이미 수년 전부터 보안 전문가들의 번아웃이 우려됐었고, 그들이 떠나기 전에 관리하고 돌봐야 한다는 주장이 나왔었다. 어떻게 하나. 이미 떠나는 사람들이 많아지고 있다. 그런데 그들이 향하는 곳이 다크웹이다.

[보안뉴스 문가용 기자] 경제난이 이어지고 보안 업계 내에서의 경쟁이 심화되면서 보안 전문가들 중에서도 수입이 궁해지는 사람들이 늘어나고 있다. 안타까운 건 그들 중 많은 이들이 어려움을 극복하기 위해 다크웹의 문을 두드리고 있다는 것이다. 보안 전문가들은 다크웹을 돌아볼 합법적인 이유가 있다. 최신 공격 유형을 알아야 방어하기가 좋다는 것이다. 하지만 그렇게 쌓은 지식이 방어에만 활용되는 게 아니라 문제다.


요 몇 년 동안 끊임없이 이어지는 대량 해고 사태로 인해 IT 업계 내에는 위기감이 팽배하다. 사이버 보안도 여기에 영향을 받을 수밖에 없다. 업무량은 갈수록 증가하는데, 인원 감축을 이어가는 업계 분위기 속에서 월급은 동결되기 일쑤다. 물가 증가까지 고려하면 동결되는 월급은 수입 감소로 이어진다. 그래서 자연스레 추가 수입원을 찾게 되는데, 최근 정보보안차터드인스티튜트(Chartered Institute of Information Security)가 조사한 바에 의하면 다크웹이 현재로서는 가장 선호된다고 한다. 이들은 자신들의 보안 기술을 거꾸로 이용해 사이버 범죄에 가담하고 돈을 번다.

정보보안차터드인스티튜트의 보고서에 의하면 보안 전문가들이 합류한 후 다크웹에는 더 많은 서비스가 풍부하게 나타나는 중이라고 한다. “예를 들어 파이선을 전문으로 하는 개발자는 다크웹에서 30달러에 챗봇을 개발해준다고 광고합니다. 피싱 페이지나 암호화폐 드레이너를 대신 개발해준다는 사람들도 있습니다. 인공지능과 관련된 프로젝트의 경우 시간 당 300달러를 요구하기도 합니다.”

사이버 범죄자가 되고 있는 사이버 전문가들
보안 업체 멘로시큐리티(Menlo Security)의 CISO인 데빈 어텔(Devin Ertel)은 “매우 염려스러운 흐름이고, 사이버 보안이라는 분야 전체가 새로운 시대로 접어든 것 같다”고 말한다. “보안 업계에서 잔뼈가 굵은 실력자들이 제발로 사이버 범죄 시장으로 가서 돈을 번다는 사실에 적잖이 놀랐습니다. 충격입니다. 지금 보안 업계의 고용-피고용 균형에 심각한 균열이 가고 있다는 걸 알 수 있습니다. 개개인의 윤리관에만 손가락질 할 수 없는 문제라고 봅니다.”

어텔은 “경제 상황에 비해 사이버 보안 및 해킹 기술을 익힌 사람이 지나치게 많은 게 시장의 상태인 듯하다"고 말한다. 이는 기존에 익히 알려진, ‘사람이 모자라다’는 것과 정 반대인 분석이다. “지금의 상황을 사람이 많다거나 적자는 단순한 잣대로 평가할 수는 없습니다. 보안 업계 내에서 기술을 담당하는 사람들은 모자라는 게 맞습니다. 그러나 보안 업계 전체가 사람이 부족하냐 하면 그렇지 않습니다. 언제부터인지 보안 업계는 기술이 아니라 마케팅과 영업, 고객 상담과 같은 비기술 분야에 더 많은 투자를 해왔거든요. 기술을 갖춘 사람은 채워지지 않고, 그래서 더 영업 같은 것에 의존하고, 그러니 기술을 갖춘 사람들이 갈 곳이 점점 없어지는 악순환이 일어나고 있다고 봅니다. 그 기술이 고스란히 다크웹으로 가는 것이지요.”

