뒤로가기
스페셜뉴스
[해킹, 그 은밀한 습격④] 보안인력 늘어나는데… 설 곳 없는 화이트해커
2018. 07. 31 by 이미정 기자 wkfkal2@sisaweek.com
사이버 세계에선 오늘도 보이지 않는 습격이 이어지고 있다. 불순한 목적을 가진 해커들의 공격이 쉼없이 시도되고 있다. 교묘한 기술로 무장한 이들은 컴퓨터 정보시스템에 은밀히 침투, 전산망을 무력화시키거나 악성코드를 심어놓고 정보를 빼가고 있다. 4차산업혁명시대에 접어들며 이같은 사이버 범죄는 더 위협적으로 다가오고 있다. 보안이 담보되지 않으면 4차산업혁명은 제대로 뿌리를 내릴 수 없다. 우리는 제대로 된 대비를 하고 있는 것일까. 이같은 문제의식 아래, <시사위크>에서는 사이버 위협의 현주소를 짚어보고 대응책을 찾아보고자 한다. <편집자주>

 

사이버 보안에 대한 관심이 커지면서 인력들이 꾸준히 양성되고 있다. 하지만 고급 화이트해커수 증가세는 지지부진하다는 지적이 높다. 사진은 지난 4월 4일 열린 국제해킹방어대회 코드게이트(CODEGATE) 2018 주니어부 해킹방어대회 참석자 모습. <뉴시스>

[시사위크=이미정 기자] 사이버 보안의 중요성이 커지면서 보안전문가나 화이트해커에 대한 관심도 높아졌다. 4산업혁명을 이끌 유망 직종으로 거론돼 온 지 오래다. 이같은 관심을 바탕으로 보안전문가를 양성하는 기관들도 늘어나는 추세다. 정보보호분야 종사자도 꾸준히 증가세를 보이고 있다. 하지만 고도의 보안전문가인 화이트해커 수는 증가세가 지지부진하다. 보안업계에선 현 구조 안에서는 화이트해커가 성장을 하기 어렵다고 지적하고 있다.

◇ 정보보호인력 2년새 18%↑ … 화이트해커수 증가세는 ‘지지부진’

정보보호산업협회가 발표한 ‘2017년 정보보호산업 실태조사’에 따르면 정보보호산업 종사자수는 2016년말 기준 4만2,018명으로 조사됐다. 이 중 정보보안 인력이 26.5%인 1만1,143명, 물리보안 인력은 73.5%인 3만875명인 것으로 조사됐다. 직급별로는 특급기술자가 15.9%인 6,695명, 고급기술자가 20.3%인 8,534명, 중급기술자가 30.3%인 1만2,749명, 초급기술자가 33.4%인 1만4,040명으로 조사됐다. 2014년 말 정보보호산업종사가 3만5,536명으로 조사된 것과 비교하면 2년새 18%(6,482명) 정도가 늘어난 셈이다.

물론 이들 상당수를 화이트해커 급으로 보긴 어렵다. 최대치로 잡아도 10%가 채 안되는 것으로 추산되고 있다. 고도의 실력을 갖춘 이들은 이보다 훨씬 적다. 보안업계에선 엘리트급 화이트 해커들은 수백명 정도로 추산되고 있다. 반면 중국은 고급 해킹과 네트워크 전문지식을 보유한 이들은 30만명, 미국은 8만명 정도되는 것으로 알려졌다.

한국은 IT 강국으로 자부하고 있지만 화이트해커 규모면에서는 아직 갈 길이 먼 실정이다. 왜 그럴까. 업계에선 사회와 기업들, 국가에서 화이트해커 인력을 수용하고 육성할만한 인식과 시스템, 투자가 미진한 데서 원인을 찾고 있다.

흔히 정보보안전문가나 화이트해커라고 하면 많은 연봉을 받을 것이라는 막연한 인식을 갖기 쉽다. 하지만 미국 등 보안 선진국과 비교하면 우리나라 처우 수준은 꽤나 낮은 편으로 알려지고 있다. 화이트해커연합 ‘하루’의 신준보 회장(블랙펄시큐리티)은 “미국 화이트해커 평균 연봉이 7만 달러 수준에서 시작된다면 우리나라 2만달러 수준에 불과하다”고 말했다. 이 때문에 해커라는 직업에 막연한 선망을 갖고 사회에 진출한 이들 중 상당수는 실망감을 갖고 이직하는 경우가 잦은 것으로 알려진다.

◇ 막연한 선망, 사회 진출 뒤 ‘와장창’… 낮은 처우와 위상에 이직 희망↑

실제로 화이트해커 등 정보보호종사자들 상당수의 업무 만족도가 낮은 편으로 조사됐다. 한국침해사고대응팀협의회가 3월 개최한 ‘콘서트 포캐스트 2018’ 세미나에 참여한 보안 담당자 269명을 대상으로 설문조사한 결과 참가자의 49.7%가 정보보안이 아닌 다른 업무로 변경할 것을 희망했다.

또 자녀가 정보보안 업종을 선택한다고 했을 때 만류하겠다는 응답률도 49.7%에 달했다. 응답자 33.7%가 ‘보안부서의 낮은 위상’을 이유로 꼽았다. 이어 ‘과도한 업무’(25.3%), ‘사고에 대한 스트레스’(16.9%) 등이 거론됐다.

