테크 포커스

갈수록 사이버 위협이 고도화·지능화되면서 많은 기업과 기관이 정보 보안 강화에 골몰하고 있다. 이와 더불어 일상화되고 있는 사이버 위협에 대처하기 위한 화이트해커의 역할과 중요성도 커지고 있다. 국내 대표적인 화이트해커이자 정보 보안 전문가인 신동휘 스틸리언 최고기술경영자^CTO겸 부사장을 만나 화이트해커의 세계를 탐구해본다.

word 김광균 photo 김기남

화이트해커라는 직업이 일반인에게 다소 생소하게 여겨질 수 있을 텐데요. 화이트해커는 어떤 일을 하는 직종인가요?
|

일반적으로 화이트해커는 어떤 시스템이나 모바일 앱에서 나타날 수 있는 취약점을 식별하는 등의 역할을 수행합니다.
취약점을 악의의 목적으로 활용하는 ‘블랙해커’와 달리 선의의 목적으로 해킹 피해를 예방하기 위해 모의해킹, 사전 방어 시스템 구축 등을 수행하는 보안 전문가입니다.
화이트해커는 고객과 협의된 시스템 혹은 개인이 연구하고 싶은 주제에 대한 취약점 분석 업무를 주로 한다고 보면 됩니다.

화이트해커로 활동하게 된 이유나 계기가 궁금합니다.
|

특별한 이유는 없고 단지 재미있기 때문입니다. 언젠가 영화 <스워드피쉬^Swordfish >(2001)를 본 적이 있는데요. 천재 해커가 등장하는 범죄 액션물인데 영화를 본 뒤로 해킹에 매료되었죠. 그 후 관심을 갖고 공부하기 시작했고 이후 보안 관련 일을 하게 됐습니다. 웹이나 앱 서비스를 출시하면 개발자들이 열심히 고민하고 설계해서 개발하는 과정이 있었을 겁니다. 잘 만들었다고 생각한 결과물을 파고들어 문제점을 찾아내는 작업이 매우 재미있기 때문에 이 일을 하고 있습니다.

사회적으로 정보 보안을 중시하는 분위기가 확산 되면서 화이트해커에 대한 시장 수요도 늘어날 것으로 생각되는데요. 주로 어떤 분야에서 업무 의뢰가 많이 들어오나요?
|

정보 보안에 대한 사회적 관심이 높아지고 있고, 실제로 다양한 사고가 발생하는 만큼 사고를 사전에 막기 위한 모의해킹과 취약점 분석 업무 의뢰가 대부분이라 할 수있습니다. 과거에는 주로 웹이나 앱 같은 주요 서비스를 대상으로 하는 업무 요청이 많았지만 최근에는 좀 더 다양한 분야의 환경과 제품을 대상으로 하는 모의해킹 및 취약점 분석 의뢰도 많은 편입니다. 또한 저희 회사의 다양한 보안 솔루션 제품에 관한 문의도 상당히 많은 편이고요.

화이트해커로 활동하면서 가장 기억에 남거나 보람을 느낀 순간이 있다면 소개 부탁드립니다.
|

일을 하다 보면 보람을 느끼는 순간도 많고 아쉬움이 남는 순간도 있습니다. 어느 특정한 일화가 기억에 남는다기보다 다양한 능력을 지닌 사람들과 인연을 맺으면서 함께 일을 하기도 하고 헤어지기도 하는 매 순간이 여러 의미로 남게 되는 것 같습니다.

직원을 채용할 때 어떤 기준으로 인재를 판단하시나요? 화이트해커로서 갖춰야 할 중요한 역량이 무엇이라고 생각하시는지 궁금합니다.
|

인재를 채용할 때 무엇보다 역량, 보안성, 창의성을 중요하게 생각합니다. 자기 주도적인 성향을 바탕으로 어떤 미션이 주어지더라도 업무 내용을 빠르게 파악하고 처리할 수 있는 인재를 찾는 편입니다. 특히 정보 보안은 뭔가 지켜야 한다는 걸 의미합니다. 보안이라는 것은 어느 영역에서든 적용되기 때문에 다양한 분야에 걸쳐 쌓아야 할지식의 양이 많습니다. 따라서 빠르고 체계적으로 지식을 습득하는 노하우는 물론, 자기 주도적이고 능동적인 업무 역량이 뒷받침돼야 합니다.

일반 직종과는 다른 화이트해커만의 특별한 채용 경로가 있나요?
|

저희 회사를 예로 들면 화이트해커 채용은 거의 100% 임직원이나 지인의 소개를 받고, 사전 검증 과정을 거쳐 인재 영입을 추진하고 있습니다. 또한 채용 이전에 가능한 업무와 관련된 미션을 부여하고 애초 의도한 결과에 도달하는지 여부와 결과에 도달하는 과정 등을 지켜보면서 업무에 대한 자세를 판단합니다.

