본문 바로가기
<정보 및 지식>/◈ 컴퓨터 & IT

화이트 해커, 그들은 누구인가?

by 파스칼바이런 2021. 10. 9.

화이트 해커, 그들은 누구인가?

AhnLab 콘텐츠기획팀 l 2021-10-06

 

 

유 퀴즈 온 더 블럭 프로그램에서 ‘화이트 해커’라는 일반인들에겐 생소한 직업군이 소개된 바 있다. 화이트 해커와의 인터뷰를 통해 화이트 해커가 되기까지의 과정과 역량, 역할 등이 공개됐다. 보이지 않는 사이버 상에서 소리 없는 전쟁을 하고 있는 화이트 해커와 보안 전문가들에 대한 관심도가 높아지고 있다고 한다. 화이트 해커와 보안 전문가 직업군에 대해 알아본다.

 

 

화이트 해커 양성 위해 팔 걷어

 

일반적으로 해커는 부정적인 단어로 인식된다. 하지만 모든 해커가 나쁜 일을 하는 것은 아니다. 선의의 해커라고도 불리는 화이트 해커(White Hacker)는 해킹을 방어 목적, 보안 목적으로 하는 사람들을 일컫는다. 좋은 목적으로서의 해킹 뿐만 아니라 시스템이 안전한지 검사하거나 블랙 해커들의 공격을 방어할 수 있는 안전장치를 마련하는 것이 화이트 해커의 역할이다. 반면 고의적으로 인터넷 시스템과 개인 컴퓨터시스템을 파괴하는 블랙 해커나 크래커(cracker)와는 대비되는 개념이다.

 

화이트해커 가운데서도 아키텍처(설계)를 분석해 시스템에 존재하는 취약점을 찾아내서 공격 시나리오를 짤 수 있는 최고수준의 인력을 엘리트 해커라고도 부른다고 한다. 2009년 7월 7일, 미국의 주요 정부기관을 비롯해 주요 국가의 포털 사이트, 은행 사이트 등을 분산 서비스 거부 공격(DDoS)으로 서비스를 일시적으로 마비시킨 7.7 디도스 공격 사건이 발생한다. 국가정보원은 발생의 진원지로 북한의 110호 연구소로 추정 발표를 한다. 사후 조치로 국가정보원장 주재로 국가 사이버 안전 전략회의가 개최되어 외국발 사이버 공격으로부터 대응역량을 강화하기 위해 '국가 사이버위기 종합 대책'이 수립, 시행됐다. 국방부는 이듬해인 2010년 1월 1일에 사이버방호 사령부를 신설했다. 병력은 약 400명이며, 다음 해 2011년 대한민국 국방부 직속 사령부로 배속 전환되며, 병역은 약 1000명으로 늘어났다.

 

중국 해커부대 창설이 1997년, 북한은 약 2004년으로 추정된다. DDoS 공격 이후를 받은 후 신설되었지만, 우리나라도 화이트 해커 양성에 나선 것은 다행스러운 일이다. 2013년 7월 4일 발표한 국가 사이버안보 종합 대책에서 사이버안보 창조적(Creative) 기반 조성을 위해 최정예 정보보호 전문가 양성사업 확대 및 영재교육원 설립 등 다양한 인력양성 프로그램을 추진하여 사이버 전문 인력 5,000명을 양성하겠다고 밝혔다.

 

그 일환으로 탄생한 것이 국방 사이버안보 콘테스트(화이트햇 콘테스트)로 국방부와 국가정보원이 해킹방어대회를 매년 개최하고 있다. 2013년에 처음 열렸는데 올해도 국가 사이버안보 역량 강화를 위한 '2021 화이트햇 콘테스트'가 국방부와 사이버작전사령부 주관으로 진행되고 있다. '화이트햇 콘테스트'는 국내 대표적인 해킹 방어대회 중 하나로, 2013년부터 실시해온 콘테스트는 올해 9회를 맞는다. 이번 대회에는 특히 현역 장병 및 군무원이 참가하는 '국방트랙'이 신설됐다.

 

화이트 해커 수요 꾸준히 증가

 

최근 급증하고 있는 랜섬웨어 공격에 대비하기 위해 기업들도 화이트 해커 양성에 나서고 있다. 한국인터넷진흥원(KISA)에 따르면 지난 2019년 39건에 불과했던 국내 랜섬웨어 침해사고 신고건수는 지난해 127건으로 325% 폭증했고, 올해도 상반기에만 78건에 달해 지난해 수준을 넘어설 것으로 보인다. 이 같은 트렌드에 따라 정보보안 기업들은 모의해킹 조직을 확대하는 등 관련 사업을 강화하고 있다.