사이버 보안 팀의 사기 저하로 이어져
그의 분석이 맞다면, 여기에는 더 큰 문제가 숨어 있다. 현재 기술을 담당하는 사람들의 어깨에 점점 더 많은 짐이 지워지고 있다는 것이다. “수가 얼마 되지 않는데, 그나마도 빠져나가고 있지요. 그러니 남은 사람들의 업무 부담은 더 무거워집니다. 어떻게 될까요? 스트레스가 심해지고, 그 남은 사람들도 못 버팁니다. ‘보안 너무 어려워서, 너무 열악해서 못하겠다’는 소문이 업계 내에 돌기 시작하고, 그러면서 학생들에게 보안을 추천하지 못하게 되는 상황으로까지 연결됩니다. 보안 전문가의 씨는 마르는데 공격자 자원은 풍부해지는 기현상이 발생하게 되는 겁니다.” 보안 전문가 할 포메란즈(Hal Pomeranz)의 설명이다.

그래서 포메란즈는 “지금 보안 업계는 외부 공격에만 신경을 쓰고 있는데, 내부적으로 곪고 있는 이런 인력과 구조 문제부터 시급히 다뤄야 한다”고 말한다. “이는 장기적인 문제이기도 하지만, 단기적으로는 보안 전문가가 악성 내부자가 될 수도 있다는 뜻이 됩니다. 보안 산업 전체의 사기가 떨어지면 얼마든지 일어날 수 있는 일입니다.”

보안 업체 온티뉴(Ontinue)의 CISO인 개러스 린달와이즈(Gareth Lindahl-Wise)는 “정확히 어떤 유형의 보안 전문가가 필요한지 기업이 확실하게 알고 있어야 한다”고 짚는다. “고용 단계에서부터 필요한 인재를 명확히 규정하고 찾아내야 쓸데없는 해고 절차를 거치지 않아도 되고, 그럼으로써 팀의 사기를 낮추지 않을 수 있게 됩니다.”

보안 업체 키퍼시큐리티(Keeper Security)의 부회장 패트릭 티켓(Patrick Tiquet)은 “전문가 육성 과정을 다시 검토해야 할 필요가 있다”는 입장이다. “사이버 보안 전문가를 키울 때 ‘전인격적인 육성’에 초점을 둬야 합니다. 기술에만 집중했던 것이 지금까지 보편적인 교육 과정이었죠. 이 기술로 조직을 보호하면 큰 대가를 돌려받을 수 있다는 걸 가르쳤어요. 틀린 말은 아니죠. 하지만 거기에만 집중되어 있다면 교육 중 배운 기술을 다크웹으로 가져가 대가를 돌려받게 되는 겁니다. 지금의 보안 전문가들 역시 회사 차원에서 다양한 교육의 기회를 제공해야 합니다.”

보안 업체 컬러토큰즈(ColorTokens)의 부회장 수닐 무랄리드하(Sunil Muralidhar)는 “근무 중에 있는 보안 담당자들의 멘탈 케어도 중요하다”고 지적한다. “어떤 직무를 수행하든, 어떤 조직이나 지역에서 근무하든, 보안과 얽혀 있는 사람들과 대화를 하다보면 한 가지 공통점을 발견하게 됩니다. 어마어마한 스트레스에 노출되어 있다는 것입니다. 이 스트레스가 이들을 다크웹으로 이끄는 요인이 되지 말라는 법이 없죠. 조직 차원에서 구성원 관리에 좀 더 힘써야 할 것입니다.”

3줄 요약
1. 경제난이 보안 업계도 덮치고 있음.
2. 이 때문에 일부 보안 전문가들이 다크웹으로 가서 수익 내기 시작.
3. 현재 시장 구조와 기업들의 사업 행위, 교육 과정 전반에 대한 검토가 필요.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>