회원정보 유출 등 문제노출
해킹방어 전문가 양성 절실
정부 양성책 숫자만 늘릴뿐
전문성 등 떨어져 유명무실
정부·기업서 나온 인재들
정착지 못찾고 해외로 발길
보안 전문경영인 제도 도입
전문 비즈니스 모델도 시급
최철민(가명) 씨는 경력 10년차 전문 해커다. 정확히 말하면 해킹방어 전문가, 즉 ‘화이트해커’다. 최 씨는 각종 해킹방어대회에서 20회 이상 수상하며 이 바닥에서는 고수로 꽤 알려져 있다. 이제 갓 서른의 나이를 넘긴 그는 20대 때부터 각종 정부기관과 대기업으로부터 주요 영입 대상으로 꼽혔다. 그러다 지난해 초 한 대기업 네트워크보안팀장으로 채용됐다.
하지만 최 씨는 이곳에서 오래 근무하지 못했다. 억압된 사내 분위기, 연일 이어지는 PT 발표 등 그가 생각했던 것과는 전혀 다른 환경을 견디지 못했다. 체계적인 시스템 내에서 억대 연봉의 보수를 받으며 해킹을 연구할 수 있다는 기대로 선택한 길이었지만, 그는 결국 프리랜서 일감을 찾던 과거의 모습으로 유턴했다. 1년간 외유를 즐겼다는 최 씨는 “이제는 정말로 해킹 연구에만 몰두하고 싶다”며 심정을 털어놨다.
미래의 정보보안 전문가들로 성장할 인재들이 척박한 환경 속에 방황하고 있다. 몇 년 전부터 우리 정부는 해킹방어 전문가의 중요성을 인식하고 ‘화이트해커’를 양성하기 위한 정책을 수립하고 있지만, 여전히 제도권 안에서 해킹 인재들은 겉돌고 있다. 그런 가운데 북한 당국은 김일성종합대학과 김책공업대학 출신 IT 인재를 전문 해커로 키우며 실전에 투입하고 있다.
최근 북한 해커들이 국내 게임 아이템 시장을 교란시키는 불법 프로그램을 제작ㆍ배포한 혐의로 경찰에 덜미를 잡히기도 했다. 지금까지 국내 온라인게임 서버를 해킹한 북한 해커는 모두 30여명으로 알려졌다.
또 최근에는 SK커뮤니케이션즈의 네이트, 싸이월드가 해킹을 당해 3500만명의 회원 정보가 중국으로 유출되는 등 중국발 해킹 사례가 급격히 늘고 있다. 특히 중국 IP를 쓰는 해킹은 추적이 제대로 안 돼 국내 관련 수사기관 등에서도 애를 먹고 있어 이에 대한 해킹방지 대책이 시급한 상황이다.
 |
[그래픽=이은경/pony713@heraldcorp.com] |
▶화려한 조명 뒤 따르는 건 이질감… 통닭집에 해외 시장 떠돌기도=외부의 해킹공격이 갈수록 거세지면서 우리도 국내 전산망을 지켜낼 화이트해커들을 길러야 한다는 목소리가 높다. 하지만 능력이 뛰어난 화이트해커가 있어도 이들을 제대로 관리하지 못하는 실태가 가장 큰 문제점으로 꼽힌다.
이들은 그동안 독립적으로 전문성을 키웠고, 각종 해킹방어대회를 휩쓸며 정부기관이나 대기업에 채용됐지만 해당 조직에 융화되지 못하는 어려움을 겪는 것으로 나타났다. 지원을 받으며 집중적으로 해킹만 연구할 줄 알았지만 이들이 맡은 업무는 네트워크 등 관제 시스템 관리자였다. 최근 정부기관에서 나와 프리랜서 활동을 하고 있는 한 화이트해커는 “채용되자마자 시스템 안에 가두려는 문화에 적응하지 못했다. 또 해커 출신이란 꼬리표가 늘 따라다녀 불신 대접을 받기도 했다”고 말했다.
조직에서 나온 일부 화이트해커는 정착지를 찾지 못하고 다른 업종으로 갈아타거나 해외로 눈을 돌린다는 전언도 있었다. A 업체 연구원은 “함께 일했던 동료 중에는 통닭집을 차리거나 해외 보안업체 취직을 알아보는 경우도 있다”고 말했다.
▶화이트해커 양성책 숫자만 늘릴 뿐 보안자격증은 단순 취직용=현재 화이트해커로 활동하고 있는 보안 전문가들은 최근 정부가 주도하는 화이트해커 양성책이 단기간에 인력 숫자를 늘리는 데 치중한다고 지적한다. 해킹은 수많은 노하우와 다양한 경험을 바탕으로 해야 쌓이는 기술인데, 단순히 국비 지원을 받아 보안 전문학원에서 배운 것만으론 실전에서 경쟁력이 떨어진다는 것이다.
이와 관련해 지식경제부가 지난해 발표한 군복무 연계 방안도 부수적 효과에 그친다는 평가다. 지경부는 해커가 입대하면 이들을 선별해 군 정보보안 업무를 맡기고, 제대하면 민관 보안 부문에 취업할 수 있도록 일자리를 마련키로 했다. 하지만 양만 늘리다 보면 과거 웹 프로그래머처럼 인력 단가가 낮아져 되레 전문성이 떨어질 수 있다는 비판이 따르고 있다.
실제 1990년대 웹 프로그래머 인력이 부족하자 국가적으로 양성, 수많은 학원에서 수료생을 배출했다. 하지만 결국 전체적으로 임금만 떨어지고 웹 프로그래밍 질도 정체하는 결과를 초래했다. 한 해킹 전문가는 “지금도 똑같이 해킹 전문가가 부족해 학원 여기저기서 교육만 받고 바로 업무에 투입되다 보니 해킹 인력 단가가 내려가고 있다. 때문에 준비 안 된 사람들이 실무를 맡다 보니 웹 사이트 여기저기가 뚫린다”고 말했다.
이 밖에 대표적인 보안 자격증으로 불리는 SIS(정보보호 전문가)가 있지만 이 역시 취업용이라는 평가다. 더군다나 여전히 민간 전문자격 수준으로 2년 후에나 국가기술 자격으로 올라간다.
▶CSO 제도 정착, 해킹방어 전문 비즈니스 모델 구축 시급=전문가들은 지금이라도 화이트해커 전문화를 앞당길 수 있는 대책을 마련해야 한다고 주장한다.
이희조 고려대 컴퓨터통신공학부 교수는 “해킹 컨설팅 단가를 프로그램 용역 단가 기준에 맞추는 상황을 개선해 분야별로 고급 인력을 정규직으로 활용해야 한다”며 “부처나 기업에 보안 전문경영인(CSO)을 의무적으로 두는 제도를 마련해 경영자 시각에서 보안에 접근해야 한다”고 말했다.
큐브피아의 권석철 대표도 “대학에서부터 보안 우수 센터를 만들어 전문 인재를 길러야 하고, 이들이 창업을 통해 전문 해킹방어회사를 만드는 비즈니스 모델 구축이 시급하다”고 설명했다.
정태일 기자/killpass@heraldcorp.com
