윤리적 해커, 정보보안 전문 인력을 키워라

2009.01.22

 

정부가 지식정보 보안산업을 신성장동력으로 키우기 위해 '디지털 포렌식(Digital Forensic)' 전문가와 윤리적 해커 등 정보보안 전문인력 3,000명을 양성한다.

지식경제부는 2008년 12월15일 지식정보 보안산업 진흥 종합계획을 발표하고 3조원 수준인 보안산업의 시장을 2013년까지 18조4000억원 규모로 키우고 수출도 30억 달러 수준으로 끌어올리겠다고 밝혔다.

그리고 지식경제부는 올해 '제1회 국제모의 해킹 대회'를 개최해 1,000여명의 윤리적 해커를 양성키로 했다. 현재 민간 자격증인 정보보호전문가(SIS)를 내년 중 국가기술자격증으로 격상시키고 공무원, 공기업 취업 때 가산점도 줄 계획이다.

위의 기사는 작년 12월 지식정보보안산업 진흥 종합계획(Securing Knowledge Korea 2013)에서 발표한 내용이다. 국내 보안 산업은 지속적인 인력부족에 시달리고 있는 것이 현실이다. 지식경제부에 따르면, 지식정보보안 분야에는 현재 3만1705명의 전문가가 필요하지만, 공급인력은 3만여명 수준으로 4%의 수급불균형을 보이고 있다. 이러한 추세라면 2013년에는 11%가 부족해진다고 밝히고 있다.

수요에 비해 공급이 부족한 인력난 해소를 위해 2013년까지 3000여명의 전문인력을 양성해 지식정보보안 업계의 인력난을 해소하고, 미래 지식정보보안을 위한 고급전문 인력을 안정적으로 공급하겠다는 계획으로 보면 될 것이다.

디지털 포렌식이 주목받기 시작한 건 신정아/변양균 스캔들 때부터이다. 당시 둘 사이 주고받았던 이메일이 복원되면서 세간의 관심이 집중됐다. 황우석 교수 사건 때도 마찬가지로 김성종 연구원의 이메일을 복원해 내기도 했었다.
 
윤리적 해커란?

 

정부가 양성하기로 한 윤리적 해커를 알아보기 전에 해커(Hacker)와 크래커(Cracker)에 대해서 알아야 한다. 아주 간단히 설명을 하면 해커는 선의적 또는 악의적으로 시스템에 침투를 하는 사람을 뜻하며, 크래커는 악의적인 목적만을 가진 경우라고 할 수 있다.(인터넷에서 해커와 크래커에 대해서 찾아보니 "해커는 나쁜놈이고 크래커는 더 나쁜놈이다" 라는 재밌는 표현도 있었다. )

 

윤리적 해커는 방어가 아닌 공격업무, 즉 모의해킹 및 취약점분석으로 안전한 시스템을 만들 수 있도록 도와주는 보안전문가 또는 보안컨설턴트라고 정의할 수 있다. 그래서 기술적으로 해커와 크래커, 윤리적 해커가 동일하고 그 기술을 어떤 용도로 사용하냐 따라서 구분을 하는 것이다. 참고로 윤리적 해커는 화이트 해커(White Hacker)라고 불리기도 한다.

윤리적 해커의 현실은

 

윤리적 해커는 해커의 순기능만에만 초점을 두고 있지만 현실에서는 그것을 알아주지 않는경우가 더 많은 것 같다. 한 인터넷서비스 회사의 보안 취약점을 발견한 해커가 그 회사의 보안담당자에게 연락을 해서 ‘보안취약성이 있으니 고치시오’ 라고 했더니, 고마워하기는 커녕 오히려 범죄자 취급을 하면서 ‘그 사실을 알리면 가만두지 않겠다’ 라는 답변을 들었다고 한다.

 

아직까지는 해커에 대한 나쁜 인식이 만연되어 있는 상태이고 윤리적 해커라는 용어 자체도 낯설어서 그런 것으로 보인다. 또한, 최근 급증하는 보안사고 등으로 인해 과중한 업무부담에 시달리는 보안담당자에게는 이러한 지적 또한 감당하기 힘든 일 이였을 수도 있었을 것이다. 해커를 무작정 의심의 눈초리로만 바라보는 분위기가 근시일 내에는 바뀌기 힘들겠지만 점차 인식개선이 될 수 있을 것이라 본다.(해커라는 명칭에 나쁜 인식이 박혀 있어서 윤리적 해커도 좋은 느낌을 주기 힘들다면, 다른 멋진 명칭을 만들어 내는 것이 어떨까?)

윤리적 해커 자격증도 있다던데…

 

윤리적 해커 자격증(Certified Ethical Hacker, CEH)은 도덕과 윤리를 바탕으로 자신이 속한 조직과 단체의 시스템과 네트워크를 테스트하고, 취약점이 발견되면 이에 맞는 대응방안을 수립할 수 있는 보안전문가를 인증해 주는 자격증이다. 이 자격증은 최근 몇 년 전부터 미국을 중심으로 확산되어서, 취득자 수만도 2만 여명에 이르고 있다고 한다. 하지만 필자 생각에는 국제공인정보시스템보안전문가(CISSP)나 정보시스템 보안감시사(CISA)와 같이 국제적으로 인정받을 수 있는 자격증이 될 수 있을지는 미지수이므로 좀더 지켜봐야 할 것으로 보인다.

 

끝으로

 

정부에서 보안의 중요성을 깨닫고 윤리적 해커와 디지털 포렌식을 포함한 보안전문가 대대적인 양성이라는 발표를 했다. 정부 계획대로 잘 진행이 된다면 보안전문가를 꿈꾸는 사람들과 고급인력의 부족에 허덕이는 보안업체에게 굉장한 기회가 될 것이다. 2013년에 보안최강국이 되는 날을 꿈꾸어 본다.

 

*용어설명

디지털 포렌식(Digital Forensic)이란?
포렌식(Forensic)은 범죄수사에 사용되는 과학적 증거 수집 및 분석기법을 말하며 ‘디지털 포렌식’은 컴퓨터와 인터넷 등 디지털 형태의 증거들을 수집ㆍ분석하는 기법을 말한다.

 

 

 

칼럼니스트                이연조 | 안철수연구소 프로그래머

 

안철수연구소에서 인터넷뱅킹 보안 제품을 개발하고 있으며, 현재 “IT 칼럼니스트”로 활동 중이다. 책(Book)과 공(Ball)과 겜(Game)을 좋아하는 영원한 신혼남으로, 밝고 건전한 사회를 만들기 위해서 항상 웃고 다니고 있는 중이다.