인재 육성·발굴을 위한 교육도 매우 중요할 것같은데요. 화이트해커 육성이나 역량 강화를 위한 교육은 어떻게 이뤄지고 있는지, 별도의 교육기관이 존재하는지 궁금합니다.
|

대부분의 교육이 그렇듯 대학이나 교육기관에서 강의 방식으로 교육과정이 진행됩니다. 주로 정보 보안 관련 학과를 운영하고 있는 대학에서 관련 교육을 진행하거나 한국인터넷진흥원 ^KISA , 한국정보기술연구원 ^KITRI , 한국정보보호산업협회 ^KISIA 등과 같은 곳에서 교육 프로그램을 운영하고 있습니다. 꼭 그러한 교육과정을 거치지 않더라도 처음 시작하는 단계이거나 처한 환경에 따라 혼자 공부하는 이들도 있습니다. 때로는 혼자서 지식을 습득하고 발전시키는 편이 효과적인 경우도 있습니다.

화이트해커로서 현재 관심을 두고 지켜보는 연구 분야나 최신 핵심 기술 동향이 있다면 소개해주세요.
|

키워드를 꼽아보자면 인공지능^AI과 머신러닝^ML을 들 수 있을것 같습니다. 쉽게 말씀드리자면 자동화라 할 수 있습니다.
보안 분야는 오랜 시간 동안 끈기 있게 분석하고 결과에 도달해야 하는 것들이 많습니다. 갈수록 분석 대상의 크기와 분석 난도가 높아지고 있기 때문에 분석의 효율을 높이려면 자동화에 관한 지식과 기술 동향을 파악하는 것이 도움이 된다고 보고 있습니다

우리나라가 보안 선진국으로 나아가기 위해 보완하거나 해결해야 할 과제에는 어떤 것들이 있을까요? 우리가 참고할 만한 해외 벤치마킹 사례가 있다면 함께 말씀해주세요.
|

우리나라는 보안 범죄에 대한 제재와 처벌이 다른 국가에 비해 상대적으로 약한 편입니다. 보안 범죄에 대한 제재 수준을 강화하는 것이 시급히 해결해야 할 과제라 생각합니다. 기업이나 기관이 다루는 정보의 가치를 정확히 측정하기란 어렵겠지만 대략적으로 그 가치를 판단할 수 있는 기준은 있습니다. 정보의 가치를 훼손하는 사건이나 사고가 발생했다면 이에 합당한 제재나 처벌 조치가 이뤄져야 합니다. 또한 보안과 관련된 가이드나 규정, 법령에 마련된 내용을 이행하는 데 만족하며 보안 강화를 위한 추가적인 투자를 하지 않는 사례가 있는 만큼 처벌 규정을 강화하는 방안을 적극 고려하고 보안 강화를 위한 적극적인 투자가 가능하도록 권장해야 합니다.
현재 우리나라에서 일정 규모 이상의 기업이나 기관은 정보보안최고책임자^CISO를 임원급으로 두도록 하고 있으며, 문제가 생기면 CISO가 모든 책임을 지고 물러나야 하는 것으로 의무화돼 있습니다. 하지만 권한은 적고 책임만 많은 직책이라는 지적이 많기 때문에 현실적인 개선이 필요하지 않나 싶습니다.

화이트해커라면 일반적인 해커와 동일한 능력 혹은그 이상의 실력을 갖춰야 하지 않을까 싶은데요. 그러한 역량을 끌어올리기 위해 어떤 공부와 활동을 하는 것이 좋을까요?
|

어떤 공부를 해야 한다기보다 일단 관심과 흥미가 있는 것이라면 무엇이듯 공부해보면 좋을 듯합니다. 무엇을 먼저 해야 할지 고민하고 갈팡질팡할 시간에 뭐라도 일단 해보려고 노력하는 것이 훨씬 효율적입니다. 청소년기에 다양한 경험을 해보라는 일반적인 답변을 하고 싶습니다.
다만 여기에 몇 가지 디테일을 더하자면 첫째, 경험을 통해 스스로 재미를 느끼는 것을 찾아냈으면 합니다.
둘째, 경험을 위해 다양한 시도를 하면서 본인만의 지식 습득 방법을 체득하기 바랍니다. 경험상 이 부분이 가장 중요하다고 생각합니다. 지식 습득을 위한 자신만의 확실한 방법을 체득한다면 꼭 보안 분야가 아니라 하더라도 어떤 분야에서도 좋은 성과를 낼 수 있으리라 확신합니다.

보안업계 진출을 꿈꾸는 사회 초년생에게 추천할 만한 참고 도서나 자격증, 박람회 등이 있다면 소개해주세요.
|

특정한 책에 구애받지 말고 관심이 가는 책이라면 무엇이든 읽어보기를 권합니다. 자격증은 공부를 하다 보면 자연스럽게 따라올 수 있는 것이라 생각합니다. 자격증에 얽매여 공부할 필요는 없다고 봅니다.
컨퍼런스는 분야별로 다양할 텐데 일단 무엇이든 직접 참석해보고 듣다 보면 본인에게 맞는 컨퍼런스가 무엇인지 알게 됩니다. 최근에는 매우 깊이 있는 주제를 다루는 컨퍼런스가 국내에서 다수 열리고 있으므로 적극적으로 관심을 갖고 어떤 프로그램이 마련돼 있는지 살펴보시기 바랍니다. 무엇보다 컨퍼런스에 참석하면 반드시 연사에게 질문을 해보길 권하고 싶습니다. 얻어가는 게 많을 겁니다.