"돈 유혹 빠진 화이트해커, 블랙해커 돌변 순식간이죠"

국내 최고 '화이트 해커' 홍민표·이승진 대표 인터뷰

홍민표 에스이웍스 대표, 세계 3대 해커 중 한 명으로 지난 1999년 화이트 해커 그룹 '와우해커'를 결성해 활동하기도 한 보안전문가다. 에스이웍스(SEWORKS)는 2012년 그가 와우해커 멤버 일부와 함께 설립한 모바일 보안전문 업체다.

이승진 그레이해쉬 대표, 국내외 10회 이상 해킹대회 입상과 각종 해킹 대회·컨퍼런스 운영경력이 있는 전문가. 삼성SDS 통합보안센터 기술자문위원으로 활동하기도 했다. 그레이해쉬(Grayhash)는 보안 영재 프로그램도 운영 중이다.

돈보고 달려드는 블랙해커 PC·모바일 안가리고 공격

결제 시스템 발전도 기회로

보안비용은 지출 아닌 투자 정부 전문가 비정규직 많아

인재 육성·처우 개선 필요

"예전 해커들은 주로 실력을 과시하기 위해, 또는 정치적 선전을 목적으로 해킹을 했지만 지금은 다릅니다. '해킹이 돈이 된다'는 인식이 퍼지면서 요즘은 금전을 노린 해킹이 대부분입니다." (이승진 그레이해쉬 대표)

차세대 결제수단으로 각광 받던 앱카드 이용자들이 스미싱(문자사기)으로 수천만원의 피해를 입는 사건이 발생해 충격을 주고 있다. 해커들이 앱카드 이용자의 스마트폰으로 스미싱을 보내 개인정보를 빼낸 후 이를 앱카드 결제에 사용한 것으로 추정되고 있다. 이뿐만이 아니다. 개인정보 유출부터 크고 작은 보안사고 중심에는 언제나 해커들이 자리 잡고 있는 것이 사실이다.

스마트폰 해킹 범죄인 '스미싱' 건수는 2년 전보다 200배가 늘었고 이미 전체 인구보다 배가 넘는 수의 개인정보가 털린 상황이다. 한 전문가는 "대한민국은 해커에 포위당했다"고 표현하고 있을 정도다.

상대에게 피해를 입힐 목적으로 활동하는 '블랙 해커(크래커)'가 기승을 부리는 데 대해 블랙 해커를 막는 방패인 '화이트 해커'들은 어떻게 생각하고 있을까.

서울경제신문은 국내 대표적인 화이트 해커 출신 보안전문가인 홍민표(36·사진) 에스이웍스 대표와 이승진(30·사진) 그레이해쉬 대표로부터 이야기를 들어봤다. 화이트 해커는 컴퓨터와 온라인의 보안 취약점을 연구해 해킹을 방어하는 '선의의' 해커다. 홍 대표는 세계 3대 해커로 꼽히고 있고 이 대표는 국내외 각종 해킹 대회에서 화려한 수상경력을 갖고 있는 인물이다.

◇돈 보고 달려드는 블랙 해커, PCㆍ모바일 안 가려=그렇다면 최근 들어 해킹이 크게 늘어나는 이유는 무엇일까. 이에 대해 홍 대표와 이 대표는 한마디로 '돈'이라고 입을 모았다.

이 대표는 "인터넷 연결성이 점차 높아지는 환경은 (블랙 해커들이) 해킹으로 돈을 벌 수 있는 방법이 많아진다는 것을 의미한다"며 "그래서 개인정보를 탈취하거나 일반 사용자의 컴퓨터를 해킹하고 있다"고 말했다.

결제 시스템의 발전도 해커에게는 기회다. 이 대표는 "뱅킹 시스템의 발달은 해킹 범죄의 '토양'이 되고 있다"며 "일단 이런 쪽으로 눈을 돌리기 시작하니 스미싱·파밍·랜섬웨어와 같이 새로운 범죄 아이디어가 계속해서 나오는 것"이라고 했다.



파밍은 일반 PC를 악성코드에 감염시켜 사용자가 정상 사이트에 접속해도 가짜 사이트로 '납치'해 개인ㆍ금융정보를 빼가는 범죄이며 랜섬웨어는 사용자의 내부 파일을 암호로 잠근 뒤 '돈을 주면 해독을 해주겠다'고 협박하는 데 쓰이는 악성코드다.

홍 대표의 분석도 다르지 않다. 그는 "돈이 되는 곳에 해커가 몰린다고 생각하면 된다"며 "(블랙 해커들은) 먹고살 길이 그것밖에 없기 때문"이라고 했다.

목적이 돈이니 대상은 넓어질 수밖에 없다. 홍 대표는 "PC를 기반으로 발생하던 공격이 스마트폰·태블릿PC 같은 모바일기기로까지 옮겨가는 추세"라며 "모바일 위주의 정보기술(IT)시장이 형성되기 때문"이라고 말했다. 최근에 발생한 차세대 모바일 결제수단 앱카드의 명의가 도용된 해킹사건이 그 예다.

이렇다 보니 해커들이 범죄에 유혹당하는 때가 많다.

이 대표는 "돈을 노린 범죄 모의자들이 '어디를 해킹해주면 거액의 돈을 주겠다'며 해커를 꾀는 경우를 최근 들어 많이 보고 있다"며 "기술이 좋지만 아직 어린 학생들이 주 타깃이 된다"고 말했다. 화이트 해커라도 돈의 유혹에 빠지면 언제든 블랙 해커로 돌변할 수 있는 셈이다.

◇해킹은 인재, 보안은 비용 아닌 투자=홍 대표와 이 대표는 해킹 사건이 기본적으로 인재라는 데 동의했다. '돈의 맛'을 본 해커들의 맹공이 거세지만 기본적으로 이를 막아내야 하는 기업이나 정부의 보안 의지는 약하기 때문이다.

통계는 없지만 해커들의 수는 기하급수적으로 늘고 있다. 젊은 청소년 등 해커의 연령대도 다양해지고 있는 것이 현실. 인터넷으로 전세계가 연결되나 보니 외국 해커가 국내 사이트를 공격하는 것도 비일비재하다.

홍 대표는 "우리 기업들은 보안사고 직후 보안 솔루션만 도입하고 끝"이라며 "솔루션 도입 이후 인력과 시간, 돈을 들여 이를 지속적으로 관리를 하는 것이 훨씬 중요하다"고 꼬집었다. 지속적인 투자와 관리 없이는 해커들의 공격을 막을 수 없다는 의미다.

이 대표도 "보안은 서비스 구축을 위해 반드시 포함돼야 하는 투자라고 봐야 한다"며 "보안비용을 언제까지 '추가 지출'이라고만 볼 것인가"라고 아쉬워했다. 이 대표는 또 보안담당자가 제대로 된 권한 없이 찬밥 신세인 점도 비판했다.

정부에 대한 지적도 이어졌다. 이 대표는 "정부 각 기관이 최근 들어 보안전문가를 채용하고 있지만 외국에 비해 그 수가 너무 적고 대부분이 비정규직"이라며 "국내 보안 리서치에 대한 투자도 늘릴 필요가 있다"고 말했다.