최근 화이트해커를 꿈꾸는 사람들이 세미나를 위해 모였다. 같은 망 안에서 로그인을 하면 얼마나 쉽게 아이디와 비밀번호를 알아낼 수 있는지 한 사람이 먼저 시연하고, 이를 막을 수 있는 방법을 찾기 위해 머리를 맞댔다.
저녁 7시부터 11시까지 이어진 세미나를 진행하며 함께 고민한 결과 방법을 찾아냈다. 강의를 맡은 사람은 목청을 높여 자신이 개발한 기술을 공유했고, 열띤 토론도 이어졌다. 여기에는 부산에서 기차를 타고 올라온 학생도 있었다. 의협심과 자신의 실력을 키우기 위해 도전하는 화이트해커의 열정을 그대로 느낄 수 있는 자리였다.
상대방의 시스템을 파괴하거나 금전 갈취를 목적으로 하는 크래커와 대비되는 개념인 화이트해커는 보안 취약성을 누구보다 먼저 발견하고 이의 보완책을 마련하기 위해 연구하는 사람들. 100% 보안이란 있을 수 없다는 점에서, 취약점은 알아야 막을 수 있다는 점에서 화이트해커는 보안 시스템 강화를 위한 중요한 요소다.
그러나 이들의 열정과 중요성을 알아주는 이들은 국내에 많지 않다. 오히려 법적인 처벌을 받는 것은 아닌지 불안에 떨어야 한다.
“해외 기업에 보안 취약점을 알려주면 감사하다는 메일과 함께 이를 방어한 솔루션에 제 이름까지 넣겠다는 이야기를 듣고 우쭐한 적도 많았습니다. 그런데 국내에서는 도대체 네가 뭔데 남의 사이트 취약성을 말하느냐며 항의를 받습니다. 심지어 고소 위험까지 걱정해야 할 정도입니다.”
한 화이트해커의 푸념에 아쉬움이 남는다. 자사의 취약점을 외부에서 아는 것 자체가 불쾌한 일이 될 수 있다. 남을 공격하지 않더라도 자신의 기술을 뽐내기 위해 해킹 툴을 개발하고 이를 버젓이 웹 사이트에 올리는 이들도 수두룩하다.
또, 이들이 언제 어느 때 크래커로 돌변할지 모르는 일이다. 화이트해커를 경계할 만한 이유는 충분하다. 그러나 그럴수록 이들의 체계적인 관리와 접근이 필요한 것 아닐까.
문보경기자<정보미디어부> okmun@
