[스마트 넷 전쟁]신정훈씨 “해킹 취약점 발견자, 인센티브제 도입해야”

■ 화이트해커로 10여년 활약

“우리나라도 원자력발전소 등 핵심 인프라와 관련된 네트워크는 외견상 철저한 보안시스템으로 둘러싸여 있습니다. 하지만 뚫겠다는 마음만 먹는다면 불가능한 상대는 없습니다.”

국내 최대 화이트해커(보안전문가로 활동하는 선의의 해커) 커뮤니티인 ‘해커스쿨’에서 활약하는 신정훈 씨(26·사진)는 해킹으로부터 100% 안전한 곳은 없다고 단언했다. 그는 최근 전광판, 매장에 비치된 판매시점관리기기(POS), 스마트폰 교통카드 등에 대한 해킹을 시연해 화제를 모은 국내 최고 보안전문가 가운데 한 명이다. 10여 년 전부터 화이트해커로 활동해온 그는 보안시스템의 성능보다는 관리자의 낙후한 의식을 취약점으로 지적했다.

신 씨는 우선 해커들이 주로 사용하는 지능형 지속해킹(APT) 기법을 쓰면 시스템 자체보다는 오히려 보안책임자로부터 핵심 정보를 빼낼 가능성이 높다고 했다. 대형 병원은 해커가 건물 안으로 들어가 무선랜(LAN)에 접속하는 것만으로도 간단히 뚫어 축적된 환자 정보를 빼낼 수 있다고 경고했다. 그는 대형 피해가 반복되는 원인으로 해킹당했다는 사실을 쉬쉬하며 숨기려는 점을 들었다. “인프라망 책임자의 사무실 PC, e메일, 소셜네트워크서비스(SNS) 등 온라인 활동을 1년 이상 끈질기게 추적하면 뚫지 못할 곳이 없습니다. 약점을 발견하는 즉시 전파하고 보완해야 하지만 보통 덮는 데 급급하기 때문에 문제가 커지는 것이죠.”

신 씨는 정부의 ‘보안전문가 육성 및 화이트해커 양성 정책’에 대한 아쉬움도 나타냈다. 네트워크나 프로그램의 약점을 먼저 파악한 이들에게 금전적 보상을 실시하는 ‘버그바운티(Bug Bounty) 제도’가 활성화된 선진국과 달리 국내에서는 별다른 인센티브가 없기 때문에 수많은 유능한 보안전문가가 해외 보안시장으로 눈을 돌린다는 것이다.

그는 “우리나라가 인터넷 강국이라는 것은 반대로 해외 해커에게 악용당할 소지도 그만큼 크다는 얘기”라며 “보안이란 양보다는 질이 중요한 산업이기 때문에 핵심 인재를 제대로 활용할 수 있는 제도 보완이 시급하다”고 강조했다.

정호재 기자 demian@donga.com