그렇다면 최고 수준의 실력을 갖춘 화이트 해커들의 사정은 다를까. 우리나라에도 국제 해킹 대회에서 우승을 한 실력파 화이트해커들이 다수 존재한다. 이들에게는 정부 기관과 대기업에서 러브콜이 빗발친다고 알려진다. 실제로 굵직한 대기업에 취업된 사례도 적지 않다. 문제는 이들 중 상당수가 1년도 버티지 못하고 짐을 싸거나 해외로 떠나는 이들이 상당한 것으로 알려진다.

화이트해커들이 사회에 진출한 후 국내 낮은 보안 인식으로 어려움을 겪고 있는 것으로 나타났다. 사진은 지난 4월 4일 국제해킹방어대회 코드게이트(CODEGATE) 2018 주니어부 해킹방어대회 참석자들 모습.

본지가 다수의 해커들과 접촉해 얘기를 들어본 결과, 몇가지 이유가 원인으로 거론됐다.

우선 보안에 인식이 낮다보니 우수 인력을 뽑아놓고도 제대로 활용하는 못하는 사례가 적지 않다는 점이다. 심준보 회장 역시 과거에 대기업에서 근무한 경험이 있다고 한다. 퇴사 사유에 대해 그는 “어떤 일을 하든, 하는 일에 의미가 느껴져야 하지 않나”면서 “당시 조직에서 내가 불필요한 사람처럼 느껴졌다”고 말했다. 이어 “기업들은 최소한의 보안 가이드 규제만 지키면 큰 문제가 없다는 기조를 갖고 있다”며 “그렇다보니 해커들을 어떻게 활용할지에 대한 고민을 하지 못하고 있다”고 덧붙였다.

이에 단순한 업무에 지루함을 느껴 퇴사를 결심하는 해커들도 적지 않다는 후문이다. 실제로 “재미없고 얻어갈 것이 없다고 생각해서 그만뒀다”고 퇴사 이유를 밝힌 해커도 있었다.

경직된 조직 문화도 이유로 거론됐다. 해커들은 통상 자유롭게 일하며 도전을 즐기는 특성을 갖고 있다. 한국형 대기업에선 이에 수용할 업무 유연성이 떨어지는데다 해커들에게 연구개발 욕구를 충족할만한 자율성을 주지 못하고 있다는 지적도 나왔다. 또 보안 전문성이 부족한 이들이 CISO(정보보호책임자)로 선임되는 것도 문제점으로 지목됐다.

◇ ‘실력파 해커’ 활용 못하는 기업들… 고급 인력 해외로 ‘줄줄이’

이에 그나마 있던 인력들마저 해외로 나가는 경우가 적지 않다. 삼성SDS에 입사했다가 1년만인 2016년 글로벌 기업 구글로 자리를 옮긴 해커 이정훈 씨도 이같은 사례 중 하나로 거론된다. 이정훈 씨는 국내외 해킹 대회에서 우승하며 최고 수준의 해커로 이름을 날렸던 인사다. 지금도 내로라하는 실력파로 유명하다. 이정훈 씨는 현재 구글의 프로젝트 제로팀에서 활약하며 취약점 분석에 있어서 두드러진 성과를 내고 있는 것으로 알려진다.

해커들의 수익 창출 기반도 약하다. 다수의 글로벌 기업들은 ‘버그바운티’ 제도를 활용해 해커들에게 다양한 기회와 수익을 제공하고 있다.

버그 바운티는 기업 제품이나 서비스를 해킹해 취약점을 찾는 해커에게 포상금을 주는 제도다. 현재 구글과 애플, 페이스북 등 다수의 글로벌 기업들이 이 제도를 활용해 보안 취약점을 찾아내고 있다. 이 제도를 통해 많게는 수억원의 상금을 타낸 해커들의 사례도 있다.

과학기술정보통신부와 한국인터넷진흥원이 9,131개 기업을 대상으로 조사해 공개한 ‘2017년 정보보호실태’ 결과에 따르면지난해 정보보호대책을 수립한 비율은 15.2%에 불과했다. <한국인터넷진흥원>

하지만 우리나라는 걸음마 수준에 불과하다. 지난 2012년 10월 부터 한국인터넷진흥원(KISA)에서 제도를 도입해 운영하고 있지만 참여한 국내 기업은 13곳에 불과하다. 삼성전자와 네이버 등은 자체 버그바운티 제도를 운영 중이다. 참여율이 저조한데는 보안에 대한 인식 자체가 낮은 편인데다 정보유출에 대한 우려, 해킹에 대한 선입견 등이 복합적으로 작용하고 있는 것으로 풀이된다.

보안업계에선 화이트해커가 양성되기 위해선 보안산업 자체 규모가 일정수준으로 커져야 한다고 지적한다. 이를 위해선 기업들의 적극적인 투자가 이어져야 한다. 최근 몇 년간 정부 조사 자료를 보면 보안에 대한 투자는 조금씩 확대되는 추세지만 중장기적인 대책마련에는 미진하다는 지적이 높다.

과학기술정보통신부와 한국인터넷진흥원이 9,131개 기업을 대상으로 조사해 공개한 ‘2017년 정보보호실태’ 결과에 따르면 지난해 정보보호대책을 수립한 비율은 15.2%에 불과했다. 이마저도 전년대비 1.9% 포인트 하락한 수치다. 정보보호조직을 보유한 곳도 전체의 9.9% 수준에 그쳤다. 이 또한 전년대비 1.1% 포인트 하락했다.

정보보호 예산을 편성한 사업체는 전체의 48.1%로 나타났다. 이는 전년대비 15.6% 포인트 늘어난 규모다. 다만 IT 예산 중 정보보호 예산을 1% 미만으로 편성한 기업이 36.8%에 달해 여전히 보안에 투자는 미진하다는 지적을 피하지 못하고 있다.