서 근무하고 있는 것으로 추정돼 3.20 사이버테러처럼 민간 기업을 타깃으로 하는 공격에는 더욱 무력해질 수밖에 없다.  

특히 중국이 약 30만명, 미국이 8만명의 관련 인력을 보유하고 있고 북한도 1만2000명 규모의 사이버테러부대를 운영하고 있는 상황을 감안하면 국내 화이트해커의 양성은 더욱 시급하다. 

현재 정부가 화이트해커 3000명 양성을 목표로 화이트해커 사관학교를 설립하고 젊은 해커들에게 병역특례를 주는 방안을 검토하고 있는 것도 이런 이유에서다.

◆화이트해커 지맹생들, 스스로 알아서 공부해라?

그렇다면 화이트해커는 어디서 어떻게 양성될까. 결론부터 말하면 아직까지는 스스로 '알아서' 공부하는 방법 외에는 제도권에서 제대로 된 실무형 화이트해커 교육을 받을 곳이 마땅치 않다.

미국의 경우 145곳의 대학이 정부 지원을 받아 정보보안교육과정을 운영하고 있으나 국내는 숭실대와 고려대 2곳이 전부다. 화이트해커에 대한 궁금증과 수요는 폭증하고 있지만 이를 수용할 수 있는 곳은 사실상 없는 셈이다. 

특히 미국은 올해 1만명의 사이버 전사 확보를 목표로 20여개 정부부처가 참여한 전국가적 정보보호교육체계(NICE, National Initiative for Cybersecurity Education) 프로그램을 운영한다. 여기에 정부와 기업이 '해커 콘테스트'를 적극적으로 후원하고 있다.

영국에서는 첨단 정보전 관련 분야의 청년 인재 100명을 발굴해 정보통신본부(GCHQ)에 배치하는 방안을 수립했다. 

북한의 경우 미림대학에서 매년 사이버전에 투입될 인력 200명을 배출하고 있는 것으로 알려졌다. 해킹 영재들을 평양 금성 1, 2중학교 컴퓨터 영재반에 따로 모아 교육한 후 성적 우수자를 김책공업종합대학, 미림대학 등에서 공부시키고 있다.

한 보안전문가는 "민간기업에서 자체 지원으로 화이트해커를 양성하는 데는 한계가 있다"며 "정부 지원이 뒷받침돼야 체계적인 양성이 가능하며 국가적으로 승인한 공인교육프로그램 개발과 해커 인증프로그램, 화이트해커 양성기관이 절실히 필요하다"고 국내 상황에 대한 안타까움을 표했다.

◆화이트해커가 직접 교육 '라온 화이트햇 센터'
 
국내 환경이 이처럼 척박한 가운데 화이트해커 양성을 위한 실무형 교육을 실시하는 곳이 있어 눈길을 끈다. 바로 지난해 10월 국내 최정예 화이트해커 10명으로 강사진을 구성한 '라온 화이트햇 센터'(Raon Whitehat Center)를 설립한 라온시큐어다.

국내에서 보안 실무자를 대상으로 화이트해커가 직접 해킹 보안기술을 교육하는 콘셉트로 화이트해커를 전문적으로 양성하는 곳은 이곳이 유일하다. 

이 센터에서는 화이트해커인 강사들이 기업 내 보안 실무자들을 대상으로 해킹 노하우와 전문기술을 공유하고 있다. 또한 해킹 공격을 실제로 경험할 수 있는 환경을 만들어 교육을 진행하고 있다.  

현재까지 라온 화이트햇 센터를 통해 총 90명의 화이트해커가 양성됐으며, 향후에도 매월 30명씩 1년에 360명, 3년 내 1000명의 화이트해커를 양성한다는 게 센터의 계획이다.

◆화이트해커가 되고 싶다면

그렇다면 화이트해커를 꿈꾸는 중고생이나 대학생들은 무엇을 어떻게 준비해야 할까. 우선 웹에 대한 이해가 기본이라고 전문가들은 조언한다.

조주봉 화이트햇 센터 보안기술교육팀장은 "화이트해커는 직업적으로 컨설팅·모의해킹·분석가 등의 분야에서 일을 하고 있다"며 "현재 모의해킹 업무의 대부분은 웹 해킹으로 진행된다. 웹을 이해하고, 공격기술들을 익히고, 실제 해킹연습을 해볼 수 있는 워게임장(www.wechall.net)을 이용하는 등 다양한 사례를 경험해 두는 것이 좋다"고 말했다.
 
조 팀장은 화이트해커를 꿈꾸는 이들에게 ▲윈도, 리눅스 등 다양한 운영체제를 사용해 보면서 파워유저가 돼 볼 것 ▲머리로 하는 공부가 아니라 웹·파일·메일 서버 등 직접 다양한 운영체제를 사용해볼 것 ▲네트워크의 원리에 대해 알고 시뮬레이터나 오픈 소스를 통해 직접 구축해볼 것 ▲최소한 하나의 프로그래밍 언어는 익혀둘 것 등을 당부했다.
 
☞ 본 기사는 <머니위크>(www.moneyweek.co.kr) 제278호에 실린 기사입니다.