연구 환경개선과 파격적인 인재등용이 진정한 화이트 해커 양성

[보안뉴스 길민권] 해커에 대한 인식이 조금씩 바뀌고 있다. 이제 몇몇 IT매체 기자들도 ‘크래커’(해킹 기술을 범죄에 악용하는 해커)와 ‘화이트해커’ 정도는 구분할 줄 알게 됐다. 몇 년 전까지만 해도 해커라고 하면 ‘음지에서 컴퓨터로 다른 사람 혹은 기업의 시스템을 부수고 정보를 빼내가는 범죄자’ 정도로 인식했다고 봐야 한다.

요즘은 또 해커의 필요성을 느끼는 시기이기도 하다. 지난해 7.7 DDoS 대란을 겪으면서 이러한 생각들은 더 커져갔다. 그래서 해커를 양성해야 한다는 말도 나오고 있고 해외 사례를 들며 각종 매체에서도 화이트 해커를 양성해 미래의 사이버 戰爭에 대비해야 한다고 목소리를 높이고 있다.

그래서 그런지 해킹방어대회라는 명목으로 해킹대회가 자주 열리고 있다. 국내 해커들은 대부분 환영하는 분위기다. 자신의 실력을 테스트해보고 그 과정에서 기술을 향상시키는 효과도 있다. 잘하면 돈도 번다. 이러다 해킹대회를 전문으로 하는 프로 해커가 나올 정도다. 

하지만 기업이나 정부에서 주최하는 해킹대회 대부분이 ‘화이트해커 양성이라는 슬로건을 내걸고 대회를 치루고 있지만 사실 진정한 해커 양성과는 거리가 멀어 지고 있어 걱정이다.

모 기업에서는 국제 해킹대회라는 명분을 내세우며 엄청난 상금을 걸고 대회를 개최하고 있다. 그리고 해외 해커들을 본선에 모셔오기(?) 위해 많은 돈을 뿌리고 있다. 사실 이러한 대회에서 국내 해커들은 ‘들러리’나 마찬가지다. 사실 속내를 보면 해외 해커들을 대거 불러들여 ‘국제대회’라는 이름을 알리고 싶어서다. “해외 해커만 오면 국제대회다”라는 사대주의(事大主義)에 빠진 것이다.  

그러한 대회들이 국내 화이트 해커 양성에 무슨 도움이 될까. 해외 해커 불러들이는데 수천만 원을 낭비하고 상금도 그들이 다 쓸어간다. 국내 해커들에게 “역시 해외 해커들이 잘하네”라는 인식을 심어주기 위해 대회를 개최하는 것은 아닐 것이다. 겨우 그 정도 효과를 보자고 국제대회를 치르지는 않을 것이다.

세계 최대 권위를 자랑하는 미국 데프콘 대회를 보라. 1등을 해도 상금이 제로다. 그냥 상징적인 선물을 줄 뿐이다. 세계 각국에서 비행기를 타고 자비로 대회에 참여한다. 한국 팀들도 그렇게 참가해 좋은 성적을 거두었다.

많은 상금과 비행키 티켓 등을 제공한다고 해서 권위까지 살 수는 없다. 데프콘은 형식에 치중하지 않고 해커들이 자유롭게 즐기고 지식을 공유하고 그들 스스로 만들어가는 대회이기 때문에 그 권위를 인정받고 있다.

하지만 한국은 여전히 정부기관이 관장하고 싶어 하고, 돈으로 외국 해커들을 불러들여 국제대회를 했다는 전시적 행사를 계속 치르고 있다. 또 해외 해커들이 참석해야 대회가 빛난다는 사대주의 의식에 빠져있다. 화이트 해커 양성은 온데간데없다.

얼마전 보안뉴스에서 해커들과 간담회를 가진 적이 있다. 그 자리에서 해커들은 “해킹대회도 필요하다. 하지만 국내 해커들이 보다 더 열심히 연구할 수 있는 환경조성이 더 시급하다”며 “환경과 처우 개선을 해준다면 더 많은 실력자들이 해킹과 보안을 공부하기 위해 몰려들 것이다. 그것이 바로 진정한 화이트 해커 양성이다”라고 강조했다. 즉 인위적으로 양성하지 않아도 환경만 개선된다면 자연스럽게 전문가들이 많아질 것이라는 소리다. 

또 최고 실력자들을 국가기관에서 좋은 대우로 흡수하고 기업들도 그렇게 해줘야 한다. 꼭 명문대학과 대학원, 석·박사학위를 받는다고 해서 해킹과 보안업무를 잘하는 것이 아니다. 진정한 재야의 해킹 고수들은 학벌에 밀려 제대로 취업을 못하는 경우도 많다. 바로 이러한 점이 바뀌어야 한다.

관련 정부기관은 해킹대회에 후원을 한 것만으로 본분을 다 했다고 생각지 말고 위에서 말한 그들의 연구환경 개선과 학력 차별없는 인재등용에 대한 획기적인 방안을 마련하는 것이 진정한 화이트 해커 양성이란 것을 알았으면 한다.   

[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>