한국은 국제전기통신연합(ITU)이 정한 글로벌 사이버보안지수 4위 국가이자 5번째로 사이버 공격을 많이 당하고 있다. 지난해에 사이버 공격으로 통신사의 개인정보 등 유출이 발생되고 중국 해킹그룹이 공공기관 홈페이지를 공격하기도 했다. 지난해 공공기관 대상 북한의 해킹 시도는 하루 162만 건으로 나타났다.
이런 해킹 대비는 고도화된 사이버안보 역량이 필수다. 사이버안보 역량을 향상하기 위해서는 기술과 산업, 제도 등이 갖춰져야 한다. 이런 조건 중심에는 사람의 역할이 가장 중요하다. 보안 관련 제도를 기획하고 기술을 개발하면서 사고에 대응하는 보안 주체가 사람이기 때문이다.
지난해 8월 국내 보안 분야 인재들은 세계에 보안의 우수성을 입증했다. 전 세계 해커들이 참여해 실력을 겨루는 데프콘(DEFCON) 해킹대회에서 우리나라 해킹 방지 전문가 화이트해커팀이 2연패를 달성했다. 데프콘은 해커들의 올림픽이라 불리는 최고 권위의 해킹 방어대회이자 보안 콘퍼런스다.
해커는 최근에 선악으로 구분해 화이트해커(White-Hacker)와 블랙해커(Black-Hacker)로 구분한다. 화이트해커는 블랙해커와 반대되는 개념이다. 해커는 통상 선악(善惡)의 개념을 담지 않은 가치중립적 의미다. 부정적으로는 ‘컴퓨터 지식을 이용해 타인의 정보와 자산을 빼앗는 사람’이라는 인식이 강하다. 크래커(Cracker)라고도 불리는 블랙해커는 악의적으로 정보를 탈취하는 사람이다. 화이트해커는 선의로 이들의 침투를 방어하는 사람을 칭한다.
블랙해커의 위협은 곳곳에서 나타나고 있다. 사기업과 정부 기관 등 민관을 가리지 않는다. 국내 보안 환경이 심각해질 수도 있다. 북한은 수년 동안 사이버 위협 등 비대칭 전력을 강화하고 있다. 우리는 남과 북의 대치로 사이버안보 필요성이 세계에서 가장 높다. 공격 유형도 국가 안보나 산업 스파이, 가상 자산을 노린 해킹이 다수다.
이에 대응하기 위한 국가 차원의 화이트해커 양성은 이제 필수다. 정부는 2022년 7월 ‘사이버 10만 인재 양성 방안’을 발표하고 이를 실현하기 위한 교육 프로그램을 강화하고 있다. 입문 단계인 화이트햇 스쿨에서 차세대 보안리더 양성 프로그램(BoB)으로 연계되는 최정예 화이트해커 양성 시스템을 마련했다.
화이트 같은 정예 인력을 육성할 때는 두 가지 조건에 집중해야 한다. 바로 인재와 산업이다. 관심 있는 인재가 화이트해커로 진출할 수 있는 수준 높은 교육 환경이 조성돼야 한다. 전문성을 갖춘 인재들이 마음껏 실력을 발휘하고 충분한 보상을 받으며, 장기간 안정적으로 활동할 수 있는 산업 환경이 필요하다.
사이버 안보를 강화하기 위해서는 정보보안 분야를 바라보는 기업과 기관의 인식도 변해야 한다. 앞으로 화이트해커에 대한 시장 수요는 계속 늘어날 것이다. 기업은 매출이 없는 정보보안에 지속적인 투자를 부정하는 경향이 강하다. 정보보안 부서는 소수 엘리트로 운영해야 한다는 인식이다.
공조직에서도 화이트해커의 특수성을 인정해야 한다. 정보보안은 고도화된 기술로써 순환보직으로 화이트해커 역량 유지가 어렵다. 우수한 화이트해커를 집중적으로 관리하는 사이버안보 컨트롤타워가 필요하다는 주장도 제기된다. 법과 제도 등 빠른 후속 조치가 필요하다. 집중적으로 양성하는 정예 인력 관리와 지원에도 소홀히 해서는 안 된다.
정순채 서울과학기술대학교 겸임교수, 서울디지털대·경희사이버대 객원교수, 법무법인 린 전문위원