화이트 해커와 블랙 해커에 대한 경계는 어디고 이는 누가 정하나

[보안뉴스 주소형] 우리가 흔히 말하는 화이트 해커와 블랙 해커. 도대체 그들의 경계는 어디이고 이를 정하는 것은 누구일까라는 의문이 커지고 있다. 평소에도 비슷한 궁금증을 가진 적이 있다. 하지만 최근 일주일 새에 접한 두 가지 사건이 기자가 기존에 가지고 있던 화이트 해커와 블랙 해커의 정의와 경계를 더욱 혼란스럽게 하고 있다.

해당 사건 두 개는 바로 ‘애슐리 메디슨 사건’과 ‘우버의 해커 고용 사건’이다. 글로벌 불륜 조장 사이트인 애슐리 메디슨이 해킹으로 고객 정보들이 유출된 것. 그리고 여기서 고객은 불륜을 시도하려고 했던 이들이다. 그렇다면 이 같은 사이트를 공격한 ‘임팩트 팀’에 대한 정체성이 무엇인지 생각을 안 할 수 없었다. 해킹을 했다고 해서, 유출을 했다고 해서 이들을 무조건 블랙 해커라고 하기에는 조금 무리가 있어보였기 때문이다.

뿐만 아니다. 지난주 글로벌 차량 예약 서비스 기업인 우버(Uber)가 지난 달 자동차 해킹을 세상에 알렸던 해커 두 명을 고용했다는 소식도 외신을 통해 접했다. 현재 우버가 개발 중에 있는 자동차 보안이슈를 해결하는 데 두 해커가 도움이 될 것으로 판단한 우버는 파격적인 조건을 제시하여 그들을 스카웃한 것으로 전해졌다. 즉 해커가 보안에 도움이 된다는 것이다. 이들은 그럼 화이트 해커인가 블랙 해커인가?

해당 의문에 대한 답은 아직도 찾지 못했다. ‘해커’라는 단어가, ‘화이트 해커(White Hat)’라는 단어가, ‘블랙 해커(Black Hat)’라는 단어가 외국에서는 구분 없이 사용된다는 목소리도 꾸준히 제기되고 있다. 애초에 해커라는 단어 자체가 부정적인 의미를 내포하고 있기 때문에 그 앞에 ‘화이트’나 ‘블랙’을 붙인다고 해서 다른 의미가 아니라는 것이다.

이에 대한 구체적인 설명은 오는 9월 7일 국제 사이버 시큐리티 컨퍼런스 ISEC 2015에서 (ISC)²의 데이빗 시어러(David Shearer) CEO가 발표할 예정이다. 본지가 주관하는 행사여서가 아니라 개인적으로 갖고 있는 궁금증에 대한 답을 찾는 데 도움이 될 것으로 보여 유난히 올해 ISEC 2015가 기다려지고 있다. 일단 기다리는 동안 그렇게 화이트 해커와 블랙 해커들이 가득 차 있는 지난 주 글로벌 보안시장에서 나온 말들을 살펴보자.

1. “‘내가 미처 몰랐던 정보’를 빨리 아는 게 중요하다. 요즘 어떤 공격이 유행하는지 알아야 사전 예방의 확률이 높아지고, 그 공격에 대해서 어떤 식으로 대처할지 알 수 있기 때문이다. 그리고 그렇게 서로 공유한 첩보를 가지고 각자가 나름의 서비스나 제품을 개발해 시장에 내놓는 식으로 여전히 경쟁해야 한다. 같은 재료를 쓴다고 모두 같은 결과물을 내놓는 건 아니기 때문이다. 서로 가진 재료를 합할 때 더 좋은 재료가 발생한다는 사실을 깨달았기 때문에 기꺼이 나눌 걸 나눈다고도 볼 수 있다.”

- 팔로알토의 CSO인 릭 하워드(Rick Howard)

2. “사람들은 주변 환경에 매우 예민하고 자신도 모르게 영향을 받고 살고 있다. 따라서 주변에서 많이 보이고 사용하고 있는 것을 보면 자기도 모르게 나도 사용해봐야겠다는 세뇌를 당하는 경향이 있다. 보안 툴의 사용을 권장하고 싶다면 주변 환경을 그렇게 조성하면 된다. 계속해서 툴을 사용하고 있는 다른 사람들의 모습이 눈에 띄면 계속 고민하게 되고 결국 나도 한번 사용해봐야지 하는 생각이 들기 마련이기 때문이다.”

- 노스캐롤라이나주립대학교의 컴퓨터공학과 부교수 이자 미국국립과학재단(National Science Foundation) 프로젝트의 수석 연구원인 에머슨 머피 힐(Emerson Murphy-Hill)

3. “사이버 공격으로 전등불도 잘 들어오지 않는 오지의 농가를 공격하는 건 불가능에 가깝거나 아무런 효력을 발휘하지 못하며, 네트워크 규모가 작아서 취약점이 없을 수밖에 없는 곳은 공격의 효율이 떨어진다.”

- 엑스포스의 수석 연구원인 존 컨(John Kuhn)

4. “디지털 환경에서 일어나는 공격들은 결국 우리가 살아가는 실제 생활 속 여러 가지 사건들의 일부일 뿐이다. 이제 실제 세상과 사이버 세상이 ‘범죄’라는 매개로 인해 크로스오버를 이루고 있다는 건 분명해졌다. ”

- 프루프포인트(Proofpoint)의 투피크 하크(Thoufique Haq) 전문가

5. “애슐리 메디슨에 가입하려면 신용카드 정보가 필요하다. 이러면 가명으로 가입하는 게 불가능해지기 때문이다. 즉 이번 사건을 통해 적나라하게 드러난 건 인터넷 세상은 사실 전혀 익명성이 보장되는 장소가 아니라는 것이다. 신용카드 역시 전혀 익명성을 보장해주지 않는 시스템이다. 오히려 개인을 적나라하게 드러낸다. 이는 커다란 시스템의 오류라고 생각한다.”

- 서프와치 랩스(SurfWatch Labs)의 창립자인 제이슨 폴란키치(Jason Polancich)

6. “단 한 번의 정보 유출사고가 업체를 아예 망하게 할 수 있다는 걸 다시 한 번 상기시킨다. 온라인 서비스가 위주인 업체라면 이 메시지를 심각하게 받아들여야 한다. 온라인 사업이라면 이제 강도 높은 보안이 필수 덕목이다. 애슐리 메디슨 사태와 같은 일은 과거에도 일어났었고 지금도 일어나고 있으며, 고로 앞으로도 누구에게나 일어날 수 있는 일이다.”

- 라드웨어(Radware)의 부회장인 칼 허버거(Carl Herberger)

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>