넓게 감시하거나 극한으로 뚫거나…화이트해커 수요 맞춰 키워야

(서울=뉴스1) 윤주영 기자

"정보기술(IT) 자산이 방대해 상시 모니터링이 중요한 기업도 있고, 민감 정보를 다루고 있어 극한의 모의 공격을 해봐야 하는 기관도 있다. 화이트해커 육성을 실제 수요에 맞춰 해야 하는 이유다"

최근 정부가 발표한 '범부처 정보보호 종합대책'을 두고 국내 대표 화이트해커 박세준 티오리 대표가 건넨 조언이다. '데프콘' 등 글로벌 70여개 해킹 대회에서 수상한 박 대표는, 최근 KT(030200) 서버 해킹 정황을 밝혀내 화제가 되기도 했다.

28일 티오리는 서울 강남구 코엑스에서 간담회를 열고 AI 기반 보안점검 설루션 '진트'의 공식 론칭을 알렸다.

최근 굵직한 침해사고가 연달아 발생하자, 과학기술정보통신부·국가정보원·개인정보보호위원회 등 보안 소관부처는 합동으로 정보보호 종합대책을 발표했다. 대체로 보안 부실 기업을 겨냥한 징벌적 과징금 상향 등 제재 강화를 담고 있다.

또 기존 과기정통부를 중심으로 추진하던 화이트해커 육성의 경우, 앞으로 기업 현장수요에 기반하겠다고 제시했다.

박 대표는 "인재 육성은 장기적 차원에서 논해야 한다. 필요 인력을 키울 멘토가 충분한지도 봐야 한다"며 "화이트해커와 같은 공격적 보안뿐 아니라 관제, 포렌식 등 분야별로 고르게 인재를 키우는 게 중요하다"고 설명했다.

국가배후 세력에 의한 지능형 사이버 공격(APT)이 지속되는 만큼, 선제적으로 보안 취약점을 찾아내려는 노력이 필요하다. 화이트해커가 취약점을 제보하고 포상금을 받는 '버그바운티'가 대안이 될 수 있다.

하지만 상당수 기업이 취약점을 인정하는 것에 소극적인 데다, 정보통신망법 등 현행법 한계 탓에 버그바운티는 불법적 행위가 될 수도 있다.

박 대표는 "현재로선 기업 간의 계약 등 합의가 있어야 버그바운티가 공인된다"며 "화이트해커를 제대로 키우려면 이들의 활동 범위가 넓어져야 한다. 기업 간 거래(B2B) 밖에서의 활동도 인정해주는 제도적 개선이 필요하다"고 강조했다.

그는 해외의 '취약점 처리 방침(VDP)' 제도를 예로 들기도 했다. 미국 연방기관은 이 제도를 근거로 화이트해커와 취약점을 조기에 발견⋅조치하고 있다.

박 대표는 "화이트해커의 침투 의도가 선량하다면, 그 행위를 고발하지 않는 것"이라며 "기업이나 정부에서 적극 지원해 주면 화이트해커가 양지로 나올 수 있다"고 말했다.

정부가 수비적 보안에서 공격적 보안으로 전환하겠다고 나선 만큼, 보안시장에 새 기회가 열렸다는 분석도 있다.

박 대표는 "해커보다 먼저 취약점을 찾는 '공세적 보안'은 글로벌 트렌드가 됐다"며 "데이터별 권한 분리, 사용자 인증 등 기본에 충실해야 하는 것도 잊어선 안 된다"고 말했다.

한편 이날 론칭한 진트는 화이트해커 작업을 학습한 AI가 웹사이트 등 취약점을 탐지해주는 게 골자다. 인간처럼 여러 기능을 건드려 가며 서비스 로직 상의 허점을 찾아낸다.

legomaster@news1.kr