해외와 달리 우리나라는 해커에 대한 인식과 처우가 낮다. 이는 보안 산업 전반적인 경쟁력에 불리하다. /조선일보DB |
국내 보안업체 연구원으로 일하는 이정훈씨는 지난해 11월 애플 ‘사파리’ 해킹에 성공했다. 사파리는 애플이 개발한 웹브라우저다. 아이폰에 탑재돼 인터넷 서핑에 사용되기도 한다. 아이폰 응용체제(OS) ‘iOS’는 해킹하기 어렵기로 유명하다. ‘샌드박스’라는 보안체계를 갖고 있기 때문이다. 이씨는 바늘구멍 같은 취약점을 파고 들어 아이폰 사용자의 문자, 사진, 주소록 등을 훔쳐볼 수 있음을 알아냈다.
이씨가 불법 해킹을 저지르지 않았다. 일본 도쿄에서 열린 해킹 방어대회 ‘폰투오운(Pwn2Own)’에 참가해 해킹 시연에 성공한 것이다. 이씨는 상금 5만달러(약 5500만원)도 받았다. 한국인이 폰투오운에서 상을 받기는 이씨가 처음이다.
국내에선 해커의 이미지는 범죄자에 가깝다. 해킹 기술을 악용해 범죄를 저지르는 크래커와 구분하지 않다보니 해커라고 하면 범죄를 연상하게 된다. 그러나 화이트 해커는 크래커와 엄연히 다르다. 화이트 해커는 기업 보안의 취약점을 찾아내 관계자에게 알려준다.
◆ 구글·페이스북, 해커에 20억원 지급
외국 정보기술(IT) 업체들은 화이트 해커를 양지로 끌어내 기업 경쟁력 강화에 적극 활용하고 있다. 대표 사례가 버그 바운티다. 버그(프로그램 오류)와 바운티(현상금)의 합성어다. 특정 기업 전산망을 해킹해 보안 체계의 취약점을 찾아내 신고하면 해당 기업이 미리 정해둔 현상금을 주는 방식이다.
우리나라에서 '해커'라는 단어에는 '범죄자'라는 의미가 섞여 있다. 국제 전문 해커조직 '어나니머스'의 문양. /조선일보DB |
페이스북은 지난해 보안 취약점을 찾아준 대가로 해커에게 150만달러(약 16억5000만원)를 지급했다. 해커들은 지난해 페이스북 취약점 1만4763개를 찾아내 신고했다. 2012년보다 246% 늘었다. 페이스북은 이중 687개를 매우 심각한 결함이라고 판단하고 건 당 평균 2204달러(약242만원)씩 현상금을 지급했다.
페이스북은 2011년 처음 버그바운티 프로그램을 도입했다. 지난해까지 총 200만달러(약 22억원)를 해커에게 지급했다.
구글 역시 지금까지 버그바운티 포상금으로 200만달러를 지급했다. 구글은 2010년부터 ‘취약점 리워드 프로그램(Vulnerability Reward Program)’을 운영하고 있다. 각종 보안 상 취약점을 찾아내는 이에게 보상금을 주는 프로그램이다. 구글은 취약점을 보완할 패치 프로그램까지 개발하면 포상금 5000달러(약 550만원)를 지급한다. 중대한 하자를 없애는 패치의 경우 보상금은 두 배로 뛴다.
◆ 한국 버그 바운티는 반쪽짜리
국내 버그 바운티 제도는 반쪽짜리에 불과하다. 국내에서 버그 바운티 제도를 운영하는 곳은 한국인터넷진흥원(KISA)와 삼성전자 뿐이다.
그나마 KISA는 소프트웨어의 보안상 하자만 신고 대상으로 삼는다. 화이트해커가 기업 전산망에 접근해 보안 취약점을 발견해도 포상금을 지급하지 않는다. 인가 없이 전산망에 접근하기가 정보통신망법 위반인 탓이다. 공익 목적이라도 기업 홈페이지에 접근한다면 처벌을 면하기 어렵다.
지난해 4월 국제 해킹 방어대회 '코드게이트 2014'가 서울 삼성동 코엑스에서 열렸다. /한동희 기자 |
한 대학 해킹 동아리 소속 해커는 “기업 홈페이지에서 취약점을 발견해 보안 담당자에게 메일을 보냈더니 웬 참견이냐며 짜증 내며 신고하겠다고 협박하더라”고 말했다.
KT나 SK커뮤니케이션즈의 개인정보 유출 사고에서 보듯, 국내 해킹 사고는 대부분 소프트웨어보다 홈페이지 해킹에서 발생한다. 소프트웨어만을 대상으로 하는 버그 바운티 제도가 반쪽짜리라는 지적이 나오는 것은 이 때문이다.
민간 기업 중에는 삼성전자가 유일하게 버그 바운티 제도를 시행한다. 그러나 스마트TV만 신고대상이다. 건당 포상금액도 1000달러에 불과하다. 외국 기업은 1만달러까지 지급한다. 개인정보를 많이 다루는 포털사이트나 통신사 중에서 버그바운티 제도를 운영하는 곳은 없다.
김휘강 정보보호대학원 교수는 “화이트해커 양성은 정부 역할만으론 한계가 있다”며 “보안은 개인정보와 지적자산을 지키는 일이라 생각하고 기업이 적극적으로 투자해야 한다”고 말했다.
홍민표 에스이웍스 대표는 “화이트해커를 양성하기 위해선 해커에 대한 처우개선이 절실하다”며 “정보 보호 산업을 보호 육성해야 인재들이 한국을 떠나지 않고 국내에서 열심히 활동할 것”이라고 말했다.
<기사 출처 : 조선일보>
댓글 없음:
댓글 쓰기