강인욱 라온화이트햇 핵심연구팀 연구원은 최근 본지와 인터뷰에서 이렇게 말했다. 강 연구원은 95년생 MZ세대 화이트해커다. 호기심을 유발하는 이메일을 받으면 보낸이의 메일 주소가 올바른지 먼저 확인한다. 일종의 직업병이다. 그는 중학교 3학년 때 ‘사이버 아마겟돈’이라는 다큐멘터리를 본 뒤 해커의 꿈을 키웠다.
|
“(다큐멘터리에서) 해커가 너무 멋있게 표현돼 이 분야에 관심을 갖게 됐어요(웃음). 막연하게 해커가 되고 싶다는 생각에 인터넷 검색이나 프로그래밍 책을 사 무작정 공부했습니다”. 그렇게 공부를 시작한 중3 소년은 고등학생 때 청소년 해킹방어대회에서 우승하면서 화이트 해커 세계로 빠져들었다.
지난해에는 국가정보원이 주최한 사이버공격방어대회에서 우승을 차지했으며, 미국 라스베이거스에서 열린 세계 최대 해킹방어대회 ‘데프콘’에서 4위에 오르기도 했다.
현재 그는 라온화이트햇 핵심연구팀에서 모의해킹과 고난도 해킹 기술 연구개발(R&D), 개인 연구활동 등을 하고 있다. 그는 “해외 해킹 대회에 나갈 때는 웹 분야를 주력으로 한다”며 “웹 분야 해킹 공격 기술 트렌드가 매년 빠르게 바뀌기 때문에 더 흥미로운 것 같다”고 했다.
해커는 대개 ‘자유로운 영혼’들이다. 일하는 시간이 자유로운지, 개인 연구를 지원해주는지 등 근무 환경이 회사를 선택하는 중요한 기준이 된다고 한다. 강 연구원도 “해커들은 프로그램의 취약점을 제보하는 ‘버그 바운티’ 제도를 통해서도 명성과 수익을 얻기 때문에 개인적으로 이에 투자할 수 있는 시간을 확보할 수 있는가도 중요할 것”이라고 했다.
최근 IT 개발자들의 몸값이 많이 올랐는데, 화이트 해커도 역량에 따라 억대 연봉를 받는 이들이 적지 않다. 운동선수들이 이른 나이에 전성기를 맞듯 해커들도 어린 나이에 발군의 실력이 뽐낸다는 얘기도 있다.
강 연구원은 기억에 남는 일화로 국내 대형 금융사를 대상으로 모의해킹을 진행했던 기억을 떠올렸다. 그는 “뚫리지 않을 것 같다고 생각했었지만, 서버를 장악해 금액 이체까지 가능한 모든 권한을 획득했었다”며 “물론 보안에 투자를 많이 한 기업이라 실제 취약점을 발견하기까지 매우 오랜시간이 걸렸으나, 이런 곳들도 시간을 투자해 공격하면 뚫릴 수 있다는 걸 경험했다”고 말했다. 100% 안전한 보안은 없다는 말을 다시금 확인한 것이다.
그는 ‘해커가 되려면 어떤 역량이 필요하느냐’는 질문에 윤리의식 등을 꼽았다. 그는 “해킹 기술은 누군가를 공격하는 도구로 쓸 수도, 아픈 곳을 낫게 하는데 사용할 수도 있기 때문에 올바른 윤리의식을 가져야 한다”며 “또 창의력과 끈기도 필요하다”고 했다.
그는 올해도 해킹 대회 우승에 도전한다. 그는 “코로나 이후 해킹 대회가 온라인으로 바뀌어 대회장 분위기를 느낄 수 없던 점이 아쉬웠다”며 “올해 코로나가 완화돼 해외 입출국이 자유로워지면 팀원들과 다같이 대회를 즐기러 갈 것”이라고 했다.