김동민 라온시큐어 화이트햇센터 핵심연구팀 팀장 / 사진제공=라온시큐어올해로 28세인 이 청년은 현재 사이버보안 전문기업 라온시큐어 (2,080원 ▼35 -1.65%)의 화이트햇센터 핵심연구팀 팀장으로 활동 중이다. 핵심연구팀은 그간 알려지지 않았거나 알려진지 얼마 안 돼 대응책이 미처 마련되지 않은 취약점을 일컫는 '제로데이' '원데이'에 대한 연구를 비롯해 주요 공공기관 및 대기업 등을 대상으로 한 모의침투 서비스를 수행하는 팀이다.
2018년 1월 라온시큐어에 입사할 때만 해도 핵심연구팀 인원은 5명에 불과했지만, 지금은 20명을 웃돈다. 대기업과 공공기관, 금융사 등으로부터 모의해킹 요청이 이 기간 부쩍 늘었기 때문이다. 김 팀장과 핵심연구팀은 시스템 운영 중에 실제 해커 관점으로 해킹 발생 가능성을 점검하고, 이를 막기 위한 최적의 예방 대책을 조언하는 '프리미엄 모의해킹' 서비스를 제공한다.
민간·공공의 고객사들도 자체 보안 인력을 두고 모니터링을 수행하지만, 시스템 전부를 마비시킬 수 있는 '구멍'은 의외의 지점에 자리잡고 있었다는 게 김 팀장의 설명이다. 전체 시스템에서 극히 미미한 역할을 하는 소프트웨어의 한 오픈소스가 한 대기업 서버 전체를 마비시킬 수 있는 구멍으로 드러난 사례, 회사 시스템 내 파일을 전부 내려받을 수 있는 설정이 미처 삭제되지 않아서 외부 침투자에게 회사가 보유한 민감정보 전부가 털릴 수 있었던 사례 등은 아무리 꼼꼼히 점검해도 취약점을 발견하기가 얼마나 어려운지를 보여준다.
김동민 라온시큐어 화이트햇센터 핵심연구팀 팀장이 시각 인기 뉴스
김 팀장은 "올 상반기 사이버 침해사고 건수는 899건으로 2년 전 같은 기간(473건)의 2배에 달하는데 사이버 보안 분야는 인력난을 겪고 있다"며 "특히 실질적으로 취약점을 점검·분석하고 선제적으로 위협에 대비하기 위한 화이트해커 등 인재가 더욱 부족하다"고 했다. 모의해킹 등을 통해 취약점 점검을 원하는 기업·기관이 날로 늘어나는 만큼, 이런 수요를 충당할 인재를 육성해야 한다는 지적이다.
그는 "전문가들 사이에서는 화이트해커의 자격 증명을 제도적으로 정비하고, 인재들의 능력 수준에 따라 대가 기준을 마련해야 한다는 목소리가 높다"며 "누구든 실력에 따라 검증받는 제도가 정착되고 합당한 보상이 보장된다면, 화이트해커란 직업의 매력이 더 높아지고 역량 있는 인재들이 유입되는 선순환이 있을 것"이라고 했다.
라온시큐어의 화이트햇센터도 실습형 해킹 교육 프로그램인 라온CTF(Capture the Flag의 약자, 해킹대회를 뜻하는 용어)를 운영 중이다. 연세대·중앙대·이화여대 등 여러 대학교에서 매년 수백명 이상이 이수한다. 김 팀장은 "내 경험과 노하우들을 최대한 전수하려 한다"며 라온시큐어는 우리나라에 정보보안 인력 양성의 선순환 생태계가 정착하도록 힘을 보탤 것"이라고 강조했다.