 

 

이런 가운데 현대오토에버가 화이트해커를 양성하고 있어 주목을 끌고 있다. 올해로 6년째인 화이트해커 양성 교육은 참가를 희망한 전국 고등학생 257명 중에서 40명을 선발해 4개월에 걸쳐 비대면으로 진행한다. 참여 고교생은 현대오토에버 정보보안 전문가 멘토링을 통해 실재로 활용이 가능한 정보보호 기술을 학습한다. 개인정보보호와 정보보호윤리의 이해, 파이썬을 활용한 해킹 기법, 모의해킹 실습을 통한 웹 애플리케이션 취약점 이해 및 분석 등을 실습하며 과정 종료 후 해킹경진대회를 가진다.

 

화이트 해커를 양성하는 대학 학과도 있다. 바로 고려대학교 사이버국방학과이다. 사이버 전문장교, 더 나아가 국가 정보보호 엘리트 인재를 양성을 목표로 하고 있다. 고려대와 국방부가 함께 만든 채용조건형 계약학과인 만큼 4년 전액 장학금을 국가로부터 받으며, 졸업 후 7년간 사이버 전문장교로서 관련 전문부서에서 일하게 되며, 또한, 군 기간 중 석·박사 과정을 이수하며 전문성을 더할 수 있다. 사이버 국방학과의 주요 과목으로는 기초적인 배경을 이루는 수학과 프로그래밍부터 사이버 법률, 정책, 관리, 해킹, 디지털 증거수집, 암호, 안보학, 군정보 체계, 신호 등 정보보안 관련 지식은 물론 사이버 전장에서 활약할 수 있는 군사학 지식도 배우며, 학생들의 이름도 외부에 노출하지 않는 게 특징이다.

 

컴퓨터 보안 전문가 떠오른다

 

화이트 해커를 아우르는 컴퓨터 보안 전문가는 사이버 테러의 위협으로부터 정보를 보호하는 역할을 하는 사람들이다. 컴퓨터 내부 네트워크로 권한 없는 자가 침투하는 것을 막아 데이터베이스에 저장된 각종 정보로부터 차단해야만 소중한 정보를 보호할 수 있다. 컴퓨터 보안 전문가는 인증시스템을 만들어 해커가 내부 시스템에 침투할 수 없도록 하고 암호화 기술을 개발하고 인증방식을 만드는 역할을 한다.

 

또한 컴퓨터 보안 전문가는 바이러스 침투로 컴퓨터가 잘못 작동되는 것을 방지하기 위해 바이러스 차단 백신프로그램을 개발하거나 데이터가 손상된 경우 이를 복구하고, 사람들 간에 생기는 정보 격차를 해소해주는 네트워크 보안 컨설팅 역할을 하기도 한다.

 

컴퓨터 보안 전문가는 주로 정보보호 전문업체나 보안 솔루션 개발업체, 정부기관이나 기업체의 정보보안부서 등에서 일하게 된다. 이런 곳에서 컴퓨터 보안 업무를 담당하기 위해서는 네트워크뿐만 아니라 하드웨와 소프트웨어, 데이터베이스 등 컴퓨터 전반에 대한 해박한 지식이 필요하다.

 

컴퓨터 보안 전문가를 양성하는 관련 학과로는 정보 보안공학과, 정보보호학과, 정보보안 해킹과, 사이버경찰과 등이 있고 모의해킹 전문가, 정보보안 침해대응 전문가, 악성코드 분석 전문가, 디지털 포렌식 전문가, 정보보안 종합 컨설팅 전문가, 정보보안 솔루션 개발자 등으로 활동할 수 있다.

 

컴퓨터 보안 전문가를 위한 자격증으로는 국제 자격증으로 정보보안 전문가 자격증인 CISSP(Certified Information Systems Security Professional), 정보시스템감사사 자격증인 CISA(Certified Information Systems Auditor) 등이 있고, 국가에서 인증해주는 컴퓨터 보안 전문가 자격증으로는 한국인터넷진흥원에서 시행하는 SIS, 정보보호전문가 자격증 등이 있다.